Digitalizacijske spremembe v zapleteno poslovno okolje prinašajo tudi nove varnostne izzive. O priložnostih, ki jih prinašajo novi izzivi na področju obvladovanja informacijske varnosti, smo se pogovarjali z g. Juretom Remškarjem, izvršnim direktorjem podjetja Smart Com.

 

Vodite podjetje Smart Com d.o.o., ki vzpostavlja sodobna, varna in zanesljiva komunikacijska omrežja in sisteme, še posebej ste se specializirali za kibernetsko varnost v industrijskih oz. procesnih (OT) okoljih in okoljih kritične infrastrukture. Kakšne so vaše strateške usmeritve in pričakovanja za nadaljnjo rast poslovanja in razvoja podjetja?

Celostna zaščita kritične infrastrukture in industrijskih okolij, nadaljnji razvoj upravljanih varnostnih ter omrežnih storitev ter podpora digitalizaciji podjetij z vpeljavo rešitev zasebnih brezžičnih omrežij 5G so naše ključne poslovne in tehnološke usmeritve.

 

Pomen kibernetske varnosti pri zaščiti vitalnih delov naše družbe še nikoli ni bil večji. V vse bolj povezanem svetu varnostna tveganja za naše energetske, logistične, zdravstvene, finančne in druge javne sisteme naraščajo. Z namenom, da zagotovimo varnost teh sistemov oz. zvišamo nivo kibernetske varnosti, moramo vpeljati ustrezne ukrepe in mehanizme. K temu nas bo v letošnjem letu obvezala tudi razširjena evropska Direktiva o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov (t. i. NIS2). Zato se bomo v prvi vrsti osredotočili na zaščito kritične infrastrukture pred kibernetskimi napadi. To pomeni, da bomo tesno sodelovali z vodilnimi strokovnjaki in tehnološkimi ponudniki za prepoznavanje in odpravljanje varnostnih ranljivosti ter za uvedbo novih tehnologij in najboljših praks za krepitev kibernetske odpornosti.

 

Poleg zaščite kritične infrastrukture se bomo še naprej posvečali razvoju upravljanih varnostnih in omrežnih storitev ter uvajali rešitve zasebnih mobilnih omrežij 5G. Z razširjenim naborom upravljanih storitev bomo zagotavljali optimalen in učinkovit način zaščite informacijske infrastrukture in podatkov v režimu 24/7/365. S tem bomo razbremenili že tako obremenjen interni strokovni kader organizacije, ki najema naše storitve, in jim omogočili, da se posvetijo prednostnim nalogam, kot je npr. digitalizacija poslovnih procesov in zagotavljanje neprekinjenega poslovanja. Ker zagotavljamo celovit varnostni ekosistem, vključujoč omrežno infrastrukturo, načrtujemo, da bomo z vpeljavo zasebnih mobilnih omrežij 5G poskrbeli za bolj varno in zanesljivo omrežno infrastrukturo za kritične sisteme v industriji, kot sta proizvodnja in logistika in s tem organizacije podprli pri digitalizacija poslovanja.

 

Poleg zaščite kritične infrastrukture se bomo še naprej posvečali razvoju upravljanih varnostnih in omrežnih storitev ter uvajali rešitve zasebnih brezžičnih omrežij 5G.

 

Pospešeni procesi digitalizacije in drugi tehnološki razvojni procesi informacijsko varnost postavljajo na vedno bolj pomembno mesto. Vidite na tem področju ustrezen razvojni potencial tudi za Smart Com?

Vsekakor vidimo na tem področju velik razvojni potencial. Pozdravljam, da je v krovnem strateškem dokumentu razvoja informacijske družbe Digitalna Slovenija 2030 področje kibernetske varnosti izpostavljeno kot eno prednostnih vsebinskih področij digitalne preobrazbe.

 

Sami smo zavezani k temu, da ohranjamo našo konkurenčno prednost – razumevanje in poznavanje specifik kritične infrastrukture in industrije na področju kibernetske varnosti. Ker se to področje nenehno razvija, nam bo nadaljnje sodelovanje s strokovnjaki iz panoge omogočilo, da pri pripravi rešitev in storitev upoštevamo najnovejša varnostna tveganja, grožnje ter najboljše domače in tuje prakse.

 

Nadalje razvojne smernice iz strategije Digitalna Slovenija 2030 vključuje tudi gigabitno infrastrukturo, kjer se vključujemo v dobavni verigi pri nadgradnji in integraciji hrbteničnih sistemov ponudnikov telekomunikacijskih storitev. Sledi dvig digitalnih kompetenc, kjer se umeščamo z izvajanjem upravljanih storitev z ekipo varnostnih in omrežnih strokovnjakov, namenskimi izobraževanji ter deljenjem izkušenj in s tem gradimo večjo odpornost organizacij. Nenazadnje pa nam digitalna preobrazba gospodarstva odpira priložnost, da širimo in vpeljujemo storitve in rešitve privatnih brezžičnih omrežij, ki temeljijo na tehnologiji 5G. Le-te prvenstveno omogočajo varnost, nizke zakasnitve pri prenosu podatkov, visoko zanesljivost delovanja in hitre odzivne čase aplikacij v industrijskem okolju oz. v pametnih tovarnah in okoljih kritične infrastrukture kot je primer elektrogospodarstva. Na vseh teh navedenih področjih bomo še naprej vlagali v raziskave in razvoj za snovanje novih, inovativnih storitev in rešitev.

 

Sami smo zavezani k temu, da ohranjamo našo konkurenčno prednost – razumevanje in poznavanje specifik kritične infrastrukture in industrije na področju kibernetske varnosti.

 

Kateri so tisti sektorji, ki jim s svojimi storitvami namenjate še posebej pomembno pozornost?

K rešitvam in storitvam pristopamo na podlagi modela vgrajene varnosti. Naše delovanje pa nadgrajujemo z osredotočenostjo na naročnika oz. kupca. Slednjega postavljamo v center naše pozornosti in naših procesov. S tem načelom zagotavljamo, da poznamo izzive, s katerimi se soočajo in specifike njihovega delovanja v ožjem in širšem okolju, kar nam omogoča, da oblikujemo in izvajamo storitve po meri kupca.

 

Največjo pozornost namenjamo storitvam, s katerimi naslavljamo današnje in izzive bližnje prihodnosti proizvodnih in storitvenih podjetij, kritične infrastrukture, zdravstva, finančnih ustanov ter ponudnikov telekomunikacijskih storitev. Naj izpostavim storitve, ki so med kupci najbolj zaželene: upravljane varnostne in omrežne storitve, analiza in priprava strategije razvoja informacijske infrastrukture, podpora procesom digitalizacije poslovanja, svetovanje za zagotovitev skladnosti s standardi informacijske varnosti in s panožnimi standardi kot je npr. TISAX ter sistemski varnostni pregledi in vdorna testiranja poslovnih (IT) in procesnih (OT) okolij.

 

Kje so po vašem strokovnem mnenju največji varnostni izzivi, ko govorimo o kompleksnih OT okoljih?

Povečanje varnostne odpornosti vsakega proizvodnega podjetja oz. kritične infrastrukture je proces, ki ga je potrebno skrbno načrtovati. Zavedanje o tem se začne na strateški ravni, kjer poslovodstvo poda ustrezne smernice in navodila, ki so skladna z zakonodajo kot je evropska direktiva NIS2 ter organizira interne procese za zmanjšanje varnostnih tveganj. Še več, z uvajanjem digitalizacije in avtomatizacije v OT okolja, se odpirajo tudi varnostne vrzeli v teh okoljih. Vendar pa opažamo, da investicije za zaščito teh okolij ne potekajo sočasno z uvedbo digitalizacije in avtomatizacije. Zato menim, da se največja pomanjkljivost kaže v strateškem pristopu k digitalizaciji, saj bi načrtovanje vključevalo povečevanje varnostne odpornosti OT okolij v kontekstu vgrajene varnosti.

 

Moram izpostaviti, da varnostni izzivi v OT okoljih niso izključno tehnološke narave, ampak je treba graditi in ustrezno povezovati tri segmente: kadre, procese in tehnologijo. Če je pri povezovanju procesov in tehnologij treba pristopiti z miselnostjo vgrajene varnosti, pa se pri kadrih soočamo s primanjkljajem znanj in kompetenc s področja zagotavljanja kibernetske varnosti, v teh nekdaj izoliranih okoljih.

 

Zagotavljanje ustreznih kadrovskih virov za večino modernih organizacij postaja vedno zahtevnejši izziv. Kako se pri vas soočate z izzivi zagotavljanja ustreznega in strokovnega kadrovskega potenciala?

Na našem področju delovanja res primanjkuje kompetentnega kadra. Največjo prednost pri pridobivanju kadra bodo imela tista podjetja, ki bodo prepoznavno gradila blagovno znamko zaposlovalca z jasno začrtano vizijo razvoja zaposlenih in identificiranim kompetenčnim modelom. Zato v Smart Comu veliko pozornost namenjamo prepoznavnosti blagovne znamke na trgu kot atraktivnega zaposlovalca, kar nam zagotavlja primeren nabor kakovostnih potencialnih kandidatov. Pri celotnem procesu kadrovanja posvečamo veliko pozornost tudi vrednotam potencialnih kandidatov. Verjamemo, da je za trajen uspeh ključnega pomena to, da imamo jasno začrtano vizijo, ki jo začnemo opredeljevati z našim namenom ZAKAJ delujemo. S tem namenom smo identificirali osebne ter poslovne vrednote, za katere si kot ekipa prizadevamo in jih udejanjamo v našem delovanju.

 

Na tem mestu moram izpostaviti še našo naslednjo prakso, ki se je izkazala za odlično usmeritev, in sicer, da letno zaposlimo vsaj dva diplomanta, ki se s pomočjo mentorja v okviru mentorskega programa razvijeta v izkušen tehničen kader. Pri tem veliko pozornost namenjamo internemu prenosu znanja in veščin znotraj timov. Verjamemo, da strukturirano uvajanje novozaposlenega v podjetje, pomembno vpliva na zadovoljstvo zaposlenega, na njegovo učinkovitost in tudi na nadgrajevanje kompetenc.

 

Največjo prednost pri pridobivanju kadra bodo imela tista podjetja, ki bodo prepoznavno gradila blagovno znamko zaposlovalca z jasno začrtano vizijo razvoja zaposlenih in identificiranim kompetenčnim modelom.

 

V Sloveniji imamo še vedno največje težave na področju sodelovanja med različnimi deležniki strokovnega ekosistema na področju informacijske in ožje kibernetske varnosti. Kje so po vašem mnenju na področju sodelovanja še rezerve, ki bi slovenskim organizacijam omogočale resneje nastopati tudi v širšem mednarodnem poslovnem okolju?

Pri zagotavljanju celovitega odziva na napredne kibernetske grožnje je potrebno graditi partnerstva s strokovnjaki za kibernetsko varnost v IT in OT okoljih. Takšna partnerstva bodo zagotavljala neprekinjeno obratovanje in odpornost na varnostne grožnje teh okolij. Primer dobre prakse organiziranega delovanja in skladno delovanje strokovnega kadra različnih akterjev na področju kibernetske varnosti je lanskoletna Natova vaja kibernetske obrambe, v kateri smo se na nacionalni ravni povezali ministrstva, vladne službe, zavodi ter gospodarski subjekti. Za resnejši nastop v širšem mednarodnem okolju pa je po mojem mnenju potrebna specializacija delovanja in visoko usposobljeni ter ozko specializirani kadri, ki bi zagotavljali še višjo dodano vrednost naročnikom.

 

Kakšna je vaša strategija pri vključevanju v raziskovalno-razvojne mednarodne projekte. Menite, da je to lahko dodatni zagon pri razvoju tehnologij in storitev na področju informacijske varnosti v vašem podjetju?

Vsekakor imajo mednarodni raziskovalno-razvojni projekti vpliv na razvoj naših omrežnih in varnostnih rešitev in storitev. Tudi naš pristop k sodelovanju v mednarodnih projektih je vedno s poglobljeno analizo dodane vrednosti našega sodelovanja in priložnosti za dodatni razvoj oz. testiranje naših procesov, storitev, aplikacij ali razvojnega okolja. Seveda izbiramo projekte na osnovi naših strateških in vsebinskih usmeritev kot je npr. kibernetska varnost v kritični infrastrukturi ter področje elektroenergetike, še posebej se trenutno ukvarjamo z izzivom usklajevanja ponudbe in povpraševanja na elektroenergetskem trgu.

 

Kakšne so vaše izkušnje delovanja v Slovenskem združenju korporativne varnosti? Ocenjujete, da je za vas to sodelovanje prineslo dodatno kvaliteto na področju izmenjave dobrih praks in izkušenj?

Slovensko združenje korporativne varnosti predstavlja ključno interesno skupnost, ki z rastjo pomembnosti kibernetske varnosti ozavešča deležnike o pomembnosti tega področja. Prav tako opravlja funkcijo povezovanja deležnikov in jim zagotavlja platformo za izmenjavo mnenj ter dobrih praks. To nam omogoča, da se deležniki podrobneje spoznamo z izzivi, s katerimi se soočajo organizacije, ter skupaj le-te primerno naslovimo. S tem pridobimo nov vpogled v načine obvladovanja varnostnih tveganj, ki izhajajo iz čedalje bolj zahtevnega okolja in se nenazadnje tudi povezujemo.

 

Članek je bil objavljen v reviji Korporativna varnost, št. 31, marec 2023.