[Intervju] Korporativna varnost nujni pogoj delovanja modernih organizacij
Razumevanje pomena kibernetske varnosti je postala neločljiva stalnica za uspešno delovanje naših organizacij. Še posebej je to zavedanje potrebno uvajati v organizacije, ki upravljajo s kritično infrastrukturo ali izvajajo bistvene, za družbo pomembne storitve. O priložnostih, ki jih prinašajo novi izzivi na področju kibernetske varnosti, smo se pogovarjali z g. Rajkom Novakom, direktorjem podjetja Smart Com.
Digitalizacija in korporativna varnost
Pospešeni procesi digitalizacije in drugi tehnološki razvojni procesi, kibernetsko varnost postavljajo na vedno bolj pomembno mesto. Imate občutek, da smo v Sloveniji že dojeli pomen kibernetske varnosti in ji na vseh nivojih namenjamo dovolj pozornosti?
Na osnovi izkušenj, ki jih je Smart Com pridobil z izvedbo številnih varnostnih pregledov IT in procesnih (OT) okolij, opravljenimi forenzičnimi analizami v primerih dejanskih varnostnih incidentov in izvedenih varnostnih projektih, ter zagotavljanja storitev obratovanja končnim naročnikom na teh področjih, lahko dokaj dobro ocenimo nivo zavedanja o pomembnosti kibernetske varnosti v slovenskih podjetjih. Menim, da se danes večina slovenskih podjetij do neke mere zaveda pomena kibernetske varnosti svojega poslovnega okolja.
Menim, da je ključ do uspeha v sodelovanju gospodarstva, države in izobraževalnega sistema. Le skupaj lahko pridemo do večjega nabora mladih, ki bodo zainteresirani za študij in kasneje za delo na področju kibernetske varnosti.
Vendar še prevečkrat naletimo na razmišljanje poslovodstva, da je njihovo informacijsko okolje dovolj varno in, da se njim ne more zgoditi varnostni incident ali, da bi postali tarča hekerjev. A ravno poslovodstvo je tisto, ki je v organizacijah odgovorno za zagotavljanje ustreznega nivoja kibernetske varnosti in ne zaposleni v IT oddelku.
Naj omenim še en vidik kibernetske varnosti, ki postaja vse pomembnejši, in to je varnost OT okolij oz. procesnih sistemov v industrijskih okoljih in kritični infrastrukturi, kjer do pred kratkim vlaganja v kibernetsko varnost niso bila prav pogosta, saj so bila ta okolja ločena od poslovnih IT okolij. Prav digitalizacija je povzročila odpiranje ter povezovanje teh sistemov navzven, s tem pa so postali privlačna tarča za napadalce.
Kibernetska varnost tako postaja temelj vsake sodobne organizacije in zanemarjanje tega področja ima lahko hude negativne posledice na poslovanje.
Kaj pa ustrezen kader?
Kot ste sami izpostavili, zagotavljanje ustreznega kadrovskega potenciala na področju zagotavljanja kibernetske varnosti predstavlja vedno večji izziv. Katerim korakom v procesu pridobivanja tega kritičnega kadra bi veljalo posvetiti posebno pozornost?
Za nas kot ponudnika varnostnih rešitev in storitev je ta vidik izrednega pomena in mu tako posvečamo veliko pozornosti.
Zavedamo se, da so potrebe po kadru s kompetencami na področju kibernetske varnosti velike, kadra na trgu pa je malo oz. ga ni. V Smart Comu preko različnih projektov in aktivnosti, ki naslavljajo tiste, ki so še v procesu izobraževanja, identificiramo tiste posameznike, za katere menimo, da jih vodijo iste vrednote in bodo obogatili našo ekipo z vedoželjnostjo ter z željo po doprinosu k dvigovanju nivoja kibernetske varnosti v okolju.
Področje kibernetske varnosti se nenehno spreminja in nadgrajuje, zato je potrebno konstantno spremljati in nadgrajevati znanja. Za podjetja, ki se dnevno ne posvečajo kadrom s področja kibernetske varnosti, je težka naloga – kako poiskati, pridobiti v svoje okolje kader in ga potem tudi uspešno razvijati in zadržati. Rešitev te dileme je zagotovo, da se vzpostavitev in upravljanje kibernetske varnosti zaupa podjetju oz. partnerju, ki je specialist na tem področju. S tem podjetje pridobi specializiran tehnični kader, ki spremlja in pravočasno zazna nevarnosti, se takoj odzove na morebitne incidente, izvaja forenzične analize in remediacijo.
Kako v Sloveniji izoblikovati izobraževalni sistem, ki bi ponujal večji kadrovski bazen na področju kibernetske varnosti, ki bo sposoben z manjšimi prilagoditvami zadovoljevati potrebe na celem nizu informacijskih področij?
Sistema se seveda ne da spremeniti čez noč. Je pa potrebno pričeti z uvajanjem sprememb takoj in to z novimi izobraževalnimi vsebinami že v osnovnih šolah (ne samo na fakultetah in srednjih šolah). Menim, da je ključ do uspeha v sodelovanju gospodarstva, države in izobraževalnega sistema. Le skupaj lahko pridemo do večjega nabora mladih, ki bodo zainteresirani za študij in kasneje za delo na področju kibernetske varnosti. Podjetja, ki delujemo na tem področju, lahko k temu veliko prispevamo. Na primer s praksami in mentorstvom, štipendijami, zanimivimi dogodki ter predavanji iz prakse.
Potreben je strateški pristop pri obvladovanju vseh varnostnih tveganj. To je proces, ki se začne na strateški ravni in ga je potrebno skrbno načrtovati.
Pomen kibernetske varnosti v OT
Če smo že začeli razumevati pomen kibernetske varnosti v okoljih poslovne informatike, nam področje operativnih informacijskih tehnologij pri razumevanju resnosti tega področja še vedno predstavlja določen problem. Kje vidite glavne probleme pri dvigovanju varnostnega zavedanja, da je informacijska varnost v operativnih okoljih izrednega pomena?
Tako je, ko govorimo o poslovanju podjetij v kritični infrastrukturi ali industriji oz. proizvodnih podjetjih, kjer se običajno nahaja OT okolje oz. okolje operativne tehnologije, je ključnega pomena zagotavljanje razpoložljivosti in neprekinjenega poslovanja. V preteklosti so podjetja enostavno ločila IT in OT okolje, s prihodom IoT in digitalizacije v okviru industrije 4.0, pa je to nemogoče. Marsikdaj se ob združitvi teh dveh okolij, brez ustreznih varnostnih načrtovanj, hekerjem nevede na široko odpre vrata v najbolj kritična okolja. Zato potreba po kibernetski varnosti v OT okoljih eksponentno narašča.
Potreben je strateški pristop pri obvladovanju vseh varnostnih tveganj. To je proces, ki se začne na strateški ravni in ga je potrebno skrbno načrtovati. Ključen je tudi strokovni kader, saj klasični IT kader ne pozna specifik procesnih sistemov in okolij, zaposleni, ki skrbijo za OT okolja, pa nimajo znanj in kompetenc o kibernetsko varnostnih sistemih, saj tega do sedaj niso potrebovali. Prav zato smo v Smart Comu zasnovali izobraževanje za naročnike, ki združuje oba vidika in preko prenosa izkušenj v obliki predavanj in praktičnih primerov z laboratorijskimi vajami prinaša napredno poznavanje specifičnih protokolov, varnostnih ranljivosti, delovanja naprav, načrtovanja in povezovanja IT in OT omrežij, s poudarkom na kibernetski varnosti.
Kje na tem kompleksnem področju informacijskih tehnologij OT okolja vidite največje varnostne izzive?
Različne študije analitskih hiš potrjujejo, da se je število kibernetskih napadov na OT okolja v zadnjih dveh letih drastično povečalo in tudi uspešnost napadov je večja. Varnost v OT okoljih za približno 5 do 10 let zaostaja za varnostjo v IT okoljih, kjer se je zavedanje o varnosti skozi zadnja leta zelo krepilo in je na višjem nivoju. V OT okoljih te potrebe do sedaj ni bilo, saj so bili to izolirani sistemi, zato moramo začeti na vrhu organizacije, pri poslovodstvu, ki mora razumeti in s konkretnimi potezami podpreti pomembnost zavedanja o kibernetski varnosti.
Druga stvar, na katero želim opozoriti je, da težko varuješ informacijsko strukturo, če ne veš povsem, kaj vse imaš v njej. Globlje poznavanje informacijskega sistema z vidika varnostne ogroženosti je nujno potrebno. To lahko relativno hitro in enostavno dosežemo z izvedbo varnostnega pregleda OT okolja. Naslednja zadeva, ki je s tem povezana je ozaveščanje zaposlenih o pomembnosti kibernetske varnosti. Neozaveščeni uporabniki so največje varnostno tveganje, zato je njihovo izobraževanje o potencialnih nevarnostih ob uporabi informacijskih tehnologij izrednega pomena.
S tehničnega vidika naj izpostavim še dve pomembni, ampak osnovni varnostni pomanjkljivosti, na kateri se morajo podjetja najprej osredotočiti. In sicer velikokrat omrežja v industrijskih okoljih in okoljih kritične infrastrukture niso dovolj segmentirana, kar pomeni, da, če heker pridobi vstop v delovno postajo ali računalnik zaposlenega v podjetju, od tam lahko enostavno dostopa do drugih delov proizvodnje. Druga pa je, da v teh sistemih še vedno najdemo veliko starejših operacijskih sistemov (npr. Windows XP), za katere varnostni popravki niso več na voljo in bi morala podjetja čimprej poiskati alternativne rešitve.
Kakor koli pogledamo je Slovenija majhna in le s povezovanjem strokovnjakov bomo lahko reševali izzive, ki jih imamo. Izkoriščanje vseh priložnosti za sodelovanje in skupen nastop je pomemben že na slovenskem trgu, še toliko bolj pa to velja za širše mednarodno poslovno okolje.
Kakšna je vaša strategija pri vključevanju v raziskovalno-razvojne mednarodne projekte. Menite, da je to lahko dodaten potisk pri razvoju tehnologij in storitev na področju kibernetske varnosti v vašem podjetju?
Na področju raziskav in razvoja v Smart Comu že vrsto let delujemo sistematično. Imamo močno razvojno ekipo, ki se vključuje v mednarodne razvojne projekte. Osrednje vodilo pri izbiri projektov in partnerstev je, da se rezultati raziskav in razvoja v končni fazi v čim večji meri prenesejo v prakso. Projekti so odlična priložnost, da s pomočjo mednarodnih konzorcijev nadgradimo ter razvijemo znanja in kompetence, ki so strateškega pomena v prihodnje, tako za nas kot ponudnika, kot tudi za naše naročnike.
Menite, da je vaša vključitev v okvir Slovenskega združenja korporativne varnosti za vas prinesla dodatno kvaliteto na področju izmenjave dobrih praks in izkušenj?
Vsako povezovanje zagotovo prinese nove poglede, nova strokovna in poslovna poznanstva s podobnega področja, a z drugačnim pogledom, saj se vsak od članov združenja osredotoča na lastno področje odličnosti. Povezujemo se s potencialnimi naročniki, spoznamo njihove specifične izzive in pričakovanja, na osnovi katerih oblikujemo in ponudimo kvalitetno storitev, ki je podkrepljena z izkušnjami in poglobljenim poznavanjem problematike.
Z Rajkom Novakom, direktorjem Smart Com d.o.o. se je pogovarjala Eva Čaleta, članica Slovenskega združenja korporativne varnosti. Intervju je bil objavljen v št. 27 revije Korporativna varnost.