»Napadalci ne izbirajo žrtev po velikosti, temveč po ranljivosti«
Kako ocenjujete trenutno stanje kibernetske varnosti v Sloveniji in kateri so največji izzivi, s katerimi se soočajo organizacije?
URSIV je nacionalni organ za informacijsko varnost, ki povezuje ključne deležnike, nudi strokovno podporo zavezancem, koordinira preventivne aktivnosti ter skrbi za mednarodno sodelovanje in obvladovanje kibernetskih incidentov ter kriz. Znotraj URSIV deluje tudi inšpekcija za informacijsko varnost. Na podlagi razpoložljivih podatkov ocenjujemo, da je stopnja kibernetske ogroženosti v Sloveniji srednja. Slovenija je v zadnjih letih pomembno okrepila nacionalni sistem kibernetske varnosti. Sprejem Zakona o informacijski varnosti (ZInfV-1) predstavlja pomemben korak k večji odpornosti države, gospodarstva in javnega sektorja.
Organizacije se soočajo z različnimi izzivi. Zlasti javni sektor je še v fazi dviga zrelosti in je pogosto tarča napadov oziroma poskusov zlorab. Opažamo pomanjkljive analize tveganj, neustrezno ali premalo operativno varnostno dokumentacijo, premalo usposabljanj zaposlenih, nepreizkušene načrte odzivanja na incidente ter premalo sistematično upravljanje dobaviteljev, dostopov in varnostnih kopij. Pri ZInfV-1 ni dovolj, da so ukrepi zapisani; biti morajo uvedeni, sorazmerni, preverljivi in redno preizkušeni v praksi.
Kje so največji izzivi pri uvajanju NIS2 in na kaj bi se morale osredotočiti organizacije?
NIS2 od organizacij zahteva, da na podlagi ocene tveganj vzpostavijo in izvajajo postopke za obvladovanje incidentov, pripravijo načrte neprekinjenega poslovanja in redno usposabljajo zaposlene. V praksi to pomeni tudi samoregistracijo zavezancev, določitev odgovornih in kontaktnih oseb, pravilno razvrstitev storitev in sistemov, urejene priglasitve pomembnih incidentov pristojnim skupinam CSIRT ter dokazljivo izvajanje varnostnih ukrepov.
Posebej pomembna je vloga vodstva. ZInfV-1 jasno določa odgovornost vodstvenih oziroma odgovornih oseb za upravljanje informacijske in kibernetske varnosti. Ta odgovornost ne sme ostati zgolj pri IT-oddelku: vodstvo mora poznati ključna tveganja, zagotoviti vire, potrjevati varnostne politike, spremljati izvajanje ukrepov in zahtevati redno poročanje o incidentih, vajah ter odpravi ugotovljenih pomanjkljivosti.
Ali mala in srednja podjetja res niso zanimiva tarča za kibernetske napadalce?
Napadalci ne izbirajo žrtev po velikosti, temveč po ranljivosti, zato so mala in srednja podjetja pogosto privlačna tarča. Poleg neposrednih posledic lahko predstavljajo tudi vstopno točko za napade na večje organizacije in druge partnerje v dobavni verigi. Manjše organizacije lahko z relativno preprostimi ukrepi bistveno zmanjšajo tveganja: večfaktorsko avtentikacijo, rednim posodabljanjem, varnostnimi kopijami, jasnimi pravili uporabe službenih naprav, usposabljanjem zaposlenih in osnovnim načrtom odziva na incident.
Kako umetna inteligenca spreminja področje kibernetske varnosti?
Umetna inteligenca je postala vprašanje gospodarske in tehnološke suverenosti. Evropa išče ravnotežje med varnostjo, regulacijo in konkurenčnostjo, Slovenija pa mora vlagati predvsem v znanje, razvoj kompetenc in odgovorno uporabo umetne inteligence.
Zato morajo organizacije poleg priložnosti obravnavati tudi tveganja: zlorabo zaupnih ali osebnih podatkov, odvisnost od zunanjih ponudnikov, nepojasnjene odločitve modelov, manipulacijo vhodnih podatkov in potrebo po človeškem nadzoru nad rezultati.
Pri uvajanju umetne inteligence je treba določiti jasna pravila glede podatkov, dostopov, sledljivosti, odgovornosti in preverjanja rezultatov. Za organizacije, zlasti za zavezance po ZInfV-1, mora biti uporaba umetne inteligence del obvladovanja tveganj. Zmogljivosti umetne inteligence se vse bolj uveljavljajo kot strateška infrastruktura dvojne rabe, pomembna za gospodarstvo, varnost, obrambo in javni sektor.
Katere aktivnosti oziroma projekti bodo v prihodnjem obdobju v ospredju vašega dela?
Med prednostnimi nalogami ostajajo podpora zavezancem pri izvajanju ZInfV-1, krepitev kibernetske odpornosti, ozaveščanje javnosti, usposabljanje organizacij in izboljšanje procesov prijavljanja ter obravnave incidentov. Konkretno to pomeni nadaljnjo strokovno in metodološko podporo zavezancem, pripravo in posodabljanje smernic, vzorčne dokumentacije in orodij za samooceno, krepitev sistema priglašanja incidentov, usposabljanja odgovornih oseb, vaje, preventivne aktivnosti ter sodelovanje v evropskih in mednarodnih mehanizmih kibernetske varnosti, vključno z nalogami NCC-SI in sodelovanjem pri obvladovanju kibernetskih kriz. Krepili bomo mednarodno sodelovanje in pripravljenost na nove tehnološke izzive.
Kaj bi svetovali direktorjem in vodjem IT na področju informacijske varnosti?
Vodstvom bi svetoval, da informacijsko varnost obravnavajo kot del strateškega upravljanja tveganj in kot naložbo v poslovno odpornost. Največjo razliko še vedno naredijo ljudje, ki so dobro usposobljeni. Začeti je treba z osnovnimi vprašanji: katere storitve moramo ohraniti tudi v kriznih razmerah, kateri podatki so kritični, kdo ima administratorske dostope, od katerih dobaviteljev smo odvisni, in kako hitro lahko po incidentu ponovno vzpostavimo delovanje. Varnost mora biti vključena tudi v pogodbe z dobavitelji, poslovne načrte, investicije, usposabljanja in redno poročanje vodstvu. (P.R.)
Prijavi napako v članku

























