Prihodnje desetletje bo desetletje kibernetske varnosti

Kako se boriti proti kibernetskim napadalcem, zakaj bi moral biti eden izmed pomembnih ukrepov dvig oportunitetnih stroškov napadalcev in kaj lahko pričakujemo v prihodnosti, ko bodo napadalci s polno paro posegli po umetni inteligenci in strojnem učenju? Več o tem in o položaju Slovenije na kibernetskem zemljevidu ter o reformah nam je pojasnil dr. Uroš Svete, direktor Urada Vlade Republike Slovenije za informacijsko varnost.

Kibernetska varnost je vse bolj pomembna, napadi pa so v porastu. Kakšna so vaša opažanja tega trenda v Sloveniji?

Tukaj je Slovenija enaka drugim državam EU. Po nedavnem poročanju SI-CERT (op. a. nacionalni odzivni center za kibernetsko varnost), smo v letu 2022 beležili 30 % porast od leta 2021. Prednjačijo t.i. phishing napadi. Deloma k temu porastu prispeva tudi večja ozaveščenost ljudi, podjetij ter drugih entitet, ki bolj vestno poročajo o kibernetskih incidentih. Predvidevam, da se bo takšen trend nadaljeval. Kibernetska domena pa je postala unikatna in fundamentalna, saj lahko preko nje različni akterji vplivajo na vire moči svojih nasprotnikov pod pragom vojne in z določno mero anonimnosti. Prihodnje desetletje bo desetletje digitalnega, kar pomeni, da bo tudi desetletje kibernetske varnosti. Namreč bolj kot smo digitalizirani, bolj smo izpostavljeni kibernetskim napadom.

Kje vidite največje nevarnosti in kaj lahko tako ustanove kot podjetja naredijo za zaščito?

Za Republiko Slovenijo kot državo največjo nevarnost predstavljajo t.i. APT (advance persistent threats oz. napredne trajne grožnje). Za posameznika ter podjetja pa so to različne oblike phishing ter ransomware napadov. Zoper omenjene nevarnosti bi lahko veliko naredili že z dvigom kibernetske higiene. To pomeni, da z različnimi ukrepi dvignemo oportunitetne stroške napadalcev, ki ne želijo porabiti veliko časa, energije in drugih virov za posamezno tarčo. Ko dvignemo prag, ki ga morajo prestopiti, da pridejo v naše sisteme, jih s tem tudi odvrnemo od tega, saj se bodo raje posvetili lažje dosegljivim tarčam. Najlažje je obrati jabolka, ki so nizko. Prav tako velja izpostaviti nameščanje popravkov, ki mora biti integralni del kibernetske higiene tako posameznikov kot podjetij ter drugih entitet. Pomembna je tudi identifikacija ranljivosti.

Kakšne dejavnosti potekajo na nacionalni ravni?

Od pričetka reforme ustroja kibernetske varnosti v Sloveniji leta 2019 nas vodijo izkušnje prenekaterih držav EU in širše, kakor tudi naše lastne – da sta pri zagotavljanju kibernetske varnosti potrebna centralizirano koordiniranje in enotna kontaktna točka. Tako je Urad neposredno podrejen predsedniku vlade in s tem lažje opravlja koordinacijske naloge prenekaterih akterjev – organov državne uprave, kritične infrastrukture, izvajalcev bistvenih storitev, ponudnikov digitalnih storitev in drugih. Vsem zavezancem po Zakonu o informacijski varnosti nudimo strokovno pomoč zlasti na področju preventive in anticipacije. Preko financiranja in sodelovanja z nacionalnim CERT-om ozaveščamo državljane in druge entitete o pomenu in načinu zagotavljanja večje kibernetske varnosti. Organiziramo vaje, preko katerih testiramo odzivnost in procese zagotavljanja kibernetske varnosti. Spodbujamo raziskave in razvoj na tem področju. Skrbimo za udejanjanje EU zakonodaje v slovenski pravni red ter preko bilateralnih srečanj zagotavljamo izmenjavo informacij z mednarodnimi partnerji. Izvajamo naloge certifikacije in sodelujemo v ustroju sistema nacionalne varnosti Slovenije.

Kaj prinaša oziroma na kaj se osredotoča reforma na tem področju?

Z EU direktivo NIS2 bomo spremenili tudi nekaj slovenskih pravnih dokumentov – Zakon o informacijski varnosti, nekaj njegovih podzakonskih uredb, Nacionalni načrt za odzivanje v primeru kibernetskih incidentov ter Strategijo kibernetske varnosti. V grobem pa bodo novi ukrepi sledili trendom EU in drugim zaveznicam: povečanje ozaveščanja in izobraževanja, povečanje anticipacije napadov ter njihova preventiva in zaznava, povečanje števila entitet, ki bodo morale poročati in zagotavljati določene standarde kibernetske varnosti ter povečanje in pospešitev izmenjave informacij med entitetami, Uradom in državami. Dobra stvar je, da smo že v obstoječem Zakonu veliko tega predvidevali.

Kako imajo to področje urejene druge države in kam se uvršča Slovenija?

Države EU imajo podobne ureditve z majhnimi razlikami. Predvsem umeščenost pristojnega nacionalnega organa v državno strukturo, ki pa mora zagotavljati najvišji nivo horizontalne koordinacije. Nekatere velike države imajo več pristojnih nacionalnih organov, vendar je le en določen za koordinacijo na državni ravni. Vse države imajo tudi CSIRT odzivne kapacitete. Imajo pa različno število le-teh. Nekateri CSIRT so organizirani tudi sektorsko. Slovenija ima primerljivo ureditev.

Kako vidite prihodnost kibernetskih napadov?

Kibernetski napadi bodo v prihodnje še bolj sofisticirani. Verjetno bodo v veliki meri še vedno usmerjeni v zlorabo človeških pomanjkljivosti, s pomočjo katerih bodo nepridipravi poskušali izvesti uspešen kibernetski napad. V tej luči bo veliko vlogo igrala umetna inteligenca. Prav tako velja izpostaviti, da bo vedno več naprav komuniciralo med seboj (machine to machine), kar bo odprlo dodatne ranljivosti.