Sodobni časi in kibernetska varnost

»Odprem naslovnico enega od slovenskih spletnih časopisov in udarna novica se glasi ‘Hekerji napadli Easyjet in pobrali podatke devetih milijonov oseb‘. Pred časom sem tudi sam potoval z Easyjetom, zato me sedaj skrbi, ali so med temi ukradenimi podatki tudi moji. So sedaj naprodaj somalijskim kriminalcem za ustvarjanje lažnih profilov in všečkov na FB in LD, ali se lahko znajdejo v kakšnem sodobnem programu za analizo zemljanov in pripravah na naslednjo pomoč pri volitvah?« se sprašuje Andrej Guštin, vodja projektov uvajanja digitalizacije iz podjetij CREApro in CREAplus.

Stanje s COVID-19 je pokazalo, da je mogoče skoraj celoten ustroj družbe prestaviti v spletni prostor. Skoraj vse deluje, ni se potrebno vsak dan voziti v službo ali na predavanja in iz domačega naslonjača je mogoče upravljati skoraj vse, kar v sodobnem času potrebujemo. Vendar ima ta lahkotnost in udobnost svojo ceno. Ta se kaže v povečanju tveganj, da morebiti naše početje spremlja še kdo in si morda pri tem kakor koli že pomaga. »Se vam je že morda zgodilo, da se je sredi vašega virtualnega sestanka prek programov Zoom, Jitsi ali Teams nekdo vključil za trenutek, morda povedal kak stavek v tujem jeziku, potem pa zapustil srečanje?«, naprej sprašuje Guštin. To je samo vrh ledene gore možnih napak ali zlorab, ki se lahko pripetijo pri uporabi sodobnih digitalnih platform, če ne skrbimo ustrezno za varnost. Število digitalnih zlorab raste in globalno te povzročajo že ogromno gospodarsko škodo.

Kaj je kibernetska varnost?

Kibernetska varnost je pojem, ki opredeljuje sklop metodologij in tehnologij, s katerimi se lahko zaščitimo v smislu preprečevanja digitalnih zlorab in odpravljanja njihovih posledic. V splošnem smislu je opredeljena kot sklop med seboj povezanih elementov in aktivnosti, ki imajo skupen cilj v zagotavljanju visoke ravni varnosti vseh informacijskih in komunikacijskih rešitev, ki so bistvenega pomena za nemoteno in pravilno delovanje samega podjetja v vseh varnostnih razmerah in zagotavljajo bistvene storitve podjetja na področju njegovih ključnih dejavnosti.

Kibernetska varnost je tako sklop aktivnosti in drugih ukrepov, tehničnih in ne-tehničnih, katerih namen je zaščititi računalnike, računalniška omrežja, strojno in programsko opremo ter informacije, ki jih le-ta vsebuje in obravnava, kar vključuje programsko opremo in podatke kot tudi ostale elemente kibernetskega prostora, pred vsemi grožnjami, vključno z grožnjami nacionalni varnosti. Opredeljujemo jo tudi kot raven zaščite, ki jo aktivnosti in ukrepi lahko zagotovijo na področju delovanja in poslovanja podjetja. Nenazadnje je kibernetska varnost tudi neprekinjen proces, ki združuje področja profesionalnih naporov, vključno z raziskavami in razvojem na področju uvajanja in izboljševanja ukrepov ter dvigovanja kakovosti le-teh, z namenom neprestanega dvigovanja ravni zaščite kot tudi neprestanega sledenja in odzivanja na razvoj in napredek potencialnih groženj in zlonamernih aktivnosti.

Temeljna naloga kibernetske varnosti

Guštin poudarja, da je temeljna naloga kibernetske varnosti okrepiti in sistemsko urediti področje zagotavljanja varnosti v podjetju glede na sam evolucijski razvoj podjetja, njegove aktivnosti in področja delovanja ter zrelost notranjega okolja procesov in informacijsko-komunikacijske infrastrukture. Zagotoviti mora varnost zaposlenih, vodstva, partnerjev in deležnikov v ekosistemih v kibernetskem prostoru, pri čemer kot varnost mislimo na najmanj te dimenzije:

• Varnost medsebojnega komuniciranja v notranjih in zunanjih omrežjih med vsemi deležniki.
• Upravljanje z dostopi do občutljivih (npr. osebnih) in tajnih podatkov in virov, s katerimi delamo, razpolagamo, hranimo ali upravljamo.
• Preprečevanje prejemanja, branja, shranjevanja ali posredovanja škodljive programske opreme, ki nam jo lahko zlonamerno nastavijo kot sprožilec nadaljnjih nevarnih korakov zlorab.
• Preprečevanje varnostnih incidentov (odtekanje podatkov, nepooblaščeni dostopi in vstopi v omrežja in naprave) pri izvajanju vsakodnevnih procesov.
• Kibernetska varnost na področju splošne varnosti in zatiranje gospodarskega kibernetskega kriminala (vdorov, virusov, kraj ipd.).
• Varno delovanje in razpoložljivost ključnih informacijsko-komunikacijskih sistemov podjetja ob večjih naravnih in drugih nesrečah, ki lahko prizadenejo ožje ali širše področje (geografsko, procesno, organizacijsko, telekomunikacijsko).
• Neprestano usposabljanje vseh deležnikov ter dvigovanje osveščenosti in kulture upravljanja kibernetskih tveganj na vseh stičnih točkah med ljudmi in tehnologijo.
• Upravljanje z elementi ukrepanja v primeru incidentov, zlorab ali drugih dogodkov, ki nastanejo v primeru napada ter čim hitrejša povrnitev v prvotno stanje s čim manj izgubami.
• Priprava politik upravljanja in delovanja ter notranjih organizacijskih pravil, s katerimi preventivno postavljamo okvirje za pravilno izvajanje vseh procesov v podjetju.

Guštin tukaj dodaja, da se pri varnostnem pregledu procesov v podjetju išče kritične točke – ki so lahko ponekod že sistemske narave in zaradi zgodovine vgrajene v vse pore poslovanja – in se jih vodstvo podjetja običajno niti ne zaveda.

Najpogostejše kritične točke v podjetju so:

• Slabo upravljanje tveganj, nepripravljenost na različne možne scenarije v smislu »nam se to ne more zgoditi«.
• Neizvajanje posodabljanja programske opreme oziroma neizvajanje vzdrževanja strojne opreme, kar lahko pripelje do varnostnih dogodkov (npr. odpovedi delovanja) ali incidentov (npr. vdorov).
• Neopredeljeno ali slabo opredeljeno zaznavanje in ukrepanje v primeru kibernetskih napadov.
• Slaba ali sploh ne izvedena usposabljanja zaposlenih, partnerjev in drugih deležnikov v ekosistemih.
• Puščanje nezaščitenih delov celotnega procesa ali informacijskega okolja (npr. prenosa, vstopa, kopiranja, delovnega terminala ipd.).
• Slabo izvajanje preizkusnih vaj in usposabljanj, kar prinese zamudo pri odzivanju, ko se tveganja udejanjijo in pride do kibernetske grožnje.
• Slabo izmenjevanje informacij med notranjimi deležniki pa tudi med različnimi zunanjimi deležniki, tako o samih grožnjah, tveganjih kot tudi postopkih zaznavanja in odzivanja.
• Neopredeljenost bistvene infrastrukture, rešitev in kritičnih procesov za primer odpovedi delovanja in vzpostavitve načrta neprekinjenega poslovanja.
• Vključitev kibernetske varnosti pod področje informacijske tehnologije (IT), njeno upravljanje in proračun, namesto neodvisne vzpostavitve funkcije upravljanja s kibernetsko varnostjo nadrejeno področju IT.

Kako narediti prvi korak?

»Težko je rešiti vse težave v eni potezi. Če bi moral izbrati eno samo potezo, s katero bi naredili največ koristi za vse deležnike na področju njihove zaščite in upravljanja, potem bi se odločil za uporabo samodejne, z elementi umetne inteligence podprto, nevidno, natančno in tehnološko napredno rešitev, ki bi neopazno skrbela za zaščito podjetja, njegovih procesov in deležnikov v njih skozi različne načine njihove interakcije,« meni Guštin. Ljudi ne moremo spremeniti čez noč, na drugi strani pa so lahko vložki v tehnološke zaščite dragi, zato je optimalna rešitev v t. i. hobotnica načinu zagotavljanja varnosti. Ta združuje proaktivno spremljanje in nadzor informacijske tehnologije v podjetju, preprečuje in odkriva napade ter celovito usklajuje odziv v primeru napada. Takšna rešitev zagotavlja napredno zaščito na končnih točkah, spremlja omrežni promet, proaktivno upravlja ranljivosti in pomaga notranjim odgovornim skrbeti za optimalni kibernetsko varnost.

S pomočjo sodobnih tehnologij je mogoče nenehno samodejno spremljati in analizirati aktivnosti v notranjem zaščitenem okolju, kot so aktivnosti uporabnikov, obnašanje procesov ter omrežni promet, obnašanje naprav in povezanih komunikacijskih sredstev ipd., ter na osnovi spremljave vzorcev obnašanja zagotavlja ciljano zaščito pred nevarnostmi z visoko natančnostjo, skupaj z avtomatiziranimi postopki obvladovanja vseh glavnih smeri napadov. V primeru resnejših napadov pa samodejno aktivira varnostno operativni center (ang. Security operations center – SOC), delujoč 24 ur na dan, ki s svojimi varnostnimi strokovnjaki dopolnjuje varnostno ekipo v podjetju ter zagotavlja odziv na napad, iskanje groženj in obvladovanje tveganj. »Eno takih sodobnih rešitev, ki je tudi preverjena v praksi, predstavlja platforma Cynet 360,« še dodaja Guštin.

Guštin tudi meni, da je področje kibernetske varnosti smiselno dodatno okrepiti z metodami poslovne analize IIBA, s katerimi si lahko pomagamo pri postavitvi konceptov varnosti v podjetjih, identifikacijah tveganj v poslovnih procesih, pripravi kontrolnih funkcij za upravljanje s tveganji ter pripravo predlogov za uvedbo rešitev. Pri pripravi vsebine za smernice je IIBA združila moči z mednarodno organizacijo IEEE in skupaj sta pripravili tudi strokovno podlago in gradivo s potrebnimi znanji, vključno s certifikacijo strokovnjakov.

Bo jutri bolje in varneje?

»Nekoč je nek predsednik vlade rekel, da nam ostane le napor, kri, solze in znoj. Na področju kibernetske varnosti in zagotavljanja nemotenega življenja posameznikov in poslovanja podjetij se nam piše enako,« pravi Guštin. Z napredkom tehnologij se lov mačke na miši nadaljuje. V naslednjih letih se bodo napadi zagotovo osredotočili na pametne naprave, stroje in senzorje, ki bodo vedno bolj zlepili fizični in digitalni svet med napravami in ljudmi. S tem se bo število točk, ki so najbolj ranljive za potencialne napade, drastično povečal in priča bomo obsegu, ki ga za sedaj niti ne poznamo in zmoremo dojeti.

Po nekaterih ocenah bo leta 2025 medsebojno povezanih več kot 75 milijard naprav. Tega obsega človek kljub največjim naporom in znanju ne more več spremljati samostojno. S tem pa se krepi uporaba umetne inteligence za spremljanje, preprečevanje groženj ter napadov in odpravljanje škode po le teh. »Nad stroj s strojem, nad pametne stroje s še bolj pametnimi stroji. Verjetno bo žal res tako,« zaključuje Guštin.