Varnost sestavljajo ljudje, procesi in tehnologija

Veriga je močna le toliko, kolikor je močan njen najšibkejši člen. Rony Plevnik, direktor poslovnih rešitev v družbi Unistar PRO, nam je zaupal, da povsem isto velja na področju informacijske varnosti. A podjetja, »karikirano«, pogosteje zamenjajo vse druge dele koles(j)a kot verigo.

S kakšnimi varnostnimi izzivi ste se največ ukvarjali v preteklem letu? Bo letos kaj drugače?

Tržišče upravljanja IT-varnosti in skladnosti je že dlje časa v porastu. Ugotavljamo, da se stranke vse premalo zavedajo različnih okoliščin, ki predstavljajo varnostne izzive, oziroma teh okoliščin sistematično ne opredeljujejo in vrednotijo kot potencialna tveganja. Na trgu zato močno odmevajo le medijsko izpostavljeni varnostni dogodki, posledično smo v preteklem letu tudi v našem podjetju večino energije usmerjali v izvajanje varnostnih pregledov, identifikacijo ranljivosti in predlaganje ukrepov za večjo zaščito informacijskih sistemov ter z njimi povezanih podatkov in informacij.

Veseli nas, da se v zadnjem letu opazno povečuje ozaveščenost, da informacijska varnost ne pomeni le zaščite informacijskih sistemov in uporabe ustreznih IT-tehnologij, pač pa tudi ustrezno politiko in upravljanje, primerne delovne procese ter usposobljeno osebje. Področje informacijske varnosti in skladnosti je namreč obsežno in kompleksno, zato je nadvse pomembno, da organizacije uvodoma opredelijo in ustrezno ovrednotijo vsa poslovna tveganja in nato sprejmejo ustrezne ukrepe za zaščito. Pristop do informacijske varnosti in skladnosti, ki je bil do sedaj značilen predvsem za finančne ustanove, je v zadnjem času opazen tudi pri drugih podjetjih, posebej tistih, ki so zavezana k izpolnjevanju formalnih pogojev prihajajočih direktiv NIS in GDPR. Seveda pa je tak, celovit pristop do upravljanja informacijske varnosti in skladnosti na dolgi rok tudi najbolj racionalen in stroškovno učinkovit.

Je moč napade preprečiti, še preden se zgodijo?

Ločimo več vrst napadalcev. Tiste, ki napadajo vsepovprek, povprečne napadalce, ki so ciljno usmerjeni ter napadalce, ki so sponzorirani s strani velikih organizacij ali vlad. Slednji imajo na voljo več virov, kot jih imamo mi na voljo za zaznavanje in preprečevanje napadov, zato je iluzorno meniti, da se lahko ubranimo pred njihovimi napadi. Lahko pa se branimo pred ostalimi napadi. Z ustrezno obrambo, ki vključuje požarne pregrade naslednje generacije, napredne sisteme za zaznavanje groženj, protivirusne sisteme, sisteme za zaznavo in preprečevanje vdorov in ostala varnostna orodja, lahko večino napadov preprečimo. Seveda ni dovolj, da orodja nabavimo. Ključno je ustrezno upravljanje orodij, tu pa potrebujemo ustrezne kompetence. Izjemno pomembno je, da se znamo na napade ustrezno odzvati, torej ustrezno obvladovati posledice napadov. Ustrezna usposobljenost kadrov, ki delujejo kot ekipa za odzive na zaznane kibernetske napade, lahko posledice uspešno izvedenih napadov omeji na sprejemljiv nivo.

Kako naj se podjetja sploh zaščitijo, če so napadalci tako zelo spretni in motivirani?

Večino napadov, ki niso tehnično kompleksni, lahko preprečimo z ustreznim obvladovanjem kibernetske varnosti. Splošno mnenje, da so napadalci zelo spretni in motivirani, ni povsem natančno. Večina današnjih napadalcev ima zelo povprečne sposobnosti. Te napadalce z ustreznim sistemom kibernetske varnosti lahko zaustavimo. Za ostale napadalce pa mora podjetje organizirati ekipo, ki jo zbere v varnostno-operativnem centru. Naloge te ekipe so neprestano spremljanje, preverjanje, poročanje in odziv na varnostne incidente.

Kje so po vašem mnenju slovenska podjetja z vidika informacijske varnosti najšibkejša in kje so varnostna tveganja najvišja?

Največja pomanjkljivost večine slovenskih podjetij je prepričanje, da je informacijska varnost domena IT-oddelka. Naslednja velika težava je v tem, da si organizacije in deli organizacij različno razlagajo pojme. Kaj je informacijska varnost? Varnost informacij, ne glede na to, v kakšni obliki nastopajo, varnost podatkov v elektronski obliki, varnost komunikacij, kibernetska varnost? Najprej mora organizacija natančno določiti, kaj ji informacijska varnost pomeni. Nadalje mora informacijsko varnost uskladiti s poslovno strategijo in sprejeti ustrezne ukrepe. V tem trenutku podjetja navadno ugotovijo, da na slovenskem tržišču ni dovolj strokovno usposobljenega kadra za izvajanje nalog informacijske varnosti, zato na žalost prepogosto pristopijo k nakupu drage opreme, ki naj bi zagotovila ustrezen nivo varnosti. Varnostnih tveganj se na ta način ne da reševati. Varnost sestavljajo ljudje, procesi in tehnologija. Če nimamo usklajenih vseh treh dejavnikov, ne bomo uspešni pri varovanju informacij, še slabše, več kot bodo organizacije investirale v drago opremo, večji lažen občutek varnosti bodo imele.

Največja varnostna tveganja pa še vedno, tako v Sloveniji kot drugod, predstavljajo uporabniki. Zato je nenehno ozaveščanje in izobraževanje vseh uporabnikov informacijske infrastrukture najpomembnejši korak pri zagotavljanju informacijske varnosti.

Kaj lahko za svojo varnost naredijo sama in kaj je priporočljivo zaupati varnostnim specialistom?

Vzpostavljanje kakršnih koli specialističnih kompetenc, ki niso neposredno povezane z osnovno dejavnostjo podjetja, navadno predstavlja težavo. Kadar je govora o specializiranih virih in zmogljivostih na dinamičnih in hitro spreminjajočih se področjih, je izziv še toliko večji. Dodaten izziv predstavljajo okolja, kjer je pojem zaupnosti informacij prevladujoč, na primer v zdravstvu ali pri nacionalni varnosti.

Največ lahko podjetja sama naredijo na področjih, ki so medsebojno komplementarna in kjer podjetja že imajo dedicirane vire. Tu je dopolnitev obstoječih kompetenc s področij varnosti in skladnosti do neke mere smiselna. Tako področje je upravljanje skladnosti, ki ga večje organizacije že imajo zavoljo drugih vsebinskih področij ali dobrih praks, npr. upravljanja kakovosti. Področje same informacijske varnosti je zaradi svoje kompleksnosti in s tem povezanimi stroški orodij ter osebja verjetno bolje prepustiti zunanjim strokovnjakom, ki nudijo različne varnostne storitve, kot so skrb za varnost IT-okolja, varnostni pregledi, penetracijski testi id.

Je varnostni pregled draga stvar? Tisti, ki ga naročajo – pa še tem podjetjem to na(d)logo pogosto nalaga regulativa, ga najpogosteje naročajo le enkrat letno. Je to ustrezna frekvenca?

Najprej je treba določiti, kaj je varnostni pregled. Veliko organizacij ne ve, kaj pomeni varnostni pregled, katere vrste varnostnih pregledov se izvajajo, kateri so primerni za določene organizacije in podobno. Unistar je aktiven član Sekcije za kibernetsko varnost pri Gospodarski zbornici Slovenije (SeKV). Ena od nalog SeKV je podajanje informacij o načinih varovanja informacijskih sistemov. Orgnaizacije ozaveščamo o tem kakšne varnostne preglede izvajati, kdo naj jih izvaja in kaj morajo pričakovati od rezultatov pregleda.

Letni zunanji pregled varnosti v različnem obsegu je dovolj za zagotavljanje ustreznega nivoja varnosti, seveda pa ta pregled ne more nadomestiti nenehnega notranjega obvladovanja varnosti. Kar pa zadeva strošek varnostnih pregledov, moramo razmisliti, koliko škode nam lahko povzroči napad, ki bi ga lahko z ustreznimi varnostnimi ukrepi preprečili oziroma zajezili njegove posledice.

Kaj pa penetracijski testi, so ti cenejša in še vedno učinkovita rešitev?

Penetracijski testi so vrsta varnostnih pregledov. Samo penetracijsko testiranje nam nikoli ne bo učinkovito reševalo varnostnih izzivov, so pa zelo pomemben del varnostnih pregledov. Vsekakor naj se organizacije pred odločitvijo za izvedbo varnostnih pregledov, če nimajo dovolj notranjih kompetenc, posvetujejo z neodvisnim svetovalcem.

Menite, da selitev IT-rešitev v računalniški oblak prispeva k boljši informacijski varnosti?

Z vidika upravljanja informacijske varnosti je za večino organizacij selitev v računalniški oblak smiselna in racionalna odločitev. Resni ponudniki oblačnih storitev imajo na področju informacijske varnosti in skladnosti vzpostavljene ustrezne mehanizme, znanja in kompetence – so zavezani standardom in ravni kakovosti. V tem so lahko boljši in bolj učinkoviti, saj je vsa njihova infrastruktura konsolidirana, kar bistveno poenostavi samo upravljanje – obenem pa se celoten strošek zagotavljanja informacijske varnosti proporcionalno razporedi med več naročnikov in s tem ustrezno zniža. Tudi sicer za oblačne sisteme velja, da so zaščiteni z bolj kompleksnimi šifrirnimi algoritmi, ki navadno zahtevajo veliko več truda, znanja in posebno uporabo specifičnih forenzičnih orodij, s čimer nedvomno zagotavljajo višjo raven informacijske varnosti in skladnosti, kot bi jo naročnik imel v svojem lokalnem okolju.

Unistar je kupil varnostnega specialista Astec, rezultat integracije pa je nov varnostno-operativni center. Menite, da je ta s svojimi storitvami na področju IT-varnosti prava rešitev za večino slovenskih podjetij?

Unistar je s pripojitvijo podjetja Astec ogromno pridobil tako na področju izboljšanja zunanje podobe, kot tudi poslovanja in nenazadnje vrste internih aktivnosti. Kombinacija obstoječih kompetenc na področjih upravljanja komunikacij, storitev in sistemov ter specializiranih znanj, ki smo jih pridobili s kolegi iz Asteca, nam je omogočila, da imamo danes eno največjih in najbolj kompetentnih skupin varnostnih strokovnjakov v Sloveniji. To nam omogoča, da področje varnosti nagovarjamo kot celoto in na več različnih vsebinskih ali tehničnih področjih. Rezultat tega je tudi omenjeni varnostno-operativni center, kjer si želimo področje zagotavljanja informacijske varnosti dopolnjevati s področjem zagotavljanja operativnosti in podpore – to pa je dejansko področje, kjer je podjetje Unistar že dalj časa močno uveljavljeno.

Informacijska varnost je področje, ki bi ga veljalo sistemsko bolje urediti. Katere spremembe bi vi opravili/uveljavili najprej?

V tem trenutku se na podlagi Splošne uredbe o varstvu podatkov (GDPR) ter Direktive o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v EU (direktiva NIS) sistemsko ureja področje varovanja informacij. Slovenija je februarja lani sprejela Strategijo kibernetske varnosti. Veseli me, da se v GDPR in NIS govori v širši javnosti, kar nazorno kaže na to, da državljane zanima ureditev področja informacijske varnosti in zasebnosti. Za uspešno izvajanje sistemskih ureditev bomo potrebovali ustrezno usposobljene strokovnjake. Najprej bi morali ustrezno spremeniti izobraževalni del. Slaba stran Slovenije je vsekakor podatek, da v tem trenutku le ena domača fakulteta izobražuje strokovnjake za področje informacijske varnosti, teh strokovnjakov pa bomo v prihodnjih letih potrebovali bistveno več. Sama sistemska ureditev brez ustreznih kompetenc nam ne bo prav veliko pomagala. To opažajo tudi organizacije, ki poskušajo rekrutirati kadre s specializiranimi znanji informacijske varnosti. Danes se večina organizacij zato odloča za upravljane storitve, ali pa, na žalost, kot sem že omenil, za tehnične rešitve.

Omenili ste prenovljeno in precej strožjo evropsko uredbo GDPR, ki stopi v veljavo prihodnje leto. Danes imajo podjetja podatke o strankah in uporabnikih razpršene praktično povsod – najdemo jih lahko praktično na vsaki napravi v podjetju. Kako bodo uredila to področje, kazni so namreč izjemno visoke?

Razlika med ZVOP-1 in GDPR je v maksimalni višini kazni, a direktiva sama predvideva visoke kazni za globalne ponudnike. Prepričan sem, da bomo v naši zakonodaji ustrezno določili višino kazni. Večja težava je dejstvo, da naše organizacije še vedno ne vedo, kje vse hranijo osebne podatke, kje jih obdelujejo in kam jih posredujejo. Omenjene stvari je urejal že ZVOP-1. GDPR je dobra priložnost, da organizacije preverijo, kje se nahajajo osebni podatki, katere dejansko potrebujejo za namene opravljanja svoje dejavnosti in jih posledično ustrezno omejiti ter zavarovati. Tudi na tem področju podjetja posegajo po čarobnih rešitvah, kjer s tehnologijo rešijo vse zahteve po skladnosti. Na žalost nobena tehnologija ne pomaga. Vsako učinkovito in uspešno upravljanje osebnih podatkov in zagotavljanje skladnosti se začne z ustreznimi kompetencami in procesi. Tehnične rešitve so le pomoč pri izvajanju in avtomatizaciji aktivnosti,

ki zagotavljajo skladnost.

Strožje bo tudi poročanje in obveščanje javnosti in drugih organov glede tega, da so bila podjetja in podatki žrtev napada/zlorabe. Menite, da bo regulativa ostala le na papirju in bodo podjetja v praksi še vedno marsikaj pometla pod preprogo, saj se pretežno še vedno bojijo predvsem za svoj ugled in stranke?

Srčno upam, da bo v Sloveniji prevladalo prepričanje, da je organizacija, ki je odkrila varnostni incident, posledice ustrezno omejila ter svoj sistem posodobila na način, ki zagotavlja višanje nivoja varnosti, pridobila na ugledu, saj s tem sporoča, da se je česa naučila in bo zato varnejša od tistih, ki tiščijo glavo v pesek.

Kako naj lastniki oziroma upravljavci spletnih strani in trgovin, ki nimajo na voljo ogromnih sredstev, še vedno učinkovito uredijo svoje poslovanje – da bo skladno tako z regulativo kot varnostnimi priporočili?

Ne vem, zakaj obstaja prepričanje, da je zagotavljanje skladnosti zelo draga zadeva. Če vzpostavimo ustrezne procese in imamo ustrezno ozaveščene in usposobljene uporabnike, lahko prihranimo marsikateri evro, ki bi ga namenili tehnološkim rešitvam.

Kako sami dojemate dejstvo, da v imenu državljanske varnosti vlade same in pod »pretvezo« nadzora vohunijo za svojimi državljani, zlasti na spletu?

Težnja po »obvladovanju« prebivalcev je najbrž stara toliko kot prve države oziroma skupnosti. Res pa je, da pospešen razvoj informacijske družbe ter odvisnost od različnih informacij ter naprav kar kličejo po zlorabi teh informacij, tudi s strani vlad. V pretežni meri smo si za zlorabe krivi sami, saj se vse premalo zavedamo potencialnih nevarnosti in – predvsem na spletu – popolnoma nekritično delimo informacije, ki bi po vseh kriterijih nekoč veljale za zasebne. Naraščajoče število različnih digitalnih naprav, ki jih posameznik danes uporablja, pomeni tudi naraščajoče število informacij, ki jih posameznik (vede ali nevede) deli na spletu. Vse to seveda pomeni tudi večjo možnost različnih zlorab.

Smo sploh še kje varni?

Popolne varnosti verjetno ne moremo pričakovati, lahko pa s svojim vedenjem, ozaveščenostjo in pristopom bistveno zmanjšamo možnosti za zlorabo in s tem dvignemo raven informacijske varnosti – tako v zasebnem, kot tudi poslovnem okolju.