Kako ocenjujete varnostno kondicijo slovenskih podjetij?
V preteklosti, še v vlogi sistemskega administratorja, sem bil tudi sam mnenja, da imam vse pod nadzorom in da je obstoječa zaščita IT-okolja podjetja zadostna. Pa sem imel opravka s povprečnim IT-okoljem, kjer je varnost temeljila le na redno posodabljani protivirusni zaščiti delovnih postaj in požarni pregradi. To še danes predstavlja varnostno shemo povprečnega slovenskega podjetja, ki pa je daleč od varnega.
Elektronsko poslovanje in odpiranje podjetij navzven, npr. omogočanje dela na daljavo, zahtevajo občuten dvig varnostne letvice in vpeljavo več naprednih rešitev. Podjetja, ki jim je še kako mar za lastno kibernetsko varnost, napadalce v svojih sistemih in omrežjih stalno aktivno iščejo in ne le čakajo, da gre kaj narobe.
Mar gredo stvari na bolje?
Zadnja leta se stanje na področju informacijske varnosti v podjetjih in državi nasploh izboljšuje. Vzpostavlja se nekakšen varnostni higienski minimum, predvsem na račun vse pogostejšega ozaveščanja splošne in poslovne javnosti glede kibernetskih groženj in njihovih posledic. A se pojavljajo vedno nove težave. Pandemija korona virusa je prisilila podjetja, da praktično čez noč omogočijo delo na daljavo, v bistveno slabše digitalno varovanih okoljih gospodinjstev, kar je poskrbelo za veliko novih varnostnih lukenj in ranljivosti.
Veste, z vidika informatika oziroma zagotavljanja kibernetske varnosti je praktično vsak zaposleni, ki dela na daljavo, obravnavan kot podružnica podjetja, sploh če ima dostop do za poslovanje kritičnih sistemov, aplikacij in podatkov. Če se napadalec polasti poverilnic takšnega uporabnika, prevzame nadzor nad njegovim računalnikom ali »prisluškuje njegovi liniji«, pridobi dostop do digitalnih virov podjetja, kar nato pogosto izkoristi za krajo podatkov ali pa večji napad na podjetje.
Kaj podjetja z vidika kibernetske zaščite (najpogosteje) delajo prav in kaj narobe?
Delo etičnega hekerja mi je dalo drugo dimenzijo pogleda na kibernetsko varnost slovenskih podjetij. Odgovor na vprašanje, kaj delajo narobe, je enostaven in velikokrat celo enak. Razmišljajo, da se jim kibernetski napad ne more primeriti. »To se nam ne bo zgodilo,« je floskula, ki jo varnostni strokovnjaki pogosto slišimo, ampak dokler podjetij ne postavimo na realna tla in kot nevtralni strokovnjaki pregledamo in ocenimo nivo varnosti in zaščite, se podjetja niti (približno) ne zavedajo, koliko varnostnih lukenj imajo.
V podjetjih je v rabi še veliko stare opreme (beri: ranljive), premalo je poudarka na pravicah uporabnikov – neredko lahko večina zaposlenih dostopa do vseh digitalnih virov podjetja. To seveda ni dobra varnostna praksa. Prostora za izboljšave je ogromno.
Je to največja težava?
Pravzaprav ni. Za največjo težavo bi sam označil manko rednega ozaveščanja in izobraževanja – tako zaposlenih kot tudi uprav in skrbnikov IT. Zavedati se moramo, da 100 % varnosti ni in da smo vsi ranljivi. Lahko le poskrbimo za to, da imamo ustrezno oblikovane in vpeljane varnostne politike ter določene postopke odzivanja na varnostne incidente. Eden ključnih dejavnikov, ki vpliva na slabo varnostno kondicijo slovenskih podjetij, je finančni vložek, ki ga terja vzpostavitev ustreznih varnostnih mehanizmov. Velikokrat se vodilni kadri odločijo sprejeti tveganje in poslovati brez ustrezne zaščite, kar podjetje v primeru napada lahko stane še bistveno več, kot pa naložba v napredno zaščito.
Je najšibkejši člen varnostne verige človek ali tehnologija?
Oboje. Tehnologija je tista, katere ranljivosti napadalci izkoristijo za izvedbo napada. Ranljivi pa smo tudi ljudje – napadalci pogosto z najrazličnejšimi tehnikami prepričajo zaposlene, da storijo nekaj, kar ne bi smeli – postanejo žrtev prevare. Recept za kakovostno digitalno obrambo je jasen: uvedba naprednih varnostnih tehnologij in rešitev že sama po sebi poskrbi, da uporabnik skorajda nima možnosti, da naredi grobo napako.
Če na to dodamo še redna izobraževanja in preverjanja zmožnosti digitalne obrambe podjetij, pa že pridemo do stanja, ko tudi morebitni kibernetski napad na podjetje ne more povzročiti večje škode – saj se IT-okolje in uporabniki nanj takoj ter pravilno odzovejo in minimirajo potencialno škodo. Za podjetja, ki imajo opravka z veliko kritičnimi podatki ali infrastrukturo, pa je zelo priporočljiva tudi postavitev namenskega oddelka, t. i. varnostno-operativnega centra oziroma najemanje teh varnostnih storitev na trgu.
Kakšna je vloga operativno-nadzornega centra? Kaj rešuje?
V A1 Slovenija varnostno operativni center A1OPS skrbi za varnost poslovanja družbe in kibernetsko varnost poslovnih partnerjev. Ponujamo namreč storitev kibernetske varnosti na ključ, kar pomeni, da v prvi fazi svetujemo partnerjem, kaj potrebujejo za ustrezno digitalno obrambo, potem pa skupaj poiščemo rešitve, s katerimi jim zagotovimo najvišji možni nivo varnosti informacijskega okolja. Po vzpostavitvi varnostnih sistemov proaktivno spremljamo delovanje IT-okolja, ukrepamo ob incidentih in podamo priporočila za nadaljnje izboljšave na področju varnosti. Podjetjem, ki sumijo ali že vedo, da so žrtev škodljive programske kode ali hekerskega napada, nudimo tudi storitve odzivanja na varnostne incidente, v okviru katerih opravimo forenzično analizo in poskrbimo za zajezitev napada.
Kako lahko podjetja omenjene varnostne storitve integrirajo v lastno poslovanje? Kje naj začno?
V bistvu je zelo enostavno. Predlagam temeljit varnostni pregled IT-okolja, varnostnih politik in praks, s katerim se preveri raven varnosti podjetja, nato pa varnostni strokovnjaki podamo priporočila glede varovanja IT-okolja. V kolikor se podjetje odloči, da bo del kibernetske zaščite preneslo na zunanjega specializiranega ponudnika, se s podjetjem dogovorimo o segmentih, za katere bomo skrbeli.
So storitve zunanjega varnostno-operativnega centra za podjetje potem »potuha«, češ, bodo že »oni« poskrbeli za varnost?
A1OPS se integrira v okolje naročnika in dela skupaj z IT-ekipo podjetja kot celota. Zelo pomembno je, da se oddelek IT podjetja odzove na vsa varnostna priporočila, saj lahko le na ta način storitev kibernetske zaščite deluje in preprečuje napade in odtekanje podatkov. Varnostnih groženj nikoli ne gre niti podcenjevati, niti ignorirati.
Kakšne pa so omejitve varnostno-operativnega centra – kaj bi se zgodilo, če bi napadalci hkrati napadli vas in še stranko, ali pa dve in več strank?
Tudi takšne izkušnje že imamo. Dva izmed naših naročnikov sta istočasno doživela hekerski napad. V bistvu A1OPS, ki podrobno spremlja dogajanje v kibernetski krajini, že zelo zgodaj zazna napade z novimi škodljivimi kodami, zato podjetja tudi opozarja na potencialno nevarnost in jim svetuje glede ustrezne zaščite.
Tudi omenjena napada smo kaj hitro zajezili prav na račun spremljanja razvoja digitalnih groženj in dejstva, da smo v podjetjih vzpostavili jasen proces odzivanja na varnostne incidente – varnostni strokovnjaki, IT-osebje v podjetjih in zaposleni so se na napad ustrezno odzvali, s čimer smo preprečili najhujši scenarij za poslovanje podjetja. Med podrobno analizo napada, ki je sledila, smo našli tudi vse elemente, ki so jih napadalci uporabljali za prenašanje zlonamernih datotek ter poskus kraje podatkov ter jih odstranili.
Verjetno se tudi VOC-i med seboj razlikujejo? Kaj naredi dober varnostno operativno center, na kaj biti pozorni pri izbiri?
Ja, različne procedure so, različni načini implementacije, odziva na incidente itd. Pri varnostno operativnem centru morajo stranke biti pozorne na strokovnost kadra, ki jim bo skrbel za najpomembnejši del informacijskega sistema. VOC bi moral imeti tudi ekipo, ki bi se odzvala na incident in skupaj z IT oddelkom reagirala v kolikor pride do udora v okolje podjetja. Ekipa bi morala biti na voljo 24/7, ker nikoli ne vemo kdaj bomo tarča napada.
Avtor: Miran Varga. |