Kibernetska varnost je v rokah vodstva
Živimo v svetu, kjer skoraj ne mine dan, da ne bi izvedeli za nov kibernetski vdor, kriptiranje podatkov podjetja, krajo kritičnih poslovnih podatkov ali okužbo osebnih in poslovnih naprav z novim tipom škodljive kode, za katero do tega trenutka nihče na svetu sploh ni vedel, da obstaja. Kako resna je nevarnost kibernetskih napadov, nam pove tudi to, da je ameriška vlada konec lanskega leta razpisala enako nagrado za informacijo o vodjih organiziranih kriminalnih združb, ki se ukvarjajo s kibernetskim kriminalom, kot za najbolj iskane teroriste – 10 milijonov ameriških dolarjev.
Samo v zadnjem letu sta se zgodila resen kibernetski napad na največjo slovensko komercialno televizijo ter vdor v enega največjih svetovnih razvijalcev orodij za upravljanje IT okolij Kaseya. Prišlo je do napadov na največji ameriški naftovod Colonial ter največjega brazilskega dobavitelja govejega in svinjskega mesa JBS. Pozabiti ne smemo niti na
Primerjava tipov kibernetskih napadov med letoma 2009 in 2020 kaže, da se tipi napadov v zadnjih 10-ih letih niso bistveno spremenili, bistveno pa se je povečal poudarek na zlorabi »mehke« komponente, torej ljudi – izobrazba vodstva in zaposlenih glede kibernetskih tveganj je zato kritična.
kritične napake v programski opremi organizacij Microsoft ter Apache Foundation, kateri sta prizadeli tisoče podjetij in organizacij po celem svetu, ne glede na branžo ali velikost.
Primerjava kibernetskih napadov med letoma 2009 in 2020 kaže, da se tipi napadov v zadnjih 10-ih letih niso bistveno spremenili, se je pa povečal poudarek na zlorabi »mehke« komponente, torej ljudi – izobrazba vodstva in zaposlenih glede kibernetskih tveganj je zato kritična.
Pripravljeni na kibernetske grožnje
Uprava podjetja in izvršna ekipa morata biti usklajeni glede tveganj, povezanih s kibernetskimi grožnjami. Uprava je odgovorna, da ima izvršna ekipa načrt pripravljenosti na morebitni napad:
· Kdaj bo do napada prišlo?
· Ali je organizacija pripravljena zaznati napad?
· Ali je organizacija pripravljena ustaviti napad?
· Ali je možno ublažiti učinke napada in se čim prej vrniti v normalno delovanje organizacije?
Stojan Rančić je IT-arhitekt v podjetju NIL.
Odgovornost za kibernetsko varnost in tveganja ni le na strani vodij IT-oddelka, ampak se jo mora zavedati vodstvo podjetja:
– Direktorji morajo razumeti pravne posledice kibernetskih tveganj, saj so neposredno povezana z delovanjem podjetja.
– Direktorji morajo pristopiti h kibernetski varnosti kot k strateškemu tveganju podjetja, ne le kot tveganju k IT-okolja.
– Direktorji morajo pričakovati, da bo vodstvo vzpostavilo okvir za upravljanje kibernetskih tveganj za podjetje z ustreznim kadrom in proračunom.
– Upravni odbori morajo imeti dostop do strokovnega znanja o kibernetski varnosti, razpravam o obvladovanju kibernetskih tveganj pa je treba na rednih sestankih nameniti čas.
– Razprave uprave o kibernetskem tveganju morajo vključevati identifikacijo in oceno finančne izpostavljenosti kibernetskim tveganjem in tveganja, ki jih je treba sprejeti, ublažiti ali prenesti, na primer prek zavarovanja, kot tudi podrobne načrte, povezane z vsakim pristopom znižanja tveganj.
Proračun za kibernetsko varnost: vlagajte tja, kjer ste najbolj ranljivi
Številna podjetja in organizacije napačno predpostavljajo, da jih verjetno ne bodo napadli. Posledično menijo, da lahko varno zmanjšajo proračun za kibernetsko varnost. Vendar napadi lahko zadenejo katerokoli podjetje kadarkoli. Pogosto so naključni in avtomatizirani. Če organizacije uporabljajo
Številna podjetja in organizacije napačno predpostavljajo, da jih verjetno ne bodo napadli. Posledično menijo, da lahko varno zmanjšajo proračun za kibernetsko varnost.
določeno programsko ali strojno opremo in ima ta oprema pred tem neznano varnostno ranljivost, jih lahko napadejo.
Ena največjih napak vodij podjetij je, da enakomerno razporedijo sredstva na vsa področja kibernetske varnosti. Tako bodo podjetja premalo vlagala na področja, ki predstavljajo največje tveganje, in preveč vlagala na področja, ki so manj tvegana. V nekaterih organizacijah je tako lahko varnost dobavne verige in njene osnovne operativne tehnologije bistveno bolj kritična za poslovne operacije kot varnost prizadevanj za selitev v oblak.
Osnovne naloge kibernetske varnosti · Posodobite operacijski sistem in programsko opremo računalnikov in mobilnih naprav. · Izvedite usposabljanje uporabnikov, da povečate ozaveščenost o tveganju sumljivih povezav in prilog. · Naredite varnostno kopijo svojih podatkov, po možnosti izven okolja podjetja. · Uporabite več-faktorsko overjanje (MFA). · Zagotovite neprestano spremljanje, zaznavo in odzivanje na kibernetske incidente.
Obvladovanje kibernetskih tveganj
Vodstvo podjetja se mora pri kibernetski varnosti v veliki meri ukvarjati z identifikacijo, obvladovanjem ali prenosom tveganj. Slednje predstavlja odlično izhodišče pri oblikovanju smernic smotrnih investicij v različne vidike kibernetske varnosti.
Skupaj z zunanjimi strokovnjaki lahko opravite
Ena največjih napak vodij podjetij je, da enakomerno razporedijo sredstva na vsa področja kibernetske varnosti. Tako bodo podjetja premalo vlagala na področja, ki predstavljajo največje tveganje, in preveč vlagala na področja, ki so manj tvegana.
analizo kibernetske varnosti vašega podjetja na način, kjer na delavnici v sodelovanju z vašimi zaposlenimi izvedete analizo varnostnih kontrol v vašem okolju. Zaključno poročilo vam lahko služi kot izhodišče načrtovanja kibernetske varnosti v vašem okolju, kot primerjava s predhodnim stanjem ali kot zagotovilo, da je vaše podjetje pripravljeno na najhujše.
Milan Gabor, direktor družbe Viris, certificirani etičnih heker
Lahko rečemo, da so podjetja iz nekaterih dejavnosti bolje pripravljena na morebitne kibernetske napade kot druga. Finančni sektor je recimo nad povprečjem, saj morajo izvajati redne preglede, druge dejavnosti pa kibernetsko varnost mogoče malce zanemarjajo. Samo do takrat, ko se incident zgodi. Zato pogosto rečem, da incidenti žal poganjajo investicije v kibernetsko varnost. Obstajajo priporočila, katera področja je treba pokriti, da bodo podjetja pripravljena, se pa vektorji napadov spreminjajo, zato se je tudi na tem področju potrebno prilagajati.
Glede na aktualne napade lahko rečemo, da je trenutno najpomembnejši dejavnik pri prepričevanju najhujšega ob morebitnem napadu primerno zastavljen, ustrezno konfiguriran in redno preverjan digitalni arhiv varnostnih kopij.
Miha Pihler, Kompas Xnet
Podjetja niso dovolj dobro pripravljena na morebitne kibernetske napade, a obstajajo tudi izjeme. Pogosto so to podjetja, ki so v preteklosti že imela izkušnje z napadi in zato več investirajo v varovanje svojega informacijskega okolja.
Popolne zaščite v delujočem okolju ni mogoče doseči. Se pa lahko dobro zaščiti ključne podatke, informacije in druge vire.
Najpomembnejši za zaščito okolja so osnovni koraki:
· na ravni mreže so to sodobni požarni zidovi in segmentacija omrežja;
· na ravni delovnih postaj so pomembni sodobni operacijski sistemi, nameščeni popravki za operacijske sisteme in aplikacije, ki so na računalniku nameščene, sodobna in posodobljena protivirusna zaščita (Endpoint detection and response (EDR)).
To so zares najbolj osnovni koraki oz. neke vrste ‘higienski minimum’.
Robi Vončina, Kompas Xnet
Kljub vsej tehnologiji, ki je danes na voljo, podjetja še vedno nismo dovolj dobro pripravljena na kibernetske napade. Težava pogosto nastane zaradi že skoraj pozabljenega servisa ali strežnika, ki tako predstavlja najšibkejši člen v verigi in se ga zlahka izkoristi za vstopno točko v omrežje.
Za preprečevanje tovrstnih napadov je nujno, ob dobri in posodobljeni programski opremi, izobraziti tudi zaposlene. Nič kaj dosti nam ne pomaga najsodobnejša tehnologija, če so gesla uporabnikov nalepljena na okenski polici ali pod tipkovnico, in nič kaj dosti ne moremo narediti, če uporabniki zaupne informacije nosijo naokrog nezaščitene, na mobilnih napravah.
Jože Markič, Kompas Xnet
Priprava (avtomatizacija) okolja je ključna za obrambo ob morebitnem kibernetskem napadu:
– vzpostavitev minimalne ‘varnostno optimizirane’ konfiguracije (pravice, požarni zidovi, posodobljena programska oprema/strežniki/klienti …);
– proaktivno spremljanje delovanja okolja;
– zgodnje zaznavanje napak in odstopanj od normalnega delovanja (tudi aktivnosti uporabnikov);
– samodejno obveščanje o sumljivih aktivnostih/dogodkih;
– poznavanje postopkov v primeru, ko pride do poskusa in/ali uspešnega napada.