Evropski izdelki bodo že v kratkem varnejši

Kibernetska varnost je v zadnjem času eden od glavnih stebrov vsake organizacije, ne glede na velikost, področje delovanja, javne ali zasebne. Digitalni svet postaja vse bolj kompleksen, uvajajo se nove tehnologije in posledično prihaja do vse večjih kibernetskih napadov. Ukrepi za zagotavljanje kibernetske varnosti bi utegnili postati tudi del standardov, ki jih obsega certificiranje za oznako CE.

Število kibernetskih napadov, vdorov, kraje podatkov in drugih nevarnosti digitalnega sveta se povečuje, hkrati pa se povečujejo tudi stroški odprave njihovih posledic. Varnostni incident, prijavljen na nacionalni odzivni center za kibernetsko varnost (SI‑Cert), je lani prizadeto podjetje v povprečju stal okoli 150.000 evrov. Ti stroški varnostnih incidentov v zadnjih letih ne rastejo linearno, ampak eksponentno.

»Regulativa (NIS-2, DORA, CSA, CRA) podpira visoko postavljene cilje EU, a z zornega kota varnostnih strokovnjakov pokriva osnovne zahteve po kibernetski varnosti. Podatki kažejo, da kljub dosedanjim prizadevanjem podjetjem in državam še ni uspelo doseči pravega učinka ter omejiti oziroma umiriti število napadov. Več kot očitno je, da sodobna podjetja potrebujejo proaktivno skrb za informacijsko varnost,« je potrebo po aktivnejši obrambni drži komentiral Jože Novak, vodja oddelka kibernetske varnosti in pomočnik direktorja Slovenskega instituta za kakovost in meroslovje (SIQ) ter dodal: »Ljudje in podjetja se ponavadi vedejo reaktivno. Največkrat se odzovejo šele po napadu oziroma varnostnem incidentu. Pri zagotavljanju kibernetske in informacijske varnosti je treba delovati proaktivno.«

Utemeljene naložbe v kibernetsko varnost

Sogovornik zato zagovarja sistemski pristop: »Če se postavimo v vlogo podjetja – ne glede na velikost ali panogo –, je smotrno prepoznati vsa tveganja za poslovanje. Tako lahko ustrezno definiramo ustrezne preventivne ukrepe. Informacijska tveganja sodobnih podjetij v sedanjem digitalnem svetu so lahko zelo visoka in terjajo strateški pregled ter zavezo vodstva pri teh odločitvah,« je dejal Novak.

Predstavil je tudi pogled za proaktivno obrambo: »Za tiste, pri katerih je tveganje informacijske varnosti visoko, je smiselno vzpostaviti robusten sistem upravljanja varovanja informacij, z upoštevanimi priznanimi smernicami ter dobrimi praksami. Dober primer je standard ISO/IEC 27001, ki definira elemente za vzpostavitev procesov, politik in tehničnega nadzora. Sam sistem pa še ne prinese inherentne varnosti, nam pa da strukturo in nas vodi v nenehno izboljševanje. Na primeru informacijske varnosti to pomeni, da se zavežemo rednim nadgradnjam strojne in programske opreme, izvajamo varnostne preglede, penetracijske teste in izobražujemo zaposlene za pravilno prepoznavanje anomalij in napadov.«

Na SIQ razmišljamo in delujemo sistemsko, vedno želimo zagotoviti čim širši spekter storitev našim odjemalcem, je še dodal Novak. »Ker smo certifikacijski organ, primarno omogočamo storitve presoj in certifikate (po standardih ISO) na najrazličnejših področjih – celovitost naše storitve pa dopolnjujemo z dodatnimi storitvami varnostnih pregledov ter penetracijskih testov infrastrukture, omrežij in aplikacij. Rast zaznavamo tudi na področju izobraževanj zaposlenih, kjer smo letos strokovna znanja predali že več kot 2600 zaposlenim v slovenskih podjetjih,« je pojasnil sogovornik.

Nova regulativa prinaša več jasnosti

Lani je bila sprejeta direktiva EU o varnosti omrežij in informacij (tako imenovani NIS 2). Ta regulatorni okvir bo vsekakor prispeval k boljši kibernetski higieni podjetij. »Regulatorni okvir je znan in potrjen. V Sloveniji prenos regulative EU na lokalno raven pričakujemo v drugi polovici oktobra, ko bomo dobili dopolnitve zakona o informacijski varnosti (ZInfV-1). Menimo, da bodo učinki čez čas opazni, saj nova regulativa prinaša več jasnosti; definira zavezance – torej podjetja, ki bodo prisiljena vzpostaviti določene kritične kontrole in procese. Omenjena direktiva definira aktivnosti iz letnih pregledov in tudi nadzora dobaviteljske verige. V pomembnejših organizacijah bo informacijska varnost tako postala obveznost. Pričakujem, da se bo posledična raven informacijske varnosti v teh organizacijah in širše izboljšala.«

A pravi cilj podjetij in držav bi morala biti močna kibernetska odpornost. Zanimivo bo videti, ali bo nov akt EU o kibernetski odpornosti (CRA – Cyber Resillience Act) učinkovit – na papirju namreč varuje tako podjetja kot potrošnike. Navedena zakonodaja je bila aprila letos z večino na evropskem parlamentu že izglasovana – trenutno je v procesu potrjevanja evropske komisije. V SIQ pravijo: »Vsekakor je dobro imeti pravila in merljive kriterije. Sicer se na trgu pojavijo tudi izdelki, ki ne ustrezajo minimalnim zahtevam. Vpliva nove regulative še ni mogoče oceniti. Cilji so postavljeni pravilno, a učinke bomo prepoznali šele, ko bo pretekel določen čas.«

Regulacija na področju kibernetske varnosti je potrebna tudi v primeru izdelkov, ki se povezujejo v splet. Povprečni potrošnik danes težko prepozna, kateri povezljivi izdelki so varni in kateri ne. Cilj zakonodaje je doseganje minimalnih zahtev za kibernetsko varnost ter vključitev teh v obstoječe zahteve za oznako CE. V to smer je pripravljen tudi prihajajoči akt o kibernetski odpornosti CRA.

V praksi že opazni prvi premiki

Prvi premiki v praksi so že opazni. Lani je radijska direktiva (RED 2014/53/EU), ki pokriva zahteve za proizvode z brezžično povezljivostjo, dobila tudi člen o minimalnih zahtevah za kibernetsko varnost. Od 25. avgusta 2025 bodo morali proizvajalci za tovrstne izdelke zagotoviti skladnost po tem členu direktive. V praksi to pomeni izvedbo preskusov kibernetske varnosti na samem proizvodu, dodatne procesne kontrole in prilagoditve v dokumentaciji.

Najhitreje so se odzvali v Združenem kraljestvu, kjer od 29. aprila letos veljajo smernice UK PSTI za vse povezljive proizvode. Te opredeljujejo tudi različne ukrepe, ki jih morajo zagotoviti proizvajalci naprav, kot so informiranje kupcev o varnostnih popravkih, poročanje o varnostnih incidentih in ranljivostih ter minimalne zahteve glede uporabe gesel. »Ugotavljamo, da veliko proizvajalcev še ni ugodilo vsem zahtevam akta PSTI. Je pa pozitivno, da določeni večji proizvajalci že aktivno delajo na skladnosti in ne čakajo do zadnjega dne,« je poudaril Novak. V SIQ že izvajajo preskuse kibernetske varnosti po smernicah standardov za povezljive proizvode domačih in tujih podjetij, pri čemer z dvetretjinsko večino prevladujejo tuji proizvajalci.

S čim jih v SIQ prepričajo? »Vrednote SIQ so strokovnost, profesionalnost, nepristranskost in neodvisnost. Izvajamo zaupanja vredne storitve, s tem pri podjetjih krepimo njihov ugled. Prizadevamo si, da je storitev brezhibna in na visoki ravni. S tem si prislužimo zaupanje in imamo priložnost sodelovati v tovrstnih zahtevnih projektih.«

Zakonodaja v obliki direktiv NIS2 ali CRA bo gotovo terjala dodatne naložbe podjetij. Upoštevajoč sedanje visoke povprečne vrednosti in zaledne stroške v povezavi s kibernetskimi napadi bi ta investicija kljub vsemu morala biti upravičena. Pod črto bi moralo biti evropsko gospodarstvo na boljšem, saj bo tudi zaradi regulative manj uspešnih kibernetskih napadov, ki so vse dražji. »Če razmišljamo širše, bi morali biti evropski izdelki privlačnejši na mednarodnih trgih, saj bodo kot prvi izkazovali višjo varnost v primerjavi z drugimi,« je zaključil Novak.