Preverjanje zmogljivosti in robustnosti sistemov v podjetjih

Pomembno je, da podjetja preverijo zmogljivost in robustnost svojih sistemov ter ali imajo morda kje kibernetske vrzeli. To lahko naredijo najprej z lastnim popisom in pregledom sredstev, ki jih imajo, nato pa lahko tudi najamejo neodvisnega zunanjega izvajalca, ki bo izvedel varnostni pregled in penetracijski preizkus, pojasnjuje Gorazd Božič, vodja nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. »Tudi tu je pomembno, kako usposobljen kader je zaposlen pri tem izvajalcu. Ali samo sprožijo standardna orodja za 'skeniranje' in pošljejo poročilo, ki ga orodje zgenerira, ali pa je zadaj tim tehnično podkovanega kadra, ki gre v podrobnosti poročila, zna razmišljati tudi zunaj ustaljenih okvirov in ima morda na voljo celo lastna orodja.«

Digitalizacija pomeni tudi intenzivno širjenje uporabe različnih tehnoloških rešitev, kot so storitve v oblaku in internet stvari, kar seveda generira nove koristne podatke in nove rešitve za njihovo izkoriščanje. »Z njimi pa se pojavljajo tudi nove ranljivosti, za katere se inovirajo tudi rešitve za njihovo izkoriščanje s ciljem pridobivanja nelegalnih koristi v kibernetskem prostoru. Same tehnološke ranljivosti pa niso edini element tveganja; to je tudi organizacija podjetja v smislu razvitih zmogljivosti za obvladovanje groženj in človeški dejavnik, ki mora biti usposobljen, da prepozna predvsem aktivnosti socialnega inženiringa in se ob teh poskusih prevar pravilno odzove,« pa pravi Mihael Nagelj, predsednik sekcije za kibernetsko varnost Združenja za informatiko in telekomunikacije pri GZS.

Zaposleni so najpomembnejši del podjetja

In dodaja, da je metod preverjanja odpornosti na poskuse kibernetskih vdorov več in so zelo povezane. Začne se z revizijo sistema glede na določene standarde, ki predstavljajo okvir za celoten življenjski cikel potencialnega kibernetskega vdora, pa zatem od analize tveganj do oblikovanja ukrepov in njihovega uresničevanja v praksi. »Zelo pogosti so sistemski varnostni pregledi, kjer se pregleduje celotna konfiguracija informacijskega sistema, pa penetracijska testiranja, kjer etični hekerji v dogovoru z naročnikom upoštevajoč etični kodeks preverjajo ranljivosti sistema. Vse bolj pogosta je uporaba rdečega tima, ki lahko izvede dejanski napad in preveri celoten spekter ukrepov,« še pravi Mihael Nagelj.

Podjetja, kot dodaja Nagelj, običajno takšne storitve naročajo pri specializiranih podjetjih, ki izvajajo storitve kibernetske varnosti in imajo za to usposobljene in certificirane izvajalce. »Del podjetij, predvsem podjetja kritične infrastrukture, se lahko vključi v načrtovane vaje kibernetske varnosti in tako okrepi poznavanje groženj in možnih ukrepov. Hkrati si izmenjujejo izkušnje in se intenzivno vključujejo v skupne napore za zagotavljanje varnosti.«

Varnostni pregledi sistemov

V Telekomu Slovenije, ki ima lastni Operativni center kibernetske varnosti, pojasnjujejo, da najbolj neposreden in tudi najučinkovitejši način za preverjanje varnostnih vrzeli podjetja predstavlja varnostni pregled sistemov, s katerim se preverjajo stopnje varnosti informacijskega sistema, saj se pri tem uporabljajo enake metode, tehnike in orodja, kot jih uporabljajo napadalci oziroma hekerji. »Primarni cilj varnostnih pregledov je identificirati področja, ki jih je treba v okviru varnosti informacijskih sistemov izboljšati. Sekundarni cilj pa je seznanjanje skrbnikov in uporabnikov sistemov z odkrito ranljivostjo, skupaj z metodami oziroma protiukrepi, s katerimi se ta ranljivost oziroma varnostno tveganje čim bolj zmanjša.«

Kot še pojasnjujejo v Telekomu Slovenije, rezultate varnostnega pregleda strnejo v poročilu, ki vsebuje podrobnosti vseh izvedenih testov, odkrite varnostne grožnje in priporočila. »Podjetje ima pri tem tudi finančne koristi, saj na podlagi varnostnih pregledov uvede ustrezne protiukrepe, ki bistveno zmanjšajo varnostna tveganja, s tem pa se podjetje izogne njihovim posledicam, kot so izguba zaradi nedelovanja storitve, stroški odprave škode, izguba ali kraja podatkov, kršitev zakonodaje ter izguba ugleda, predvsem pri svojih strankah. Gre za merljive pozitivne učinke na poslovanje, zato vse več podjetij vlaga v kibernetsko varnost.«

Za varnostne storitve Telekoma Slovenije, kot poudarjajo, se odloča čedalje več podjetij in ustanov, vseh panog in velikosti, predvsem s področja kritične infrastrukture in drugih izvajalcev bistvenih storitev. »Ravno prilagodljivost upravljane storitve kibernetskega varovanja in zaščite je ena od ključnih prednosti naših rešitev.« Strokovnjaki njihovega Operativnega centra kibernetske varnosti mesečno obravnavajo približno 900 varnostnih dogodkov različnih nivojev kritičnosti, kar je povprečno 30 na dan. Od tega je pomembnih in kritičnih dogodkov nekaj odstotkov, medtem ko se za večino dogodkov po začetni analizi ali triaži izkaže, da ne predstavljajo nevarnosti. »Naša ekipa vsa potencialna varnostna tveganja sproti preverja in analizira, da prepreči vdor. Vsak dogodek, ki nekako odstopa od ustaljenih, je namreč treba čim prej preveriti (ali predstavlja nevarnost ali ne), saj lahko tudi na videz manj pomemben dogodek potencialno predstavlja poskus vdora.«