Vsak dan je najmanj eno slovensko podjetje tarča kibernetskega napada

Vanja Lombar, glavna direktorica za zasebne in poslovne uporabnike v A1 Slovenija, opozarja pred naraščanjem kibernetskih napadov na slovenska podjetja vseh vrst in oblik. Meni, da mora skrb za kibernetsko varnost postati kolektivna, odgovornost zanjo pa prevzemati tako posamezniki kot podjetja.

Mesec kibernetske varnosti je bil oktober, toda zanjo je treba skrbeti nenehno. Kako varno je po vaših ocenah povprečno slovensko podjetje?

Raziskava, ki smo jo v preteklem letu med več kot 300 odločevalci v slovenskih podjetjih opravili skupaj s Fakulteto za varnostne vede Univerze v Mariboru, je pokazala, da kar 63 odstotkov podjetij nima ustrezne varnostne zaščite lastnih informacijskih sistemov. Gre za skrb vzbujajoče dejstvo, ki priča, da več kot polovica slovenskih podjetij že danes ali pa jutri lahko postane zelo lahka tarča kibernetskih napadalcev.

Zavedati se moramo, da nam kibernetske grožnje v današnjem svetu pretijo nenehno, 24 ur na dan, pa vendar se, kot je raziskava še pokazala, na tovrstne grožnje kar 43 odstotkov podjetij lahko odzove samo v delovnem času podjetja. Ozaveščanje o kibernetskih napadih je v zadnjih letih delno izboljšalo odpornost slovenskih podjetjih, je pa na tem področju vsekakor še veliko prostora za izboljšave.

Uradna statistika je eno, dejanska praksa pa nekaj popolnoma drugega. Podjetja vendarle še niso ponotranjila tega, da bi napade in poskuse napadov prijavila. Koliko varnostnih incidentov je torej letos, po vaši oceni, že doletelo podjetja?

SI-Cert je pred kratkim postregel s številom prijavljenih incidentov v prvem polletju letošnjega leta. Številka se je ustavila pri 1576, kar je 40 odstotkov več kot v primerljivem obdobju lani. Podoben porast zaznavamo tudi v našem varnostno-operativnem centru. To so podatki, na podlagi katerih lahko z veliko mero gotovosti trdimo, da je vsak dan najmanj eno slovensko podjetje tarča kibernetskega napada. Zdaj si pa predstavljajte, koliko takšnih napadov na dan doleti slovenska podjetja v praksi, če vam povem, da je po nekaterih ocenah – z natančnimi podatki je namreč nemogoče razpolagati – uradno prijavljenih samo tretjina incidentov.

Kljub tej strah vzbujajoči statistiki se še vedno najdejo podjetja brez ustrezne kibernetske zaščite. Kaj po vašem mnenju botruje tej praksi?

Na žalost takih podjetij niti ni tako težko najti. Vzrokov za to je več, v praksi pa zaznavamo, da gre za preplet številnih mitov. Prvi in gotovo tudi najpogostejši vzrok za neustrezno zaščito je prepričanje odločevalcev predvsem majhnih in srednje velikih podjetij, da je njihovo podjetje nezanimivo za kibernetske napadalce. Sledi tudi prepričanje, da je kibernetska zaščita predraga, kar ni res. Še posebej ne ob dejstvu, da je vložek v kakovostno kibernetsko zaščito lahko tudi do tisočkrat manjši od potencialne škode. Izpostavila bi tudi mišljenje odločevalcev, da imajo zaposleni dovolj znanja o kibernetskih napadih, česar brez ustreznega kontinuiranega usposabljanja ni mogoče pričakovati. V praksi je namreč skoraj 90 odstotkov varnostnih kršitev posledica dejanj zaposlenih v organizaciji, pogosto pa se zaposleni tega niti ne zavedajo.

Kakšne pa so v praksi posledice varnostnih incidentov v Sloveniji in svetu? So primerljive?

Posledice varnostnih incidentov so lahko zelo obsežne. Bolijo že visoke finančne izgube, povprečni stroški okrevanja po kibernetskem napadu na svetovni ravni znašajo približno 3,8 milijona evrov na napad. Poleg neposredne finančne škode je treba upoštevati še posredne stroške, povezane s prekinitvijo dobavnih verig in vseh internih operacij, pogosto uidejo tudi osebni in drugi poslovni podatki zaupne narave – tako kot je se to pred časom zgodilo v primeru napada na eno večjih energetskih podjetij v Sloveniji. Podjetje lahko s tem doživi hud padec ugleda v očeh poslovnih partnerjev, strank oziroma kupcev, investitorjev in drugih deležnikov. Posledice so za nekatere lahko tako hude, da morajo celo razmisliti o zaprtju vrat svojega podjetja.

To so dejstva, ki jih mnogi ne želijo slišati, a samo resnica, čeprav včasih neprijetna, lahko pripomore k zavedanju podjetij, da kibernetska zaščita še nikoli ni bila tako bistvenega pomena, kot je danes.

Po vsem povedanem je tveganje napada na posamezno podjetje visoko, posledice pa resne. Kako naj se podjetja ustrezno zaščitijo?

Iskanje rešitev znotraj podjetja – to še posebej velja za mala in srednje velika podjetja, ki nimajo internih specifičnih znanj in strokovnjakov – ni vedno najboljša rešitev z vidika časovnih, kadrovskih in finančnih virov. Zato je v takih primerih smiselno poiskati pomoč zunanje ekipe strokovnjakov. V našem primeru ekipo sestavlja več kot 200 mednarodnih strokovnjakov, ki s celovitim pristopom najprej prepoznajo šibke točke in pomanjkljivosti v informacijskem sistemu podjetja, nato pa pripravijo načrt po meri ter na koncu seveda vzpostavijo učinkovite sistemske varnostne rešitve. Z znanjem je treba opremiti tudi vse zaposlene v podjetju, zato nikakor ne smemo zanemariti potrebe po rednem in sistematičnem izobraževanju zaposlenih o kibernetskih grožnjah, ki lahko doletijo podjetje.

Ker se podjetja še vedno prilagajajo (pre)počasi, jih bo očitno spodbudila tudi regulativa na ravni EU. Katere ključne spremembe prinaša direktiva NIS2?

Vseevropska zakonodaja o kibernetski varnosti bo določala pravne ukrepe za povečevanje splošne ravni kibernetske odpornosti v EU. Ključna sprememba, ki se obeta, je razširitev obsega zavezancev za izvedbo zaščitnih ukrepov za upravljanje tveganj, povezanih s kibernetskimi napadi. Če je pretekla direktiva NIS1 ukrepe zakonsko nalagala 69 podjetjem v Sloveniji, bo zdaj ta številka veliko višja – po naših ocenah bo takih podjetij zdaj med 1400 in 1800.

Zavezanci za zaščitne ukrepe in poročanje bodo zdaj vsa srednje velika in velika podjetja, pa tudi mala podjetja, ki spadajo v kritični sektor s posebnim pomenom za družbo (na primer energetika, promet, bančništvo, zdravje, prehrana in podobno). Gre za pomemben korak k večji varnosti in konkurenčnosti Evropske unije, hkrati pa bomo kot družba imeli na voljo veliko več podatkov o kibernetskih napadih, na podlagi katerih bomo lahko v prihodnosti še učinkoviteje delovali v boju proti napadalcem.

Bi z nami delili še kakšno domačo dobro varnostno prakso, ki bi jo veljalo posnemati?

Veliko govorimo o odgovornosti podjetij, pogosto pa premalo poudarjamo, kaj lahko za lastno varnost pred kibernetskimi grožnjami naredimo kot posamezniki. Sama za dostop do raznih računov uporabljam dvostopenjsko avtentikacijo, ki je zelo učinkovit način za zmanjšanje tveganj, prav tako pa lahko veliko naredimo že s tem, da pred klikanjem na povezave, ki jih prejmemo v e-sporočilih ali prek sms-sporočil, preverimo legitimnost pošiljatelja. Nikoli in nikdar pa svojih osebnih podatkov ne posredujemo neznanim klicateljem oziroma vpisujemo v neznane spletne strani.

Je kibernetska varnost torej nekakšna »kolektivna skrb«?

Vsekakor. Živimo v digitalno prepletenem svetu, brez informacijske tehnologije si tako rekoč ne moremo več predstavljati naših življenj. A tam, kjer so priložnosti, se skrivajo tudi nevarnosti. Če smo si še nekaj let nazaj postavljali vprašanje »Ali bomo postali tarča kibernetskega napada?«, to zdaj ni več relevantno. Ni namreč vprašanje ali, temveč kdaj. Zato pozivam vse – tako odločevalce v podjetjih, javne institucije kot tudi vse posameznike –, da mora kolektivna kibernetska varnost postati naša prioriteta. V prihodnosti bodo zmagovalci tisti, ki se bodo znali pravočasno zoperstaviti nevidnim grožnjam, ki na nas prežijo v digitalnem svetu.