Galerija
O kibernetski varnosti je nujno treba vedeti več
Celosten nabor storitev in orodij omogoča prepoznavanje, odkrivanje in odzivanje na napade ter grožnje.
Ko gre za zavedanje o kibernetski varnosti, je večina slovenskih industrijskih podjetij na zrelostni lestvici nekje na sredini. FOTO: Shutterstock
Večina slovenskih podjetij se danes do neke mere zaveda pomembnosti kibernetske varnosti svojega poslovnega okolja. Z naprednimi digitalnimi grožnjami se srečujejo prek številnih kanalov – med drugim e-pošte, spletnih mest, okužene programske opreme, naprav in črvov.
Najšibkejši člen v varnostni verigi so zaposleni. Kljub temu pa vodstvo podjetja ali organizacije še vedno prevečkrat razmišljajo na način, da je njihovo okolje dovolj varno in da se njim ne more zgoditi nič. Pri tem tudi pogosto pozabljajo, da je za zagotavljanje ustrezne ravni kibernetske varnosti odgovorno prav vodstvo samo in ne nek posameznik na IT-oddelku ali oddelku za skladnost poslovanja.
Tehnike, ki jih uporabljajo napadalci, so vse bolj izpopolnjene in usmerjene, zato tradicionalne varnostne rešitve, ki temeljijo na silosih, ne morejo zaščititi organizacije pred večkanalnimi grožnjami. Kako torej ustrezno poskrbeti za kibernetsko varnost? Je dovolj upoštevati priporočila varnostnih strokovnjakov, zakonodaje in – v primerih določenih organizacij – regulatorja? To so zgolj osnove ...
Organizacija je živ organizem, ki temelji na ciljni usmerjenosti skupine ljudi, ki ima enake funkcionalne cilje, pri tem pa ne gre pozabiti še na sredstva in procese, ki so temelj posamezne organizacije. Pri oceni zrelostne ravni kibernetske varnosti organizacije se upoštevajo trije ključni dejavniki: ljudje, procesi in tehnologija.
Slovenska podjetja so precej konservativna – tako v razmišljanju kot dejanjih, saj so naložbe v informacijsko varnost redne, a še vedno relativno nizke.
Večja težava je drugje. Matjaž Katarinčič, vodja kibernetske varnosti v podjetju Smart Com, trdi, da ima večina podjetij ustrezno infrastrukturo, s katero lahko zagotavlja posamezne faze zrelosti IT-okolja: »V praksi v večini slovenskih podjetij nastane težava ob integraciji varnostnih rešitev z drugimi, že veljavnimi rešitvami v podjetju. Postavljajo se vprašanja, kdo jih bo upravljal ter kdo bo skrbel za nadaljnji razvoj in vzdrževanje.«
Gospodarska negotovost v preteklosti je vplivala na to, da se podjetja zdaj spopadajo z zmanjševanjem operativnih stroškov oziroma stroškov vzdrževanja rešitev. »V pogodbah, ki opredeljujejo vzdrževanje oziroma upravljanje rešitev, ni več nekaterih storitev, »vzetih na zalogo«, s katerimi so IT-ekipe v preteklosti premagale te težave«.
Zavedanje o kibernetski varnosti v okoljih, kjer se uporablja procesna tehnologija (OT), gre predvsem za industrijska okolja, postaja vse pomembnejše, vendar podjetja do pred kratkim v zmanjševanje varnostnih tveganj niso veliko vlagala. Matjaž Katarinčič opaža, da je večina slovenskih industrijskih podjetij na zrelostni lestvici nekje na sredini. V teh okoljih vse bolj prevladuje avtomatizacija, dodajajo se številni novi gradniki in naprave interneta stvari (IoT), ki se v industrijska okolja ne vključujejo na podlagi strateških usmeritev glede varnosti, ampak zgolj kot gradniki, s katerimi je mogoče zagotoviti obratovanje proizvodnega procesa.
Dejstvo je, da samo nakup sredstev, torej naprav in programske opreme, še ni dovolj za zagotovitev zmanjšanja varnostnih tveganj. Človek je tisti dejavnik, ki s svojim strokovnim znanjem podjetju zagotovi, da doseže višjo zrelostno raven kibernetske varnosti. Vlaganje v zaposlene mora biti ena temeljnih nalog poslovodstva.
»Ne moremo pričakovati, da bo raven znanja zaposlenega v podjetju, ki se ne ukvarja z informacijsko varnostjo, na ravni eksperta,« pravi Katarinčič in poudarja, da bodo podjetja morala vključevati zunanje strokovnjake, predvsem ko se bodo spopadala z izzivi analiz, obravnave ter sprejetja drugačnih/dodatnih ukrepov ob morebitnem varnostnem incidentu.
V OT-okoljih so zelo pomembni procesi, ki temeljijo na postopkih neprekinjenega poslovanja. Ti so za organizacije ključni, saj natančno opredeljujejo, kako poteka cikel obratovanja posamezne rešitve, njene zrelosti in integracije z drugimi rešitvami, kakšni so vplivi, dejavniki, kakšna so tveganja … Procesi so zaokrožena celota postopkov, ki zaposlenim in sistemom pomagajo, da se ob morebitnih grožnjah organizacija hitreje in učinkoviteje odzove.
Obratovalne storitve dopolnjujejo delovanje specializiranih aplikacij. Z njimi podjetje ali organizacija končnim uporabnikom zagotovi večje zmogljivosti in boljšo uporabniško izkušnjo. Sistemskemu inženirju se ni treba več ukvarjati z nastavitvami določene rešitve ali celo z iskanjem napak. Posledično se IT-oddelek osredotoči na strateško raven zagotavljanja storitev in temeljne kompetence organizacije.
IT-oddelki, ki se pogosto ukvarjajo z izpadi storitev ali pa večino proračuna porabijo za prilagoditve poslovnih aplikacij, med pogostimi vzroki za to, da kibernetska varnost še ni prišla na vrsto, navajajo tudi pomanjkanje časa ali kadra, kar pa je dvorezen meč, saj lahko organizacija ob incidentu izgubi podatke in ugled.
»V večini primerov težave nastanejo ob uvedbi novih rešitev, ki jim celo IT-ekipa v podjetju težko sledi. To je pričakovano, saj tudi IT-osebje nikoli ne bo tako specializirano kot osebje ponudnika rešitve ali specialist za posamezno področje. A kibernetska varnost ni iskanje izgovorov, temveč takojšnje in učinkovito ukrepanje,« dodaja Katarinčič.
Omejitve, ki se kažejo v proračunu za kibernetsko varnost v IT- in OT-okolju, je treba upoštevati in hkrati preveriti obstoječe rešitve – kako in katere varnostne grožnje rešujejo. Večinoma so te rešitve komplementarne in se medsebojno dopolnjujejo. Ob tem je smotrno preveriti, ali z obstoječo rešitvijo organizacija lahko obvlada še kak drug izziv. S konsolidacijo rešitev organizacija lahko prihrani znatna sredstva, ki jih nameni razvoju in uvedbi novih, ki rešujejo težave, za katere v informacijskem sistemu še nima ustreznega odgovora, in tako dvigne zrelostno raven kibernetske varnosti.
Katarinčič izpostavlja, da je treba pri zagotavljanju celovitega odziva na napredne kibernetske grožnje za izvajanje naprednih storitev obratovanja na vseh ravneh, tako z vidika arhitekture kot zagotavljanja varnosti IT- in OT-okolja, vzpostavljati partnerstva s strokovnjaki za kibernetsko varnost. Organizacije morajo najprej vzpostaviti rešitev za zaznavanje in odkrivanje incidentov, saj bodo takrat spoznale, s kakšnimi grožnjami imajo opravka, ter nato poskrbeti za rešitve za obvladovanje in odpravo varnostnih incidentov, ki jih po potrebi integrirajo v nadzorno-operativni center ali varnostno-operativni center.
Najšibkejši člen v varnostni verigi so zaposleni. Kljub temu pa vodstvo podjetja ali organizacije še vedno prevečkrat razmišljajo na način, da je njihovo okolje dovolj varno in da se njim ne more zgoditi nič. Pri tem tudi pogosto pozabljajo, da je za zagotavljanje ustrezne ravni kibernetske varnosti odgovorno prav vodstvo samo in ne nek posameznik na IT-oddelku ali oddelku za skladnost poslovanja.
Za vzdrževanje ustrezne ravni kibernetske varnosti je odgovorno vodstvo.
Najšibkejši člen v varnostni verigi so zaposleni, če so premalo ozaveščeni.
Samo nakup naprav in programske opreme še ni dovolj za povečanje varnosti.
Najšibkejši člen v varnostni verigi so zaposleni, če so premalo ozaveščeni.
Samo nakup naprav in programske opreme še ni dovolj za povečanje varnosti.
Tehnike, ki jih uporabljajo napadalci, so vse bolj izpopolnjene in usmerjene, zato tradicionalne varnostne rešitve, ki temeljijo na silosih, ne morejo zaščititi organizacije pred večkanalnimi grožnjami. Kako torej ustrezno poskrbeti za kibernetsko varnost? Je dovolj upoštevati priporočila varnostnih strokovnjakov, zakonodaje in – v primerih določenih organizacij – regulatorja? To so zgolj osnove ...
Zrelostna raven kibernetske varnosti
Organizacija je živ organizem, ki temelji na ciljni usmerjenosti skupine ljudi, ki ima enake funkcionalne cilje, pri tem pa ne gre pozabiti še na sredstva in procese, ki so temelj posamezne organizacije. Pri oceni zrelostne ravni kibernetske varnosti organizacije se upoštevajo trije ključni dejavniki: ljudje, procesi in tehnologija.
Slovenska podjetja so precej konservativna – tako v razmišljanju kot dejanjih, saj so naložbe v informacijsko varnost redne, a še vedno relativno nizke.
Večja težava je drugje. Matjaž Katarinčič, vodja kibernetske varnosti v podjetju Smart Com, trdi, da ima večina podjetij ustrezno infrastrukturo, s katero lahko zagotavlja posamezne faze zrelosti IT-okolja: »V praksi v večini slovenskih podjetij nastane težava ob integraciji varnostnih rešitev z drugimi, že veljavnimi rešitvami v podjetju. Postavljajo se vprašanja, kdo jih bo upravljal ter kdo bo skrbel za nadaljnji razvoj in vzdrževanje.«
Gospodarska negotovost v preteklosti je vplivala na to, da se podjetja zdaj spopadajo z zmanjševanjem operativnih stroškov oziroma stroškov vzdrževanja rešitev. »V pogodbah, ki opredeljujejo vzdrževanje oziroma upravljanje rešitev, ni več nekaterih storitev, »vzetih na zalogo«, s katerimi so IT-ekipe v preteklosti premagale te težave«.
Ko gre za znanje o kibernetski varnosti, je večina slovenskih industrijskih podjetij na zrelostni lestvici nekje na sredini, opaža Matjaž Katarinčič.
FOTO: Smart Com
FOTO: Smart Com
Varnost je odvisna od vseh
Zavedanje o kibernetski varnosti v okoljih, kjer se uporablja procesna tehnologija (OT), gre predvsem za industrijska okolja, postaja vse pomembnejše, vendar podjetja do pred kratkim v zmanjševanje varnostnih tveganj niso veliko vlagala. Matjaž Katarinčič opaža, da je večina slovenskih industrijskih podjetij na zrelostni lestvici nekje na sredini. V teh okoljih vse bolj prevladuje avtomatizacija, dodajajo se številni novi gradniki in naprave interneta stvari (IoT), ki se v industrijska okolja ne vključujejo na podlagi strateških usmeritev glede varnosti, ampak zgolj kot gradniki, s katerimi je mogoče zagotoviti obratovanje proizvodnega procesa.
Dejstvo je, da samo nakup sredstev, torej naprav in programske opreme, še ni dovolj za zagotovitev zmanjšanja varnostnih tveganj. Človek je tisti dejavnik, ki s svojim strokovnim znanjem podjetju zagotovi, da doseže višjo zrelostno raven kibernetske varnosti. Vlaganje v zaposlene mora biti ena temeljnih nalog poslovodstva.
»Ne moremo pričakovati, da bo raven znanja zaposlenega v podjetju, ki se ne ukvarja z informacijsko varnostjo, na ravni eksperta,« pravi Katarinčič in poudarja, da bodo podjetja morala vključevati zunanje strokovnjake, predvsem ko se bodo spopadala z izzivi analiz, obravnave ter sprejetja drugačnih/dodatnih ukrepov ob morebitnem varnostnem incidentu.
V OT-okoljih so zelo pomembni procesi, ki temeljijo na postopkih neprekinjenega poslovanja. Ti so za organizacije ključni, saj natančno opredeljujejo, kako poteka cikel obratovanja posamezne rešitve, njene zrelosti in integracije z drugimi rešitvami, kakšni so vplivi, dejavniki, kakšna so tveganja … Procesi so zaokrožena celota postopkov, ki zaposlenim in sistemom pomagajo, da se ob morebitnih grožnjah organizacija hitreje in učinkoviteje odzove.
Za vzdrževanje ustrezne ravni kibernetske varnosti je odgovorno vodstvo.
Najšibkejši člen v varnostni verigi so zaposleni, če so premalo ozaveščeni.
Samo nakup naprav in programske opreme še ni dovolj za povečanje varnosti.
Najšibkejši člen v varnostni verigi so zaposleni, če so premalo ozaveščeni.
Samo nakup naprav in programske opreme še ni dovolj za povečanje varnosti.
Rešitev: obratovalne storitve
Obratovalne storitve dopolnjujejo delovanje specializiranih aplikacij. Z njimi podjetje ali organizacija končnim uporabnikom zagotovi večje zmogljivosti in boljšo uporabniško izkušnjo. Sistemskemu inženirju se ni treba več ukvarjati z nastavitvami določene rešitve ali celo z iskanjem napak. Posledično se IT-oddelek osredotoči na strateško raven zagotavljanja storitev in temeljne kompetence organizacije.
IT-oddelki, ki se pogosto ukvarjajo z izpadi storitev ali pa večino proračuna porabijo za prilagoditve poslovnih aplikacij, med pogostimi vzroki za to, da kibernetska varnost še ni prišla na vrsto, navajajo tudi pomanjkanje časa ali kadra, kar pa je dvorezen meč, saj lahko organizacija ob incidentu izgubi podatke in ugled.
»V večini primerov težave nastanejo ob uvedbi novih rešitev, ki jim celo IT-ekipa v podjetju težko sledi. To je pričakovano, saj tudi IT-osebje nikoli ne bo tako specializirano kot osebje ponudnika rešitve ali specialist za posamezno področje. A kibernetska varnost ni iskanje izgovorov, temveč takojšnje in učinkovito ukrepanje,« dodaja Katarinčič.
INFOGRAFIKA: Delo
Konsolidacija in optimizacija
Omejitve, ki se kažejo v proračunu za kibernetsko varnost v IT- in OT-okolju, je treba upoštevati in hkrati preveriti obstoječe rešitve – kako in katere varnostne grožnje rešujejo. Večinoma so te rešitve komplementarne in se medsebojno dopolnjujejo. Ob tem je smotrno preveriti, ali z obstoječo rešitvijo organizacija lahko obvlada še kak drug izziv. S konsolidacijo rešitev organizacija lahko prihrani znatna sredstva, ki jih nameni razvoju in uvedbi novih, ki rešujejo težave, za katere v informacijskem sistemu še nima ustreznega odgovora, in tako dvigne zrelostno raven kibernetske varnosti.
Katarinčič izpostavlja, da je treba pri zagotavljanju celovitega odziva na napredne kibernetske grožnje za izvajanje naprednih storitev obratovanja na vseh ravneh, tako z vidika arhitekture kot zagotavljanja varnosti IT- in OT-okolja, vzpostavljati partnerstva s strokovnjaki za kibernetsko varnost. Organizacije morajo najprej vzpostaviti rešitev za zaznavanje in odkrivanje incidentov, saj bodo takrat spoznale, s kakšnimi grožnjami imajo opravka, ter nato poskrbeti za rešitve za obvladovanje in odpravo varnostnih incidentov, ki jih po potrebi integrirajo v nadzorno-operativni center ali varnostno-operativni center.
Sorodni članki
Hvala, ker berete Delo že 65 let.
Berite Delo 3 mesece za ceno enega.
NAROČITEObstoječi naročnik?Prijavite se
Predstavitvene vsebine
VEČ NOVIC
Predstavitvene vsebine
Komentarji