Pričakujte najhujše, imejte načrt obrambe

Varnostni strokovnjaki podjetjem svetujejo, naj se intenzivno ukvarjajo s tako imenovano kibernetsko odpornostjo. To sestavlja ne le kibernetska varnost, torej rešitve in postopki za zaznavanje in odzivanje na varnostne incidente, temveč še dodatna, predhodna faza: analiza varnostnih tveganj in njihov vpliv na poslovanje.

»V času vseprisotnih digitalnih groženj in kibernetskega kriminala morajo podjetja spremeniti obrambni pristop. Ne smejo več razmišljati samo o tem, kako se bodo branila, če bodo napadena, ampak naj razmišljajo predvsem o tem, kako čim bolj omejiti škodo v primeru uspešnega napada,« pravi Uroš Majcen, varnostni strokovnjak in direktor za kibernetsko odpornost v družbi S&T Slovenija. »Namesto da podjetja razmišljajo o protivirusnih rešitvah in požarnih pregradah, naj izdelajo postopke za scenarij okužbe računalnikov v omrežju podjetja z izsiljevalskim virusom. Z njimi bodo namreč poskrbela, da bo škoda izsiljevalskega virusa čim bolj omejena ter bodo računalnike in omrežje kar najhitreje vrnila v delovno funkcijo.«
 

Storitve varnostno-operativnega centra

Digitalizacija je spremenila način organizacije IT v podjetjih. Dizajni, arhitekture, vse je odprto navzven, vsak izpad je takoj opazen. Izpad storitve v zvezi s kibernetskim napadom ima lahko večje posledice kot požar ali poplava. In hkrati postaja vse verjetnejši.

Ob pomanjkanju varnostnih strokovnjakov na trgu in selitvi IT-okolij v računalniške oblake se vse več podjetij za zaščito svoje digitalne krajine (SOC). Laično mnenje, da so storitve SOC primerne le za velika podjetja, ne drži.
»Ne glede na to, kaj SOC ponuja in kako je zastavljen, je primeren za podjetja vseh velikosti. Osnova za odločitev o rabi njegovih storitev ni to, koliko opreme in aplikacij podjetje premore, temveč pomembnost podatkov in informacij, ki jih ščiti,« pojasni Majcen. »Kibernetsko varnost sodobnih okolij je treba ustrezno nasloviti. Nakup in implementacija varnostnih rešitev sta podlaga, a razliko delajo predvsem storitve, ki organizacijam zvišujejo raven informacijske varnosti.

SOC ima veliko teh storitev, saj zaokrožuje celovito obravnavo varnostnih dogodkov (zaznava, odziv, analiza) ter razumevanje, kaj je treba narediti, da se posamezni varnostni incident ne ponovi. Za podjetja je račun jasen: vsak evro, namenjen preventivi, prihrani deset evrov kurative. Reševanje incidentov je zamudno in drago, pogosto nihče ne računa na izgubo ugleda.«

 

Napadalce je treba aktivno iskati

Delovanje SOC temelji na treh stebrih: tehnologiji, procesih in ljudeh. »Da lahko uspešno izvajaš varnostne storitve, potrebuješ tehnologije, ki čim hitreje zaznajo napadalce, torej rešitve, ki imajo napredne tehnike zaznavanja.« V S&T SOC za povezovanje različnih varnostnih rešitev v celovito kibernetsko obrambo uporabljajo tudi platformo IBM QRadar, saj ta združuje zajem informacij iz različnih varnostnih naprav in aplikacij, napredni algoritmi strojnega učenja pa iščejo vzročne povezave in anomalije, ki bi lahko predstavljale aktivnosti kibernetskih napadalcev. Omenjena rešitev za spremljanje in upravljanje varnostnih dogodkov namreč zelo natančno odkriva in razvršča varnostne dogodke v podjetju, to pa počne z analizo vedenja kod in omrežja v realnem času. Nadzirati zna celo delovanje oblačnih storitev.

V kibernetski varnosti je zelo pomembna tudi izmenjava podatkov – med različnimi SOC, ponudniki varnostnih storitev in rešitev ter nacionalnimi varnostnimi centri. V S&T SOC pa so naredili še korak dlje. Strankam zagotavljajo tudi storitev aktivnega preprečevanja napadov. »Napadalcev aktivno ne iščemo le v omrežju podjetja, temveč v njihovem okolju. Na tako imenovanem temnem delu spleta preverjamo, kakšni podatki o posameznem podjetju so na voljo (na primer za odkup) in tako ugotovimo, koliko podatkov o podjetju napadalec lahko že pridobi. Poleg tega preverjamo, ali so morda registrirane spletne domene s podobnim imenom podjetja, ki bi lahko bile namenjene za spletne prevare, ter ali se pripravlja kak napad na dotično podjetje,« spremembo pri zagotavljanju kibernetske varnosti opiše Majcen.

Tega seveda ne zna in zmore vsak. Varnostni oddelek S&T Slovenija že več kot 30 let spremlja varnostno krajino, storitve, ki jih danes zagotavlja v okviru S&T SOC, so strankam na voljo že več kot šest let. »Varnostne izzive spremljamo v Sloveniji in širše, skrbimo za varnost res zapletenih sistemov in okolij. Najvišjo raven aktivne obrambe lahko dosega le ekipa specializiranih varnostnih strokovnjakov – takih, ki imajo veliko znanja in izkušenj ter imajo hkrati neverjetno željo po obrambi pred digitalnimi nepridipravi,« sklene Majcen.