Škoda je lahko tudi več kot 1000-krat višja kot investicija

Zavedanje o pomenu kibernetske varnosti se je v zadnjih letih močno spremenilo. Med pandemijo se je občutno povečala uporaba IT-infrastrukture. Povečalo se je tudi število varnostnih incidentov, tako da je »delo od doma« ali pokovidno delo postavilo nove standarde na področju kibernetske varnosti.

Podjetja so se tako naenkrat znašla še pred novo realnostjo; varnost njihovega poslovanja bolj kot kdaj prej ogrožajo zelo spretni kibernetski napadalci, ki pri njih iščejo neprecenljive podatke – napadalci lahko na primer ukradejo podatke o poslovnih transakcijah, o bančnih računih, lahko jim ukradejo kritične podatke ali jim onemogočijo dostope do podatkovnih baz. »Grožnje se razvijajo hitreje kot orodja za zagotavljanje kibernetske varnosti,« nam v pogovoru zelo jasno pove Primož Klasinc, Vodja oddelka za ICT storitve v podjetju A1 Slovenija.

Primož Klasinc FOTO: A1

Podjetja bi se morala zato zavedati, da je vlaganje v kibernetsko varnost danes ključni varnostni korak – tako kot je zaklepanje vrat, nameščanje kamer ali najem varnostne službe. Skrb za varnost informacijskega sistema v podjetju je osnova za varno poslovanje. Posledice so lahko katastrofalne – finančne izgube za sanacijo se lahko štejejo v več desettisoč evrih, v najhujšem primeru lahko podjetja utrpijo takšno škodo, da lahko zaprejo svoja vrata. Na udaru so lahko vsi, ne glede na velikost podjetja. Razmišljanje v slogu »saj nam se pa to ne more zgoditi« je torej napačno.

Primož Klasinc se s kibernetsko varnostjo ukvarja že 15 let, v tem času se je marsikaj spremenilo, končno pa so podjetja spoznala, da o tej problematiki nimajo dovolj znanja, da bi se lahko suvereno odločala in poiskala prave rešitve. »Vsaka varnostna rešitev mora biti smiselno vpeta v celotno IT-infrastrukturo in v celotno poslovanje podjetja. Zgolj nakup še  ni dovolj – rešitev je potrebno ustrezno implementirati in upravljati. Opažamo, da manj izkušeni računalniški strokovnjaki pogosto ne razpolagajo s celovitim razumevanjem kompleksnega ekosistema na tem področju.« Iz tega izhaja tudi ena izmed najpogostejših zmot, poudarja Primož Klasinc – da je dovolj, če enkrat kupiš neko rešitev in predpostavljaš, da si varen.

V pogovoru smo odprli največje rane v razumevanju učinkovite kibernetske varnosti, porušili mit o tem, da je naložba v ustrezno varnostno rešitev finančno obremenjujoča, in poudarili, da zaščito potrebujejo vsi – tudi manjša podjetja. Že zdavnaj smo torej prešli obdobje protivirusnih rešitev.

Podjetja bi se morala zato zavedati, da je vlaganje v kibernetsko varnost danes ključni varnostni korak. FOTO: Depositphotos

Ali drži, da visokega odstotka vdorov ni več mogoče preprečiti zgolj s požarnimi zidovi ali protivirusno programsko opremo? Ali vstopamo v obdobje, ko ta varnostna orodja postajajo zastarela? Kakšni so torej pravi in učinkoviti varnostni koraki?

Ni nujno, da so zastarela, ampak so pogosto napačno skonfigurirana, saj so samo en gradnik v celotnem spektru varnosti. Tudi najnovejše požarne pregrade in najnovejše antivirusne rešitve lahko prestrežejo samo določen odstotek napadov, še zdaleč pa ne vsega. Na zaščito pred različnimi vdori je treba gledati širše. Tukaj je treba vključiti še izobraževanje zaposlenih, testiranje varnosti in opreme. Za varnost mora poskrbeti prav vsak člen v podjetju. Ključno je torej ozaveščanje in izobraževanje kadra. Treba je implementirati nove varnostne protokole in ne nazadnje: izjemno pomemben je reakcijski čas. Odreagirati je treba takoj, ko pride do varnostnega incidenta. Okužbe so lahko skrite in se počasneje infiltrirajo v neko omrežje in do kritičnih podatkov. Za okužbami je motiv vedno denar, saj se je z leti kibernetski kriminal razvil v pravo industrijo. To je postal pravi posel.

Katere so po vašem mnenju napačne predstave, ki jih imajo podjetja o kibernetski varnosti?

Najprej, da je dobra zaščita pred kibernetskimi napadi draga. V resnici pa je najdražje, če pride do vdora, takrat so lahko stroški ogromni.

Kakšen je najhujši scenarij?

Najhujše je gotovo to, da  da podjetje utrpi tako visoko finančno ali drugo poslovno škodo in je cel prisiljeno prenehati s poslovanjem. Lahko pride do kraje podatkov, nedosegljivosti, nezmožnosti dostopa do podatkov … To je za mnogo podjetij tudi usodno.

Delo od doma je postavilo nove standarde na področju kibernetske varnosti. FOTO: Depositphotos

Ali nam lahko predstavite primer iz resničnega življenja in kako je to vplivalo na poslovanje?

Veliko proizvodno podjetje je nedavno doživelo zapleten kibernetski napad, ki je izhajal iz ranljivosti zero-day v poštnem strežniku. Zunanja informacijska podpora organizacije kljub vsem prizadevanjem ni mogla identificirati napadalca ali ustaviti napada. Zato je podjetje zaprosilo za pomoč skupino za odzivanje na incidente A1OPS-IRT (A1 Varnostno – operativni center 24/7). Skupina A1OPS je bila povabljena kot zunanja ekipa, ki je ocenila razmere in pripravila načrt za odpravo napak.

Po prihodu smo opravili temeljito preiskavo sistemov organizacije in ugotovili, da so napadalci pridobili dostop do poštnega strežnika. Hitro smo identificirali in izolirali prizadete sisteme ter tako ustavili napadalčevo zmožnost komuniciranja z njihovo infrastrukturo. Nato smo pripravili načrt za odpravo napak, ki je vključeval popravljanje ranljivosti zero-day v poštnem strežniku in uvedbo dodatnih varnostnih ukrepov za preprečevanje podobnih napadov v prihodnosti.

Zaradi strokovnega znanja in hitrega odziva skupine A1OPS si je proizvodno podjetje lahko opomoglo od napada ter preprečilo nadaljnjo škodo na svojih sistemih in podatkih.

Kakšen pa je strošek ustrezne zaščite pred kibernetskimi napadi?

Odvisno od velikosti in IT infrastrukture podjetja. Ne gledamo velikosti po zaposlenih, ampak merimo infrastrukturo podjetja, torej računalnike, strežnike, mrežno opremo, mobilne telefone … Naši prodajni strokovnjaki  radi uporabljajo analogijo, da je strošek primerljiv z nekaj kavami na mesec, kar pa ni daleč od resnice. To bi moral postati običajen operativni strošek za zagotavljanje poslovanja podjetja – kot strošek za elektriko, vzdrževanje itd.

FOTO: Depositphotos

Ali so manjša podjetja danes izpostavljena enakim tveganjem kot večja?

Da in ne. Velika podjetja imajo pogosto že utečene varnostne protokole – za izvajanje fizičnega varovanja in tudi IT-protokole. Imajo določene procedure, standarde, kako postopati, da ne bi prišlo do incidenta, in kako, če do njega pride. Manjša podjetja pa po drugi strani pogosto razmišljajo tako: »Saj imam manj računalnikov, imam modem od operaterja, saj v bistvu ne delam nič narobe. Pa saj mi je kolega, ki se na te stvari spozna, pred nekaj leti namestil antivirusni program.« To ni dovolj.

Je pa res, da so večja podjetja bolj zanimiva, saj napadalcem omogočajo potencialno večji enkratni izkupiček.  Po drugi stani pa so manjša podjetja pogosto enostavnejše tarče in jih lahko napadejo več hkrati.

Kako se lahko mala podjetja bolje zaščitijo pred kibernetskimi napadi?

Osnova je nedvomno posvet s strokovnjakom, ki jim bo priporočal najustreznejšo rešitev  za njihov način poslovanja in IT infrastrukturo. Na A1 si z našimi storitvami trudimo vzpostaviti prav to dodano vrednost – da na podjetja ne gledamo kot na stranke, ampak kot na poslovne partnerje. Podjetjem ne želimo zgolj prodajati nekih izdelkov, ki jih morda ne bodo znali ustrezno implementirati in uporabljati. Ponujamo več: nadzorujemo varnost v podjetjih, upravljamo njihov ekosistem in ga vzdržujemo. To je to partnerstvo.

Lani smo v lastni režiji naredili raziskavo o percepciji kibernetske varnosti v Sloveniji in ena od ugotovitev je bila, da so bila mala podjetja nadpovprečno prepričana, da se jim varnostni incident ne more zgoditi. Ta delež je bil v manjših podjetjih najbolj izrazit – tako je mislilo 7 od 10 lastnikov podjetij. Potem smo jih vprašali tudi, kaj bi bilo, če bi se jim zgodil kakšen vdor. Več kot 60 odstotkov jih trdi, da je zelo velika verjetnost, da bi imeli resne posledice in bi težko preživeli. Se pravi, da imaš na eni strani zavedanje, da te nekaj evrov na mesec lahko reši potencialnega napada, po drugi strani pa zavestno ignoriraš možnosti, da ta napad preprečiš. Iz tega ugotavljamo, da se podjetja še vedno premalo zavedajo te problematike.

Kaj pravzaprav iščejo kibernetski napadalci? Katera je največja grožnja?

Nekateri napadalci so lahko tudi mesece ali leta prisotni v infrastrukturi podjetja in imajo dostope tudi do najbolj kritičnih podatkov. Pristop napadalcev je odvisen od njihove strategije. Nekateri poberejo, kar se da, in takoj zbežijo. Drugi pa načrtno delujejo tako, da ostajajo skriti, in leta in leta izkoriščajo informacije – na primer poslovne narave. Napadalec lahko pridobi bazo potencialnih strank in jo proda naprej konkurentu. Zato sta preventiva in nenehno izobraževanje še pomembnejša.

Kibernetski napad lahko podjetje stane več tisoč ali deset tisoč evrov.FOTO: Depositphotos

V A1 imate na voljo številne storitve, s katerimi lahko pomagate slovenskim podjetjem – tako večjim kot manjšim. Kaj, na primer, predlagate manjšim obrtnikom in srednje velikim podjetjem?

Tako, kot se med seboj razlikujejo podjetja, se prav tako razlikujejo njihove potrebe iz vidika kibernetske varnosti. Naši sogovorniki so odločevalci v teh podjetjih – direktorji, vodje informatike ipd. Z njimi se pogovarjamo o načrtih, kako dvigniti nivo kibernetske varnosti. Pogosto skupaj ugotovimo, da jim lahko pomagamo pri vzdrževanju infrastrukture, pri optimizaciji internih procesov, izboljšanju odziva na kibernetske grožnje itn.

Vsako podjetje potrebuje vsaj zaščito končnih naprav naslednje generacije, ustrezno vzpostavljen in konfiguriran požarni zid ter vzpostavljeno celovito in avtomatizirano varnostno kopijo podatkov, ki omogoča obnovo sistema, če je to potrebno. Te osnove so enake pri vseh podjetjih.

Prav pravilna izdelava varnostnih kopij je eden najbolj kočljivih segmentov, kajne?

Med podjetji je precej nerazumevanja, kaj je varnostna kopija podatkov. Na trgu še vedno srečujemo podjetja, pri katerih tega ne bi pričakoval. Pa rečejo: Saj imamo na strežniku mapo, kamor kopiramo ključne dokumente, saj smo v Microsoftovem okolju … To ni varnostno kopiranje podatkov.

Kaj pa je varnostno kopiranje?

Varna hramba podatkov je implementacija protokolov oziroma postopkov, ki sistematično periodično redno upravljajo kopiranje kritično pomembnih podatkov na neko oddaljeno lokacijo. Naša rešitev je postavljena v oblaku na naših strežnikih v Evropi na različnih lokacijah. Ključni dodani vrednosti avtomatizirane namenske rešitve za varno hrambo podatkov sta - avtomatiziran proces izvajanja varnostnega kopiranja, ki ni prepuščen naključnim aktivnostim zaposlenih, ter da omogoča sistematično in celovito obnovo različice podatkov, ki jih podjetje želi obnoviti.

Ne zgolj zaradi napadov, varnostno kopiranje podatkovje pomembna tudi ob morebitni okvari podatkov. Lahko se pokvari podatkovna baza ali pa zgolj nek nosilec podatkovne baze. Tudi v tem primeru so lahko podatki podjetja ogroženi, zato je ključno, da so podatki na več lokacijah in so na voljo le ob zadostitvi predefiniranih varnostnih protokolov.

Gašenje "požara" po napadu je veliko bolj zahtevno. Preventivna zaščita je zato ključna. FOTO: Depositphotos

V A1 izvajate tudi varnostne preglede in penetracijske teste pri podjetjih. Kaj ste ugotovili?

S tem se ukvarjamo že vrsto let. Na teh pregledih simuliramo kibernetski napad. Pri nekaterih podjetjih, kjer bi najmanj pričakovali in v katerih v resnici temu na videz namenjajo veliko pozornosti, so bili rezultati skrb vzbujajoči. S takšnimi varnostnimi pregledi podjetja vidijo, kako ogroženi so v resnici. In to kljub temu, da vlagajo v kibernetsko varnost. Tu se spet pokaže pomen pravilne izbire zaščite, implementacije ter izvajanja varnostnih ukrepov v praksi. Na podlagi varnostnih pregledov pripravimo predlog odprave pomanjkljivosti in pogosto pomagamo pri implementaciji ter vzpostavitvi ustreznih protokolov.

A1 je vzpostavil tudi varnostno-operativni center. Za kaj pravzaprav gre?

S tem ko nam podjetja predajajo nadzor nad potencialnimi varnostnimi incidenti, se njihovim strokovnjakom ni več treba ukvarjati z nenehnim nadzorom nad stanjem kibernetske varnosti njihovega podjetja. Varnostni inženirji v našem centru 24 ur na dan in vse dni v letu spremljajo okolje naročnika in ukrepajo v primeru varnostnih incidentov. Različni tipi incidentov zahtevajo različne tipe reakcij, pri grožnjah nizke stopnje, na primer, morda zgolj izoliramo potencialno grožnjo, umaknemo kakšno delovno postajo iz omrežja, pri incidentih višje stopnje pa potencialno izoliramo celotne IT-podsisteme, definiramo tip grožnje in ustrezno ukrepamo naprej. Seveda je stranka obveščena o aktivnostih.

V A1 imajo na voljo številne storitve, s katerimi lahko pomagajo slovenskim podjetjem. FOTO: Depositphotos

Kakšna je vaša prednost pred zelo močno konkurenčno ponudbo na slovenskem trgu?

Že prej smo govorili o celostnem razumevanju problematike in tukaj je naša izrazita prednost. V A1 Slovenija nismo novinci na trgu storitev in rešitev kibernetske varnosti, v tem segmentu smo dejavni že 20 let, zadnjih pet let pa na tem področju delamo še posebej intenzivno. V zadnjih letih smo portfelj produktov in storitev na področju kibernetske varnosti razširili in obogatili, tako da lahko rečemo, da pokrivamo vse ključne segmente zagotavljanja kibernetske varnosti. Ker smo del Skupine A1, so naši inženirji aktivno vključeni v redno sistematično certificiranje in nadgrajevanje znanja. Prav ta stik s širšim mednarodnim okoljem nam izjemno koristi pri proaktivnem pristopu k zagotavljanju zaščite pred sodobnimi kibernetskimi grožnjami. S podjetji iz skupine redno izmenjujemo izkušnje, znanja, analiziramo primere groženj, ki se pojavljajo na drugih trgih, pri nas pa morda manj, in obratno. S tem ustvarjamo izrazito dodano vrednost in ustvarjamo širši varnostni ekosistem, ki presega zgolj nacionalne okvire.

Kakšni bodo izzivi v prihodnosti na področju kibernetske varnosti?

Izzivi bodo zagotovo še večji, saj se kibernetski kriminal razvija v tempu, ki mu je težko slediti.  Pomembna bo tudi regulativa, ki bo zagotovo šla v to smer. Pojavili pa se bodo tudi drugi pritiski. V tujini opažamo že jasno izražen trend, da podjetja od vseh sodelujočih v dobavni verigi zahtevajo dokazila v zvezi z izpolnjevanji določenih varnostnih ukrepov.

* Vpisani podatki se bodo zabeležili izključno pri ponudniku storitve A1 Slovenija, ki vodi, vzdržuje in nadzoruje zbirko zbranih osebnih podatkov posameznikov v skladu z zakonom o varovanju osebnih podatkov.