Filtriraj vire

Blog

Kaj mora menedžer vedeti o kibernetski varnosti

Razdalja med slabim vodjo in hekerskim incidentom je krajša, kot si misli večina menedžerjev. Kmalu bo leto dni, kar jim odgovornost za lastno organizacijo nalaga zakon. Kaj je tisti minimum, ki bi ga moral upoštevati vsakdo? Zadnje čase ste verjetno že malo siti opozoril, ki jih nizamo mediji in informacijski strokovnjaki. Toda, lani smo na […]

Jure Planinšek

Vodja skladnosti in pravne službe

Kaj mora menedžer vedeti o kibernetski varnosti – featured image

Razdalja med slabim vodjo in hekerskim incidentom je krajša, kot si misli večina menedžerjev. Kmalu bo leto dni, kar jim odgovornost za lastno organizacijo nalaga zakon. Kaj je tisti minimum, ki bi ga moral upoštevati vsakdo?

Zadnje čase ste verjetno že malo siti opozoril, ki jih nizamo mediji in informacijski strokovnjaki. Toda, lani smo na podlagi evropske direktive NIS 2 dobili prenovljen zakonski okvir, torej zakon o informacijski varnosti (ZinfV-1), ki upravam nalaga precej oprijemljivih nalog in odgovornosti.

Ne le zakon, tudi zdrava pamet

Gre za obveznosti poslovodstev, kot so upravljanje kibernetskih tveganj na ravni uprave, dokazljiv nabor tehničnih in organizacijskih ukrepov ter obvezna prijava varnostnih incidentov v kratkih rokih. S tem je kibernetska varnost po tihem postala tema nadzornih svetov, kriznih sestankov in – marsikdaj – neprespanih noči.

Gre za grozečo realnost, ki lahko v nekaj minutah ustavi proizvodnjo, ohromi poslovanje, uniči ugled ali sproži milijonske stroške, tudi pri podjetjih, ki imajo na papirju vse »urejeno«. Kar je najhuje, na koncu se bo v sodnem postopku najverjetneje znašel … kar sam direktor. O tem, da se bo v dokaznem postopku pred sodiščem le stežka otresel odgovornosti, smo na našem portalu že podrobneje pisali.
Prav zato je Urad Vlade RS za informacijsko varnost (URSIV) pripravil brezplačno osnovno usposabljanje za vodstva podjetij, ki so zavezanci po zakonu, pripravili pa so tudi smernice za osnovno usposabljanje. Ne zato, ker bi morali menedžerji znati programirati, ampak zato, ker morajo razumeti posledice odločitev.
Kibernetska varnost je tako postala del poslovne strategije. In če vodstvo ne razume, kako deluje sodobni napad, tudi ne more razumeti, kakšne obrambne mehanizme podjetje res potrebuje. Mi smo vzeli dokumente URSIV in poskusili sestaviti kratek seznam osnovnih znanj.

1. Človeški dejavnik: pogosta točka vdora


Zadnja leta poudarjamo, da so zaposleni pogosto prva tarča zlonamernih aktivnosti, saj je posameznika praviloma lažje zavesti kot tehnično obiti dobro zaščiten sistem. Phishing, lažne poslovne zahteve, direktorske prevare in druge oblike socialnega inženiringa ostajajo najpogostejši začetni vektorji napadov.

Za menedžerja to pomeni predvsem eno: kibernetska varnost ni zgolj vprašanje tehnologije, temveč organizacijske kulture. Kaj to pomeni v praksi, smo vprašali Jureta Planinška, vodjo pravne pisarne v podjetju NIL, ki je del skupine Conscia, človeka, ki se zadnja leta poglobljeno ukvarja z vlogo menedžmenta na področju kibernetske varnosti. “Če zaposleni klikne na okuženo povezavo, ker ni bil izobražen ali ker se boji prijaviti napako, je to sistemski poraz vodstva, ne le napaka posameznika,” je jasen sogovornik. Dodaja, da je odgovornost vodstva postaviti jasna pravila, zagotoviti vire in redno preverjati, ali ukrepi delujejo v praksi.

Ustvariti je treba kulturo, kjer je varnost del vsakodnevnih procesov in kjer je prijava incidenta pričakovana, podprta in dokumentirano obravnavana.

Jure Planinšek

Vodja skladnosti in pravne službe

2. Strateške točke tveganja: dostopi, gesla in identitete


Med temeljnimi vsebinami so poudarjeni tudi upravljanje gesel, uporaba močnih avtentikacijskih mehanizmov in večfaktorska avtentikacija. Za menedžerja to ni tehnična podrobnost, temveč vprašanje nadzora nad dostopi do kritičnih poslovnih sistemov. Večina sodobnih ransomware napadov se začne s kompromitiranimi poverilnicami, pogosto pridobljenimi z zelo preprostimi metodami.

Jure Planinšek poudari še zlasti pomen večfaktorske avtentikacije (MFA): “V svetu digitalnih identitet je geslo brez MFA danes v praksi praktično enako odklenjenim vratom.” Kot pojasnjuje, se menedžer ne sme ukvarjati s tehničnimi podrobnostmi, mora pa biti obseden z vprašanjem, kdo ima dostop do najbolj kritičnih sistemov in ali to znamo dokazati. Kot pravi, je identiteta postala nov varnostni obod podjetja. “Največja tveganja so pogosto ‘privilegirani računi’ ter pozabljeni dostopi nekdanjih zaposlenih. Vodstvo mora razumeti princip najmanjših privilegijev: vsakdo dobi le toliko dostopa, kolikor ga nujno potrebuje, ker vsak dodatni privilegij pomeni dodatno površino napada,” nujne točke znanja s področja dostopov strne Planinšek.

Odgovornost za direktorske prevare (t.i. CEO-fraud) je primarno na podje(…)

Sodba VDSS Pdp 529/2024 je jasno izpostavila, da je za direktorske prevare primarno odgovorno podjetje, ki mora izvajati ukrepe zagotavljanja kibernetske varnosti. Brez dokazov o hudi malomarnosti del…

Preberi več
O avtorju/avtorici

Jure Planinšek

Vodja skladnosti in pravne službe

Mag. Jure Planinšek je vodja skladnosti in pravne službe v podjetju NIL d.o.o. Pri svojem delu se osredotoča na gospodarsko in informacijsko pravo, kibernetsko varnost ter regulativno skladnost. Je skrbnik sistemov vodenja in ISO presojevalec po standardih ISO 9001, ISO/IEC 27001 in ISO 22301. Je tudi vodja sekcije gospodarskih pravnikov Slovenije.

Jure Planinšek

Vodja skladnosti in pravne službe

Recent Blog posts

Povezane

vsebine