Razdalja med slabim vodjo in hekerskim incidentom je krajša, kot si misli večina menedžerjev. Kmalu bo leto dni, kar jim odgovornost za lastno organizacijo nalaga zakon. Kaj je tisti minimum, ki bi ga moral upoštevati vsakdo?
Zadnje čase ste verjetno že malo siti opozoril, ki jih nizamo mediji in informacijski strokovnjaki. Toda, lani smo na podlagi evropske direktive NIS 2 dobili prenovljen zakonski okvir, torej zakon o informacijski varnosti (ZinfV-1), ki upravam nalaga precej oprijemljivih nalog in odgovornosti.
Ne le zakon, tudi zdrava pamet
Gre za obveznosti poslovodstev, kot so upravljanje kibernetskih tveganj na ravni uprave, dokazljiv nabor tehničnih in organizacijskih ukrepov ter obvezna prijava varnostnih incidentov v kratkih rokih. S tem je kibernetska varnost po tihem postala tema nadzornih svetov, kriznih sestankov in – marsikdaj – neprespanih noči.
Gre za grozečo realnost, ki lahko v nekaj minutah ustavi proizvodnjo, ohromi poslovanje, uniči ugled ali sproži milijonske stroške, tudi pri podjetjih, ki imajo na papirju vse »urejeno«. Kar je najhuje, na koncu se bo v sodnem postopku najverjetneje znašel … kar sam direktor. O tem, da se bo v dokaznem postopku pred sodiščem le stežka otresel odgovornosti, smo na našem portalu že podrobneje pisali.
Prav zato je Urad Vlade RS za informacijsko varnost (URSIV) pripravil brezplačno osnovno usposabljanje za vodstva podjetij, ki so zavezanci po zakonu, pripravili pa so tudi smernice za osnovno usposabljanje. Ne zato, ker bi morali menedžerji znati programirati, ampak zato, ker morajo razumeti posledice odločitev.
Kibernetska varnost je tako postala del poslovne strategije. In če vodstvo ne razume, kako deluje sodobni napad, tudi ne more razumeti, kakšne obrambne mehanizme podjetje res potrebuje. Mi smo vzeli dokumente URSIV in poskusili sestaviti kratek seznam osnovnih znanj.
1. Človeški dejavnik: pogosta točka vdora
Zadnja leta poudarjamo, da so zaposleni pogosto prva tarča zlonamernih aktivnosti, saj je posameznika praviloma lažje zavesti kot tehnično obiti dobro zaščiten sistem. Phishing, lažne poslovne zahteve, direktorske prevare in druge oblike socialnega inženiringa ostajajo najpogostejši začetni vektorji napadov.
Za menedžerja to pomeni predvsem eno: kibernetska varnost ni zgolj vprašanje tehnologije, temveč organizacijske kulture. Kaj to pomeni v praksi, smo vprašali Jureta Planinška, vodjo pravne pisarne v podjetju NIL, ki je del skupine Conscia, človeka, ki se zadnja leta poglobljeno ukvarja z vlogo menedžmenta na področju kibernetske varnosti. »Če zaposleni klikne na okuženo povezavo, ker ni bil izobražen ali ker se boji prijaviti napako, je to sistemski poraz vodstva, ne le napaka posameznika,« je jasen sogovornik. Dodaja, da je odgovornost vodstva postaviti jasna pravila, zagotoviti vire in redno preverjati, ali ukrepi delujejo v praksi.
Jure Planinšek, NIL: »Ustvariti je treba kulturo, kjer je varnost del vsakodnevnih procesov in kjer je prijava incidenta pričakovana, podprta in dokumentirano obravnavana.«
2. Strateške točke tveganja: dostopi, gesla in identitete
Med temeljnimi vsebinami so poudarjeni tudi upravljanje gesel, uporaba močnih avtentikacijskih mehanizmov in večfaktorska avtentikacija. Za menedžerja to ni tehnična podrobnost, temveč vprašanje nadzora nad dostopi do kritičnih poslovnih sistemov. Večina sodobnih ransomware napadov se začne s kompromitiranimi poverilnicami, pogosto pridobljenimi z zelo preprostimi metodami.
Jure Planinšek poudari še zlasti pomen večfaktorske avtentikacije (MFA): »V svetu digitalnih identitet je geslo brez MFA danes v praksi praktično enako odklenjenim vratom.« Kot pojasnjuje, se menedžer ne sme ukvarjati s tehničnimi podrobnostmi, mora pa biti obseden z vprašanjem, kdo ima dostop do najbolj kritičnih sistemov in ali to znamo dokazati. Kot pravi, je identiteta postala nov varnostni obod podjetja. »Največja tveganja so pogosto ‘privilegirani računi’ ter pozabljeni dostopi nekdanjih zaposlenih. Vodstvo mora razumeti princip najmanjših privilegijev: vsakdo dobi le toliko dostopa, kolikor ga nujno potrebuje, ker vsak dodatni privilegij pomeni dodatno površino napada,« nujne točke znanja s področja dostopov strne Planinšek.
3. Naprave, mobilnost in delo na daljavo
URSIV v svojih dokumentih opozarja tudi na varno rabo naprav in omrežij, zlasti v kontekstu dela od doma in mobilnosti zaposlenih. To področje je za menedžerje pogosto nevidno, saj predpostavljajo, da so pravila jasna in da se jih zaposleni držijo. V praksi pa prav tu nastajajo sive cone: uporaba nezavarovanih omrežij, zasebnih naprav za službene namene, nenadzorovani dostopi na službeni poti, počitnicah ali doma.
»Delo na daljavo je prineslo prednosti, a spremenilo varnostni model podjetja: domača omrežja, mobilne naprave in javna omrežja lahko postanejo vstopna točka,« komentira Jure Planinšek. Kot še meni, mora zato menedžer postaviti jasna pravila: dostop do sistemov je dovoljen prek upravljanih naprav in varovanih (šifriranih) kanalov. »Če dopustimo, da se službeni podatki redno pretakajo prek nezaščitenih ali nepregledanih naprav, nepotrebno povečamo tveganje. Mobilnost zahteva disciplino in jasne meje med zasebnim in poslovnim, sicer hitro postane najšibkejši člen,« je jasen sogovornik.
4. Podatki kot tarča
Naslednje poudarjeno področje je varno ravnanje z informacijami, prepoznavanje zaupnih podatkov ter zaščita osebnih in poslovnih informacij. To je za menedžerje odločilno, saj se sodobni kibernetski napadi vse bolj osredotočajo na podatke, ne le na delovanje sistemov. Ransomware danes pogosto pomeni kombinacijo zaklepanja sistemov in groženj z razkritjem ali prodajo podatkov. Ampak kot pravi Jure Planinšek, ni vsak podatek enako vreden in nesmiselno je ščititi vse z enakimi ukrepi: »Vodstvo mora točno vedeti, kje je njihova ‘družinska srebrnina’ – najsi gre za baze strank, razvojne načrte ali ključne pogodbe. Kot pravnik vidim, da se preveč podjetij zaveda vrednosti podatkov šele takrat, ko so ti že zaklenjeni ali objavljeni na temnem spletu. Klasifikacija podatkov ni administrativna vaja, ampak strateška prioriteta.« Planinšek doda, da izguba podatkov ne pomeni le ovire v delovnih procesih, ampak lahko sproži globe in resne odškodninske tožbe.
5. Incident: trenutek resnice za vodstvo
Ena od glavnih točk se nanaša na vlogo vodstvenega kadra pri upravljanju virov in strateškem ukrepanju ob incidentih. Ko pride do resnega kibernetskega napada, se pokaže, ali je organizacija pripravljena ali ne. V takšnih trenutkih ni časa za improvizacijo. »Najslabše, kar lahko menedžer stori, je, da se o načrtu ukrepanja začne spraševati sredi napada, ko so vsi zasloni črni. Takrat nastopi panika, v paniki pa se sprejemajo napačne in najdražje odločitve,« opozarja Planinšek. Dodaja, da mora vodstvo imeti vnaprej izdelan in preverjen protokol: kdo odloča o nujnih ukrepih, kdo komunicira z javnostjo, kdaj obvestimo regulatorje in koga pokličemo na pomoč. Incident je realnost, na katero moramo biti pripravljeni, ne pa presenečenje, ki nas ohromi.
»Odgovornost za poslovne posledice napada vedno ostane na plečih vodstva, zato mora to v krizi voditi z mirno roko in vnaprej pripravljenim scenarijem,« še opozarja sogovornik.
6. Usposabljanje in zakonodajna odgovornost
Zakon jasno navaja, da morajo zavezanci izvajati redna usposabljanja zaposlenih najmanj enkrat na leto ter skrbeti za preverjanje znanja in stalno ozaveščanje. Za menedžerje je to pogosto razumljeno kot formalna obveznost, v resnici pa gre za enega glavnih obrambnih mehanizmov. Brez stalnega usposabljanja se varnostna kultura sčasoma razgradi, postopki postanejo rutina brez razumevanja, tveganje pa raste. Vodstvo, ki usposabljanje razume kot naložbo, in ne strošek, dolgoročno gradi odpornost organizacije.
Kibernetska varnost kot vprašanje vodenja
Kot smo uvodoma zapisali, se varnost organizacije začne pri posamezniku, gotovo pa se konča pri vodstvu. Vsaka odločitev, naj gre za dodeljevanje sredstev ali udeleževanje usposabljanj, neposredno vpliva na varnostno držo organizacije. Menedžerji niso odgovorni za tehnične nastavitve, so pa odgovorni za to, da njihovo podjetje oziroma organizacija razume tveganja in se nanje sistematično pripravlja.
- Človeški dejavnik: najpogostejši vstop so ljudje (phishing, prevare, socialni inženiring). Vodstvo mora vzpostaviti kulturo, kjer so pravila jasna in je prijava napake normalna.
- Dostopi, gesla in identitete: kompromitirane poverilnice so tipičen začetek napadov, zato je MFA nujen. Pomembno je upravljanje dostopov: najmanj privilegijev, brez »pozabljenih« računov.
- Naprave, mobilnost in delo na daljavo: delo na daljavo odpira sive cone (zasebne naprave, javna omrežja). Pravila naj bodo jasna: upravljane naprave in šifrirani kanali.
- Podatki kot tarča: napadalci ciljajo podatke, ne le sistemov. Vodstvo mora vedeti, kateri podatki so najbolj kritični, in jih prednostno zaščititi.
- Incident: v krizi ni časa za improvizacijo. Potreben je vnaprej dogovorjen protokol: odločanje, komunikacija, obveščanje, pomoč.
- Usposabljanja in zakonodajna odgovornost: usposabljanje ni formalnost, ampak obramba. Brez rednega ozaveščanja se tveganje hitro poveča.
Članek je bil izvorno objavljen v časniku Finance.