Intervju: Vsak informacijski sistem je ranljiv, brez izjeme

Varnostni »sistematski pregledi« informacijskih sistemov v dobi e-poslovanja postajajo nuja. Naša strokovnjaka za informacijsko varnost Jan Bervar in Matevž Mesojednik sta v intervjuju za Manager pojasnila, kaj vse danes preži na podjetja in kako upravljati tveganja na področju informacijske varnosti.

Skoraj vsak dan lahko beremo o kibernetskih vdorih v podjetja in različne sisteme. So spletni kriminalci tako spretni ali je zaščita na strani podjetij tako slaba?
Bervar: Predvsem je slaba zaščita. Pogosto se podjetja sploh ne zavedajo možnih posledic kibernetskega kriminala, njihovi varnostni ukrepi pa večinoma ne sežejo dlje od požarnega zidu in protivirusne rešitve. Številna podjetja za ukvarjanje z digitalno varnostjo nimajo ne virov ne časa, in to kriminalci s pridom izkoriščajo.

Katera podjetja so najbolj ogrožena, obstaja kakšna panoga, ki je manj mikavna za spletne kriminalce?
Bervar: Za današnje spletne kriminalce je tarča skoraj vsaka organizacija, ne glede na dejavnost ali panogo. Kriminalcem je vseeno, koga napadejo, je pa res, da so nekatere industrije – denimo trgovina, energetika, finance – v splošnem slabše varovane. V nevarnosti so tudi podjetja, ki razmišljajo, da so premajhna ali premalo zanimiva, da bi jih kdo sploh napadel. Moderni načini napadov ne izbirajo tarč – s široko razpeto mrežo izkoristijo vsako priložnost, da s krajo podatkov in/ali izsiljevanjem kriminalci pridobijo vsaj nekaj deset tisočakov. V Sloveniji je nacionalni odzivni center SI-CERT lani obravnaval okoli dva tisoč varnostnih incidentov. Toliko vsaj je bilo prijavljenih, v praksi je številka še precej večja, saj nekatera podjetja sploh ne vedo, da so bila napadena, ali pa tega ne prijavijo.

Lahko varnostni pregledi preprečijo kibernetske napade?
Mesojednik: Seveda, saj na njihovi podlagi najdemo in popravimo kritične varnostne luknje podjetja, preden jih najdejo napadalci. Organizacija, ki opravi varnostni pregled in odpravi ugotovljene pomanjkljivosti, bo napad kriminalcev prestala bistveno bolje in z manj ali celo nič škode, medtem ko bodo nepregledani sistemi padli na celi črti. Varnostno pregledovanje je pomemben del delovanja vsakega informacijskega sistema, saj se ti stalno spreminjajo, prilagajajo poslovnim procesom in potrebam uporabnikov. Ker informacijski sistem načrtujemo sami, je priporočljivo, da ga varnostno pregleduje nekdo, ki razmišlja drugače kot njegov avtor, ki se ne zaveda svojih človeških napak. Zato je smiselno, da varnostno ohranjenost sistemov pregleda specializiran zunanji strokovnjak.

Torej varnostni pregled uporablja enake oblike poskusov vdora kot pravi napadalci?
Mesojednik: Drži, vendar varnostni strokovnjaki to počno pazljivo in nadzorovano. Varnostni pregled je primarno namenjen ocenjevanju odpornosti informacijskega sistema proti nastanku poslovne škode. Na temelju rezultatov varnostnega preverjanja ocenimo poslovna tveganja in pripravimo podrobna navodila za preprečevanje škode v prihodnje. Za uspešno opravljen varnostni pregled mora izvajalec odlično poznati oba pola – tako najsodobnejše tehnike vdorov kot tudi načine obrambe pred tovrstnimi napadi. Sami varnostne preglede opravljamo po celem svetu ter tako sproti spremljamo, kaj se dogaja v svetu kibernetskega kriminala. Pogosto nevarnosti vidimo, še preden te dosežejo slovensko okolje.

So vsi varnostni pregledi enaki, kako izbrati ustreznega ponudnika?
Mesojednik: Odločilna je strokovnost ljudi, ki preglede izvajajo, ter njihova sposobnost, da se vživijo tako v kožo napadalca, predvsem pa v stranke in njihove poslovne procese. Podjetju le malo koristi seznam tehničnih pomanjkljivosti, če ne zrcali potencialne poslovne škode ter za stranko specifičnih tveganj.

Kako sicer ocenjujete stanje informacijske varnosti v slovenskih družbah?
Bervar: Obstajata dve veliki težavi, zaradi katerih stanje ni zadovoljivo. Manjše organizacije same nimajo znanja za varovanje podatkov, velike organizacije pa upravljajo izjemno kompleksne sisteme in težko ocenijo, kje so vse možne točke vdora. Naš pristop je bil vedno tak, da obojim čim hitreje odpravimo poslovno kritične ranljivosti ter ta postopek ponavljamo, dokler nismo oboji zadovoljni z ravnjo odpornosti podjetja proti kibernetskemu kriminalu.

 

Oglejte si posnetek predavanja Varnost serijsko

Matevž Mesojednik je v v predavanju na konkretnih primerih naših strank opozorili na napredne poskuse zlorab, ki jih v NIL-u srečujemo in preprečujemo vsakodnevno. Izpostavil je pomembnost strateškega načrtovanja varnostnih kontrol, stalnega ozaveščanja uporabnikov in rednega varnostnega preverjanja IT sistemov.

 

Več informacij: