Človek je hkrati najšibkejši in najmočnejši člen kibernetske varnostne verige, poudarja mag. Matevž Mesojednik, vodja NIL-ovega varnostno-operativnega centra. Zaposleni so pogosto tarče, varnostni analitiki v varnostno-operativnih centrih pa steber obrambe pred sodobnim kiberkriminalom.
Intervju je bil objavljen v časniku Finance, 12. julija 2018. Spraševal je Miran Varga. Intervju v PDF obliki je na voljo tukaj.
Informacijska varnost je danes pereča tema v poslovnih okoljih. Zakaj?
Uspešnost poslovanja organizacij, tujih ali domačih, je danes ne le podprta, temveč pogojena s stabilnim delovanjem informacijskega sistema. Okrnjenost delovanja njegovih vitalnih funkcij lahko privede do motenega ali povsem prekinjenega izvajanja ključnih poslovnih procesov organizacije. To pa boli. In bolečina ni prav nič manjša v primeru kibernetskega napada, katerega posledice so lahko katastrofalne, kot npr. ohromitev poslovanja ali izguba podatkov, ugleda in poslovnih partnerjev. Vrednotenje tveganj je že v svoji zasnovi povezano s tehtanjem pogostosti ter verjetnosti uresničitve groženj in z njimi povezanih posledic.
Kako se z zagotavljanjem informacijske varnosti soočajo slovenska podjetja?
Slovenska podjetja prav tako kot tuja stremijo k intenzivnejšemu povezovanju informacijskih sistemov ter njihovih uporabnikov, posledično pa odpirajo tudi nove priložnosti za kibernetske zlorabe. Pri tem poslovna tveganja obvladujejo različno preudarno, celovito in kontinuirano. Pisane strategije ciljev kibernetske varnosti pridobivajo na pomenu (tudi na državnem nivoju), podjetja se vse pogosteje odločajo za vzpostavitev sistemov upravljanja informacijske varnosti. Pomemben del nastalega dokumentarnega gradiva podjetja pripisujejo vzpostavljenim procesom in kontrolam preprečevanja varnostnih incidentov. Osebno v pobudah še vedno pogrešam akcijsko noto uresničevanja teh ciljev (kadri, znanja) in več poudarka na zmogljivostih zaznave in odziva na napredne kibernetske grožnje.
Kako nevarni so v praksi različni napadi in škodljive kode – se domača podjetja pogosto znajdejo med žrtvami, ali pa zaradi naše majhnosti za napadalce nismo zanimivi?
Napadalci postajajo vse pametnejši in nevarnejši, saj so dobro založeni z denarnimi vzpodbudami. Skupen zaslužek celotne palete kibernetskega kriminala – kamor štejemo tudi izsiljevalske viruse, kiberkriminal kot storitev, preprodajo podatkov idr. – je po oceni profesorja kriminologije na Univerzi Surrey dr. Michaela McGuireja, objavljeni v raziskavi »Into The Web of Profit«, v preteklem letu po svetu dosegel 1500 milijard ameriških dolarjev. Konkretnih podatkov za Slovenijo ni, saj navadno podjetja javno ne govorijo o tem, da so bila napadena in da je bila ob tem npr. povzročena večmilijonska škoda. Nacionalni odzivni center za kibernetsko varnost SI-CERT v svojem zadnjem poročilu navaja, da je preteklem letu obravnaval 2300 varnostnih incidentov, največ doslej. Ali je Slovenija nezanimiva? Lahko bi rekel, da heker ne izbira končne tarče, vendar bi bila to netočna izjava. Pravi napredni napadalec ne cilja v prazno in navadno žal tudi ne zgreši. Napadi so vse bolj lokalno organizirani, napadalci opravijo svojo domačo nalogo. Majhna Slovenija vsekakor je na njihovem radarju – kot primera bi lahko izpostavil lanski DDoS-napad na banke ter izsiljevalski virus WannaCry. Predvsem zaradi svoje strateško zanimive geolokacije, saj predstavlja odlično tarčo za povzročanje kakršnih koli motenj – političnih, transportnih, gospodarskih in v dobi agresivne digitalizacije predvsem kibernetskih.
Kakšna bi morala po vašem mnenju biti minimalna varnostna higiena podjetij?
V tehnološkem smislu ima večina podjetij minimalne pogoje varnega elektronskega poslovanja že na dosegu roke. V mislih imam nosilne, sistemske in varnostne gradnike informacijskega sistema z vlogo podpore poslovanju. Osebno bi prvenstveno več posluha namenil pobudam varnostnih inženirjev, ki že po naravi ves čas stremijo ne le k ohranjanju temveč tudi k dvigovanju ravni informacijske varnosti. Operativnim skrbniškim ekipam praviloma kakovostnega časa za uresničevanje minimalnih varnostnih zahtev primanjkuje, torej tudi za pregledovanje, triažo in ukrepanje v primerih identificiranih varnostnih incidentov. Področji, ki sta v organizacijah (pre)pogosto podhranjeni ali nedotaknjeni, sta prav nadzorna in operativna komponenta zagotavljanja informacijske varnosti. Menim, da je organizacijsko nujna vzpostavitev kontinuiranih procesov zaznave in odziva na varnostne incidente, ki bodo kos tudi neljubim situacijam, ko (in ne če) preventiva pade. Ne le na papirju, v poročilih presojevalcem ali pristojnim službam, temveč tudi operativno – v izvajanju.
Večina večjih podjetij skrb za informacijsko varnost zaupa oddelku IT, kaj pa lahko storijo tista, ki informatikov sploh nimajo?
Ključno je zavedanje, da smo v podjetjih za izvajanje informacijske varnosti odgovorni prav vsi zaposleni, ne le oddelek IT. Stalni procesi ozaveščanja in izobraževanja zaposlenih so zato bistveni za dvig nivoja informacijske varnosti. Najbolj pogost vektor dostave škodljive kode ostaja e-pošta zaposlenemu. Napredne tehnike kibernetskih kriminalcev imajo sposobnost zaobidenja vzpostavljenih IT varnostnih kontrol. Na preizkušnji je takrat človeški požarni zid, ki pogosto predstavlja zadnjo organizacijsko varovalko pred povzročitvijo poslovne škode. V tem kontekstu sta zato za podjetja, ki so potencialne tarče kibernetskih napadov, bistvena pravočasna zaznava in odziv na (tudi uspešne) hekerske poskuse. Za podjetja brez informatikov in specializiranih varnostnih strokovnjakov je najbolj učinkovita rešitev najem storitev varnostno-operativnega centra (angl. Security Operations Center – SOC), saj ta stalno preži na pasti naprednih kibernetskih groženj in se zna nanje ustrezno odzvati.
So varnostno-operativni centri (SOC) nekakšna tržna niša na področju varnostnih rešitev?
SOC-i so morebiti tržna niša le v kontekstu ponudnika varnostnih storitev, saj te rešitve nima vsak. Gre namreč za izredno kompleksno in drago naložbo, veliko se vlaga v specializiran kader, vrhunske tehnologije in varnostne procese. V Sloveniji prostora za veliko število SOC-ov enostavno ni, za obstoječe ponudnike ti predstavljajo strateške naložbe.
Kaj pa pravzaprav počne varnostno-operativni center?
Varnostno-operativni center strankam nudi široko paleto storitev spremljanja, triaže, varnostne forenzike, varnostnega preverjanja in procesov odziva na kibernetske napade. Njegova naloga je, da zazna, torej odkrije in blokira morebitnega, tudi uspešnega napadalca, še preden bi ta lahko povzročil škodo. Anonimizirane statistike večjih ponudnikov varnostnih rešitev kažejo, da je lansko leto v povprečju pri vseh napadenih podjetjih preteklo več kot 100 dni, preden je bila prisotnost napadalca v omrežju zaznana, pri čemer je po raziskavi inštituta Ponemon škoda kibernetskega napada glede na predhodno leto narasla za 23 % na vrtoglavih 2,4 milijona ameriških dolarjev. V državah EU je povprečje še slabše, napadena podjetja napadalca v povprečju ne odkrijejo 150 dni. SOC to številko znatno zmanjša.
V Sloveniji se je v zadnjih dveh letih pojavilo več varnostno-operativnih centrov. Kako naj podjetje loči med njimi, prepozna kakovost ponudnika, loči med dobrimi in najboljšimi?
Pri izbiri ponudnikov najemnih storitev SOC svetujem preudarnost. Pomembno je, da je izvajalec kredibilen, torej da lahko ponujene storitve dejansko tudi zagotovi in dostavi. Preveriti velja potrebne kadrovske kapacitete in strokovna znanja ponudnika. Priznan varnostni strokovnjak in Gartnerjev svetovalec dr. Anton Chuvakin vedno znova poudarja, da je v SOC-u veliko bolje imeti vrhunske eksperte in analitike, ki uporabljajo povprečna orodja, kot pa povprečne analitike, ki uporabljajo najnovejša in najdražja orodja. Podjetja naj bodo pozorna še na SOC-e, ki so ali bodo zrasli iz obstoječih centrov pomoči uporabnikom. Tovrstna praksa se morda na prvi pogled zdi smiselna, saj je režim delovanja 24/7 že vzpostavljen, vendar si velja naliti čistega vina – gre za popolnoma drugo problematiko, druga znanja in predvsem druge odgovornosti.
Zakaj so se varnostno-operativni centri v Sloveniji pojavili šele v zadnjih letih?
Slovenski trg je izredno konzervativen. Spomnim se besed ene od strank, ki mi je dejala, da je NIL-ov SOC pravzaprav petelin, ki je prezgodaj zapel. Menim, da smo petelin, ki je zapel, vendar ne prezgodaj, temveč prvi. V tujini SOC-i delujejo že vsaj desetletje in to z razlogom. Kibernetski prostor je povezan, ne pozna klasičnih meja, zato napadalci tudi v primeru simpatične deželice na sončni strani Alp ne delajo izjem. Na NIL-u smo že navajeni, da smo pogosto prvi, ki orjemo ledino.
Boste NIL-ov SOC torej tržili tudi v tujini, kjer je sicer več konkurence?
Bomo, saj se tako kot z drugimi storitvami vedno želimo pozicionirati tudi v tujini.
Kaj je trenutno vaš največji izziv?
Naši izzivi so povezani s pogosto stereotipnim obvladovanjem celostnega cikla zagotavljanja kibernetske varnosti. Zaščita pred naprednimi in vse pogostejšimi hekerskimi napadi ni nujno enaka naložbi v nova varnostna orodja, ki naj bi čudežno zagotavljala zanesljivo preventivo. Nobena tehnologija ne zagotavlja popolne varnostne imunitete. Je pa mogoče sodobna varnostna orodja ustrezno prilagoditi in uporabljati z največjim možnim izkoristkom. Cikel spremljanja in obravnave varnostnih dogodkov mora biti kontinuiran proces, kjer temeljno vlogo odigrajo specializirani strokovnjaki – analitiki SOC. Vsak napredni kibernetski napad dirigira človek, zato je ključno, da proces varnostne triaže in obrambe izvajajo pravi varnostni eksperti, ki pa jih ni veliko. Na NIL-u smo tudi zato ustanovili lastno akademijo za usmerjeno vzgajanje varnostnih analitikov, ki bodo že jutri lahko na voljo za nemoteno organsko rast našega SOC.
V svetu že lahko opazimo nov trend, in sicer panožno specializacijo varnostno-operativnih centrov. Ponudniki se denimo osredotočajo na varovanje bančnih okolij, energetike, itd. Se boste tudi na NIL-u podobno profilirali ali boste ostali »varnostni generiki«?
V idealnem svetu bi seveda vsako podjetje najprej moralo imeti svoj SOC, nad tem bi nadalje morali bdeti sektorski SOC, ki bi delovali tudi kot izmenjevalci informacij glede groženj, specifičnih za določen sektor itd. Pri delovanju kompetentnega SOC je najprej ključna ekspertiza oz. razumevanje logike napadalca. Ta trenutek smo usmerjeni v naše stranke, ne glede na to, v kateri panogi delujejo. Sčasoma pa bomo, ko bo trg tudi pri nas postal zrelejši, svoja znanja še dodatno širili še na specializirana okolja.
Kako deluje SOC?
V predavanju Nad napadalce s filozofijo in ne dodatnimi napravami sta Matevž Mesojednik in Matjaž Kosem predstavila, kako deluje NIL-ov varnostno operativni center.