Intervju: Informacijska varnost je strateška odločitev

Digitalizacija poslovnih in proizvodnih procesov, komunikacija prek elektronskih medijev in družbenih omrežij ter ostale oblike digitalne transformacije prinašajo obilo prednosti in priložnosti za hitrejše, bolj učinkovito delo ter konkurenčno prednost. A hkrati odpirajo pomembno vprašanje, kako in v kolikšni meri to predstavlja varnostno grožnjo.

Treba se je zavedati, da se v informacijski varnosti prepletata dva svetova: fizični in kibernetski. Pred pojavom digitalnih tehnologij in storitev smo si varnost lahko predstavljali plastično in se je zato tudi bolje zavedali. Vlomilec je razbil okno, odprl sef in ukradel denar. Tudi varnostne ukrepe ter kazenske sankcije si enostavno predstavljamo in jih razumemo.

Kibernetski prostor pa je za naše razumevanje bolj abstrakten. Večina uporabnikov digitalnih tehnologij ga ne razume in se posledično od njega na nek način distancira. Večina je aktivno udeležena le v uporabniški izkušnji, s tem pa pušča odprta vrata za nepooblaščene in zlonamerne aktivnosti. Vsak bo na parkirišču zaklenil avto; koliko uporabnikov pa se na spletu po uporabi odjavi iz uporabniškega računa?

Informacijska ali kibernetska varnost?

Ko govorimo o varnostnih rešitvah in zaščiti računalniških sistemov, je največkrat v mislih kibernetska varnost, ki je integralni del informacijske varnosti. Kibernetska varnost se ukvarja z zaščito omrežnih in informacijskih sistemov ter njihovih uporabnikov. Informacijska varnost pa temelji na tz. i. CIA triadi (zaupnost, celovitost, razpoložljivost) in se ukvarja z zaščito, varovanjem ter obrambo celotnega informacijskega okolja pred nedovoljenim dostopom, uporabo, razkritjem, motenjem, spreminjanjem ali uničenjem, z namenom zagotavljanja zaupnosti, avtentičnosti, celovitosti in razpoložljivosti podatkov ter storitev.

Soustanovitelj podjetja HP, David Packard, je dejal: »Marketing je preveč pomemben, da bi ga prepustili oddelku marketinga«. Enako velja za področje kibernetske, še bolj pa informacijske varnosti.

V praksi se zelo malo podjetij in organizacij zaveda celovitega pristopa k informacijski varnosti ter naloge zaščite informacijskega okolja v celoti prepušča oddelku informatike. Ti so mnogokrat kadrovsko in finančno podhranjeni; zagotavljanje varnosti je le del njihovih nalog. Nemalokrat je težava že v hierarhiji organizacije, saj je CISO (Chief information security officer) podrejen CIO (chief information officer), na ta način izločen iz C-nivoja vodstva ter neposrednega vpliva na strateške odločitve, hkrati pa se mora zadovoljiti z deležem skupnega proračuna za informatiko, ki se deli med razvoj, operativo in varnost.

Vprašanje v informacijski varnosti že dolgo ni več, ali se bo napad zgodil, temveč kdaj se bo zgodil. Za varnost, preprečevanje in sanacijo po napadu bi tako morali zagotavljati več pozornosti in sredstev. Prej omenjenim izzivom, s katerimi se sooča CISO, je potrebno dodati še nalogo upravičiti investicije in vložke v varnost, ki se praviloma težko merijo, ovrednotijo ter na sploh upravičujejo, dokler ni nič narobe.

V Sloveniji lani 4.280 incidentov

Po podatkih SI-CERT je bilo v letu 2023 v Sloveniji zabeleženih 4.280 incidentov, kar je 4 % večji obseg kot leto poprej in več kot 30 % v primerjavi z letom 2021. Povprečno oškodovanje pri vrivanju v poslovno komunikacijo je znašalo 30.000 evrov, v direktorski prevari 42.000 evrov, kar sta dve obliki najbolj pogostih napadov. Izrazit porast ‘ribarjenja’ (phishing) opažamo tudi v varnostno operativnem centru, še posebej krajo identitete s t. i. Adversary-in-the-Middle napadi, kjer napadalci uspešno izkoriščajo slabo varovane identitete v računalniških omrežjih tako, da s pomočjo tehnike prestrezanja ukradejo sejo uporabnika ob prijavi v spletno aplikacijo oz. storitev.

Tudi na področju kibernetske varnosti vse večjo vlogo igra umetna inteligenca. Izkoriščamo jo predvsem za hitrejšo in bolj podrobno analizo velike količine podatkov, bistven vpliv pa ima tudi pri zmanjšanju obremenitve analitika za osnovno triažo, zaradi česar se lahko bolj podrobno posveti obravnavi napada. Vlaganje v razvoj ter izobraževanje glede novih trendov sta tako bistvena elementa pri zagotavljanju kibernetske ter s tem tudi informacijske varnosti.

Vprašanje v informacijski varnosti že dolgo ni več, ali se bo napad zgodil, temveč kdaj se bo zgodil. Za varnost, preprečevanje in sanacijo po napadu bi tako morali zagotavljati več pozornosti in sredstev.

Gartner v svetovnem merilu za leto 2024 napoveduje 14,3 % večje investicije za potrebe kibernetske varnosti, skupno naj bi dosegle 215 milijard dolarjev.

Vlaganje v informacijsko varnost

Uspešni kibernetski napadi povzročijo izgubo zaupanja strank oz. uporabnikov, zahtevajo povrnitev sistema v prvotno stanje in s tem povzročijo posredno škodo, ki je običajno večja od neposredne škode, kot je recimo odkupnina za izsiljevalski virus. Manjša podjetja zaradi uspešnega napada lahko tudi propadejo, saj v primerjavi z večjimi podjetji težje namenijo del proračuna za informacijsko varnost.

Kljub vse večji ozaveščenosti še vedno veliko kibernetskih napadov ostaja neprijavljenih in nezabeleženih. Tako kot imajo njihove žrtve zadržke in pomisleke s prijavo, tako imajo še vedno majhno afiniteto k proaktivnemu zagotavljanju varnosti in tudi sredstev, potrebnih za vzpostavitev in ohranjanje visoke stopnje varnosti. Po nekaterih podatkih naj bi podjetja v Sloveniji temu namenjala 2-5 % proračuna za informatiko oz. v povprečju 20.000 evrov letno, vendar je ta podatek zaradi velikosti podjetij in pomanjkanja informacij popačen. Gartner sicer v svetovnem merilu za leto 2024 napoveduje 14,3 % večje investicije za potrebe kibernetske varnosti, skupno naj bi dosegle 215 milijard dolarjev.

Velja, da je višina investicij v informacijsko varnost odvisna od verjetnosti, da se bo incident zgodil, ter od pričakovane škode. V primeru incidenta praktično ne moremo računati na povrnitev škode ali odškodnine, saj so storilci kaznivih dejanj v kibernetskem svetu praviloma mednarodni, težko izsledljivi, njihov kazenski pregon pa praktično ničen. Zato je za informacijsko varnost najbolj pomembno izobraževanje uporabnikov, preventiva ter aktivna zaščita. Slednjo organizacija lahko zagotovi interno, vse pogosteje pa se obračajo na strokovne zunanje izvajalce, kot so varnostno operativni centri, saj ti zagotavljajo višjo stopnjo strokovnosti in odzivnosti na same dogodke ter spremembe v kibernetskem prostoru.

VIR: MQ revija Združenja Manager