Danes živimo v svetu, kjer skoraj ne mine dan, da ne bi izvedeli za nov kibernetski vdor, kriptiranje podatkov podjetja, krajo kritičnih poslovnih podatkov ali okužbo osebnih in poslovnih naprav z novim tipom škodljive kode, za katero do tega trenutka nihče na svetu sploh ni vedel, da obstaja.
Samo v zadnjem letu sta se zgodila resen kibernetski napad na največjo slovensko komercialno televizijo ter vdor v enega največjih svetovnih razvijalcev orodij za upravljanje IT okolij Kaseya. Prišlo je do napadov na največji ameriški naftovod Colonial ter največjega brazilskega dobavitelja govejega in svinjskega mesa JBS. Pozabiti ne smemo niti na kritične napake v programski opremi organizacij Microsoft ter Apache Foundation, kateri sta prizadeli tisoče podjetij in organizacij po celem svetu, ne glede na branžo ali velikost.
Primerjava tipov kibernetskih napadov med letoma 2009 in 2020 kaže, da se tipi napadov v zadnjih desetih letih niso bistveno spremenili, bistveno pa se je povečal poudarek na zlorabi »mehke« komponente, torej ljudi – izobrazba vodstva in zaposlenih glede kibernetskih tveganj je zato kritična!
Kako resna je nevarnost kibernetskih napadov nam pove tudi dejstvo, da je ameriška vlada konec lanskega leta razpisala enako nagrado za informacijo o vodjih organiziranih kriminalnih združb, ki se ukvarjajo s kibernetskim kriminalom, kot za najbolj iskane teroriste – 10 milijonov ameriških dolarjev.
Vodstvo podjetja in kibernetska varnost
Uprava podjetja in izvršna ekipa morata biti usklajeni glede tveganj, povezanih s kibernetskimi grožnjami. Odgovornost uprave je zagotoviti, da ima izvršna ekipa načrt, je pripravljena ter da je zagotovljena tudi priprava celotne organizacije na morebitni napad. Vprašanje ni, ali se bo napad zgodil in kako ga preprečiti. Prava vprašanja so:
- Kdaj bo do napada prišlo?
- Ali je organizacija pripravljena zaznati napad?
- Ali je organizacija pripravljena ustaviti napad?
- Ali je možno ublažiti učinke napada in se čim prej vrniti v normalno delovanje organizacije?
Kibernetska varnost podjetij in organizacij ter z njo povezana tveganja prav zaradi tega ne smejo biti samo zadolžitev vodij IT oddelkov ali vodij informacijske varnosti, temveč se jih mora zavedati celotno vodstvo:
- Direktorji morajo razumeti pravne posledice kibernetskih tveganj, saj so direktno povezana z delovanjem njihovega podjetja.
- Direktorji morajo razumeti in pristopiti h kibernetski varnosti kot k strateškemu tveganju podjetja, ne le kot tveganju IT okolja.
- Direktorji morajo pričakovati, da bo vodstvo vzpostavilo okvir za upravljanje kibernetskih tveganj za celotno podjetje z ustreznim kadrom in proračunom.
- Upravni odbori morajo imeti dostop do strokovnega znanja o kibernetski varnosti, razpravam o obvladovanju kibernetskih tveganj pa je treba na dnevnih redih sestankov nameniti redni in ustrezen čas.
- Razprave uprave o kibernetskem tveganju morajo vključevati identifikacijo in oceno finančne izpostavljenosti kibernetskim tveganjem in tveganja, ki jih je treba sprejeti, ublažiti ali prenesti, na primer prek zavarovanja, kot tudi podrobne načrte, povezane z vsakim pristopom znižanja tveganj.
Proračun za kibernetsko varnost
Številna podjetja in organizacije začnejo graditi svoj proračun za kibernetsko varnost pod napačno predpostavko, da verjetno nikoli ne bodo napadene. Tako verjamejo, da lahko varno zmanjšajo svoje investicije v kibernetsko varnost. Med ogromno podjetji, ki so se počutila enako, se je večina sčasoma – na težji način – naučila, da lahko napadi zadenejo katero koli podjetje, kadarkoli.
Ni pomembno, ali govorimo o večjem ali manjšem podjetju, saj so napadi pogosto naključni ter avtomatizirani. V mnogih primerih je tako biti glinen golob na strelišču. Če organizacije uporabljajo določeno programsko ali strojno opremo in ima ta oprema pred tem ne-znano varnostno ranljivost, ste lahko uspešno napadeni.
Ena največjih napak, katero naredijo vodje podjetij, ko sestavljajo in dodeljujejo proračune za kibernetsko varnost, je enakomerno razporejanje sredstev na vsa področja kibernetske varnosti v poskusu, da bi na splošno zmanjšali tveganje. Glavna težava tega pristopa je, da bodo organizacije premalo vlagale v področja, ki dejansko predstavljajo največje tveganje, medtem ko bodo porabile preveč v manj tvegana domene. V nekaterih organizacijah je tako lahko varnost dobavne verige in njene osnovne operativne tehnologije bistveno bolj kritična za poslovne operacije kot varnost prizadevanj za selitev v oblak.
Obvladovanje kibernetskih tveganj
Vodstvo podjetja se tako pri upravljanju poslovnih procesov tudi pri obvladovanju kibernetske varnosti v veliki meri ukvarja z identifikacijo, obvladovanjem ali prenosom tveganj. Identifikacija in analiza tveganj povezanih s kibernetsko varnostjo predstavlja odlično izhodišče pri oblikovanju smernic smotrnih investicij v različne vidike kibernetske varnosti.
Skupaj s strokovnjaki iz podjetja NIL lahko opravite analizo kibernetske varnosti vašega podjetja, kjer bomo na delavnici v sodelovanju z vašimi zaposlenimi izvedli analizo varnostnih kontrol v vašem okolju. Zaključno poročilo vam lahko služi kot izhodišče načrtovanja kibernetske varnost v vašem okolju, kot primerjava s predhodnim stanjem ali kot zagotovilo, da je vaše podjetje pripravljeno na najhujše.
Avtor: Stojan Rančić, IT-varnostni arhitekt, NIL
Članek je bil izvorno objavljen v reviji MQ (#50, april 2022).
Vodstveni pogled na kibernetsko varnost
“Kakršnakoli naložba v kibernetsko zaščito je ali bo prav gotovo zanemarljiva v primerjavi s ceno povrnitve delovanja podjetja v prvotno stanje po morebitnem vdoru,” pravi Beno Ceglar, generalni direktor, NIL.