Napadalci so v veliki prednosti
dr. Blaž Babnik, vodja SOC v podjetju NIL d.o.o., nam je pojasnil, da je kibernetska varnost zelo kompleksno in zahtevno področje, zato se mora z njo nujno ukvarjati skupina strokovnjakov.
Kako ocenjujete zavedanje glede kibernetske varnosti v slovenskih podjetjih?
BB: Kolega je pred kratkim stranki predstavljal ne najbolj vzpodbudno poročilo vdornega testiranja – izvajalcu je med testom uspelo z interneta prodreti v zaledne baze. Na vprašanje generalne direktorice o oceni stanja kibernetske varnosti v podjetju je odgovoril: »Srednja žalost.« To je trenutna realnost. Veliko organizacij ne izvaja priporočil niti ukrepov, ki so znani že vsaj desetletje in ne stanejo veliko, a bi jim omogočili znatno izboljšanje obrambe poslovanja. Po drugi strani pa se srečujemo s strankami, ki se izzivov kibernetske varnosti lotevajo sistematično ter imajo izdelan program razvoja in vlaganj za več let vnaprej.
Kako naj podjetja dvignejo varnostno kulturo? Kje naj začnejo?
BB: Vodstvo se mora iskreno vprašati, ali je njihova organizacija res dovolj varna pred kibernetskimi napadi ter ali so zadovoljni z varnostno kulturo. Prepričan sem, da je v večini primerov odgovor ne. Nato morajo začeti intenzivno delati na dvigu zavedanja o pomenu kibernetske varnosti in ta prizadevanja tudi kadrovsko podpreti z ustreznimi strokovnjaki. Vsekakor pa ne smejo problema reševati na način, kot ga pogosto opažamo na trgu – samo z nakupom nove opreme. V veliki večini primerov je bolj racionalno del sredstev nameniti premisleku in tudi neodvisnemu zunanjemu nasvetu, da se določijo ukrepi, ki podjetju prinesejo največ koristi.
Danes se velikokrat omenja kibernetska odpornost – kaj ta sploh predstavlja?
BB: To je zmožnost organizacije, da uspešno deluje v okolju, kjer so grožnje in tudi incidenti del vsakdana. Že skoraj izrabljen rek je, da obstajata dve vrsti organizacij, in sicer tiste, ki so že doživele vdor, in tiste, ki ga še bodo. Odporne organizacije vedo, kako bodo reagirale ob incidentu, omejile ali preprečile poslovno škodo ter čim prej vzpostavile normalno delovanje.
Le redka podjetja bodo sama lahko poskrbela za ustrezno varovanje pred digitalnimi grožnjami in napadalci. Je varnostno-operativni center (ang. SOC) edini pravi odgovor na vprašanje, kako se ustrezno zavarovati?
BB: Odvisno od definicije SOC. SOC ni pravi odgovor, če se podjetje z nekaj sto zaposlenimi odloči, da bo njihov SOC obsegal vzpostavitev sistema za odkrivanje varnostnih dogodkov, enega zaposlenega, ki se bo ukvarjal z informacijsko varnostjo, in še študenta, ki bo nadzoroval sistem v času dopustov ali malice. Pravi SOC po drugi strani podjetju prinaša dodano vrednost. In to ni samo kibernetska odpornost, ampak kibernetska nekrhkost (ang. cyber antifragility) – žal nimam ustreznejšega prevoda. To je lastnost, da se kibernetska obramba z incidenti ali poskusi vdorov izboljšuje, ker se SOC uči ob poskusih vdorov, ki jih zazna, ter se stalno razvija, kot to počnejo živi organizmi že milijone let.
Toda SOC je v Sloveniji in tujini relativno malo ter so kadrovsko omejeni. Kaj bi se zgodilo, če bi si vsa podjetja želela najeti storitve SOC?
BB: Kot rečeno, SOC pomeni različnim organizacijam zelo različen nivo in obseg storitev. Načeloma je res pravih SOC, ki bi s časom izboljševali zmožnosti zaznave naprednih napadov in zagotavljali zadostno vidljivost informacijskega sistema, tako v Sloveniji kot tujini zelo malo. Velik problem je pomanjkanje kadra, posebej pri strankah. Ne smemo si delati utvar, da bodo vse te organizacije kar najele SOC od ponudnikov. Tistim, ki ga bodo, pa bi svetoval, naj dobro preverijo kompetence ponudnika. Cenovno privlačna ponudba lahko na dolgi rok zelo veliko stane, posledice so zelo resne. Cena ni vse, pri odločitvi naj imata prvo mesto kakovost storitve in usposobljenost ekipe SOC. Nekaj odstotna razlika v ceni lahko pomeni delujočo ali nedelujočo SOC-rešitev, kompetentne ali zgolj »kompetentne« strokovnjake. Žal na področju kibernetske varnosti varčevanje pogosto veliko stane.
Kaj pa v primeru, ko bi država želela/zahtevala prednostno obravnavo, npr. za svoje inštitucije in kritično infrastrukturo?
BB: Država bi morala imeti varnostni načrt in ustrezna pravila prednostne obravnave. Nivo kibernetske varnosti in kulture je namreč pri državnih institucijah zelo različen. Tudi potrebe in tveganja so različna. Ocenjujem, da ima večina državnih institucij še večje kadrovske izzive kot zasebni sektor. Za zagotavljanje učinkovite kibernetske obrambe moramo imeti v ekipi res usposobljene strokovnjake. Rezultati zadnje raziskave nacionalne kibernetske varnosti NCSI za 2018 niso navdušujoče. Slovenija je zasedla 36. mesto, uvrstila se je za Češko, Srbijo, Hrvaško, Romunijo ipd. Žal se tega rezultata ne da izboljšati samo s predpisi in ukazom, da bo država imela SOC, če se hkrati ne zagotovi še ostalih potrebnih pogojev.
Kako bi lahko učinkovito zajezili kibernetski kriminal?
BB: Kibernetskega kriminala nikoli ne bomo mogli povsem zajeziti, prepletanje digitalnega z realnim življenjem bo nivo tveganj še povečalo. Zlorabe se bodo selile h končnim uporabnikom, hkrati pa bo več tudi organiziranega kriminala, ki bo ciljal na podjetja. Ta se bodo morala odločiti, katere podatke nujno potrebujejo za poslovanje, zmanjšati nabore osebnih podatkov, ki jih hranijo, ter varnost vgraditi v samo arhitekturo storitev in procesov.
Ali sploh obstaja popolna obramba?
BB: Podjetje mora ščititi celotno IT-okolje, ki ga tipično sestavljajo različne in ne nujno idealno združljive rešitve (omrežje, operacijski sistemi, baze podatkov, aplikacije, ljudje). Napadalci so namreč v veliki prednosti, saj morajo na posameznem področju poznati samo eno ranljivost, medtem ko mora obramba ščititi vse. Za učinkovitost obrambe pa ni pomembna samo strokovna širina, ampak mora biti v ekipi tudi ustrezna kemija, ki vodi v učinkovito sodelovanje. Večina organizacij tega ne predvidi. Varnost je močna le toliko, kolikor je močan njen najšibkejši člen.
Spraševal: Vinko Seliškar
Intervju je bil izvorno objavljen v Časopisu Delo. Vse pravice pridržane.
Nasveti za postavitev varnostno operativnega centra in primeri iz prakse
V predavanju je Blaž Babnik izpostavili primere dobre prakse ter preko študije primera podal tudi nekaj koristnih napotkov za tiste, ki razmišljate o postavitvi svojega SOC-a.