Kibernetska varnost in s tem povezano delovanje varnostno operativnih centrov je osrednja tema mnogih pogovorov v obdobju hitre digitalizacije družbe. Z drugimi besedami bi kibernetsko varnost lahko poimenovali tudi “digitalna varnost”. Storitve, ki omogočajo dobro razvito, socializirano družbo zahtevajo digitalne rešitve, ki temeljijo na razvitem računalniškem sistemu. Ključne sektorje, ki so pomembni za nemoteno in kvalitetno življenje lahko najdemo v Zakonu o informacijski varnosti (ZInfV), ki v Sloveniji ureja to področje. Varovanje tako velikih informacijskih sistemov je v zadnjih letih postala velik izziv za mnoga podjetja in države. Zavedanje, da je potrebno sodobne informacijske sisteme ščititi pred kibernetskimi napadi je s pandemijo Covida-19 in kasneje z Rusko-Ukrajinsko vojno postalo še bolj pomenljivo.
Tudi v NIL-ovem varnostno operativnem centru se zavedamo, kako pomembno je hitro prilagajanje potrebam, ki jih narekuje povpraševanje na trgu. Prav slednje je bila v hitro rastočem varnostno operativnem centru osrednja nit v letu 2022. Ob tem, da smo uspešno pridobili več 10 novih strank in razširili našo ponudbo storitev, smo se soočali z izzivi zaposlovanja novih strokovnjakov na temeljnih področjih izvajanja storitve. Stranke si želijo storitve varnostno operativnih centrov, ki ne samo ščitijo njihovo infrastrukturo, pač pa tudi aktivno pristopijo k varnostni politiki v hitro rastočih in spreminjajočih okoljih.
Geopolitične spremembe v letu 2022 so v okolja naših strank prinesla kar nekaj sprememb. Zadnji dve leti se je povečevalo število zaposlenih, ki so delali od doma in s tem povezani izzivi, ki jih prinese varovanje oddaljenih naprav in varne povezave v centralno delovno okolje naših strank. V iztekajočem letu, smo v operativno varnostnem centru analizirali nekaj več kot 30.000 alarmov v omrežjih naših strank. Po pregledanih alarmih smo potrdili preko 3500 primerov, kjer je bila ugotovljena in tudi zamejena zlonamerna dejavnost. Stalno spremljanje tako varovanih informacijskih okolij in posledično hitra prepoznava varnostnih odstopanj, sta se izkazala za osrednja dejavnika zagotavljanja varnosti in nemotenega poslovanja naših strank.
Tehnično zahtevno delo se je v našem varnostno operativnem centru stopnjevalo v prvi polovici leta. Konec meseca aprila, smo prejeli klic iz večjega mednarodnega podjetja o vdoru v njihove sisteme. Na situacijo smo se nemudoma odzvali in primeru namenili dediciran tim strokovnjakov za odziv na varnostni incident (ang. Incident Response – IR). V začetni preiskavi je bilo ugotovljeno, da so napadalci s pomočjo šifriranja podatkov in z uporabo zlonamerne programske opreme »Hive Ransomware« onemogočili vse osrednje storitve za poslovanje podjetja. V manj kot 14 dneh smo v prvotno delovanje povrnili vse osrednje in kritične storitve, potrebne za nemoteno poslovanje podjetja. V naslednjih fazah odziva smo v sodelovanju s podjetjem uspešno na novo implementirali in zagnali tudi preostale komponente informacijskega sistema. Ob vsem tem se prav zagotovo izkaže, kako pomembno je, da so osrednji gradniki informacijskega okolja ustrezno zaščiteni in pod stalnim nadzorom. Izpad poslovanja, ki ga povzroči kibernetski napad, posledično prinese veliko izgubo podjetju, predvsem pa partnerjem, ki sodelujejo z napadenim podjetjem.
Učinkovita kibernetska obramba je plod sodelovanja več deležnikov in skupinskega dela, ki ga soustvarjajo podjetja kot naročniki storitev, ter na drugi strani varnostno operativni centri, s številnimi strokovnjaki. Sodobna, hitro rastoča podjetja se srečujejo s porastom kibernetskih groženj. Prav tako, se tudi varnostno operativni centri srečujemo z izzivi, kako hitro in kvalitetno odgovoriti na vse nove grožnje v okoljih strank.
Naši načrti so usmerjeni v prihodnje leto. Veliko truda posvečamo področju implementacije novih rešitev v osrednji sistem varnostne orkestracije, avtomacije in odziva (ang. SOAR – security orchestration, automation and response). Velik poudarek pripisujemo implementaciji novih storitev, s katerimi želimo proaktivno pristopiti v okolja naših strank in jim ponuditi sodelovanje pri stalnem izboljševanju njihove odpornosti pred kibernetskimi napadi. Leto 2023 bo prav gotovo prineslo različne izzive, na katere smo kot ekipa NIL-ovih strokovnjakov pripravljeni in se nanje lahko tudi ustrezno odzovemo.
Matic Jerman in Matevž Mesojednik, oba NIL d.o.o.
Članek je bil izvirno objavljen na portalu kibernetje.si