Vodstveni pogled na kibernetsko varnost

Za informacijsko varnost ogranizacije je ključno, da so odločni predvsem odločevalci

Živimo v izredno spodbudnem času vsesplošnega zavedanja o pomenu digitalizacije. Tako v zasebnem kot tudi v poslovnem življenju, nenazadnje tudi v družbi kot celoti. Uspešni koraki na tem področju nam lahko omogočijo konkurenčni preboj, ki si ga tako podjetja kot država močno želimo.
Naj se tokrat omejim na podjetja. Velika večina, vsako seveda po svojem razumevanju in znanju, prilagaja, optimizira ali pa celo šele začenja svoj plan digitalne preobrazbe. Kako uspešna bodo podjetja pri izvedbi, bo seveda pokazal čas. Ključ do uspešne tranzicije bo namreč predvsem v zavedanju in ustreznih vlaganjih, ne samo v izjemne tehnološke zmožnosti, pač pa tudi v prilagoditve procesov, izobraževanje, skrb za kadre in kulturo podjetja.

Ob povečani stopnji digitalizacije je treba stalno imeti na prioritetni listi tudi vlaganje v informacijsko varnost. Digitalni svet, ki ne pozna geografskih in časovnih omejitev, žal, poleg priložnosti, odpira tudi večje možnosti zlorab. Kibernetski napadalci postajajo čedalje bolj iznajdljivi, organizirani. Njihovi poslovni modeli se izpopolnjujejo, predvsem na področju koriščenja izsiljevalskih groženj. Pravzaprav se razvija prava organizirana industrija. Nekateri javno izpostavljajo in krepijo svoje »črne« blagovne znamke. Organiziran in analitičen pristop k izboru žrtve, k načinu izvedbe vdora, k analizi sposobnosti in višine plačila za povrnitev odtujenih podatkov, vse to vodi v uspešnost kasnejšega izsiljevanja prizadetih podjetij.

Naj se sliši še tako čudno, v primeru kibernetske varnosti je sreča na strani napadalcev, saj jim zadostuje le ena uspešna izvedba, en uspešen vdor. Medtem se morajo podjetja, na strani varovanja, zaščititi pred vsako, še tako majhno potencialno grožnjo.

Ključno sporočilo odločevalcem je, da je zdaj res pravi in zadnji čas, da, če tega še niso storila, naredijo odločne korake naprej, celostno. Izvedbo ustrezne kibernetske zaščite je treba izpeljati na lastno iniciativo. V nasprotnem primeru je precej možnosti, da nas v to prisili hekerski vdor. Ovir ne bi smelo biti, predvsem ne tistih stroškovnih. Kakršnakoli naložba v kibernetsko zaščito je ali bo prav gotovo zanemarljiva v primerjavi s ceno povrnitve delovanja podjetja v prvotno stanje po morebitnem vdoru. Ponovna vzpostavitev delovanja je praviloma lahko zelo zahtevna, saj je v večini primerov potrebno graditi IT-sisteme povsem na novo.

Misel, da »naše podjetje pa res ne more biti tarča tovrstnih napadov, smo namreč premajhni in nepomembni«, ne vzdrži. Statistika pravi, da lahko podjetje z več kot zaposlenimi povprečen varnostni incident stane nekje med dvema milijonoma in petimi milijoni evrov, odvisno od branže, v kateri deluje.

Tudi v naši regiji že obstajajo pogorišča po tovrstnih napadih. O njih se v javnosti redko govori, saj bi bila to za podjetja zelo slaba reklama in bi imelo dodaten negativen vpliv na poslovanje. Poznani so primeri, ko podjetja pravzaprav niso niti vedela, da se jim je kaj takega sploh dogajalo.

In kakšne so rešitve? Kot je bilo že omenjeno, predvsem celovit plan informacijske varnosti v podjetju, ki vključuje vse sklope, najmanj pa oceno tveganj, varnostno politiko, procese, ljudi in možne tehnološke rešitve. Investicija v svetovanje s strani usposobljenih podjetij in organizacij se lahko zelo dobro povrne. Že v začetnih fazah. Večina sklopov se seveda izvaja interno, posamezne (predvsem tehnološke rešitve) pa se lahko izvaja tudi z najemom zunanjih storitev, saj ni vedno vzdržno vlagati v lastne sposobnosti. Preventiva, v smislu implementacije različnih IT-varnostnih sistemov, ni dovolj. Treba je razumeti podatkovne tokove v podjetjih in med podjetji, jih spremljati in odkrivati morebitne nepravilnosti in sumljiva delovanja. Odkrivati torej potencialne incidente in se nanje znati odzivati.

Težave se bodo v prihodnosti žal še stopnjevale. Prihajajo nove zmožnosti, podkrepljene s sposobnostmi strojnega učenja in umetne inteligence, ki bodo napadalcem omogočale še večji uspeh pri vdorih v informacijske sisteme. Res je, da bodo te rešitve pomagale tudi nam pri obrambi, a vendarle se ne smemo zanesti, da bo tehnologija sama rešila izziv. Lahko nam zelo pomaga, na koncu pa so vendarle daleč najpomembnejši ljudje, torej tisti, ki se na podlagi spremljanja velikih količin podatkov odločajo, ali je nek incident problematičen ali ne.

Ljudi z ustreznimi znanji v svetu žal primanjkuje in si jih nenazadnje podjetja tudi zelo težko privoščijo v ustreznem številu. Tu so podjetjem lahko v pomoč organizacije, ki že ponujajo tovrstne storitve.

Uspeh vsakega podjetja sloni na uspešnem sodelovanju s partnerji. In podjetja bodo čedalje bolj zahtevala in cenila transparentnost partnerjev, s katerimi sodelujejo, tudi v zvezi s stopnjo kibernetske odpornosti. Konec koncev lahko vdor v partnersko podjetje škoduje tudi njim. Na tej transparentnosti se bo v bodoče gradilo zaupanje in prav zaupanje je tisto, ki v poslu največ šteje.

AvtorBeno Ceglar, generalni direktor, NIL d.o.o.

Članek je bil izvorno objavljen na IKT portalu časnika Finance. Objavljamo z dovoljenjem.

 

Odgovornost poslovodstva za kibernetski napad

Sofisticirani kibernetski napadi in informacijski varnostni incidenti postajajo čedalje pogostejši tudi v Sloveniji. Se ne more zgoditi tudi vašemu podjetju? Kako bi se vaše podjetje odzvalo v primeru kibernetskega napada, ki bi povsem ohromil poslovanje?

Kakšne so lahko v praksi posledice nezadostne skrbnosti poslovodstva, pojasnjuje Jure Planinšek, vodja pravne pisarne na NIL-u.

Preberite članek