Kljub visokim škodam zaradi kibernetskih incidentov in vse večjim tveganjem podjetja še vedno ne vlagajo dovolj v sisteme informacijske varnosti.
Panorama letošnjih napadov potrjuje trend, ki ga zadnja leta zaznavajo v državnem odzivnem centru SI-CERT. Po poročanju ponudnikov storitev kibernetske varnosti je tudi pri letošnjih napadih šlo večinoma za ribarjenje ter v nadaljevanju izkoriščanje ranljivosti, ki mu je sledila uporaba izsiljevalskega programa, s katerim so napadalci zakodirali tako osnovne datoteke kot arhiv organizacij.
Več kompromitiranih podjetij je samo v letošnjem letu doživelo tudi milijonske škode, o katerih pa se govori le v zaključenih strokovnih krogih. Uroš Majcen, direktor kibernetske odpornosti v S&T Iskratel d. o. o. sicer ocenjuje, da je škoda pri največjih incidentih gotovo višja od 100.000 evrov – nekaj zaradi izpada delovanja, nekaj pa zaradi količine dela, ki sta ga izvajalec storitve in žrtev morala vložiti v povrnitev delujočega stanja. »Lani in predlani smo govorili o premiku iz večjega števila incidentov, kjer je škoda manjša, v manjše število incidentov, kjer pa je bila škoda večja. Tekom letošnjega leta opažamo ponovno premik k večjemu številu incidentov z manjšo škodo,« je dodal Majcen.
Tudi v Telekomu Slovenije niso želeli razkriti višine konkretnih škod, saj gre za poslovno skrivnost. »Škoda se giblje v odvisnosti od velikosti organizacije, odvisna pa je tudi od tega, s čim se organizacija ukvarja, kako je kibernetski napad razširjen in podobno. Praviloma napadalec zahteva odkupnino, ki jo je podjetje še sposobno plačati,« je razložil Janez Anžič, direktor Operativno-storitvenega centra v Telekomu Slovenije.
Za pravočasen odziv je ključno poznavanje sistemov
Kot eden najbolj pogostih vzrokov za uspešne kibernetske napade je poleg človeškega faktorja še vedno dejstvo, da podjetja ne preverjajo dovolj pogosto in tudi ne dovolj strokovno stanja svojih informacijskih virov, tako sistemov kot procesov in zaposlenih.
»Največji problem, na katerega naletimo, je še vedno neozaveščenost ali premajhna osveščenost ljudi, zaposlenih pa tudi neustrezna skrb za informacijske vire, ki so zelo pogosto prepuščeni sami sebi, brez potrebnih nadgradenj, testov ranljivosti in ustreznih kompetenc pri uporabnikih,« je izpostavil Anžič.
To potrjujejo tudi v podjetju NIL, kjer sta se kot osrednja dejavnika zagotavljanja varnosti in nemotenega poslovanja strank izkazala ravno stalno spremljanje varovanih informacijskih okolij in posledično hitra prepoznava varnostnih odstopanj.
»Pomembno je, da so osrednji gradniki informacijskega okolja ustrezno zaščiteni in pod stalnim nadzorom. Izpad poslovanja, ki ga povzroči kibernetski napad, prinese veliko izgubo podjetju, predvsem pa partnerjem, ki sodelujejo z napadenim podjetjem,« je izpostavil Matevž Mesojednik, vodja varnostno-operativnega centra v podjetju NIL.
Problematiko poznavanja dogajanja v informacijskih sistemih je nazorno razložil Uroš Majcen: »Analiza, zakaj je do vdora prišlo in opredelitev ranljivosti za kasnejšo okrepitev kibernetske odpornosti sta pomemben del reševanja napada. Sam kot največji problem vidim v pomanjkanju podrobnih oziroma specifičnih podatkov, na primer dnevniških datotek ali podatkov o mrežnih tokovih, torej informacij, ki nam lahko pomagajo pri raziskavi in nadaljnjem oziroma bodočem preprečevanju incidentov.«
Mesojednik je zaključil, da si stranke želijo storitve varnostno operativnih centrov, ki ne samo ščitijo njihovo infrastrukturo, pač pa tudi aktivno pristopijo k varnostni politiki v hitro rastočih in spreminjajočih se okoljih. To pomeni, da morajo tudi podjetja pri izgradnji kibernetske odpornosti razmisliti o vgrajeni varnosti, ki prehaja iz same zasnove uporabniških aplikacij in računalniških naprav v poslovne procese in delovne postopke.
Članek je bil izvirno objavljen na portalu kibernetje.si