Članek je bil prvotno objavljen v reviji Kibernetska varnost časnika Finance 23. 2. 2024.
Rezultati varnostnih testov so osnova za izboljšave poslovanja, storitev in izdelkov
“Pri vdornih testih v notranjem omrežju so največji problem neustrezne sistemske nastavitve, nepodprta ali varnostno neposodobljena programska oprema in šibka gesla,” pravi Grega Prešeren, tehnični direktor podjetja Carbonsec d.o.o., ki je specializirano za izvajanje varnostnih testov sistemov, aplikacij in naprav.
Pričakovali bi, da napadalec do notranjega omrežja sploh ne pride, saj imajo podjetja vpeljane varnostne mehanizme, ki zaustavijo napad že zunaj.
Drži, podjetja običajno dobro skrbijo za zaščito sistema pred napadi od zunaj. To lahko trdim vsaj za velika podjetja, s katerimi največ sodelujemo. Zato napadalci za vstop v omrežje izkoriščajo ranljivost zaposlenih. Z dobro izdelanimi napadi z ribarjenjem (ang. phishing) brez težav pridejo do poverilnic. Zavedati se moramo, da je dovolj en nepreviden uporabnik in vrata se odprejo.
Omenili ste, da večinoma delate z velikimi podjetji. Ali opažate kakšne razlike glede na branžo?
Seveda, že pravno gledano so določene panoge podvržene strožjim ukrepom. Na splošno lahko rečem, da je za kibernetsko varnost najbolje poskrbljeno v bančništvu. Velik napredek zaznavamo tudi na področju energetike. Vse več testiramo industrijska okolja, ki so zdaj tudi IP-povezljiva. Zagotovo bo veliko spremembo prinesla vpeljava evropske uredbe NIS 2 v lokalno zakonodajo. Menim, da se bodo s širšim krogom zavezancev zmanjšale razlike v ravni kibernetske varnosti in odpornosti med panogami.
Kakšne spremembe pričakujete v upravljanju kibernetske varnosti po sprejetju novega zakona?
Eno je zagotovo širši krog zavezancev, ki bodo bolj strateško pristopali k upravljanju varnosti, kar pomeni več spremljanja, testiranja in neprestanega izboljševanja. To je tudi cilj upravljanja kibernetske varnosti – stalne izboljšave. Poleg tega se bo na račun spremljanja varnosti dobaviteljev razširila mreža zunanjih varnostnih testov. Zaradi tega ukrepa bo boljša kibernetska varnost postala pomembna konkurenčna prednost.
Je to nov trend – kibernetska varnost kot konkurenčna prednost?
Trend ali pa nuja, saj vsi zahtevamo varne storitve in produkte. Odgovor na to so tudi vedno pogostejši testi sodobnih IP-povezljivih naprav in strojne opreme, ki zahtevajo specialistična hekerska znanja.
Kaj so po vašem mnenju tri zlata pravila za uspešno zaščito pred napadi?
Strankam vedno priporočamo, naj poskrbijo za dobro segmentacijo omrežja, uporabo močnih in unikatnih gesel tako za uporabnike kot sisteme ter redno preverjanje in izboljševanje kibernetske odpornosti.