Zadnjih nekaj let po eni strani beležimo vedno večje število varnostih groženj in po drugi vedno večje vložke v naprave za upravljanje kibernetske varnosti. Kibernetsko bojno polje je večje in z raznovrstnimi vektorji napada bolj zapleteno kot kadarkoli. Čeprav kibernetska varnost po definiciji obsega zaščito IT sistemov, omrežij, aplikacij in podatkov pred kibernetskimi napadi, sej je treba zavedati, da pri tem ne gre le za tehnologijo, temveč za kibernetsko varnost kot poslovni izziv.
To zlasti drži od začetka pandemije Covid-19, ki je, kot kaže, trajno spremenila način dela, kraj dela in uporabo delovnih sredstev. Razpršenost sredstev in uporabnikov (zaposlenih) je vodstva podjetij prisilila v reorganizacijo procesov in samega dela. V raziskavi, ki so jo za leto 2021 opravili v podjetju Gartner, je 88 % kolegijev direktorjev kibernetsko varnost prepoznalo kot poslovno in ne tehnološko tveganje.
Kibernetska varnost in izziv »nove normalnosti«
Ko se ozremo na preobrazbe, ki so jih v zadnjih letih doživela podjetja in organizacije, se nam postavi kar nekaj vprašanj:
- Je bil postopek digitalizacije usklajen med različnimi deležniki v organizaciji ali so se je lotevali ločeno po oddelkih?
- So pri prehodu iz lokalno nameščene programske opreme v oblak opravili analizo tveganja ter pregledali in prenovili varnostne politike?
- Sta delo na daljavo in uporaba službenih naprav pogodbeno urejeni in v skladu z varnostnimi politikami?
Sodobno poslovno okolje ni omejeno na eno organizacijo. Zahvaljujoč oblačnim tehnologijam se povezuje z drugimi organizacijami znotraj dobavne verige in nudi boljšo uporabniško izkušnjo – tako za zaposlene kot za stranke. Hkrati pa odpira tudi več varnostnih lukenj, ki jih napadalci lahko izrabijo.
Naslednji izziv je poplava IT sredstev in aplikacij, ki jih uporabljamo v poslovnem okolju; veliko jih temelji na oblačni tehnologiji in IT osebje pogosto niti nima natančnega pregleda nad tem, kaj vse se uporablja v omrežju. Poleg tega se lahko v različnih oddelkih dnevno sprejemajo odločitve o uporabi nove opreme brez posvetovanja s CIOm ali CISOm.
Če povzamemo, množica naprav in aplikacij, slaba koordinacija in komunikacija lahko odprejo vrata spletnim napadalcem in organizacijo izpostavijo visokim varnostnim tveganjem. Kako naprej?
Nujna je sprememba paradigme: ne več kot tehnološki, temveč kibernetska varnost kot poslovni izziv
V raziskavi, ki jo je leta 2016 opravila ISACA, je 82 % vprašanih odgovorilo, da njihovo vodstvo skrbi kibernetska varnost. Omenili smo že, da je v Gartnerjevi raziskavi 88 % respondentov odgovorilo, da je kibernetska varnost poslovni izziv. Pa kljub temu Gartner navaja, da je le 12 % vprašanih na ravni uprave podjetja oblikovalo odbor za kibernetsko varnost.
Zakaj napredujemo tako počasi? Menimo, da je glavni razlog to, da še ni prišlo do spremembe paradigme. Tradicionalno so bili strokovnjaki za kibernetsko varnost del tehničnih ekip; nameščali in konfigurirali so varnostne naprave, uveljavljali varnostne politike ter občasno opomnili sodelavce, naj zaklepajo zaslon in naj v poslovne prostore ne spuščajo nepoznani ljudi. Vse to je bilo vezano na eno podjetje in eno IT okolje.
Oblačne tehnologije so prinesle nov način komunikacije in prenosa podatkov po dobavni verigi; ta lahko vključuje dve, lahko pa tudi deset ali več podjetij. Si predstavljate, koliko vstopnih točk ima na voljo napadalec, da se pretihotapi v omrežje in premeša karte? Varnostni incident v tem primeru ni več stvar enega podjetja, temveč se razširi na vsa podjetja v nabavni verigi. Posledično se zadeva ne reši le z varnostno posodobitvijo, ki jo opravi interni IT; obvestiti je treba vsa podjetja v verigi, zadeva se ureja na viši ravni. To je le en vidik, kjer imata CIO in CISO tudi pomembno poslovno vlogo.
Naj CIO in CISO doprineseta k poslovnemu uspehu
Pereč problem v kibernetski varnosti je tudi spreminjanje IT okolja in sprejemanje odločitev, ki na to vplivajo, ne da bi se prej posvetovali z odgovornim za kibernetsko varnost. Morda gre le za dodatek k aplikaciji, ki pa lahko bistveno vpliva na razmerja znotraj IT arhitekture in povezave znotraj okolja; odpre lahko varnostne luknje in zniža raven kibernetske varnosti. To se pogosto zgodi, ker lahko CIO ali CISO blokira novo namestitev iz varnostnih razlogov, česar uporabnik ne želi. Naj kibernetska varnost ne bo ovira! Izkoristite jo kot priložnost za nadgradnjo poslovanja.
S prejšnjim primerom in ranljivostjo kibernetske varnosti je povezan tudi hiter prehod na delo na daljavo med epidemijo Covid-19. Uporabniki, ki službene naprave uporabljajo v zasebne namene in obratno ter nanje nameščajo nove aplikacije, ne da bi se posvetovali s strokovnjaki za kibernetsko varnost, izpostavljajo organizacijo varnostnim tveganjem. Vodstvo mora najti skupen jezik glede uporabe službenih in privatnih naprav ter dela na daljavo, CIO ali CISO pa morata informacije predati uporabnikom.
Finančni vidik trajnostnega upravljanja s kibernetsko varnostjo
Sredstva za kibernetsko varnost so običajno skopa, čeprav se je v zadnjih letih stanje izboljšalo. Po eni strani velja prepričanje, da več vložka v varnostne naprave pomeni boljšo zaščito in obratno.
Naš pristop je drugačen: trošite pametno. Nekaj varnostnih naprav zagotovo potrebujete; večji kot ste, večje bo njihovo število. Vendar pa ni treba, da v svoje okolje vključite vse novosti, ki so na voljo na trgu. Odločajte se za pametne naložbe in postopno gradite kibernetsko varnost:
- Optimizirajte konfiguracijo obstoječih varnostnih naprav.
- Redno testirajte svoje okolje s penetracijskimi testi in Red Teaming vajami; tako dobite najbolj realno sliko, kako varen je vaš IT sistem in kako ranljivi ste.
- Trenirajte uporabnike, saj je socialni inženiring najbolj učinkovita vstopna točka za napadalce.
- Posvetujte se z izkušenimi strokovnjaki.
- Po potrebi nadgradite kibernetskovarnostno zaščito z novimi aplikacijami, napravami in sistemi.
Takšen pristop vam bo dal dober vpogled v stanje kibernetske varnosti v vaši organizaciji. Zavedali se boste svojih šibkih točk in investirali v prave segmente IT sistema. Po drugi strani pa se boste lahko zanesli na tiste dele, kjer ste v zaščiti pred napadalci najmočnejši.