V zadnjem času se vedno bolj izpostavlja, da je kibernetska varnost tema, ki bi jo morali redno naslavljati odločevalci. Tudi na našem blogu smo pred kratkim pisali o pogledu na kibernetsko varnost s poslovnega vidika in o nujni spremembi v obravnavi kibernetske varnosti, ki jo narekujejo spremenjene okoliščine na ravni IKT. Poudarili smo pomen celostnega pristopa in vloge vodstva, ki lahko bistveno pripomore k dvigu pomena kibernetske varnosti na ravni organizacijske kulture.
Kljub temu da v praksi opažamo, da večina podjetij kibernetsko varnost še vedno obravnava »po starem« – le s tehnične plati – z veseljem ugotavljamo, da tudi v Sloveniji nekatere organizacije sledijo trendom in velja jih izpostaviti kot primer dobre prakse. Eno takšnih podjetij je Petrol d.d., kjer je CISO dr. Andrej Rakar, eden prvih strokovnjakov za preverjanje kibernetske varnosti v Sloveniji. Dr. Rakar lahko na podlagi svojih bogatih izkušenj na kibernetsko varnost pogleda z obeh strani – hekerske in obrambne. Z njim smo se pogovarjali o tem, kako pomembno vlogo igra podpora vodstva pri implementaciji rešitev in storitev za izboljšanje kibernetske varnosti, o najbolj ranljivih točkah za vstop v IT sistem in prednostih Red Teaming projektov.
dr. Andrej Rakar
CISO, Petrol d.d.
Kot strokovnjak z več kot 15 leti izkušenj v informacijski in kibernetski varnosti je dr. Andrej Rakar eno najbolj prepoznanih imen na tem področju v Sloveniji. Večino svoje kariere deluje v gospodarstvu ter svoje znanje in izkšunje deli tudi kot predavatelj na konferencah.
Dr. Andrej Rakar, ste izkušen strokovnjak na področju informacijske in kibernetske varnosti; več kot 15 let ste bili dejavni kot pentester in svetovalec v različnih podjetjih. Zdaj pa ste dobro leto CISO – odgovorni za informacijsko varnost – v podjetju Petrol d. d. Ali zdaj, ko ste “na drugi strani”, drugače gledate na kibernetsko varnost in njeno upravljanje?
Pridobljene izkušnje pridejo še kako prav tudi »na drugi strani«. Ker vem, kaj želim in kako to doseči, sem morda zato zahtevnejši do ponudnikov. Končni cilj – doseči višji nivo informacijske in kibernetske varnosti – pa ostaja skupen. Moj pogled se torej ni spremenil, spoznal sem le, da je v velikih sistemih za dosego želenega cilja včasih potrebno več časa.
Vedno bolj se poudarja pomen upravljanja kibernetske varnosti “z vrha” – na ravni uprav in kolegijev vodstva. Kakšno je vaše mnenje, je vloga CISO bolj poslovne ali bolj tehnične narave oz. katera znanja bi izpostavili za uspešno upravljanje kibernetske varnosti v velikem podjetju?
Podpora vodstva pri upravljanju kibernetske varnosti je ključna. Včasih nujno potrebni ukrepi niso priljubljeni pri končnih uporabnikih, pa tudi sistemski skrbniki neradi sprejemajo nekatere spremembe pri delu, zlasti če to pomeni več administracije in potrjevanja. Vloga CISO mora biti zato tudi nadzorna; CISO mora imeti ustrezno avtoriteto, da lahko izpelje vse potrebno za zagotavljanje ustreznega nivoja informacijske varnosti. Ta namreč ne more biti prepuščena prosti izbiri in dobri volji vseh deležnikov.
Znano je, da ima podjetje Petrol d. d. upravljanje kibernetske varnosti organizirano na zelo visoki ravni; tu govorimo tako o tehničnem vidiku varnostnih naprav in zaznavanja kot o izobraževanju razvijalcev in zaposlenih. Kaj je bil glavni motiv, da je vaše vodstvo prepoznalo vrednost investicij v kibernetsko varnost?
Aktivnosti za krepitev odpornosti pred kibernetskimi napadi so v Petrolu stalnica že vrsto let. Ne zadovoljimo se z minimalnimi zahtevami, ki jih od nas narekujejo standardi in zakonodaja, temveč je naš cilj dejansko zagotoviti visok nivo varovanja informacij, kar po navadi presega minimalne zahteve. Vodstvo se zaveda, da so informacije ključnega pomena za uspešno poslovanje družbe. Le tako lahko tudi gradimo in ohranimo zaupanje naših strank in partnerjev.
Celosten pristop k upravljanju kibernetske varnosti vključuje smotrno uporabo varnostnih naprav in sistemov, redno testiranje in preverjanje ter neprestano izobraževanje uporabnikov. Kako vrednotite vsako od teh komponent? Bi katero od njih še posebej izpostavili?
Menim, da je vsaka komponenta enako pomembna. Le skupek različnih obrambnih pristopov, ki prispevajo k obrambi, zaznavi in odzivu, je lahko zagotovilo za učinkovito upravljanje s tovrstnimi tveganji. Če odpove en varnostni mehanizem, je pomembno, da imamo še druge zaščitne mehanizme. V primeru uspešnega vdora pa so pomembni tudi vpeljani postopki ukrepanja ob incidentu.
Kaj pa je po vašem mnenju najbolj šibka točka informacijskega sistema? Kateri vektor napada je po vašem mnenju najtežje zaznati in odbiti?
Po nekaterih statistkah so v kar 80 % varnostnih incidentov zanje krivi uporabniki. Povzročijo jih s svojim malomarnim ravnanjem, neznanjem ali namernimi akcijami. Če pri tem uporabljajo dostope, ki so jim uradno dodeljeni, je tovrstno početje težko zaznati. Ne smemo pa pozabiti tudi na zunanje dobavitelje in vzdrževalce. V zadnjem času je tovrstno poslovno sodelovanje s stališča kibernetske varnosti zelo pereč problem, saj kakršen koli varnostni incident pri njih zaradi povezanih sistemov lahko predstavlja resno varnostno grožnjo tudi za nas. Njihov informacijski sistem pa ni pod našim nadzorom.
Kot izvajalci varnostnih testiranj opažamo, da je zlasti med podjetji kritične infrastrukture vedno večje povpraševanje po vajah s simulacijami dejanskih napadov – Red Teaming projekti. Kje vi vidite glavno razliko med penetracijskim testom in Red Teamingom ter dodano vrednost vsakega od njiju?
Vsaka oblika testiranja ima svoj namen. S penetracijskim testom želimo odkriti čim več varnostnih pomanjkljivosti v informacijskem sistemu z namenom, da jih odpravimo. Pri tem tipično izvajalcem olajšamo dostope in izklopimo nekatere zaščitne mehanizme (predpostavimo najslabši možni scenarij), vendar takšen test zato ne odraža dejanskega stanja obrambe in zaznave. S t. i. Red Teaming projekti oz. kibernetsko vajo pa želimo testirati učinkovitost prav vseh komponent zaznave in zaščite, vključno z odzivom na varnostni incident. Tipično zato skrbniki informacijskega sistema niso obveščeni o poteku vaje in morajo ukrepati skladno z vpeljanimi postopki. Naloga izvajalca je zato tudi, da je pri svojih aktivnostih čim bolj neopazen.
Kot ste omenili, pri Red Teamingu skrbniki informacijskega sistema niso obveščeni o vaji. Ko odkrijejo ali izvejo, da je bil njihov sistem testiran, se lahko pojavi tudi nekaj slabe volje. Ob tem se odpira vprašanje, kako naj CISO oz. odgovorni za izvedbo projekta po zaznanem »napadu« ne glede na izid vaje rezultate in namen testa predstavi tako, da se odnosi v ekipi ne bodo skrhali?
Zelo pomembna faza pri Red Teamingu je tudi del »kaj smo se iz tega naučili« (ang. Lessons learned). Vsem deležnikom je treba pojasniti, da je bil cilj vaje izboljšati našo odpornost pred kibernetskimi napadi in ne iskanje krivcev za pomanjkljivosti v obrambi, zaznavi in odzivu. Na napakah v praksi se največ naučimo, tako da smo naslednjič lahko boljši.
Za konec še morda malce provokativno vprašanje: se vam po enem letu v vlogi CISO zdi, da je kibernetsko varnost lažje testirati ali braniti?
Nedvomno testirati. Tudi uporaba najboljših tehnoloških rešitev, varno načrtovanje sistemov in ozaveščanje uporabnikov ne morejo zagotoviti popolne varnosti pred zlonamernimi napadi, zlorabami, goljufijami, napakami človeške in tehnološke narave ter drugimi izzivi. Le s celovitim pristopom stalnega izboljševanja in lovljenjem koraka pred napadalci lahko gradimo varnejšo prihodnost.
Naj povzamemo nekaj ključnih točk iz pogovora z dr. Andrejem Rakarjem:
Podpora vodstva je nujna za uspešno upravljanje kibernetske varnosti, pri čemer mora imeti CISO ustrezno avtoriteto za izvajanje aktivnosti.
Visoka raven kibernetske varnosti omogoča boljšo zaščito informacij, ki so ključnega pomena za poslovanje družbe.
Učinkovito upravljanje s tveganji zahteva ustrezno obrambo, zaznavo in odziv, pomembno je ozaveščanje uporabnikov.
Cilj penetracijskega testa je odkrivanje pomanjkljivosti v sistemih in njihova odprava, cilj Red Teaming vaje pa testiranje učinkovitosti vseh komponent zaznave in zaščite, tudi odziva na varnostni incident.
Pomemben del Red Teaming vaje je analiza napak z namenom izboljšanja obrambe, zaznave in odziva ob morebitnih prihodnjih napadih.
Razširjeno bomo o omenjenih vsebinah govorili tudi na NT konferenci 27. septembra 2022 v Portorožu:
- O poslovnih vidikih upravljanja kibernetske varnosti bo v sklopu NT Poslovni dan – Tehnologija in družba – spregovoril Matjaž Kosem.
- Na tehničnem delu pa v vsebinskem sklopu Varnost in identitete poiščite predavanje Red Teaming in Security Operations Center: sinergija za višjo raven kibernetske varnosti, ki ga pripravljamo v sodelovanju s podjetjem NIL d.o.o.