X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • DDoS test
    • Penetracijski test
    • Red Teaming
    • SCADA sistemi – varnostni pregled
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • Simulacija napadov po e-pošti
    • Simulacija vdora in napada
    • Brezplačna orodja
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

Kibernetska varnost ni predmet proste izbire, ampak obvezen sestavni del poslovnega sistema

Kibernetska varnost je v podjetjih kritične infrastrukture ključnega pomena. Preberite intervju z dr. Andrejem Rakarjem, CISO na Petrol d.d.

16. septembra, 2022 by Ana Bokalič

V zadnjem času se vedno bolj izpostavlja, da je kibernetska varnost tema, ki bi jo morali redno naslavljati odločevalci. Tudi na našem blogu smo pred kratkim pisali o pogledu na kibernetsko varnost s poslovnega vidika in o nujni spremembi v obravnavi kibernetske varnosti, ki jo narekujejo spremenjene okoliščine na ravni IKT. Poudarili smo pomen celostnega pristopa in vloge vodstva, ki lahko bistveno pripomore k dvigu pomena kibernetske varnosti na ravni organizacijske kulture.

Kljub temu da v praksi opažamo, da večina podjetij kibernetsko varnost še vedno obravnava »po starem« – le s tehnične plati – z veseljem ugotavljamo, da tudi v Sloveniji nekatere organizacije sledijo trendom in velja jih izpostaviti kot primer dobre prakse. Eno takšnih podjetij je Petrol d.d., kjer je CISO dr. Andrej Rakar, eden prvih strokovnjakov za preverjanje kibernetske varnosti v Sloveniji. Dr. Rakar lahko na podlagi svojih bogatih izkušenj na kibernetsko varnost pogleda z obeh strani – hekerske in obrambne. Z njim smo se pogovarjali o tem, kako pomembno vlogo igra podpora vodstva pri implementaciji rešitev in storitev za izboljšanje kibernetske varnosti, o najbolj ranljivih točkah za vstop v IT sistem in prednostih Red Teaming projektov.

dr. Andrej Rakar

CISO, Petrol d.d.

Kot strokovnjak z več kot 15 leti izkušenj v informacijski in kibernetski varnosti je dr. Andrej Rakar eno najbolj prepoznanih imen na tem področju v Sloveniji. Večino svoje kariere deluje v gospodarstvu ter svoje znanje in izkšunje deli tudi kot predavatelj na konferencah.

    Dr. Andrej Rakar, ste izkušen strokovnjak na področju informacijske in kibernetske varnosti; več kot 15 let ste bili dejavni kot pentester in svetovalec v različnih podjetjih. Zdaj pa ste dobro leto CISO – odgovorni za informacijsko varnost – v podjetju Petrol d. d. Ali zdaj, ko ste “na drugi strani”, drugače gledate na kibernetsko varnost in njeno upravljanje?

    Pridobljene izkušnje pridejo še kako prav tudi »na drugi strani«. Ker vem, kaj želim in kako to doseči, sem morda zato zahtevnejši do ponudnikov. Končni cilj – doseči višji nivo informacijske in kibernetske varnosti – pa ostaja skupen. Moj pogled se torej ni spremenil, spoznal sem le, da je v velikih sistemih za dosego želenega cilja včasih potrebno več časa.

    Vedno bolj se poudarja pomen upravljanja kibernetske varnosti “z vrha” – na ravni uprav in kolegijev vodstva. Kakšno je vaše mnenje, je vloga CISO bolj poslovne ali bolj tehnične narave oz. katera znanja bi izpostavili za uspešno upravljanje kibernetske varnosti v velikem podjetju?

    Podpora vodstva pri upravljanju kibernetske varnosti je ključna. Včasih nujno potrebni ukrepi niso priljubljeni pri končnih uporabnikih, pa tudi sistemski skrbniki neradi sprejemajo nekatere spremembe pri delu, zlasti če to pomeni več administracije in potrjevanja. Vloga CISO mora biti zato tudi nadzorna; CISO mora imeti ustrezno avtoriteto, da lahko izpelje vse potrebno za zagotavljanje ustreznega nivoja informacijske varnosti. Ta namreč ne more biti prepuščena prosti izbiri in dobri volji vseh deležnikov.

    Znano je, da ima podjetje Petrol d. d. upravljanje kibernetske varnosti organizirano na zelo visoki ravni; tu govorimo tako o tehničnem vidiku varnostnih naprav in zaznavanja kot o izobraževanju razvijalcev in zaposlenih. Kaj je bil glavni motiv, da je vaše vodstvo prepoznalo vrednost investicij v kibernetsko varnost?

    Aktivnosti za krepitev odpornosti pred kibernetskimi napadi so v Petrolu stalnica že vrsto let. Ne zadovoljimo se z minimalnimi zahtevami, ki jih od nas narekujejo standardi in zakonodaja, temveč je naš cilj dejansko zagotoviti visok nivo varovanja informacij, kar po navadi presega minimalne zahteve. Vodstvo se zaveda, da so informacije ključnega pomena za uspešno poslovanje družbe. Le tako lahko tudi gradimo in ohranimo zaupanje naših strank in partnerjev.

    Celosten pristop k upravljanju kibernetske varnosti vključuje smotrno uporabo varnostnih naprav in sistemov, redno testiranje in preverjanje ter neprestano izobraževanje uporabnikov. Kako vrednotite vsako od teh komponent? Bi katero od njih še posebej izpostavili?

    Menim, da je vsaka komponenta enako pomembna. Le skupek različnih obrambnih pristopov, ki prispevajo k obrambi, zaznavi in odzivu, je lahko zagotovilo za učinkovito upravljanje s tovrstnimi tveganji. Če odpove en varnostni mehanizem, je pomembno, da imamo še druge zaščitne mehanizme. V primeru uspešnega vdora pa so pomembni tudi vpeljani postopki ukrepanja ob incidentu.

    Kaj pa je po vašem mnenju najbolj šibka točka informacijskega sistema? Kateri vektor napada je po vašem mnenju najtežje zaznati in odbiti?

    Po nekaterih statistkah so v kar 80 % varnostnih incidentov zanje krivi uporabniki. Povzročijo jih s svojim malomarnim ravnanjem, neznanjem ali namernimi akcijami. Če pri tem uporabljajo dostope, ki so jim uradno dodeljeni, je tovrstno početje težko zaznati. Ne smemo pa pozabiti tudi na zunanje dobavitelje in vzdrževalce. V zadnjem času je tovrstno poslovno sodelovanje s stališča kibernetske varnosti zelo pereč problem, saj kakršen koli varnostni incident pri njih zaradi povezanih sistemov lahko predstavlja resno varnostno grožnjo tudi za nas. Njihov informacijski sistem pa ni pod našim nadzorom.

    Kot izvajalci varnostnih testiranj opažamo, da je zlasti med podjetji kritične infrastrukture vedno večje povpraševanje po vajah s simulacijami dejanskih napadov – Red Teaming projekti. Kje vi vidite glavno razliko med penetracijskim testom in Red Teamingom ter dodano vrednost vsakega od njiju?

    Vsaka oblika testiranja ima svoj namen. S penetracijskim testom želimo odkriti čim več varnostnih pomanjkljivosti v informacijskem sistemu z namenom, da jih odpravimo. Pri tem tipično izvajalcem olajšamo dostope in izklopimo nekatere zaščitne mehanizme (predpostavimo najslabši možni scenarij), vendar takšen test zato ne odraža dejanskega stanja obrambe in zaznave. S t. i. Red Teaming projekti oz. kibernetsko vajo pa želimo testirati učinkovitost prav vseh komponent zaznave in zaščite, vključno z odzivom na varnostni incident. Tipično zato skrbniki informacijskega sistema niso obveščeni o poteku vaje in morajo ukrepati skladno z vpeljanimi postopki. Naloga izvajalca je zato tudi, da je pri svojih aktivnostih čim bolj neopazen.

    Kot ste omenili, pri Red Teamingu skrbniki informacijskega sistema niso obveščeni o vaji. Ko odkrijejo ali izvejo, da je bil njihov sistem testiran, se lahko pojavi tudi nekaj slabe volje. Ob tem se odpira vprašanje, kako naj CISO oz. odgovorni za izvedbo projekta po zaznanem »napadu« ne glede na izid vaje rezultate in namen testa predstavi tako, da se odnosi v ekipi ne bodo skrhali?

    Zelo pomembna faza pri Red Teamingu je tudi del »kaj smo se iz tega naučili« (ang. Lessons learned). Vsem deležnikom je treba pojasniti, da je bil cilj vaje izboljšati našo odpornost pred kibernetskimi napadi in ne iskanje krivcev za pomanjkljivosti v obrambi, zaznavi in odzivu. Na napakah v praksi se največ naučimo, tako da smo naslednjič lahko boljši.

    Za konec še morda malce provokativno vprašanje: se vam po enem letu v vlogi CISO zdi, da je kibernetsko varnost lažje testirati ali braniti?

    Nedvomno testirati. Tudi uporaba najboljših tehnoloških rešitev, varno načrtovanje sistemov in ozaveščanje uporabnikov ne morejo zagotoviti popolne varnosti pred zlonamernimi napadi, zlorabami, goljufijami, napakami človeške in tehnološke narave ter drugimi izzivi. Le s celovitim pristopom stalnega izboljševanja in lovljenjem koraka pred napadalci lahko gradimo varnejšo prihodnost.

    Naj povzamemo nekaj ključnih točk iz pogovora z dr. Andrejem Rakarjem:

    Podpora vodstva je nujna za uspešno upravljanje kibernetske varnosti, pri čemer mora imeti CISO ustrezno avtoriteto za izvajanje aktivnosti.

    Visoka raven kibernetske varnosti omogoča boljšo zaščito informacij, ki so ključnega pomena za poslovanje družbe.

    Učinkovito upravljanje s tveganji zahteva ustrezno obrambo, zaznavo in odziv, pomembno je ozaveščanje uporabnikov.

    Cilj penetracijskega testa je odkrivanje pomanjkljivosti v sistemih in njihova odprava, cilj Red Teaming vaje pa testiranje učinkovitosti vseh komponent zaznave in zaščite, tudi odziva na varnostni incident.

    Pomemben del Red Teaming vaje je analiza napak z namenom izboljšanja obrambe, zaznave in odziva ob morebitnih prihodnjih napadih.

    Razširjeno bomo o omenjenih vsebinah govorili tudi na NT konferenci 27. septembra 2022 v Portorožu:

    • O poslovnih vidikih upravljanja kibernetske varnosti bo v sklopu NT Poslovni dan – Tehnologija in družba – spregovoril Matjaž Kosem.
    • Na tehničnem delu pa v vsebinskem sklopu Varnost in identitete poiščite predavanje Red Teaming in Security Operations Center: sinergija za višjo raven kibernetske varnosti, ki ga pripravljamo v sodelovanju s podjetjem NIL d.o.o.
    Kje pa vi vidite največje izzive pri upravljanju kibernetske varnosti?
    Delite z nami svoje mnenje.

    Blog,  Consulting,  Novice blog,  kibernetska varnost,  penetracijsko testiranje,  red teaming,  security awareness,  varnostni pregled

    Naj vam pomagamo

    Pišite nam in nam pošljite osnovne informacije o vašem projektu.

    Pošljite povpraševanje

    Footer

    O NAS

    Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

    • Email
    • Facebook
    • LinkedIn

    KONTAKT

    CARBONSEC d.o.o.
    Hacquetova ulica 8
    1000 Ljubljana
    Slovenija

    info@carbonsec.com

    HITRE POVEZAVE

    • Postanite del naše skupnosti.
    • Blog
    • Pogoji uporabe
    • Politika zasebnosti
    • Piškotki

    STORITVE

    • Penetracijski test
    • Red Teaming
    • SCADA sistemi – varnostni pregled
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
    • Izobraževanje
    • DDoS test

    Copyright © 2023 Carbonsec · Created by mod.si

    This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
    Privacy & Cookies Policy

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
    Necessary
    Vedno omogočeno
    Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
    Non-necessary
    Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
    SAVE & ACCEPT