Konec leta je pred vrati in sprašujemo se, kakšna bo kibernetska varnost v letu 2023. Katere grožnje bodo vodjem informacijske varnosti kratile spanec in kakšne ukrepe bodo varnostne ekipe sprejele za zmanjšanje tveganj? Se bodo organizacije osredotočile na oblikovanje strategij ali se bodo zanašale na ad hoc odzive na grožnje v realnem času?
Razvoj oblačnih tehnologij in interneta stvari (IoT) je v zadnjih letih razširil področje groženj in razvnel domišljijo hekerjev. Rezultat so med drugim napadi na oskrbovalne verige, ki lahko ohromijo več organizacij hkrati.
Ransomware v geopolitičnem kontekstu
Politično motivirani in državno vodeni napadi z izsiljevalsko programsko opremo (ang. ransomware) so leta 2022 močno vplivali na strategijo odziva. Izbruh kibernetske vojne ob rusko-ukrajinskem konfliktu je povzročil finančne izgube številnim podjetjem po vsem svetu. Kot pravijo napovedi*, se stanje na kibernetskem bojnem polju leta 2023 še ne bo umirilo; napadi bodo postali le še bolj sofisticirani in se bodo preusmerili z lokalnih v oblačne podatkovne baze ter tako onemogočili storitve v oblaku. Ker se napadi z izsiljevalsko programsko opremo običajno začnejo s socialnim inženiringom, je izobraževanje in usposabljanje uporabnikov na tem področju zelo pomembno.
Močna gesla in večfaktorska avtentikacija
Učinkovitost gesel je bila v letu 2022 redno na tapeti in tako bo tudi v prihodnje. Strokovnjaki pravijo, da dvofaktorska avtentikacija sama po sebi ne bo več dovolj. V zadnjih letih se je pojavil trend uporabe relativno šibkega gesla, okrepljenega z dvofaktorsko avtentikacijo – bodisi SMS-sporočilom bodisi različnimi avtentikatorji. Ker so napadalci v tem času nadgradili svoje spretnosti pri prestrezanju enkratnih žetonov v realnem času, bodo morala osnovna gesla spet postati močnejša. Poleg tega je zelo priporočljivo, da varnost gesel okrepite z novejšimi rešitvami za večfaktorsko avtentikacijo, kot je FIDO2, in avtentikacijo, povezana z vedenjem uporabnika; npr. avtentikacija na podlagi uporabe določenega brskalnika, hitrosti tipkanja ali načina uporabe miške.
Ne glede na to, kako močno je geslo, lahko spreten napadalec uporabnika še vedno prelisiči, da ga razkrije in mu pove celo drugi faktor avtentikacije. Zato še enkrat poudarjamo, da je izobraževanje in usposabljanje uporabnikov v prepoznavanju napadov socialnega inženiringa res ključnega pomena.
Varnost v oblaku in internetu stvari
Tehnologije v oblaku ter posledično uporaba aplikacij in interneta stvari so v poslovna okolja prinesle ogromno koristi. Delo kadarkoli in kjerkoli je povečalo prilagodljivost poslovnih procesov, odprlo nove možnosti za preživljanje kakovostnega časa z našimi bližnjimi in poenostavilo usklajevanje dela in zasebnega življenja. Vendar ta svoboda prinaša tudi večja tveganja za poslovno okolje. Sistemi IT so postali bolj odprti in dostopni, storitve v oblaku ponujajo neprekinjeno povezavo 24/7, hkrati so se možnosti, da bo napadalec posegel v naš spletni promet, skokovito povečale.
Dodatno tveganje v internetu stvari predstavljajo API-ji, saj pogosto niso dokumentirani in organizacije niti ne vedo, koliko in katere API-je uporabljajo v svojem sistemu. V skladu s poročilom družbe Postman 2022 State of the API Report je “približno 20 % vprašanih izjavilo, da se v njihovi organizaciji vsaj enkrat na mesec zgodijo varnostni incidenti, povezani z API-ji, ki imajo za posledico izgubo podatkov, izgubo storitve, zlorabo ali neustrezen dostop”. Dobra novica pa je, da je polovica vprašanih dejala, da se varnostni incidenti pri njih zgodijo manj kot enkrat letno.
V Carbonsecu močno podpiramo uporabo novih tehnologij, hkrati pa strokovnjake za kibernetsko varnost v poslovnih okoljih pozivamo k oblikovanju in vpeljavi politik uporabe aplikacij in mobilnih naprav. Med osebno in poslovno uporabo mora biti jasna ločnica. Poleg tega morajo osebe, odgovorne za kibernetsko varnost, redno preizkušati odpornost okolij v oblaku in interneta stvari. Vsaka nova aplikacija, vključena v IoT, lahko spremeni razmerja v okolju, zato je zelo priporočljivo, da ob vsaki spremembi izvedete penetracijski test.
Kibernetska varnost v letu 2023 – vključite jo na dnevni red vodstvenih kolegijev
Zdaj je verjetno že jasno, da kibernetska varnost ni povezana le s tehnologijo – postaja predvsem poslovni izziv. Podjetje, ki je žrtev kibernetskega napada, tvega izgubo ugleda in zaupanja strank, da ne omenjamo finančnih stroškov forenzike in obnove podatkov. Vodstvo se mora zavedati kibernetskih tveganj v svojem informacijskem okolju in posledic, ki jih lahko povzročijo. Ker vodilni običajno niso in ne morejo biti strokovnjaki za kibernetsko varnost, je pomembno vzpostaviti zaupanje v organizaciji in v največji možni meri upoštevati priporočila, ki jih ekipa za kibernetsko varnost predlaga kot izboljšave.
Ker na trgu primanjkuje strokovnjakov za kibernetsko varnost, se morajo podjetja zanašati na zunanje osebje, ki nadzoruje njihovo okolje IT. Če je mogoče, poskrbite, da imate v podjetju usposobljene ključne kadre za kibernetsko varnost, ki lahko učinkovito komunicirajo z zunanjimi centri SOC in ponudniki storitev. Pri upravljanju občutljivih podatkov in sistemov je komunikacija ključnega pomena.
Dobra komunikacija je še posebej pomembna v dobavnih verigah. Če je en člen verige izpostavljen kibernetskemu napadu, se morajo vsa druga podjetja v verigi takoj odzvati in ustrezno ukrepati. Če želite zagotoviti najvišjo možno raven varnosti v dobavni verigi, razmislite o uvedbi spremljanja tveganj in ranljivosti tretjih strak v realnem času. In seveda ne pozabite redno spremljati in odpravljati tveganj in ranljivosti v svojem sistemu.
Pripravljate strategijo kibernetske varnosti?
Strategija kibernetske varnosti je postal precej priljubljen koncept in upamo, da se ta trend ne bo ustavil. Vendar pa kibernetska varnost v vsakem primeru zahteva takojšnje ukrepanje. Pisanje strategije je lahko ena od nalog, ki vam bo pomagala pri obvladovanju groženj in ranljivosti v prihodnosti, vendar je zaščita okolja IT v danem trenutku glavna prioriteta.
Kljub strategiji bodite agilni in se prilagodite najnovejšim smernicam. Ko bo izredna situacija odpravljena, se vrnite na predhodno začrtano pot. In ne pozabite: tudi napadalci imajo svojo strategijo – da vas vedno znova speljejo na led.
Da bo kibernetska varnost v letu 2023 kar se da trdna …
Za konec bi radi poudarili ključna sporočila in priporočila, da bo v vaši organizaciji kibernetska varnost v letu 2023 kar se da trdna.
- Uporabljajte močna gesla v kombinaciji z multifaktorsko avtentikacijo.
- Izobražujte in usposabljajte svoje uporabnike.
- Redno izvajajte penetracijske teste, zlasti pa po vsaki večji spremembi v IT sistemu.
- Sprejemajte nove tehnologije in pri vpeljavi varnost postavite na prvo mesto.
- Kibernetska varnost naj bo strateška prednostna naloga podjetja.
*Viri:
Ozaveščanje uporabnikov
Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.
Penetracijski test
Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.
Varnostno svetovanje
Varnostno svetovanje obravnava zrelostni nivo informacijske varnosti in ponudi predloge za optimizacijo ali nadgradnjo z novimi napravami.