Krepko smo že zakorakali v oktober – mesec kibernetske varnosti – ko še več pozornosti kot v preostalem delu leta namenjamo zaščiti podatkov in samih sebe pred digitalnimi grožnjami. S tem pa poskrbimo tudi za boljšo varnost v poslovnih sistemih. V poslovnih okoljih se nadaljuje trend dela od doma oz. z oddaljenih lokacij, hkrati pa so tudi napadalci vedno bolj vztrajni in pretkani. Vsak dan se pojavljajo nove strategije napadov, posameznik in organizacije pa so posledično bolj ranljivi. Kako naj organizacija zavaruje svoja sredstva in učinkovito dvigne raven kibernetske varnosti? V prvi vrsti je pomemben strateški pristop k upravljanju kibernetske varnosti, saj lahko bistveno zmanjša možnosti za uspešen napad in posledično tudi stroške, povezane z napadi. V tem zapisu bomo obravnavali kibernetsko varnost v kontekstu ozaveščenosti, oblačnih in IoT tehnologij, povezovanja podjetij v dobavne verige in se posebej osredotočili na krepitev kibernetske odpornosti.
Krepitev kibernetske odpornosti
Začnimo kar z odpornostjo. Kaj ta izraz sploh predstavlja? Dolga leta smo se pogovarjali o kibernetski varnosti, v zadnjih letih pa se uporablja termin “kibernetska odpornost”, kipomeni več kot “le” varnost. Cilj “odpornosti” je dokazati, ne le da si prizadevamo za najvišjo možno raven varnosti – 100 % varnost v nobenem primeru ni dosegljiva – temveč da smo zmožni preživeti in okrevati, če (ali ko) doživimo kibernetski napad. Biti kibernetsko odporen pomeni, da nam ne bo treba ukiniti storitve ali zapreti podjetja, ker smo bili napadeni. Poleg tega kibernetsko odporno podjetje postaja vedno močnejše in se iz izkušenj uči učinkovito preprečevati poskuse napadov.
Kibernetska odpornost ne pride čez noč. Zahteva visoko raven ozaveščenosti uporabnikov, podporo vodstva in dobro usposobljene inženirje, ki znajo kar najbolje izkoristit funkcionalnosti nameščenih varnostnih rešitev. Pogosto zahteva tudi zunanjo pomoč ponudnikov storitev, ki znajo svetovati in ponuditi storitve, ki celostno izboljšajo kibernetsko varnostno držo.
Kje naj začnemo z aktivnostmi za krepitev kibernetske odpornosti?
Prvi korak je odvisen od zrelostne ravni upravljanja kibernetske varnosti v vaši organizaciji. Če ste okolje z dolgo tradicijo notranjega IT oddelka in imate ekipo za informacijsko ali kibernetsko varnost, je vaše okolje na ravni varnostnih naprav verjetno že optimalno ustrojeno. V tem primeru je smiselno okrepiti sistem ozaveščanja uporabnikov in s tem zmanjšati možnost uspešnega napada s socialnim inženiringom.
Če ste majhno podjetje z le nekaj zaposlenimi in brez IT ekipe, verjetno nimate veliko sredstev za nakup varnostnih naprav. Tudi v tem primeru je smiselno začeti pri ozaveščanju uporabnikov s simulacijami napadov z ribarjenjem in učnimi gradivi za različna področja socialnega inženiringa. Izobraženi uporabniki lahko zgradijo trden živi požarni zid in blokirajo napredne poskuse kibernetskih napadov.
Kaj pa organizacije, ki imajo zastarelo infrastrukturo, kadrovsko podhranjeno IT ekipo in veliko število uporabnikov? V tem primeru je za krepitev kibernetske odpornosti verjetno smiselno najprej urediti – posodobiti, nadgraditi, dokupiti – tehnologijo. Zakaj? Če želimo do zadovoljive ravni izobraziti veliko število uporabnikov, bo ta proces trajal precej dolgo časa (vsaj pol leta). Investicija v zanesljivo varnostno opremo bo lahko v krajšem času bistveno izboljšala varnost notranjega omrežja. Hkrati začnite tudi z ozaveščanjem uporabnikov, najbolje s simulacijami napadov z ribarjenjem in internimi izobraževanji.
Ne gre le za »našo« kibernetsko varnost – gre za varnost celotne dobavne verige
Se spomnite časov, ko ste lahko na perimeter namestili požarno pregrado, nadzirali promet v omrežju in mirno spali? Že davno so minili, kajne? Zdaj vam niti plejada varnostnih naprav v sodelovanju z varnostno operativnim centrom, ki je na voljo 24 ur na dan, ne more zagotoviti mirnega spanca. Dodatno izvajate še varnostne teste, mogoče celo kibernetske vaje, t. i. Red Teaming. Pa se zdi, da tudi to ni dovolj. Zakaj ne?
Ker kibernetska varnost v letu 2023 ni več le varnost ene organizacije, temveč vseh organizacij in sredstev, povezanih v mrežo zunanjih izvajalcev in IoT naprav. Napadalci so s tem pridobili veliko večjo površino napada in morje novih ranljivosti, ki jih je morda možno izrabiti. Poleg tega razvijajo nove in naprednejše tehnike napadov, ki jih naprave in uporabniki težko prepoznamo in blokiramo.
Kot nakazuje nova evropska uredba NIS2, je učinkovit način v boju proti takšnim napadom spremljanje varnosti dobaviteljev. Pri tem si lahko pomagate z orodji, ki spremljajo zunanje omrežje vaših dobaviteljev, in se ustrezno odzovete, če jim ocena pade. Takšna orodja lahko uporabljate tudi kot pomoč pri izboru novega dobavitelja, zlasti, če imate na izbiro več možnosti. Pri dobaviteljih z dobro oceno ste lahko vsaj do neke mere pomirjeni, da ne bodo pustili odprtih kakšnih stranskih vrat, skozi katere bi lahko vstopili napadalci in da bodo vaši podatki na varnem.
Transparentnost v poslovnih odnosih pomaga pri izboljševanju kibernetske varnosti vseh v dobavni verigi
Ko govorimo o dobavnih verigah in vzpostavljanju povezav med podjetji, moramo upoštevati tudi načelo transparentnosti. Organizaciji, ki se povezujeta preko omrežja VPN ali imata skupen prostor v oblaku, morata poznati varnostno politiko za zaščito podatkov in sredstev druga druge, odkrito spregovoriti o morebitnih tveganjih, da jih drugi deležnik lahko analizira v kontekstu svoje organizacije, in spoštovati vzajemno zaupnost, kar naj tudi pogodbeno uredita. Spremembe v varnostni politiki, ki bi lahko vplivale na drugega deležnika, moramo jasno predstaviti, prav tako moramo tudi poročati, če je pri nas prišlo do varnostnega incidenta.
Težko je priznati, da so nam vdrli v omrežje, vendar je prav to informacija, ki jo moramo sporočiti drugim vpletenim organizacijam, če se želimo izogniti nadaljnjim napadom, tudi na tretjo ali četrto organizacijo v vrsti. Vzpostaviti moramo krog zaupanja, znotraj katerega lahko organizacije delijo z varnostjo povezane informacije ostalim deležnikom in hkrati zagotavljajo zaupnost in integriteto organizacije, ki je bila žrtev napada.
Varnostna ozaveščenost kot del organizacijske kulture
Namenimo nekaj besed še varnostnemu ozaveščanju. Ozaveščenost ni le zavedanje, da lahko prejmemo elektronsko sporočilo z lažno povezavo, na katero ne smemo klikniti. Gre tudi za zavest, da sodelavcu iz drugega oddelka ne poročamo, da je bilo podjetje, s katerim delamo, žrtev kibernetskega napada. Ozaveščen uporabnik ve, kaj so občutljive informacije, kaj lahko pove in česa ne in kdo lahko prebere določeno elektronsko sporočilo ali dokument, ki leži na mizi in kdo ne.
Krepitev varnostne ozaveščenosti tako vključuje trening s simulacijami napadov po e-pošti ter izobraževalna gradiva in programe, v katerih obravnavamo tudi druge vidike socialnega inženiringa, kot so delo z dokumenti, prijazno pridržanje vrat, deljenje informacij v neformalnih pogovorih in podobno. Organizacije, ki svojim zaposlenim omogočajo izboljševanje veščin na področju kibernetske varnosti, to vključujejo v svoje vrednote. Tako kibernetska varnost sčasoma postane del organizacijske kulture.
Naj za konec še enkrat poudarimo, da so postopki za obvladovanje tveganj, transparentnost in ukrepi za izboljšanje kibernetske odpornosti ključni elementi za preprečevanje potencialnih kibernetskih napadov. Cilj vsake organizacije bi moral biti postati ne le kibernetsko varna, temveč kibernetsko odporna. Opolnomočite svoje zaposlene in vse tehnološke vire, da se bodo ustrezno odzvali na poskus kibernetskega napada in bo podjetje napad odbilo, se iz te izkušnje kot skupnost nekaj naučilo in bilo v prihodnje v boju proti kibernetskemu kriminalu še močnejše.