Vsebino omogoča A1
Kibernetski napadi doma in po svetu se vrstijo s pospešeno hitrostjo in obsegom. Kako varna so v povprečju slovenska podjetja?
Slovenska podjetja za kibernetske napadalce niso nič bolj ali manj zanimiva kot vsa ostala podjetja v Evropi ali svetu. Potencialno so torej ogrožena povsem enako kot vsa druga. Je pa razlika med slovenskimi podjetji in podjetji v razvitejšem delu Evrope v tem, da je percepcija potencialne ogroženosti pri nas še vedno veliko nižja kot recimo v srednji Evropi. Posledično je razumevanje potrebe po ustrezni kibernetski zaščiti zagotovo nezadostno. Če pogledamo podatke naših raziskav in dognanj po opravljenih več kot 200 varnostnih pregledih, so rezultati skrb vzbujajoči.
In kaj vaša raziskava ugotavlja?
Naj izpostavim samo najbolj pereče ugotovitve. Kar 63 % slovenskih podjetij nima ustrezne varnostne zaščite informacijskih sistemov. Zmoti tudi to, da 7 od 10 lastnikov malih podjetij meni, da niso dovolj zanimivi za napadalce. Paradoksalno pa obenem kar 60 % teh lastnikov meni, da bi v primeru napada lahko bil ogrožen obstoj njihovega podjetja. Verjetno ne vedo, da Gartnerjeva študija ugotavlja, da kar 60 % podjetij po svetu zapre svoja vrata v šestih mesecih po hekerskem napadu. Glede na navedeno, žal ne moremo trditi, da so slovenska podjetja, generalno gledano, varna. Dejstvo je, da v zagotavljanje kibernetske varnosti še vedno vlagajo premalo.
Kdo pa je v podjetju odgovoren za informacijsko in kibernetsko varnost in kaj mora storiti oziroma početi?
Dolgo je veljalo prepričanje, da je zagotavljanje kibernetske varnosti stvar oddelka IT. Danes je jasno, da ni tako. Glede na to, da s(m)o največji vzrok uspešnih kibernetskih napadov še vedno zaposleni, je jasno, da je za zagotavljanje varnega okolja odgovoren vsak. Od vodstva podjetja, ki je odgovorno za to, da ustrezna politika kibernetske varnosti postane del strateških aktivnosti podjetja, preko strokovnih služb, ki morajo zagotoviti ustrezna tehnična varovala in vsebinski okvir, do slehernega zaposlenega, ki mora s svojim ravnanjem ves čas zavestno prispevati k najvišji možni stopnji varnosti. To zahteva neprestano pozornost in obenem ustrezno raven znanja. Vodstvo je odgovorno, da poskrbi tudi za izobraževanja zaposlenih, izvajanje rednih preverjanj ravni razumevanja kibernetske varnosti itd.
Dolgo je veljalo prepričanje, da je zagotavljanje kibernetske varnosti stvar oddelka IT.
Tudi vi ponavljate večkrat slišano tezo, da so najšibkejši del varnostne verige ljudje. Se bo to kdaj spremenilo?
Ljudje delamo napake, to se ne bo spremenilo nikoli. Zato je pomembno, da verjetnost napak zmanjšamo, kolikor se le da. Izobraževanja, usposabljanja, redna preverjanja s poskusi prevar ipd. Pomembno je tudi, da ustvarimo okolje, kjer posamezniki niso stigmatizirani, če nastanejo napake, ampak da se o njih odkrito pogovorimo in poskrbimo, da se ne ponavljajo. Se pa vse začne »pri glavi«. Vodstvo mora biti za vzor. S svojim ravnanjem, s poudarjanjem pomena izobraževanj. Pomembno je, da zaposleni jasno vedo, na koga se lahko obrnejo. Če dvomijo o pravilnosti svojih ravnanj oziroma če niso prepričani, da so morda naredili napako.
Telekomunikacijska omrežja so hrbtenica digitalnega sveta, operaterji pa neke vrste varuhi. Kako lahko A1 Slovenija varuje digitalno krajino domačih podjetij?
Operaterji zelo dobro ščitimo svojo infrastrukturo. Imamo tudi ogromno znanj s področja kibernetske varnosti, zato lahko ta preko storitev ponudimo tudi strankam. Zagotavljanje najvišje možne ravni kibernetske varnosti našim poslovnim uporabnikom je eno od ključnih poslanstev A1. Zavedamo se, da je kompleksnost kibernetskih groženj že zdavnaj prerasla vse okvire, ko je skrb za zagotavljanje te še lahko bila ena od aktivnosti IT-oddelka, službe. To je postala 24/7 aktivnost, kar predstavlja za mnoga podjetja velik organizacijski, kadrovski in finančni izziv. Potreba po nenehnem nadgrajevanju znanja predstavlja dodatno razsežnost, in razumljivo je, da mnoga podjetja tega sama ne zmorejo. V A1 Slovenija smo zato razvili več storitev, s katerimi podjetjem pomagamo zaščiti digitalno okolje.
Pomembno je tudi, da ustvarimo okolje, kjer posamezniki niso stigmatizirani, če nastanejo napake, ampak da se o njih odkrito pogovorimo in poskrbimo, da se ne ponavljajo.
Najbolj očitna je ponudba, poimenovana kibernetska varnost na ključ. Gre za skupek ključnih rešitev in storitev, s katerimi podjetjem zagotavljamo varno poslovno okolje, nad katerim bedijo strokovnjaki A1 varnostno-operativnega centra. Ena naših izjemnih prednosti je gotovo mednarodno zaledje Skupine A1, kjer sodelujemo z več kot 200 visoko usposobljenimi varnostnimi inženirji. Poleg tega ponujamo številne specializirane varnostne rešitve, od zaščite končnih naprav, varnostnega kopiranja podatkov, zaščite elektronske pošte ... Vse rešitve sodijo med vodilne v svojem segmentu. Izredno pomembno je, kot že omenjeno, da v sodelovanju s poslovnimi uporabniki te rešitve tudi upravljamo, jih nadzorujemo in reagiramo na kibernetske grožnje.
Toda če podjetjem primanjkuje znanj na tem področju, bi veljalo nasloviti tudi izziv ustreznega izobraževanje?
Vsekakor. Izobraževanje in ozaveščanje zaposlenih sta izrednega pomena, ponujamo široko paleto metod in pristopov, od simulacij napadov prek e-pošte, fizičnih vstopov, telefonskih klicev in drugih tehnik socialnega inženiringa, s katerimi raven zavedanja zaposlenih dvigamo na višjo raven. Na še višji ravni pa izvajamo varnostne preglede in penetracijske teste. Na tem področju smo vodilni v Sloveniji, opravili smo jih že več kot 200. Predvsem za srednje velika in večja podjetja je to ena izmed ključnih aktivnosti, katere rezultat je izjemno dober vpogled v kibernetsko odpornost podjetja.
Omenili ste, da podjetja sama težko poskrbijo za ustrezno varnost. Pa je predaja skrbi za kibernetsko varnost zunanjemu izvajalcu res najboljša možna poteza?
Področje kibernetske varnosti je izredno kompleksno. Draga izobraževanja, certificiranje, nabava opreme in zaposlitev namenskih varnostnih strokovnjakov – vse to je visok strošek za sleherno podjetje. Račun samostojne varnostne drže se izide le redkim. Po naših podatkih je strošek za zagotovitev celovite kibernetske varnosti na zaposlenega, če zagotavljamo storitev mi, med 15 in 20 evri na zaposlenega na mesec. Za ta znesek ima pri nas 24/7 na voljo storitve varnostno-operativnega centra, najsodobnejša orodja in varnostne rešitve ter ekipo z vrhunskim znanjem, ki se nenehno nadgrajuje. Napadalci namreč ne delajo od 9. do 17. ure, ampak predstavljajo stalno grožnjo, torej tudi obramba potrebuje triizmenske IT-ekipe. Kje so še dopusti in kadrovska ter tehnična redundanca. S predajo skrbi za kibernetsko varnost specializiranemu ponudniku se interni IT-oddelki lahko posvetijo zagotavljanju delovanja ostalih komponent IT-okolja in ohranijo svoj fokus.
Po naših podatkih je strošek za zagotovitev celovite kibernetske varnosti na zaposlenega, če zagotavljamo storitev mi, med 15 in 20 evri na zaposlenega na mesec.
Področje kibernetske varnosti postaja čedalje bolj regulirano. Kako vi gledate na direktivo NIS2?
NIS2 je zelo dobrodošla, saj močno razširja obseg podjetij, ki so zakonsko obvezana k zagotavljanju ustrezne ravni kibernetske varnosti. Samo vprašanje časa je, kdaj bo v takšni ali drugačni obliki regulacija tudi za še širši krog subjektov. Pomembno je zavedanje, da podjetje ni samoten otoček v poslovni krajini in da ima napad na eno podjetje pogosto veliko širše posledice, na primer pri dobaviteljih ali strankah. Kolateralna škoda je pogosto širša, pa ne zgolj finančna. Govorimo o izgubi ugleda, poslovnih partnerjev, strank itd. Zato mnoga podjetja od partnerjev v svoji prodajni verigi že zahtevajo jasna dokazila o zagotavljanju ustrezne ravni kibernetske varnosti.
