Objavljeno: 30.10.2018 | Monitor November 2018

Gostujoče pero - Kibernetska varnost pod nadzorom

Zaradi vedno večje povezanosti informacijskih sistemov in pretoka podatkov med organizacijami postaja zagotavljanje ustreznega varovanja informacij vedno večji izziv. Z večjo mobilnostjo zaposlenih in razpršenostjo informacij se lahko dostopnost od »koderkoli in kadarkoli« kaj hitro spremeni v »kdorkoli in karkoli«. 

dr. Andrej Rakar, Vodja informacijske varnosti, SIQ Ljubljana

Podjetja in druge organizacije informacijske varnosti še vedno ne jemljejo dovolj resno, prav nepoznavanje dejanskega stanja varnosti pa je pogosto razlog za večjo izpostavljenost kibernetskim napadom.

Varnost celotnega informacijskega sistema je namreč odvisna od najšibkejšega člena – že ena pomanjkljivost v varnosti lahko izniči številne vpeljane varnostne ukrepe. Neodvisne raziskave kažejo, da so za več kot 80 % incidentov v zvezi z varnostjo krivi prav zaposleni, ki z malomarnim ravnanjem ali nevednostjo resno ogrozijo varnost informacijskega sistema organizacije. Uporaba mobilnih naprav brez ustrezne zaščite v javnih omrežjih, nepremišljeno objavljanje občutljivih informacij v družabnih omrežjih in dostopanje do informacijskih sredstev in informacij, do katerih nimajo formalno odobrenega dostopa, je samo nekaj od tistega, kar redno počne več kot polovica zaposlenih. Vsako podjetje, ki se zaveda, da je varnost podatkov ključnega pomena za uspešno poslovanje, ve, da je nujno vzpostaviti ustrezne varnostne kontrole. Ker je treba te kontrole nadzorovati in preverjati, ali je informacijski sistem res ustrezno varovan, je nujno tudi izvajati varnostne preglede oziroma revizijo informacijskih sistemov. Da bi se ustrezno zaščitili, moramo najprej poznati dejansko stanje varnosti informacijskega sistema:

- ali je vzpostavljeni informacijski sistem ranljiv za napade;

- ali zaposleni in pogodbeni sodelavci lahko zaobidejo varnostno politiko in nepooblaščeno dostopajo do podatkov organizacije;

- ali imajo uporabniki informacijskega sistema res dostop le do tistih podatkov, ki jih potrebujejo.

V zadnjem času so vdori v informacijske sisteme s strani organiziranih hekerskih skupin in obveščevalnih služb vse pogostejši in medijsko zelo odmevni. Kibernetskim napadom tudi niso več izpostavljene le organizacije, ki so zanimive s finančnega stališča ali zaradi varovanja poslovne skrivnosti, temveč smo jim podvrženi vsi. Internet stvari (IoT) pomeni s svojim velikim številom povezljivih naprav nov način komuniciranja, ki posega v naša življenja na osebnem, poslovnem in državnem področju.

Neodvisne raziskave kažejo, da so za več kot 80 % incidentov v zvezi z varnostjo krivi zaposleni, ki z malomarnim ravnanjem ali nevednostjo resno ogrozijo varnost informacijskega sistema organizacije.

Prihajajoča EU Uredba o kibernetski varnosti definira »kibernetsko varnost« kot vse dejavnosti, ki so potrebne za zaščito omrežij in informacijskih sistemov, uporabnikov teh sistemov in omrežij in prizadetih oseb pred kibernetskimi grožnjami. Namen letos sprejetega Zakona o informacijski varnosti (ZInfV) je zato prav ureditev področja kibernetske varnosti in zagotovitev visoke ravni varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za nemoteno delovanje države v vseh varnostnih razmerah in zagotavljajo bistvene storitve za ohranitev ključnih družbenih in gospodarskih dejavnosti.

Za dober nadzor je nujen predvsem celovit pristop k upravljanju varovanja informacij, od varnega načrtovanja informacijskega sistema, ustrezne varnostne politike, sistema nepretrganega poslovanja, upravljanja popravkov, ozaveščanja zaposlenih do preverjanja dejanskega stanja varnosti z rednimi varnostnimi pregledi.Varnostni pregledi oziroma presoje so najučinkovitejši način preverjanja dejanskega stanja varnosti, saj takrat uporabljamo enake metode, tehnike in orodja, kot jih v praksi uporabljajo hekerji. Le tako lahko dobimo nedvoumen odgovor, ali so varnostne kontrole v informacijskem sistemu ustrezne. To je enako pomembno kot redno vzdrževanje protipožarnega sistema ali protivlomne centrale; ščiti nas pred možnimi nesrečami oziroma zlorabami. Le neodvisna varnostna presoja, ki jo izvedejo za to usposobljeni in certificirani strokovnjaki, ki niso povezani z razvojem ali upravljanjem informacijskega sistema organizacije, lahko oceni dejansko stanje varnosti IT in oceno učinkovitosti pogodbenih vzdrževalcev.

Brez ustreznega nadzora in upravljanja kibernetske varnosti lahko v prihodnosti pričakujemo samo še več težav. S kompleksnostjo, raznolikostjo in mobilno dostopnostjo informacijskih sistemov se namreč povečuje možnost varnostnih pomanjkljivosti, teže jih je tudi odkriti. Stanje na tem področju se v zadnjih letih pri nas resda izboljšuje; k temu je veliko pripomogla evropska zakonodaja, ki k nam prihaja v obliki uredb, direktiv in zakonov. Ključni korak pa je sodelovanje med organizacijami, vladnimi institucijami in stroko.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji