Stanje informacijske varnosti v Sloveniji
Turbulentno leto 2019 na področju informacijske varnosti v Sloveniji je verodostojen pokazatelj, da je val sofisticiranih kibernetskih napadov vedno bolj prisoten tudi pri nas in da je uporaba izključno tradicionalnih, preventivno naravnanih varnostnih ukrepov postala neučinkovita in nezadostna.
mag. Edvin Rustemagić, specialist za informacijsko varnost, SIQ Ljubljana
Analize o globalnem stanju informacijske varnosti, ki so na voljo širši javnosti, praviloma ne nudijo dovolj jasne slike o konkretni temi na lokalni ravni. Zato smo na SIQ Ljubljana na podlagi rezultatov raziskave, opravljene na statističnem vzorcu 348 poročil varnostnih pregledov, pripravili lestvico najpogostejših ranljivosti, ki smo jih odkrili pri slovenskih organizacijah različnih velikosti in dejavnosti. Ugotovitve temeljijo na rezultatih izvedenih vdornih testov spletnih in mobilnih aplikacij ter infrastrukture v zadnjih 24 mesecih.
Spletne aplikacije so postale sestavni del vsakega spletnega mesta in bliskovita rast njihove uporabe spremlja podobno hitra rast s temi tehnologijami povezanih ranljivosti. Pri nas so še vedno v veliki meri prisotne že dolgo časa znane ranljivosti, kot so XSS oz. Cross-Site Scripting (18,4 %) in SQL Injection (8,9 %), kar kaže na odsotnost praks varnega programiranja v razvojnem ciklu programske opreme.
Rezultati pregledov infrastrukture so pokazali visoko stopnjo ranljivosti, ki so se pojavile zaradi neustrezne strežniške konfiguracije in nerednega posodabljanja operacijskih sistemov ter nameščanja popravkov. Kar 28,1 % identificiranih ranljivosti lahko privede do dešifriranja komunikacije in 16,1 % do izvajanja poljubne škodljive kode na daljavo. Zaradi odsotnosti ali pomanjkljivega omejevanja komunikacij v notranjem omrežju pa je stanje toliko bolj kritično, saj vdor v en sistem lahko hitro preraste v prevzem celotnega informacijskega sistema organizacije.
Celovita IT varnostna strategija organizacije mora zato vključevati veliko različnih, med seboj komplementarnih pristopov pri obrambi pred kibernetskimi grožnjami. Čeprav je vzpostavitev klasičnih obrambnih mehanizmov danes nuja, je praktično nemogoče izmeriti dejansko učinkovitost teh rešitev brez periodičnega izvajanja celovitih varnostnih pregledov. Preskušanje zaščite je torej bistvenega pomena za razumevanje potencialnih ranljivosti in tveganj, ki iz njih izhajajo. Ključno je, da preverjanje izvede neodvisen organ, ki ne sodeluje pri snovanju, implementaciji, trženju, uporabi ali vzdrževanju IKT opreme, ki je predmet preskušanja. Tako pridobljeni rezultati lahko služijo kot smernice pri izvajanju strateških in taktičnih prilagoditev, z namenom krepitve dejansko varnostno šibkih področij informacijskega sistema organizacije.
SIQ Ljubljana je strokovna, neodvisna institucija, ki s svojim kompetenčnim centrom znanja s področja kibernetske varnosti in največjo lastno ekipo izkušenih strokovnjakov v regiji izvaja celovit nabor varnostnih pregledov, kot so pregledi skladnosti s PCI DSS – ASV in QSA, varnostni pregledi aplikacij, mobilnih naprav, igralniških sistemov, izvornih kod, pregledi sistemov SCADA, socialni inženiring, revizijski pregledi informacijskega sistema, ISO/IEC 27001, ISO/IEC 20000, ISO 22301, revizijski pregledi skladnosti z GDPR ter povezljivih naprav IoT po standardu IEC 62443.
SIQ Ljubljana
Preverjanje informacijskih tehnologij
T: (01) 4778 345
W: www.siq.si