Nujnost okrepljene kibernetske varnosti v Sloveniji
Kakšne izzive prinaša digitalna preobrazba v kontekstu kibernetske varnosti in kako jih naslavljati, so razpravljali gostje na današnji konferenci z naslovom Kibernetska varnost – izzivi uporabnikov digitalnih storitev. Na Brdu pri Kranju so v organizaciji Regionalne razvojne agencije Gorenjske in Mestne občine Kranj ter soorganizatorjev SRIP PMiS in IPM Digital vabljeni strokovnjaki, politiki in predstavnik mednarodno uveljavljenega podjetja poudarjali pomembnost zavedanja in aktivnega ukrepanja na področju kibernetske varnosti, ki pa se začenja z dobrim poznavanjem področja.
Polno dvorano slušateljev sta uvodoma pozdravila predsednik Sveta gorenjske regije in župan Mestne občine Kranj Matjaž Rakovec ter direktor Regionalne razvojne agencije Gorenjske, BSC, d.o.o., Kranj, Rok Šimenc. Rakovec se je dotaknil pomembnosti tehnološkega napredka in izzivov, ki jih le-ta prinaša. Kot poudarja, so »po podatkih Evropske komisije kibernetski napadi med najhitreje rastočimi oblikami kriminala – leta 2020 so svetovno gospodarstvo stali 5500 milijard evrov, kar je dvakrat več kot leta 2015«. Zato je nujen dvig kulture zavedanja, nujna je regulativa, zakonodaja ... in Rakovec tovrstne dogodke izpostavlja kot pomemben korak v smeri, da se predstavi morebitne nevarnosti tako z vidika neznanja posameznikov kot kibernetskega kriminala. Tudi Šimenc je konferenco umestil med strateške usmeritve regije – izpostavil je, da je Gorenjska prva regija v državi, kjer je 18 občin izdelalo regijsko strategijo digitalne preobrazbe. »Živimo v nemirnem času, ko so nam nekatere nevarnosti vidne, druge so očem skrite – in slednje nas še bolj ogrožajo, zato smo kibernetsko varnost prepoznali kot pomemben del našega življenja, tako poslovno kot zasebno,« je še dodal.
Častni gosti konference, minister Službe Vlade Republike Slovenije za digitalno preobrazbo Mark Boris Andrijanič, minister za javno upravo RS Boštjan Koritnik ter podpredsednik Vlade RS in minister za obrambo mag. Matej Tonin, so si enotni v izpostavljanju pomembnosti kibernetske varnosti tako v Sloveniji kot izven naših meja. »Digitalna preobrazba in kibernetska varnost sta najpomembnejši temi slovenskega predsedovanja Svetu Evropske unije,« je poudaril Andrijaničin pri tem izpostavil številne ukrepe Strateškega sveta za digitalizacijo, pomembnost koordinacije med prijateljskimi državami, samostojni urad za informacijsko varnost ter številna strateška partnerstva. Dodal je še, da bo največ dela potrebnega na področju digitalne vključenosti, zato je tako pomemben tudi sam Zakon o spodbujanju digitalne vključenosti, ki prinaša brezplačne tečaje digitalnih veščin za vse generacije in dviguje zavedanje o pomenu kibernetske varnosti. »Zanjo lahko v največji meri poskrbimo sami,« izpostavljaAndrijanič.
»Digitalizacija povečuje tveganje kibernetskih napadov, zato od držav terja sistemski pristop,« je izpostavil Koritnik. Napadi ne poznajo meja, dodaja, zato je Slovenija trdno prepričana, da mora Evropa z zavezniki še okrepiti odpornost, prav tako pa se mora zgraditi zaupanje, ki prinaša izmenjavo podatkov in s tem krepitev evropske odpornosti na grožnje in napade. Pomemben je tudi prvi zakonodajni akt na področju kibernetske varnosti v smeri odpornosti sektorja in višja stopnja harmonizacije.
Mag. Matej Tonin je kot največji projekt države oz. Ministrstva za obrambo predstavil vzpostavitev kibernetskega vadišča, kjer se ne samo na ravni državne uprave, temveč tudi gospodarstva, omogoča dupliciranje sistemov in njihovo kopiranje v posebno spletno vadišče. Tovrsten poligon omogoča polje treniranja in testiranja, zato da se lahko brez škode in večjih posledic stestira zmogljivost in robustnost sistema. Izpostavil je še pomembnost kibernetskih rezervistov, ki ob nastopu težav pripomorejo k njihovem reševanju. »Čaka nas še veliko dela, če primerjam delo Slovenije in drugih NATO držav – dolga pot je pred nami, a bistvena je smer, da bomo cilj lažje dosegli,« je še dodal Tonin.
Milan Gabor, osrednji govorec konference, direktor podjetja Viris, strokovnjak za informacijsko varnost in etični heker je v svojem nagovoru izpostavil hitrost in razsežnost kibernetskih napadov. »Kakor hitro se priklopimo na internet, tako hitro smo lahko tarča napadalca. Napadalci pa pridejo zelo blizu in zelo hitro,« je slikovito ponazoril. Sicer pa ob izvajanju simulacij v podjetjih zadovoljno ugotavlja, da se je odstotek tistih, ki se neuspešno odrežejo na testih – recimo naložijo datoteko, vnesejo podatke – z leti zmanjšuje. Če je bil pred sedmimi leti nekje 60 %, se je sedaj zmanjšal na 30–40 %, kar pa je še vedno veliko, opozarja. Človeška nepazljivost je žal pogosto glavni krivec, da kibernetska grožnja preide v napad. Poleg pametnih naprav, ki so zelo ranljive, imamo nespametne uporabnike, dodaja, in izpostavlja pomen digitalne higiene ter digitalne identitete. Hitra ocena kibernetske varnosti Slovenije pa po besedah Gaborja izstopa tudi v naslednjih pozitivnih točkah: kibernetski vavčerji za podjetja, pozicioniranje Slovenije na kibernetski zemljevid v Evropi ter vaja kibernetske obrambe in strateškega odločanja Locked Shields 2022. Vizija naj bo usmerjena v zagotavljanje varne vožnje po internetu, izobraževanja ter več sodelovanja. »Kibernetska varnost je ključna za prihodnost na vseh področjih,« je še dodal Gabor.
Kako (za) kibernetsko varnost skrbi javna uprava? Dr. Tilen Gorenšek, direktor IPM Digital, je slušateljem predstavil rezultate raziskave o kibernetski varnosti občin in občinskih ustanov. Izsledki kažejo na manko strateškega naslavljanja izzivov kibernetske varnosti (Nacionalno varnostni sistem RS) ter medobčinskega povezovanja (regionalno, skupne občinske uprave …), prav tako bi bila dobrodošla strategija kibernetske varnosti. “Raziskava osvetljuje relevantnost celostnega (holističnega) pristopa k digitalizaciji in digitalni transformaciji, kjer so področja (digitalna kultura, digitalne kompetence, kibernetska varnost …) med seboj prepletena in soodvisna,” je dodal. Kot kaže, zaposlene v javni upravi najbolj skrbi predvsem neodobreno dostopanje do občinskih in drugih podatkov, kot je recimo kraja podatkov, njihovo spreminjanje in zloraba, izbris, onemogočanje dostopa … Skrb za vdor v IT sisteme sovpada tudi s pomanjkanjem znanj in kvalifikacij za uporabo kibernetskih zaščit, opaziti je bilo tudi slabo poznavanje pravilnega postopanja ob kibernetskem incidentu in splošno pomanjkanje strukturiranosti ter organiziranosti vodenja in uporabe kibernetskih zaščit. Skoraj 90 % vprašanih recimo meni, da so srednje ali bolj varni pred kibernetskimi napadi, s čimer opozarja na varnostni paradoks – na videz manj privlačna tarča posveča zaščiti manj časa in pozornosti, s čimer postaja ravno bolj privlačna za morebitne kibernetske napade.
Na okrogli mizi, ki jo je moderiral izr. prof. dr. Blaž Markelj iz Fakultete za varnostne vede Univerze v Mariboru, so svoja stališča in izkušnje predstavljali: mag. Matej Tonin, minister za obrambo RS, dr. Iztok Podbregar, Fakulteta za organizacijske vede Univerze v Mariboru, Gorazd Božič, SI-CERT, Mihael Nagelj, predsednik Sekcije za kibernetsko varnost pri GZS-ju in koordinator IKT Hm - Kibernetska varnost, Milan Gabor, direktor podjetja Viris,in Ratko Mutavdžić, regionalni tehnološki uradnik CEE Microsoft. V uro trajajoči debati so izkušeni govorci razpravljali o oceni varnosti Slovenije na področju kibernetske varnosti, primerni zakonodaji, kompetencah posameznikov in možnostih izboljšave. Mutavdžić je izpostavil odnos in sodelovanje vseh vključenih deležnikov, ki je ključnega pomena za uvajanje novosti in sprememb. Dober primer sta podjetji Microsoft ter SI-CERT, ki sodelujeta na področju obveščanja o kibernetskih incidentih, njuno sodelovanje pa ureja tudi sporazum. Prav vsi govorci so kot najbolj ranljiva izpostavljali srednja in mala podjetja. »Graditi je potrebno na ozaveščanju,« je poudaril Božič. Podobno tudi Nagelj: koncept državne pomoči v obliki vavčerja je sprožil pozitivne spremembe, saj podjetja bolj intenzivno uporabljajo standarde, ki so na voljo. Doseči moramo, kot pravi, da bodo vsa podjetja, ne glede na to ali so zavezana k poročanju indicentov ali ne, le-te prijavljala, obenem pa bodo ozaveščena, da informacije, ki bodo podane SI-CERT-u, ne bodo zlorabljene, ampak koristno uporabljene.
Dr. Podbregar je v tem kontekstu opozoril še na nujnost interdiscipliranega pristopa – potrebno je upoštevati tudi družboslovni vidik, je dodal. Tehnološko obvladovanje področja je pomembno, a sam vidi nujnost višje ravni razumevanja. »Problem je tudi naša percepcija, ali je varnost dobrina ali strošek. Ravno to pripelje do tega, da se prepogosto zdi, da je varnost strošek,« kot recimo takrat, ko se zgodi nekaj, kar ima širši odmev v varnosti, to pa sproži pretirano reakcijo in posledično stroške zaradi nastale situacije.
»Kibernetski prostor kljub svoji prostranskosti zagotavlja okvirje zakonodaje,« je debato o zakonodaji pričel Markelj. Dr. Podbregar je opozoril na številne sive cone zaradi razdrobljenosti in pogostega vprašanja, kdo je odgovoren za reševanje težav, kadar pride do problema, tveganja. Pri pripravi zakonskih rešitev je potrebno biti racionalnen v smislu števila zakonov, zahteve je nujno dobro pretehtati, je še izpostavil, čemur je pritrdil tudi Božič. Pravi, da je zakonodaja jasen odraz, da ne znamo razmišljati dolgoročno. »Gledati moramo izven golih zakonskih okvirjev – če ne vemo, kdo je pristojen, bo problem,« je še dodal. Nagelj pa je na področju zakonodaje izpostavil, da vseeno so določena področja, kjer zakoni spodbudijo številne aktivnosti, kot recimo GDRP, kar je vsekakor dobrodošlo. Da bodo za spremembe na področju zakonodaje sprva potrebne spremembe v sami organizacijski kulturi in pristopu, pa je bil kritičen Tonin. Samo administracijo bo potrebno vzgajati, je še dodal.
Na dogodku je bilo pogosto omenjeno sodelovanje in poznavanje ter razumevanje področja, kar se odraža tudi v ključnih smernicah konference, ki so bile ob koncu podane kot osnova za memorandum, ključni dokument konference. Zaščita pred kibernetskimi grožnjami je v veliki meri odvisna od njihovega poznavanja. Poznavanje »prave« vrednosti podatkov, s katerimi vsakodnevno »delamo«, je namreč ključnega pomena pri ocenjevanju kibernetskih tveganj in nadaljnjih vlaganj v kibernetsko zaščito. Poročanje o incidentih v kibernetskem prostoru, tako na nacionalnem kot na mednarodnem nivoju, daje uporabniku in družbi »realni« pogled na tveganja, ki v kibernetskem prostoru obstajajo. Prav tako pa izobraževanje in ozaveščanje s področja varne rabe IKT opreme v kibernetskem prostoru predstavlja pomemben segment pri zagotavljanju varnejše družbe.