Marjan Kavčič, vodja sektorja za dvig odpornosti, Uprava RS za informacijsko varnost

0

Kako se danes organizacije v Sloveniji zavedajo svojih ranljivosti pri zaščiti omrežne infrastrukture in kje se pri tem pojavljajo največje napake?

Lahko bi rekli, da je stanje boljše, kot je bilo pred leti. K temu je nedvomno pripomoglo dejstvo, da se o kibernetski varnosti več govori, zgodili so se ali pa se še dogajajo nekateri odmevni varnostni incidenti, ki so imeli (oziroma lahko še imajo) tudi hude finančne posledice za žrtve. Nekaj pa je k izboljšanju prispevalo tudi to, da je država sprejela svojo strategijo kibernetske varnosti in zakon o informacijski varnosti, ki zavezancem nalaga izvedbo ukrepov za dvig ravni kibernetske varnosti. Poleg tega se izvajajo programi ozaveščanja o kibernetski varnosti za različne ciljne skupine, a da bi kar najširši krog populacije ponotranjil njen pomen, bo treba uvesti teme s tega področja v izobraževalne programe na vseh ravneh izobraževalnega sistema. Velik izziv je zagotavljanje kibernetske varnosti v mikro, malih in srednje velikih podjetjih, ki sestavljajo večino slovenskega gospodarstva. Taka podjetja običajno nimajo ljudi, ki bi skrbeli za varnost njihovih sistemov, mnogokrat pa se pomena zagotavljanja kibernetske varnosti tudi ne zavedajo, oziroma se ga zavedo, ko je že (pre)pozno. Je pa res, da je stanje v tej kategoriji podjetij podobno tudi drugod po EU. Drug primer pa so večja podjetja oziroma organizacije, kjer marsikje še vedno velja, da je zagotavljanje kibernetske varnosti stvar (samo) služb ali oddelkov za informatiko. Če zagotavljanje kibernetske varnosti ni prepoznano kot ena najpomembnejših aktivnosti za dolgoročni obstoj organizacije s strani najvišjega vodstva, je skoraj nemogoče pričakovati, da bodo za ta namen zagotovljeni primerni viri ali, da bodo zaposleni ravnali samozaščitno. To zadnje pa je izvedljivo tudi z majhnimi vložki že z ozaveščanjem in uporabo osnovnih pravil higiene kibernetske varnosti. Pri tem je digitalizacija poslovanja, ki jo je še spodbudila korona kriza, organizacije nedvomno spodbudila k hitrejšim pozitivnim spremembam.

Kateri so najbolj učinkoviti kibernetski napadi, in katere organizacije so jim najbolj izpostavljene?

Morda bi se morali vprašati kateri akterji so pri svojih napadih najbolj učinkoviti. Odgovor bi bil brez dvoma državni akterji oziroma akterji, za katerimi stoji država. Taki napadalci običajno napadejo visoko profilirane cilje (osebe ali organizacije), kjer uporabijo 0-day ranljivosti in dolgotrajno prikrito delujejo v omrežjih svojih žrtev. Le te so zanje lahko zanimive z vidika vohunjenja, izsiljevanja, kraje intelektualne lastnine in premoženjske koristi, ter nenazadnje tudi terorizma. Primera delovanja državnih akterjev sta bila napad v nabavni verigi podjetja SolarWinds in verjetno tudi zadnji obsežen napad na strežnike MS Exchange. Predvsem v drugem primeru so se prvotnim akterjem kasneje, ko je bila ranljivost javno razkrita, verjetno pridružili tudi drugi akterji. Tukaj bi lahko šlo za organizirane kriminalne združbe, ki bi bile v določenih primerih sposobne podobnih napadov kot državni akterji, njihov motiv pa bi bil predvsem premoženjska korist. Za dosego njihovega cilja bi bilo najprimernejše izsiljevalno programje, a tudi v tem primeru bi predhodno verjetno raziskali finančno sposobnost svoje potencialne žrtve.

Na koncu bi lahko zaključili, da so kibernetskim napadom izpostavljene organizacije vseh vrst in velikosti, razlika je le v tem, da so nekatere (ne glede na velikost) nanje bolj odporne, ker se bolj zavedajo nevarnosti kibernetskih groženj in več vlagajo v obrambo pred njimi.

Kako konkretno bi moralo v organizacijah potekati obvladovanje varnostnih groženj na področju kibernetske varnosti?

Vse bi moralo izhajati iz ocene kibernetskih tveganj za konkretno organizacijo. Taka ocena bi morala postati sestavni del skupne ocene tveganj, tako kot vsako drugo tveganje, s katerim se srečuje posamezna organizacija. Na osnovi ocene bi se vodstva lažje odločila o potrebnih ukrepih, pa najsi gre za program ozaveščanja zaposlenih, nadgradnjo strojne in programske opreme, ali pa za odločitev o zagotavljanju kibernetske varnosti z lastnimi kadri oziroma z outsourcingom. Predvsem se vodstva organizacij morajo zavedati nevarnosti kibernetskih groženj in morajo biti pobudnik ter zgled pri izvajanju ukrepov. Le na ta način jih bodo posvojili tudi ostali zaposleni. Potrebe po spremembi na tem področju se zaveda tudi Evropska komisija, ki s predlogom direktive NIS 2 odgovornost za zagotavljanje kibernetske varnosti nalaga vodstvom organizacij.

Katere nove tehnologije v največji meri ogrožajo kibernetsko varnost?

Zmogljivosti kvantnih računalnikov ali pa umetne inteligence v rokah državnega akterja, ki nastopa v vlogi tekmeca ali celo nasprotnika, bi bile lahko resen izziv za zagotavljanje kibernetske varnosti. Na drugi strani ne smemo pozabiti na neštete naprave interneta, stvari, ki so sicer povsem vsakdanje, a prav zaradi svoje številčnosti in cenenosti, ki posledično pomeni tudi šibko zaščito proti kibernetskim grožnjam, lahko predstavljajo hudo grožnjo kibernetski varnosti. Tukaj še kako pride do izraza trditev, da je sistem varen toliko, kot je varen njegov najšibkejši člen. Nič nam ne pomaga, če imamo v sistemu najnovejšo in najdražjo omrežno opremo, ki jo redno posodabljamo, istočasno pa npr. priključene nadzorne kamere, ki so zadnjo posodobitev programja doživele (če sploh), ko jih je proizvajalec pred leti izdelal.

V zadnjem času se omenja umetno inteligenco tudi na področju kibernetske varnosti. Kaj lahko umetna inteligenca naredi na tem področju?

Umetna inteligenca (UI) bi s svojo sposobnostjo učenja na velikem obsegu preteklih dogodkov lahko izboljšala zaznavanje kibernetskih groženj in pospešila odzivanje nanje. UI bi s pomočjo strojnega učenja lahko na podlagi analize vedenja uporabnikov in dogodkov analizirala osnovno vedenje posameznih aplikacij, uporabniških računov, odjemalcev in strežnikov, kjer bi bil vsakršen odklon lahko hitro zaznan. Taki odkloni bi lahko nakazovali 0-day ranljivosti, ki bi bile v tem primeru zaznane še preden bi prišlo do njihovega izkoriščanja.

Ampak, kot povsod, ima tudi ta medalja dve strani. Nedvomno bo uporaba UI pomagala branilcem, ki skrbijo za zagotavljanje kibernetske varnosti, a se je treba zavedati, da si bodo na drugi strani z njo pomagali tudi napadalci pri razvoju vedno bolj sofisticiranih kibernetskih napadov.

(A. K.)                                                                                              E: info@varensvet.si

Deli z ostalimi.

Komentarji so onemogočeni.