Gostujoče pero: Koliko ste resnično pripravljeni na kibernetski napad?

Dr. Andrej Rakar, Tehnični vodja informacijske varnosti, SIQ Ljubljana

V zadnjih nekaj letih je prišlo do dramatičnih sprememb pri izpostavljenosti kibernetskim napadom na globalni ravni. Vsesplošna digitalizacija, ki smo ji priča, nas je pripeljala v močno odvisnost od informacijskih tehnologij, njihovo nedelovanje pa lahko resno ogrozi poslovanje podjetij ali celo ogroža življenja ljudi. Kibernetskih napadov se namreč vse pogosteje poslužujejo tudi teroristične in druge organizacije organiziranega kriminala, saj je pregon tovrstnih dejanj še vedno otežen.

Vprašanje je še posebej pomembno, ko gre za varovanje informacijskih sistemov, ki so bistvenega pomena za nemoteno delovanje države ter zagotavljajo bistvene storitve za ohranitev ključnih družbenih in gospodarskih dejavnosti. To so dejavnosti, povezane z zagotavljanjem energije, digitalna infrastruktura, oskrba s pitno vodo in njena distribucija, zdravstvo, promet, bančništvo, infrastruktura finančnega trga, preskrba s hrano in varstvo okolja.

Zato je ključnega pomena, da se organizacije na kibernetske grožnje ustrezno pripravijo. Že dlje časa je ustaljena praksa redno izvajanje varnostnih pregledov, s katerimi neodvisno in nadzorovano preverjamo zmogljivost preventivne obrambe. To pa ni več dovolj za oceno zrelosti organizacije pri obvladovanju kibernetskih groženj.

Mednarodno objavljeni rezultati kažejo, da je bil kar pri 85 % izvedenih kibernetskih vaj uspešen vdor v informacijski sistem posledica slabega ravnanja z gesli, »svetim gralom« vsakega hekerja.

Najučinkovitejši način ugotavljanja resnične pripravljenosti na kibernetski napad so t. i. kibernetske vaje. Z njimi dodajamo preverjanju učinkovitosti obrambe (angl. Protection) novi komponenti. To sta preizkušanje sposobnosti zaznavanja (angl. Detection) in odzivanja (angl. Response) na incidente. Za razliko od tradicionalnega vdornega testiranja, katerega namen je opozoriti na čim več varnostnih pomanjkljivosti, je cilj kibernetske vaje dejanski vdor v informacijski sistem organizacije. Ustrezno usposobljena ekipa specializiranih strokovnjakov želi prodreti čim globlje v informacijsko okolje organizacije, pri tem pa ostati karseda neopazna.

Ključno vlogo pri kibernetskih vajah igra zbiranje podatkov o potencialnih grožnjah (angl. Threat intelligence). Testni scenariji morajo biti namreč čim bolj realistični, torej takšni, ki posnemajo taktiko, tehnike in postopke pravih hekerjev. Pri tem je treba upoštevati vse deležnike kibernetskega prostora: ljudi, procese in sisteme.

Primarni cilj kibernetske vaje je dobiti realno oceno zrelosti organizacije pri obvladovanju kibernetskih groženj, sekundarni pa identificirati področja, ki jih je treba izboljšati. S pridobljenimi izkušnjami je mogoče strokovno in povsem argumentirano odgovoriti na naslednja vprašanja:

• Kje smo na zrelostni lestvici od 1 do 10?

• Kako varni smo?

• Ali se nas lahko kdo loti?

• Kaj pa se nam lahko v najslabšem primeru zgodi?

Organizacije se tako lahko osredotočajo na dejanske izzive digitalnega poslovanja, predvsem pa oblikujejo strategijo kibernetske varnosti, ki je naravnana ciljno in po meri dejanske izpostavljenosti.

Ne preseneča, da so se za kibernetske vaje med prvimi odločile panoge, ki so bistvenega pomena za delovanje države (bančništvo, digitalna infrastruktura, energija), izdelani pa so bili tudi okviri in smernice, ki podrobno predpisujejo obliko in način izvedbe testov (MITRE, TIBER-EU, ENISA Cyber Exercise Platform, Grid Security and Emergency Response Exercise).

S kompleksnostjo, raznolikostjo in mobilno dostopnostjo informacijskih sistemov se veča tudi izpostavljenost kibernetskim grožnjam. Zato lahko v prihodnosti pričakujemo porast odmevnih uspešnih vdorov v informacijske sisteme, s tem pa večje zanimanje tudi ostalih panog gospodarstva za kibernetske vaje.