Iskanje in odpravljanje ranljivosti digitalnih okolij
Kibernetska varnost je izziv, ki se nenehno razvija. Tisti, ki skrbijo za digitalno obrambo podjetij, nikoli niso brez dela. Preverili smo, kako pravilno zaščititi digitalno krajino.
Kibernetska varnost ni enkraten projekt, temveč neprekinjen proces ugotavljanja in odpravljanja tveganj ter ranljivosti v sistemih, omrežjih in podatkih. Iskanje vrzeli v kibernetski varnosti je lahko velik izziv, zlasti če ima podjetje zelo kompleksno ali dinamično IKT-okolje, za katero skrbi več deležnikov, ali znatno omejena sredstva. Kaj storiti, kje začeti?
Ocena stanja
Prvi korak pri iskanju vrzeli v kibernetski varnosti sta ocena trenutnega stanja in primerjava z želenim stanjem. To pomeni, da opredelite svoje cilje, naloge in zahteve za kibernetsko varnost ter določite svoja sredstva, grožnje, ki jim pretijo, in načine zaščite. Pri ocenjevanju in primerjanju uspešnosti na področju kibernetske varnosti lahko uporabite različne okvire in standarde, kot so NIST, ISO ali CIS, ter tudi orodja za samoocenjevanje, kot so vprašalniki, kontrolni seznami ali ankete, da zberete informacije iz različnih virov in z različnih vidikov.
Pri oceni stanja na področju kibernetske varnosti velja biti karseda odkrit in natančen. Nenazadnje napadalci potrebujejo le eno razpoko v digitalnem ščitu podjetja, da se prebijejo do sistemov in podatkov, tisti, ki skrbijo za obrambo, pa morajo digitalno krajino varovati pred vsemi vrstami napadov. Očitno je, kdo je v prednosti. Zmanjševanje kritičnosti posamezne zaščite ali celo njena odsotnost ni nekaj, kar bi lahko pometli pod preprogo. Varnostna tveganja, tako na področju sistemov, naprav in seveda zaposlenih, je treba zabeležiti realno in se lotiti krepitve najšibkejšega člena in to stalno ponavljati. Le tako lahko podjetje dvigne lastno kibernetsko odpornost na visoko raven.
Analiza vrzeli
Naslednji korak je izvedba analize vrzeli, ki je sistematičen postopek ugotavljanja in merjenja razlik med trenutnim in želenim stanjem. Analiza vrzeli podjetju pomaga natančno opredeliti prednosti in slabosti njegove kibernetske varnosti ter priložnosti in nevarnosti, s katerimi se sooča. Za izvedbo analize vrzeli lahko uporabite različne metode in orodja, kot sta analiza SWOT in analiza tveganj ali so modeli zrelosti, ter prednostno razvrstite vrzeli glede na njihov vpliv in nujnost.
Kibernetske grožnje so specifične, saj niso omejene ne časovno ne lokacijsko. Podjetja morajo prepoznati, kateri viri so zanje najpomembnejši, kako jih varovati, kako prepoznati varnostne dogodke in kako se na njih učinkovito ter uspešno odzvati.
»Zakaj vse to delamo? Najprej moramo poznati sami sebe, kakšne ranljivosti imamo in katere grožnje ter napadalci vplivajo na naše poslovanje. Varnostna tveganja je treba upravljati. Podjetje mora poznati, pred kom in čim se brani, saj le tako lahko zmanjša verjetnost uresničitve varnostne grožnje in njene posledice,« pravi Marko Zavadlav, revizor informacijskih sistemov v podjetju Actual I.T.
Odprava pomanjkljivosti
Naslednji korak sta priprava in izvajanje načrta za odpravo pomanjkljivosti. Gre za podroben akcijski načrt, v katerem je opisano, kako boste odpravili vrzeli v kibernetski varnosti. Načrt sanacije mora vključevati posebne naloge, vire, odgovornosti, časovne okvire in metrike, ki jih boste uporabili za odpravo vrzeli in doseganje ciljev. Za spremljanje in nadzor napredka ter uspešnosti lahko uporabite orodja za vodenje projektov, kot so Ganttovi diagrami, Kanbanove table ali nadzorne plošče. Prav tako morate redno pregledovati in posodabljati svoj načrt sanacije, saj se lahko vaše potrebe na področju kibernetski varnosti in IKT-okolje sčasoma spremenijo, kar zahteva ponovno analizo in odpravo pomanjkljivosti.
Če želite pripraviti zanesljiv načrt za odpravo pomanjkljivosti kibernetske varnosti, najprej določite prednostne naloge in kategorije ranljivosti, dodelite potrebna sredstva, opredelite jasne cilje, določite roke in odgovornost ter stalno spremljajte napredek. Ključni del vsakega načrta za sanacijo področja kibernetske varnosti je določitev odgovorne osebe za izvajanje ukrepov. Z dodelitvijo odgovornosti skupini ljudi je izredno težko zagotoviti dokončanje določene naloge. Nikoli namreč ne bo jasno, kdo je pristojen – in dolžan – sprejemati odločitve in pripeljati zadevo do konca. Prav tako se morate jasno dogovoriti o datumu, do katerega bo sanacija končana – nikoli pa ne smete sprejeti obljube, da se bo nekdo »potrudil po svojih najboljših močeh«.
# citat # Zunanja zaščita IKT-krajine podjetij je že zelo solidna, medtem ko bo treba na področju notranje zaščite še močno delati.
Preizkus kibernetske zaščite
Drug pomemben vidik iskanja in odpravljanja pomanjkljivosti v kibernetski obrambi sta redno testiranje in potrjevanje kibernetske zaščite. S preizkušanjem in potrjevanjem lahko preverite, ali so varnostne kontrole učinkovite, skladne in usklajene s cilji podjetja. Za preizkušanje in potrjevanje kibernetske varnosti ter ugotavljanje morebitnih novih ali preostalih vrzeli lahko uporabite različne tehnike in orodja, kot so revizije, pregledi ali penetracijsko testiranje. Ugotovitve in priporočila morate tudi dokumentirati in o njih poročati ter izvajati morebitne korektivne ukrepe ali izboljšave.
Kot ugotavlja Milan Gabor, certificirani etični heker in strokovnjak kibernetske varnosti, so prav vavčerji s področja kibernetske varnosti, ki so bili na voljo slovenskim podjetjem, pokazali dobre in slabe strani pri implementacijah, operativnem delovanju in tudi vzdrževanju kibernetske zaščite. »Ti vavčerji so bili res dobra poteza države, v treh letih smo ob njihovi pomoči izjemno okrepili kibernetsko varnost domačih podjetij.«
V okviru varnostnih preverjanj so tako simulirali zunanjega napadalca, ki je iskal razpoke v digitalnem ščitu podjetja. Pri tem so uporabili veliko orodij za skeniranje ranljivosti, poleg omrežja so merili tudi na vse sisteme in storitve, ki so odprti v splet. Če so se prebili v notranjost omrežja in sistemov, so preverili, do česa vse se lahko dokopljejo. Kaj so ugotovili?
»T. i. zunanja zaščita IKT-krajine podjetja je že zelo solidna, medtem ko bo treba na področju notranje zaščite še močno delati. Namreč tudi nezadovoljni ali nepozorni zaposleni so današnja realnost, ki v kombinaciji s tipičnimi pomanjkljivostmi, kot so privzete konfiguracije, preveč odprti sistemi, enostavna gesla, starejši in ranljivi sistemi ter pomanjkljiv nadzor dostopa, napadalcem omogočajo vse preveč manevrskega prostora in jim olajšajo krajo podatkov,« pojasni Gabor.
Penetracijsko testiranje
Penetracijski test je postopek, s katerim tretja oseba oziroma organizacija preveri prisotnost in zmožnost varnostne zaščite podjetja. Ta preizkus je najpogosteje usmerjen v preizkus IT-okolja podjetja. Omenjeno testiranje najpogosteje opravljajo specializirani varnostni strokovnjaki ter etični hekerji, ki uporabljajo enaka orodja in metode kot zlonamerni kibernetski napadalci. Z njimi preverijo, ali lahko prebijejo zaščito v omrežni opremi, sistemih in aplikacijah.
Penetracijski test pogosto vključuje tudi vdiranje v aplikacije podjetja – bodisi komercialne rešitve ali aplikacije, ki so plod lastnega razvoja. Zelo problematični so tudi t. i. aktivni imeniki, ki pogosto niso ustrezno konfigurirani – njihove privzete nastavitve so namreč ranljive, dodatno pa napadalcem delo olajša še odsotnost šifriranja oziroma podpisovanja z metodama SMB/LDAP. »Uporabo nešifriranih protokolov v omrežju podjetja bo treba izkoreniniti, podobno velja za šibka in privzeta gesla. Bolje je uporabnike vsake tri mesece mučiti z menjavo gesla kot pa poenostaviti delo napadalcem,« meni Boštjan Špehonja, etični heker. Ob tem poudarja: »Penetracijski test je danes nujna naložba v varnost poslovanja. Prav je, da je za regulirane panoge gospodarstva obvezen, a tudi za vsa druga podjetja in organizacije je več kot le priporočljiv.«
Izobraževanje in usposabljanje zaposlenih
Ena najpogostejših in najbolj kritičnih vrzeli v kibernetski varnosti je seveda človek oziroma uporabnik. Zaposleni so lahko največje bogastvo podjetja ali pa najšibkejši člen njegove kibernetske varnosti – odvisno od znanja, ozaveščenosti, spretnosti in vedenja. Zaposlene zato morate izobraževati o najboljših praksah, politikah in postopkih za kibernetsko varnost ter tveganjih in posledicah kibernetskih napadov. Za izobraževanje in usposabljanje osebja ter ocenjevanje njegovega znanja in usposobljenosti lahko uporabite različne metode in orodja, kot so delavnice, spletni seminarji ali celo simulacije kibernetskega napada, ki so obenem najučinkovitejše, saj zaposleni v praksi spoznajo, kaj vse jih lahko doleti na delovnem mestu.
»Dejstvo je, da človeške napake pretehtajo tehnične metode zaščite. V praksi ugotavljamo, da med 10 in 20 odstotki zaposlenih še vedno nasede prevaram – bodisi e-poštnim bodisi s tehnikami socialnega inženiringa. Šefi potem nadirajo ljudi – a tudi to je nujno zlo. Številni zaposleni ne prepoznajo tipičnih znakov prevar, poleg tega pa jih je treba naučiti tudi pravilne reakcije. Edina učinkovita stvar je izobraževanje, ki naj ga dopolnjuje stalno ozaveščanje o kibernetski varnosti,« izkušnje s terena povzema Gabor.
Zunanja pomoč
Morda ne boste mogli sami najti in odpraviti vseh vrzeli v kibernetski varnosti. Morda boste potrebovali zunanjo pomoč strokovnjakov, svetovalcev ali ponudnikov storitev, ki vam lahko ponudijo specializirane spretnosti, znanje ali vire. Zunanjo pomoč lahko poiščete za različna področja kibernetske varnosti, praktično vsa zgoraj omenjena. Lahko si omislite tudi varnost kot storitev, ki jo zagotavlja zunanji partner – temu so namenjene obsežne storitve varnostnooperativnih centrov. A nikar ne pozabite – vi sami ste dolžni ohraniti nadzor nad lastno kibernetsko varnostjo in odgovornost zanjo.