Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Oglas
Objavljeno: 14.12.2020 08:00

Kibernetska varnost za izvajalce bistvenih storitev

Zadnjih nekaj let opažamo porast kibernetskega kriminala in incidentov, povezanih z informacijsko varnostjo. V preteklosti so bili napadalci bolj ali manj posamezni storilci, sedaj pa je čedalje več organiziranih mednarodnih združb, ki svoje napade usmerjajo na informacijske sisteme finančnih, vladnih in ostalih gospodarskih družb. Motivi so različni. V večini primerov gre za pridobivanje premoženjske koristi, vse pogosteje pa so ti napadi namenjeni onesposobljenju storitev.

V Sloveniji si pred tem še vedno zatiskamo oči, češ, kaj takega se nam ne more zgoditi. Investicije za izboljšanje kibernetske varnosti imajo praviloma nižjo prioriteto. Ker organizacije večinoma nimajo sprejete strategije za izboljšanje kibernetske varnosti, investicije v opremo največkrat ne dosežejo svojega namena. Pri investiranju v informacijsko varnost je treba narediti razmislek o vrednosti investicije v primerjavi s potencialno škodo, ki bi jo morda utrpeli. Govorimo o tveganju in vplivu na poslovanje. Eden od motivatorjev pri investiciji v kibernetsko varnost je torej preprečitev potencialne škode. Pri tem pa se, kot rečeno, praviloma podcenjuje verjetnost tveganja.

Drugi način, kako izboljšati kibernetsko varnost, pa so zakonodaja in ostale področne regulative. Zakonodaja in ostale področne regulative enostavno zahtevajo, da se izpolnijo določeni kriteriji zagotavljanja varnosti. Primer takšne regulative je PCI, ki velja za področje kartičnega poslovanja.

Izvajalci bistvenih storitev

Leta 2018 je Slovenija sprejela zakon o informacijski varnosti. Namen zakona je ureditev področja informacijske varnosti, ki je bistvenega pomena za delovanje države v vseh varnostnih razmerah in zagotavlja ključne storitve za ohranitev pomembnih družbenih in gospodarskih dejavnosti. V letu 2019 sta bila sprejeta tudi »Uredba o določitvi bistvenih storitev in podrobnejši metodologiji za določitev izvajalcev bistvenih storitev« ter »Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev«, ki podrobneje definirata, kdo so izvajalci bistvenih storitev.

Vsi ti dokumenti ponujajo okvir za izdelavo načrta organizacijskih in tehničnih varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežij in informacijskih sistemov, ki se uporabljajo za zagotavljanje bistvenih storitev. Zakon o informacijski varnosti se v tem delu nanaša na ponudnike bistvenih storitev, kot so na primer oskrba z pitno vodo, elektro distribucija, telekomunikacije in nenazadnje tudi lekarniška dejavnost.

Zakon predvideva vzpostavitev in vzdrževanje dokumentiranega sistema upravljanja varovanja informacij (SUVI) in sistema upravljanja neprekinjenega poslovanja (SUNP), vezana na omrežja in informacijske sisteme ter rešitve, in sicer:

  • analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj;
  • politiko neprekinjenega poslovanja z načrtom njegovega upravljanja;
  • seznam ključnih, krmilnih in nadzornih informacijskih sistemov ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev;
  • načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov;
  • načrt odzivanja na incidente s protokolom obveščanja nacionalne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij;
  • načrt varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki podpirajo izvajanja bistvenih storitev.

Ključna elementa pri pripravi sta izdelava seznama ključnih informacijskih sredstev omrežij in informacijskih sistemov, ki bo vključeval tako programsko opremo in strojno opremo, sistemske prostore, podatke in informacije ter osebje, ki upravlja in uporablja vsa našteta sredstva.

Drugi pomemben korak je proces obvladovanja tveganj z oceno sprejemljive ravni tveganj. Proces tveganj je metodološki pristop, v katerem je treba pregledati potencialne grožnje tem informacijskim sredstvom, ranljivosti, verjetnost uresničitve groženj ter oceno vpliva na opravljanje IT-storitev v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti. Metodologija ravnanja s tveganji nadalje določa tudi ukrepe in postopke za obvladovanje tveganj.

Pri izvedbi analize obvladovanja tveganj obstaja vrsta metodologij. Ena izmed takšnih je na primer Metodologija obvladovanja tveganj informacijske varnosti v državni upravi. Pri izvedbi tovrstnih storitev je treba upoštevati tudi priporočila standardov iz družine ISO 27000 ter ISO 22301 in IEC 62443.

Vdorni test

Čeprav zakonodaja ne predvideva tega, je izvedba vdornega testa naslednji korak, ki ga priporočamo. Vdorni test je lahko tako zunanji ali notranji. Ugotovljene ranljivosti pomagajo oceniti identificirana tveganja , največkrat pa se pokažejo tudi kakšna druga tveganja, ki so bila prej prezrta.

Pri tem velja poudariti da pri vdornem testu ne skušamo izrabiti ranljivosti za vdor v sistem. Gre za pregled, ali so ranljivosti takšne, da bi omogočale vdor. Odkrite ranljivosti se popravi in po želji naredi še verifikacijski test, ki potrdi uspešno odpravo ranljivosti.

www.osi.si

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Severna Koreja s kriptovalutami in lažnimi zaposlenimi nakradla milijarde

    Severna Koreja s kriptovalutami in lažnimi zaposlenimi nakradla milijarde

    Za razliko od praktično vseh ostalih držav se Severna Koreja v veliki meri zanaša na internetni kriminal in kriptoprevare za financiranje delovanja države in izogibanje sankcijam. Tudi eden večjih letošnjih vdorov, ko so neznanci z borze Bybit ukradli za poldrugo milijardo dolarjev kriptovalute ether, je bil plod Severne Koreje.

    novice
    Objavljeno: 27.10.2025 07:00
  • <span><span>Popolnoma drugačno električno kolo</span></span>

    Popolnoma drugačno električno kolo

    Rivianovo hčerinsko podjetje Also, specializirano za mikromobilnost, je predstavilo inovativno električno kolo TM-B (Transcendent Mobility - Bike), ki obljublja povsem novo izkušnjo vožnje. 

    novice
    Objavljeno: 23.10.2025 16:00
  • V Londonu vam bodo verjetno ukradli telefon

    V Londonu vam bodo verjetno ukradli telefon

    Samo v lanskem letu so v Londonu ukradli 80.000 pametnih telefonov, kar je v milijonski metropoli sicer malo, a vseeno precej več kot v drugih podobno velikih mestih v Evropi. In približno tretjino več kot leto pred tem. Trend je torej zaskrbljujoč.

    novice
    Objavljeno: 23.10.2025 05:00
  • SD-kartica na dnu Atlantika preživela implozijo Titana

    SD-kartica na dnu Atlantika preživela implozijo Titana

    Raziskovalci so na dnu Atlantskega ocena v bližini razbitine Titanika našli SanDiskovo spominsko kartico SD, s katere so lahko sneli 12 fotografij in devet videoposnetkov. Kartica je tja potonila pred dvema letoma, ko je implodirala podmornica Titan, s katero je podjetje OceanGate želelo obiskati razbitine slavnega parnika.

    novice
    Objavljeno: 22.10.2025 05:00
  • Tri četrtine vseh satelitov je Starlinkovih!

    Tri četrtine vseh satelitov je Starlinkovih!

    S precej manj pozornosti javnosti, kot bi si tako pomembne spremembe zaslužile, v Zemljino orbito izstreljujemo satelite hitreje kot kdajkoli doslej. Prednjačijo ponudniki satelitskega dostopa do interneta, med katerimi je najhitrejši Starlink. Ta je 19. oktobra z raketo Falcon 19 v vesolje poslal še 28 satelitov, s čimer je presegel magično mejo 10.000.

    novice
    Objavljeno: 22.10.2025 07:00
  • Uvodnik: Vedno je kriv DNS!

    Uvodnik: Vedno je kriv DNS!

    Konec oktobra se je zgodilo nekaj, kar bi lahko imenovali že klasika digitalne dobe – Amazonov oblak AWS je spet odpovedal poslušnost. Tokrat je šlo za podatkovni center US-EAST-1, tisti najbolj obremenjeni in najstarejši del Amazonove infrastrukture, ki poganja velik del svetovnega spleta.

    Fokus
    Objavljeno: 28.10.2025 | Avtor: Matjaž Klančar | Monitor November 2025
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

November 2025 Prelistaj! Spletni nakup Arhiv številk
November 2025

Uvodnik
Vedno je kriv DNS!

Mnenja
Balon pušča Pro et contra – običajni ali tanki telefoni?

Fokus
Uvodnik: Vedno je kriv DNS! V katero smer nese svetlobni žarek?

Dosje
Ko članek shranimo za kasneje Nevarnost v naročju

Monitor Pro
Agenti UI v boju proti eksploziji kibernetskih groženj Branjenje obzidja je stvar preteklosti Hrbtenica digitalne odpornosti

Na zvezi
Kariera v IT, Roman Thaler, CODATIVITY Software Solutions

Zgodovina
Larry Ellison - Od reveža do bogataša Zgodovina telekomunikacij v Sloveniji - Terminalska omrežja

Odprta scena
Ranljivi jeziki so obsojeni na počasno smrt

Prenosni računalniki
Naredi sam prenosnik

Telefoni
Sveži zrak Tanek, hiter in … drag! Umetna inteligenca povsod

Preizkusi
500-tica s plusom Domači oblak

Nasveti
Prestopni iOS Super mikroračunalniki za mobilne projekte Umetna inteligenca za delovni vsakdan

Mobilno
Androidni intervali Naš izbor na Androidu Naš izbor za iPhone Z aplikacijo proti povišanemu krvnemu tlaku

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov