Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Oglasno sporočilo
Objavljeno: 14.12.2020 08:00

Kibernetska varnost za izvajalce bistvenih storitev

Zadnjih nekaj let opažamo porast kibernetskega kriminala in incidentov, povezanih z informacijsko varnostjo. V preteklosti so bili napadalci bolj ali manj posamezni storilci, sedaj pa je čedalje več organiziranih mednarodnih združb, ki svoje napade usmerjajo na informacijske sisteme finančnih, vladnih in ostalih gospodarskih družb. Motivi so različni. V večini primerov gre za pridobivanje premoženjske koristi, vse pogosteje pa so ti napadi namenjeni onesposobljenju storitev.

V Sloveniji si pred tem še vedno zatiskamo oči, češ, kaj takega se nam ne more zgoditi. Investicije za izboljšanje kibernetske varnosti imajo praviloma nižjo prioriteto. Ker organizacije večinoma nimajo sprejete strategije za izboljšanje kibernetske varnosti, investicije v opremo največkrat ne dosežejo svojega namena. Pri investiranju v informacijsko varnost je treba narediti razmislek o vrednosti investicije v primerjavi s potencialno škodo, ki bi jo morda utrpeli. Govorimo o tveganju in vplivu na poslovanje. Eden od motivatorjev pri investiciji v kibernetsko varnost je torej preprečitev potencialne škode. Pri tem pa se, kot rečeno, praviloma podcenjuje verjetnost tveganja.

Drugi način, kako izboljšati kibernetsko varnost, pa so zakonodaja in ostale področne regulative. Zakonodaja in ostale področne regulative enostavno zahtevajo, da se izpolnijo določeni kriteriji zagotavljanja varnosti. Primer takšne regulative je PCI, ki velja za področje kartičnega poslovanja.

Izvajalci bistvenih storitev

Leta 2018 je Slovenija sprejela zakon o informacijski varnosti. Namen zakona je ureditev področja informacijske varnosti, ki je bistvenega pomena za delovanje države v vseh varnostnih razmerah in zagotavlja ključne storitve za ohranitev pomembnih družbenih in gospodarskih dejavnosti. V letu 2019 sta bila sprejeta tudi »Uredba o določitvi bistvenih storitev in podrobnejši metodologiji za določitev izvajalcev bistvenih storitev« ter »Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev«, ki podrobneje definirata, kdo so izvajalci bistvenih storitev.

Vsi ti dokumenti ponujajo okvir za izdelavo načrta organizacijskih in tehničnih varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežij in informacijskih sistemov, ki se uporabljajo za zagotavljanje bistvenih storitev. Zakon o informacijski varnosti se v tem delu nanaša na ponudnike bistvenih storitev, kot so na primer oskrba z pitno vodo, elektro distribucija, telekomunikacije in nenazadnje tudi lekarniška dejavnost.

Zakon predvideva vzpostavitev in vzdrževanje dokumentiranega sistema upravljanja varovanja informacij (SUVI) in sistema upravljanja neprekinjenega poslovanja (SUNP), vezana na omrežja in informacijske sisteme ter rešitve, in sicer:

  • analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj;
  • politiko neprekinjenega poslovanja z načrtom njegovega upravljanja;
  • seznam ključnih, krmilnih in nadzornih informacijskih sistemov ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev;
  • načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov;
  • načrt odzivanja na incidente s protokolom obveščanja nacionalne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij;
  • načrt varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki podpirajo izvajanja bistvenih storitev.

Ključna elementa pri pripravi sta izdelava seznama ključnih informacijskih sredstev omrežij in informacijskih sistemov, ki bo vključeval tako programsko opremo in strojno opremo, sistemske prostore, podatke in informacije ter osebje, ki upravlja in uporablja vsa našteta sredstva.

Drugi pomemben korak je proces obvladovanja tveganj z oceno sprejemljive ravni tveganj. Proces tveganj je metodološki pristop, v katerem je treba pregledati potencialne grožnje tem informacijskim sredstvom, ranljivosti, verjetnost uresničitve groženj ter oceno vpliva na opravljanje IT-storitev v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti. Metodologija ravnanja s tveganji nadalje določa tudi ukrepe in postopke za obvladovanje tveganj.

Pri izvedbi analize obvladovanja tveganj obstaja vrsta metodologij. Ena izmed takšnih je na primer Metodologija obvladovanja tveganj informacijske varnosti v državni upravi. Pri izvedbi tovrstnih storitev je treba upoštevati tudi priporočila standardov iz družine ISO 27000 ter ISO 22301 in IEC 62443.

Vdorni test

Čeprav zakonodaja ne predvideva tega, je izvedba vdornega testa naslednji korak, ki ga priporočamo. Vdorni test je lahko tako zunanji ali notranji. Ugotovljene ranljivosti pomagajo oceniti identificirana tveganja , največkrat pa se pokažejo tudi kakšna druga tveganja, ki so bila prej prezrta.

Pri tem velja poudariti da pri vdornem testu ne skušamo izrabiti ranljivosti za vdor v sistem. Gre za pregled, ali so ranljivosti takšne, da bi omogočale vdor. Odkrite ranljivosti se popravi in po želji naredi še verifikacijski test, ki potrdi uspešno odpravo ranljivosti.

www.osi.si

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • <span><span>Redka zmaga malega rudarja kriptovalut</span></span>

    Redka zmaga malega rudarja kriptovalut

    V času, ko rudarjenje bitcoina obvladujejo velika podjetja s specializirano opremo in ogromnimi viri, je neodvisnemu solo rudarju uspel izjemen podvig. 

    novice
    Objavljeno: 27.7.2025 13:00
  • Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Britansko podjetje KNP iz Northamptonshira, ki se je ukvarjalo s prevozi, je po 158 letih obratovanja zaprlo vrata, zaradi česar je brez dela ostalo 700 ljudi. Razlog ni slabo poslovanje, težke tržne razmere, izgube ali celo poneverbe, temveč precej bolj banalen. Podjetje je opustošil hekerski napad, v katerem so napadalci odnesli podatke o vseh strankah.

    novice
    Objavljeno: 23.7.2025 05:00
  • ChatGPT je bogatejši za pravega raziskovalnega agenta

    ChatGPT je bogatejši za pravega raziskovalnega agenta

    ChatGPT agent je nova generacija digitalnega pomočnika, ki združuje sposobnosti vizualnega in tekstovnega brskanja ter neposredne interakcije z zunanjimi platformami, kot so Google Drive, GitHub in SharePoint.

    novice
    Objavljeno: 18.7.2025 08:00
  • Tehnologija je orodje za množično nadzorovanje

    Tehnologija je orodje za množično nadzorovanje

    Ko je minuli teden kamera na koncertu skupine Coldplay v Bostonu prikazala par, ki objet posluša Chrisa Martina, bi bil lahko to le še eden izmed množice povsem običajnih in dolgočasni prizor. A ker se je ženska na posnetku obrnila proč in obraz zakopal v roke, moški pa se je sklonil pod kader, je posnetek vzbudil veliko pozornosti. Pevec Chris Martin ga je na odru komentiral z besedami, da sta bodisi zelo sramežljiva bodisi razmerje skrivata – in ostalo je bilo zgodovina.

    novice
    Objavljeno: 21.7.2025 05:00
  • <span><span>ChatGPT je slab v šahu</span></span>

    ChatGPT je slab v šahu

    Najboljši šahist sveta Magnus Carlsen je v spletnem dvoboju premagal umetno inteligenco ChatGPT v vsega 53-ih potezah, pri čemer sam ni izgubil niti ene same figure. 

    novice
    Objavljeno: 21.7.2025 09:00
  • <span><span>ChatGPT-5 bo na voljo avgusta</span></span>

    ChatGPT-5 bo na voljo avgusta

    Sam Altman, izvršni direktor OpenAI, je potrdil, da bo model GPT-5 izšel že v začetku avgusta. 

    novice
    Objavljeno: 25.7.2025 09:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Julij-avgust 2025 Prelistaj! Spletni nakup Arhiv številk
Julij-avgust 2025

Uvodnik
Strojni svetovni splet

Mnenja
Dočakal sem prihodnost

Nove tehnologije
Koliko hitrosti je dovolj? Povezani na poti Pregon!

Fokus
Elektronski papir v barvah Neznosna lahkost branja RLCD - Renesansa LCD Uvodnik: Strojni svetovni splet

Dosje
Ali androidi sanjajo o električnih ovcah?* Med trirazsežnim navdušenjem in strahom

Monitor Pro
Oblak je temelj digitalne preobrazbe Prihodnost sodelovanja in digitalnih komunikacij Uvodnik - Je oblak vsemogočen?

Na zvezi
Kariera v IT

Zgodovina
Kralj omrežij Mikroračunalniški roboti

Odprta scena
Teleskop kot tveganje za državno varnost Zakaj nas mora skrbeti za prihodnost čipov

Prenosni računalniki
Zmogljivost stane!

Telefoni
Prenovljeni srednji razred

Preizkusi
Kupil sem ZX Spectruma Previdni korak naprej Projektor v žepu

Nasveti
Oblačni triki

Mobilno
Applove nagrade Če hodiš, lahko plešeš Naš izbor na Androidu Naš izbor na iPhonu

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov