Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Oglas
Objavljeno: 14.12.2020 08:00

Kibernetska varnost za izvajalce bistvenih storitev

Zadnjih nekaj let opažamo porast kibernetskega kriminala in incidentov, povezanih z informacijsko varnostjo. V preteklosti so bili napadalci bolj ali manj posamezni storilci, sedaj pa je čedalje več organiziranih mednarodnih združb, ki svoje napade usmerjajo na informacijske sisteme finančnih, vladnih in ostalih gospodarskih družb. Motivi so različni. V večini primerov gre za pridobivanje premoženjske koristi, vse pogosteje pa so ti napadi namenjeni onesposobljenju storitev.

V Sloveniji si pred tem še vedno zatiskamo oči, češ, kaj takega se nam ne more zgoditi. Investicije za izboljšanje kibernetske varnosti imajo praviloma nižjo prioriteto. Ker organizacije večinoma nimajo sprejete strategije za izboljšanje kibernetske varnosti, investicije v opremo največkrat ne dosežejo svojega namena. Pri investiranju v informacijsko varnost je treba narediti razmislek o vrednosti investicije v primerjavi s potencialno škodo, ki bi jo morda utrpeli. Govorimo o tveganju in vplivu na poslovanje. Eden od motivatorjev pri investiciji v kibernetsko varnost je torej preprečitev potencialne škode. Pri tem pa se, kot rečeno, praviloma podcenjuje verjetnost tveganja.

Drugi način, kako izboljšati kibernetsko varnost, pa so zakonodaja in ostale področne regulative. Zakonodaja in ostale področne regulative enostavno zahtevajo, da se izpolnijo določeni kriteriji zagotavljanja varnosti. Primer takšne regulative je PCI, ki velja za področje kartičnega poslovanja.

Kibernetska varnost za izvajalce bistvenih storitev

Izvajalci bistvenih storitev

Leta 2018 je Slovenija sprejela zakon o informacijski varnosti. Namen zakona je ureditev področja informacijske varnosti, ki je bistvenega pomena za delovanje države v vseh varnostnih razmerah in zagotavlja ključne storitve za ohranitev pomembnih družbenih in gospodarskih dejavnosti. V letu 2019 sta bila sprejeta tudi »Uredba o določitvi bistvenih storitev in podrobnejši metodologiji za določitev izvajalcev bistvenih storitev« ter »Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev«, ki podrobneje definirata, kdo so izvajalci bistvenih storitev.

Vsi ti dokumenti ponujajo okvir za izdelavo načrta organizacijskih in tehničnih varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežij in informacijskih sistemov, ki se uporabljajo za zagotavljanje bistvenih storitev. Zakon o informacijski varnosti se v tem delu nanaša na ponudnike bistvenih storitev, kot so na primer oskrba z pitno vodo, elektro distribucija, telekomunikacije in nenazadnje tudi lekarniška dejavnost.

Zakon predvideva vzpostavitev in vzdrževanje dokumentiranega sistema upravljanja varovanja informacij (SUVI) in sistema upravljanja neprekinjenega poslovanja (SUNP), vezana na omrežja in informacijske sisteme ter rešitve, in sicer:

  • analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj;
  • politiko neprekinjenega poslovanja z načrtom njegovega upravljanja;
  • seznam ključnih, krmilnih in nadzornih informacijskih sistemov ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev;
  • načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov;
  • načrt odzivanja na incidente s protokolom obveščanja nacionalne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij;
  • načrt varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki podpirajo izvajanja bistvenih storitev.

Ključna elementa pri pripravi sta izdelava seznama ključnih informacijskih sredstev omrežij in informacijskih sistemov, ki bo vključeval tako programsko opremo in strojno opremo, sistemske prostore, podatke in informacije ter osebje, ki upravlja in uporablja vsa našteta sredstva.

Drugi pomemben korak je proces obvladovanja tveganj z oceno sprejemljive ravni tveganj. Proces tveganj je metodološki pristop, v katerem je treba pregledati potencialne grožnje tem informacijskim sredstvom, ranljivosti, verjetnost uresničitve groženj ter oceno vpliva na opravljanje IT-storitev v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti. Metodologija ravnanja s tveganji nadalje določa tudi ukrepe in postopke za obvladovanje tveganj.

Pri izvedbi analize obvladovanja tveganj obstaja vrsta metodologij. Ena izmed takšnih je na primer Metodologija obvladovanja tveganj informacijske varnosti v državni upravi. Pri izvedbi tovrstnih storitev je treba upoštevati tudi priporočila standardov iz družine ISO 27000 ter ISO 22301 in IEC 62443.

Vdorni test

Čeprav zakonodaja ne predvideva tega, je izvedba vdornega testa naslednji korak, ki ga priporočamo. Vdorni test je lahko tako zunanji ali notranji. Ugotovljene ranljivosti pomagajo oceniti identificirana tveganja , največkrat pa se pokažejo tudi kakšna druga tveganja, ki so bila prej prezrta.

Pri tem velja poudariti da pri vdornem testu ne skušamo izrabiti ranljivosti za vdor v sistem. Gre za pregled, ali so ranljivosti takšne, da bi omogočale vdor. Odkrite ranljivosti se popravi in po želji naredi še verifikacijski test, ki potrdi uspešno odpravo ranljivosti.

www.osi.si

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Google zapira zadnja vrata za blokiranje oglasov

    Google zapira zadnja vrata za blokiranje oglasov

    Google bo s prihajajočimi posodobitvami spletnega brskalnika Chrome dokončno onemogočil delovanje priljubljenih razširitev za blokiranje oglasov, kot je uBlock Origin.

    novice
    Objavljeno: 16.6.2026 10:00
  • Google nam bo zaklenil ekosistem Android

    Google nam bo zaklenil ekosistem Android

    Dolgo vrsto let je bila ena izmed glavnih prednosti ekosistema Android njegova odprtost, saj za razliko od konkurenčnega Applovega iOS-a ni imel omejitev za nameščanje aplikacij. Resda je Google preverjal aplikacije, ki jih je uvrstil na svojo tržnico Play Store, a vsakdo je lahko mimo te tržnice namestil karkoli, če je z interneta prenesel namestitveno datoteko. Postopek se imenuje sideloading in je na primer na iOS onemogočen. To se bo zdaj zgodilo tudi na Androidu.

    novice
    Objavljeno: 19.6.2026 05:00
  • Getty Images bo sodeloval z OpenAI, delnica se je čez noč podvojila!

    Getty Images bo sodeloval z OpenAI, delnica se je čez noč podvojila!

    Podjetje Getty Images je v nedeljo sporočilo, da bodo sodelovali z OpenAI. Priljubljeno orodje umetne inteligence ChatGPT bo lahko brskalo po Gettyjevi knjižnici podob, se iz njih učilo in jih uporabnikom tudi streglo, kar seveda ne bo zastonj. Koliko bo Getty Images z dogovorom zaslužil, podjetji nista razkrili. Vlagatelji pa menijo, da ogromno.

    novice
    Objavljeno: 23.6.2026 05:00
  • Trumpov telefon je skoraj popolna kopija HTC-jevega

    Trumpov telefon je skoraj popolna kopija HTC-jevega

    Razstavljanje težko pričakovanega pametnega telefona Trump Mobile T1, ki so ga opravili strokovnjaki pri iFixit, je potrdilo prejšnje sume ocenjevalcev opreme, da je naprava skoraj popolna kopija obstoječega modela HTC U24 Pro.

    novice
    Objavljeno: 12.6.2026 09:00
  • Prihodnji teden bodo potekli certifikati za zagon računalnikov

    Prihodnji teden bodo potekli certifikati za zagon računalnikov

    Bliža se datum, ki se je pred 15 leti zdel nedosegljivo daleč v prihodnosti. Potekli bodo certifikati iz leta 2011, s katerimi se varuje zagon osebnih računalnikov (Secure Boot), da se nanje ne ugnezdi škodljiva programska oprema že v UEFI/BIOS. Ne glede na operacijski sistem morajo posodobljene certifikate dobiti vsi starejši računalniki, najsi na njih teče Windows ali Linux. Prvi se večinoma posodobi sam.

    novice
    Objavljeno: 18.6.2026 05:00
  • Nova Philipsova svetilka je umetno sonce za sobe brez oken

    Nova Philipsova svetilka je umetno sonce za sobe brez oken

    Podjetje Philips je predstavilo novo stropno svetilko Philips Skylight, ki s pomočjo napredne LED tehnologije in sistema NatureConnect uspešno posnema videz ter globino prave strešne linije in v prostore prinaša ritem naravne sončne svetlobe.

    novice
    Objavljeno: 11.6.2026 09:15
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Posebna 2026 Prelistaj! Spletni nakup Arhiv številk
Posebna 2026

Uvodnik
Ko tehnologija postane magija

Fokus
Neznosna lahkost teorij zarote Svet, v katerem nič ni naključje Uvodnik: Tehnološke teorije zarote

Dosje
Pametni dom - Ko dom postane naprava 5G, pet let kasneje Denar, ki ga je mogoče izklopiti Kaj pa, če je vse res? Telefoni - Najboljši mikrofon je tisti, ki ga sploh ne potrebuješ Windows - Vrata, ki jih ne vidimo

Na zvezi
Kako razbiti teorije zarote Neomajni pesimisti napovedujejo pogubo Zakaj je tako težko ovreči teorijo zarote o nadzoru nad vremenom

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji