Oglasno sporočilo
Objavljeno: 14.12.2020 08:00

Kibernetska varnost za izvajalce bistvenih storitev

Zadnjih nekaj let opažamo porast kibernetskega kriminala in incidentov, povezanih z informacijsko varnostjo. V preteklosti so bili napadalci bolj ali manj posamezni storilci, sedaj pa je čedalje več organiziranih mednarodnih združb, ki svoje napade usmerjajo na informacijske sisteme finančnih, vladnih in ostalih gospodarskih družb. Motivi so različni. V večini primerov gre za pridobivanje premoženjske koristi, vse pogosteje pa so ti napadi namenjeni onesposobljenju storitev.

V Sloveniji si pred tem še vedno zatiskamo oči, češ, kaj takega se nam ne more zgoditi. Investicije za izboljšanje kibernetske varnosti imajo praviloma nižjo prioriteto. Ker organizacije večinoma nimajo sprejete strategije za izboljšanje kibernetske varnosti, investicije v opremo največkrat ne dosežejo svojega namena. Pri investiranju v informacijsko varnost je treba narediti razmislek o vrednosti investicije v primerjavi s potencialno škodo, ki bi jo morda utrpeli. Govorimo o tveganju in vplivu na poslovanje. Eden od motivatorjev pri investiciji v kibernetsko varnost je torej preprečitev potencialne škode. Pri tem pa se, kot rečeno, praviloma podcenjuje verjetnost tveganja.

Drugi način, kako izboljšati kibernetsko varnost, pa so zakonodaja in ostale področne regulative. Zakonodaja in ostale področne regulative enostavno zahtevajo, da se izpolnijo določeni kriteriji zagotavljanja varnosti. Primer takšne regulative je PCI, ki velja za področje kartičnega poslovanja.

Izvajalci bistvenih storitev

Leta 2018 je Slovenija sprejela zakon o informacijski varnosti. Namen zakona je ureditev področja informacijske varnosti, ki je bistvenega pomena za delovanje države v vseh varnostnih razmerah in zagotavlja ključne storitve za ohranitev pomembnih družbenih in gospodarskih dejavnosti. V letu 2019 sta bila sprejeta tudi »Uredba o določitvi bistvenih storitev in podrobnejši metodologiji za določitev izvajalcev bistvenih storitev« ter »Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev«, ki podrobneje definirata, kdo so izvajalci bistvenih storitev.

Vsi ti dokumenti ponujajo okvir za izdelavo načrta organizacijskih in tehničnih varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežij in informacijskih sistemov, ki se uporabljajo za zagotavljanje bistvenih storitev. Zakon o informacijski varnosti se v tem delu nanaša na ponudnike bistvenih storitev, kot so na primer oskrba z pitno vodo, elektro distribucija, telekomunikacije in nenazadnje tudi lekarniška dejavnost.

Zakon predvideva vzpostavitev in vzdrževanje dokumentiranega sistema upravljanja varovanja informacij (SUVI) in sistema upravljanja neprekinjenega poslovanja (SUNP), vezana na omrežja in informacijske sisteme ter rešitve, in sicer:

  • analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj;
  • politiko neprekinjenega poslovanja z načrtom njegovega upravljanja;
  • seznam ključnih, krmilnih in nadzornih informacijskih sistemov ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev;
  • načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov;
  • načrt odzivanja na incidente s protokolom obveščanja nacionalne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij;
  • načrt varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki podpirajo izvajanja bistvenih storitev.

Ključna elementa pri pripravi sta izdelava seznama ključnih informacijskih sredstev omrežij in informacijskih sistemov, ki bo vključeval tako programsko opremo in strojno opremo, sistemske prostore, podatke in informacije ter osebje, ki upravlja in uporablja vsa našteta sredstva.

Drugi pomemben korak je proces obvladovanja tveganj z oceno sprejemljive ravni tveganj. Proces tveganj je metodološki pristop, v katerem je treba pregledati potencialne grožnje tem informacijskim sredstvom, ranljivosti, verjetnost uresničitve groženj ter oceno vpliva na opravljanje IT-storitev v primeru kršitve informacijske varnosti zaradi izgube razpoložljivosti, celovitosti ali zaupnosti. Metodologija ravnanja s tveganji nadalje določa tudi ukrepe in postopke za obvladovanje tveganj.

Pri izvedbi analize obvladovanja tveganj obstaja vrsta metodologij. Ena izmed takšnih je na primer Metodologija obvladovanja tveganj informacijske varnosti v državni upravi. Pri izvedbi tovrstnih storitev je treba upoštevati tudi priporočila standardov iz družine ISO 27000 ter ISO 22301 in IEC 62443.

Vdorni test

Čeprav zakonodaja ne predvideva tega, je izvedba vdornega testa naslednji korak, ki ga priporočamo. Vdorni test je lahko tako zunanji ali notranji. Ugotovljene ranljivosti pomagajo oceniti identificirana tveganja , največkrat pa se pokažejo tudi kakšna druga tveganja, ki so bila prej prezrta.

Pri tem velja poudariti da pri vdornem testu ne skušamo izrabiti ranljivosti za vdor v sistem. Gre za pregled, ali so ranljivosti takšne, da bi omogočale vdor. Odkrite ranljivosti se popravi in po želji naredi še verifikacijski test, ki potrdi uspešno odpravo ranljivosti.

www.osi.si

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji