Ključni izazovi s kojima se susreću menadžeri za upravljanje sigurnosti i rizicima nedostatak su stručnjaka u kibernetičkoj sigurnosti i nedovoljno razumijevanje stvarne prirode ‘cyber‘ rizika kojima su izložene kompanije i zaposlenici. A svaki dan donosi nove prijetnje i poneku pobjedu
Mnogi vjerojatno ne bi željeli biti na mjestu menadžera zaduženih za upravljanje sigurnošću i rizicima. Nikad se ne zna kada može doći do proboja sustava tvrtke - možda se upad upravo događa, a nitko ga još nije svjestan. Osim nemirnih menadžerskih snova zbog zlonamjernih ucjena hakera (ransomwarea) koji mogu prouzročiti milijunske štete za tvrtke te phishinga odnosno mrežnih krađa osobnih podataka putem elektroničke pošte i poruke, hrvatske tvrtke se suočavaju i s malim proračunima, nedostatkom stručnjaka i nerazumijevanjem važnosti kibernetičke sigurnosti.
Interno usavršavanje
S organizacijskog gledišta najčešći izazovi s kojima se susreću menadžeri za upravljanje sigurnošću, vjeruje Saša Ilić, voditelj odsjeka za cyber/informacijsku sigurnost u Hrvatskom Telekomu, i dalje su u domeni opravdavanja investicija i troškova koji su potrebni kako bi se ostalo koliko-toliko ukorak s neprestanim napretkom tehnologije. Po Iliću motivacija da se čim prije izađe s novim produktom, servisom, kao i da se sve više radi na raznim oblicima digitalizacije povlači i potrebu da se adekvatno adresiraju nove prijetnje koje također prate isti ritam.
- Ovo vrijedi bez obzira na generalno visoku razinu svijesti oko ozbiljnosti rizika i prijetnji, pogotovo u cyber domeni, koje veliki broj organizacija ima i na izvršnim razinama menadžmenta. Nerijetko, međutim, ovo ostaje na deklarativnoj razini, s obzirom da je pravi izazov uskladiti potrebna ulaganja u sigurnosne tehnologije i stručnjake sa sve zahtjevnijim poslovnim ciljevima i idejama. Upravo zato treba raditi na stalnom osvještavanju, kao i izvještavanju. Činjenica je da upravljanje sigurnošću nije svrha samo po sebi već je tu prvenstveno da podrži poslovanje.
Potrebno je pronaći pravu ravnotežu i kroz pragmatičan pristup, određivanje važnosti te svijest o okolini u kojoj prepoznajemo kritične točke u organizaciji i pravovremeno se uključujemo. S druge strane, ako već postoji podrška i razumijevanje da kibernetičku sigurnost treba osnažiti kako bi se adresirali prepoznati rizici, dolazimo do izazova nedostatka stručnjaka i općenito razine stručnosti. Dok se ranije govorilo općenito o stručnjacima za sigurnost, danas se ovo područje daleko više segmentira te specijalizacija postaje sve dublja. Utoliko je i teže pronaći, ali i zadržati ljude koji vladaju ovim kompetencijama. Osnovni temelj je kvalitetan interni program daljnjeg usavršavanja – smatra Ilić.
Spreman odgovor
Potrebna je, dodao je, i spremnost da se u ovakve ljude ulaže kroz specijalizirane treninge odnosno teško je naći profil koji će se u potpunosti poklapati s potrebama pa je važno prepoznati pravu motivaciju i način razmišljanja te imati alate i organizacijski ‘setup‘ kojima se dalje može graditi na ovim osnovama. Različiti oblici retencijskih programa su, tvrdi Ilić, od ranije prepoznati kao također jedan od osnovnih alata koji svaka organizacija treba imati.
- Phishing ostaje jedan od top inicijalnih vektora napada, koliko god bio jedna od najčešćih tema svih osnovnih edukacija i trening kampanja, i koliko se već zna o svim mogućim varijacijama. Čak i kad se radi o organizacijama s većinom IT (informatička tehnologija) zaposlenika, i dalje nalazi svoj put do potencijalnih žrtava. Kod realizacije i iskorištavanja određenih ranjivosti, jedna od najvećih prijetnji je ransomware.
U tom pogledu treba biti spreman s tehnikama odgovora i oporavka, kako bi se ograničilo i zaustavilo širenje ove prijetnje, te da šteta i vrijeme povratka podataka i sustava bude što je moguće manja. Potpuno sigurni danas više ne možemo biti, pa koliko god prevencija bila i dalje iznimno bitna, općenito se osjeća pomak na detekcija te načine reakcije i oporavka kada se sigurnosni incident dogodi.
Tu je relevantno spomenuti Security Operations Center (SOC), koji bilo kao interni servis ili eksternalizirana usluga, predstavlja osnovnu funkciju organizacije koja stalno prati i poboljšava razinu sigurnosti. Da bi ona zaista bila učinkovita, bitni su izvori koji podacima hrane ovakvo središnje mjesto koje spaja ljude, procese i tehnologije. Što veća i stalna vidljivost raznih događaja kroz organizaciju je od izuzetne važnosti. Tek kada ne znate što se događa, imate problem – jasan je Ilić.
Suprotstavljeni interesi
U Fortenova grupi naglašavaju da ključni izazovi s kojima se susreću menadžeri za upravljanje sigurnosti i rizicima u Hrvatskoj su nedostatak stručnjaka u cyber sigurnosti i nedovoljno razumijevanje stvarne prirode cyber rizika kojima su izložene kompanije i zaposlenici. Njih, kažu, digitalizacija poslovnih procesa i uvođenje novih paradigmi korištenja IT usluga poput IT usluge iz javnog oblaka, dodatno pojačavaju. Istodobno, u Fortenova grupi uviđaju da zahtjevi za brzim promjenama poslovnih procesa i očuvanje razine sigurnost često imaju suprotstavljene interese. Nužno je, po njima, zato stalno pratiti moguće sigurnosne prijetnje kojima bi tvrtka mogla biti izložena i s tim povezane sigurnosne rizike.
- To znači i stalno educiranje zaposlenika o cyber sigurnosti i provođenje ‘cyber security awareness‘ kampanje za sve zaposlenike koji koriste IT sustav u svakodnevnom radu. Dodatno, potrebno je pratiti efikasnost ključnih sigurnosnih kontrola kojima se upravlja identificiranim cyber rizicima, provoditi korektivne i preventivne aktivnosti te investirati u nove procese i tehnologije u sklopu sustava upravljanja cyber sigurnošću.
Vrlo važna aktivnost menadžera za sigurnost je i izrada odgovarajućih sigurnosnih politika, organiziranje implementacije sigurnosnih kontrola, nadziranje provedbe sigurnosnih politika i kontrola u kompaniji te balansiranje između legitimnih poslovnih zahtjeva i zahtjeva za očuvanjem potrebne razine sigurnosti tvrtke. Sve bi kompanije prilikom izgradnje sustava upravljanja cyber sigurnosnim rizicima trebala pretpostaviti da će se u jednom trenutku dogoditi kompromitacija IT sustava (‘assume breach‘). Uvažavajući takvu pretpostavku, kompanija treba uspostaviti sustav kontrola da se takva situacija što prije otkrije i da pri tome nastane najmanja moguća šteta – uvjereni su u Fortenova grupi.
Najčešće krize
Fortenova grupa do sada nije imala velikih kriznih okolnosti povezanih s kibernetičkom sigurnošću, no i oni smatraju da su trenutačno najveći kibernetički izazovi kompanijama ramsomware napadi koji najčešće počinju s napadima na infrastrukturu za upravljanja digitalnim identitetima te BEC (Business E-mail Compromise) napadi koji ciljaju na povjerenje koje zaposlenici imaju u sadržaj poruka e-pošte.
Za Svena Škrgatića, direktora za kibernetičku sigurnost i tehnološki operativni centar u A1 Hrvatska, najčešći izazovi s kojima se susreću menadžeri za upravljanje sigurnosti i rizicima su ravnoteža između poslovnih, sigurnosnih i regulatornih zahtjeva, dostupnost resursa te kontinuirane promjene u tehnologijama i oblicima cyber napada. Nažalost, u tom poslu ne postoji svakodnevnica, uviđa, a u A1 Hrvatska surađuje se na svim razinama (cross-odjelna suradnja te suradnja od najvišeg upravljačkog do operativnog) što je neophodno za uspješno upravljanje sigurnosti kompanije.
- U posljednjih par godina susreli smo se s nekoliko kriznih situacija koji su imali utjecaj i na sigurnost informacijskih sustava, kao što su potresi u Zagrebu i Petrinji koji su imali direktan utjecaj na fizičku infrastrukturu. Moramo spomenuti i zaključavanje koje utjecalo na osiguranje kontinuiteta kritičnih poslovnih procesa te sigurnosni incident koji se dogodio u veljači. Kibernetičke prijetnje su na svjetskoj razini, pa tako i kod nas, u stalnom porastu i usmjereni su na različita područja, što znači da moramo adresirati i široki spektar izazova koji se pojavljuju svakodnevno. Ako želimo izdvojiti jedan od njih, to je upravo socijalni inženjering koji je i dalje jedan od glavnih vektora sigurnosnih napada u svijetu s kojim su se susrele neke od najvećih kompanija u svijetu poput Microsofta, Okta i Ubera – podsjeća Škrgatić.
Sigurnost digitalne imovine
Kibernetička sigurnost od strateške je važnosti za banke, rekli su u Hrvatskoj udruzi banaka (HUB), te se stoga niz godina ulažu znatna sredstva i koriste se najsuvremenije metode za sigurnu prijavu korisnika na sustave banaka, zaštitu podataka u prijenosu, provjeru transakcija u sustavima za sprječavanje prijevara te odobrenje transakcija. Ističu da su one jamstvo autentičnosti, integriteta i neporecivosti svih aktivnosti i provedenih transakcija.
- Banke redovito prate sve vrste kibernetičkog kriminala u svijetu te provode razne simulacije sigurnosnih incidenata u svrhu otklanjanja mogućnosti proboja u njihove sustave. Važno je i napomenuti da je bankarstvo visoko regulirana industrija koja ima dužnost pratiti razne direktive Europske unije i ima razvijen jedan od najsigurnijih kibernetičkih sustava kako bi spremno odgovarale na sve izazove digitalnog doba i nove metode pokušaja prijevara. Sigurnost digitalne imovine nužan je uvjet za povjerenje klijenata banaka te je taj spektar komparativna prednost banaka jer raspolažu s dovoljnim resursima za velika ulaganja u sigurnost, a ona je ipak glavna usluga koju potrošači traže – iznose u HUB-u.