Organizacije, ki imajo celostno varnosto strategijo in to nenehno posodabljajo, so bolje pripravljene na obravnavo morebitnih hekerskih napadov. Redno izvajanje varnostnih preverjanj, tudi zunanjih presoj in vdornih testov, lahko pomaga identificirati morebitne ranljivosti in izboljšati varnostne ukrepe organizacije.
Tako poudarja Igor Mlakar, direktor operative v podjetju Smart Com. In dodaja: »Celostna ocena odpornosti organizacije proti kibernetskim napadom zahteva pregled vseh varnostnih praks, politik in postopkov ter prepoznavanje morebitnih vrzeli ali slabosti. S stalnim nadgrajevanjem in prilagajanjem varnostnih ukrepov lahko zagotovi večjo odpornost in zmanjša tveganje za kibernetske napade.«
Igor Mlakar bo na 1. konferenci Pametna industrija 21. maja v Kongresnem centru Celje osvetlil, kako z izpolnjevanjem zahtev direktive za visoko skupno raven kibernetske varnosti (NIS 2) povečati odpornost organizacije proti kibernetskim tveganjem.
Pomemben korak k izboljšanju odpornosti
Izpolnjevanje zahtev direktive NIS 2 je pomemben korak k izboljšanju odpornosti celotne družbe proti kibernetskim napadom. »To velja tako za institucije kot različne organizacije, ki se bodo prepoznale v zahtevah, seveda pa tudi za vse preostale organizacije, ki tako ali drugače vstopajo v oskrbovalno verigo in bodo morale že zaradi zagotavljanja poslovnih stikov zagotoviti višjo raven varnosti. Neposredno ali posredno bodo ukrepi vplivali na varnostno kulturo vsakega izmed nas,« opozarja Igor Mlakar.
Kot pojasnjuje, direktiva postavlja strožje zahteve glede varnosti informacijskih sistemov in kritične infrastrukture, kar spodbuja organizacije k vzpostavitvi celostnih varnostnih ukrepov.
»Ukrepi, ki jih organizacijam nalaga direktiva, izhajajo iz dejanskih trendov na področju kibernetskih groženj in zasledujejo osnovni cilj oblikovanja bolj varnega skupnega evropskega trga. Direktiva uvaja vrsto sistemskih ukrepov, kot sta boljše sodelovanje in izmenjava informacij med organizacijami, nacionalnimi varnostnimi agencijami in nadnacionalnimi institucijami, kar omogoča boljše prepoznavanje in obravnavo kibernetskih groženj. Hkrati pa poudarja odgovornost poslovodstev, ki jim direktiva nalaga upravljanje varnostnih tveganj, nenehno izobraževanje na področju kibernetske varnosti in se še posebej loteva problema oskrbovalnih verig. Te so v zadnjih letih vse pogosteje tarča napadalcev, ki skozi manj zavarovane organizacije vstopajo v večje sisteme, kjer pa imajo napadi bistveno večji učinek,« je opozoril.
Z ustreznim izpolnjevanjem zahtev direktive NIS 2 bodo organizacije pridobile jasen in bolj sistematičen pristop k obravnavi varnostnih tveganj. To vključuje vzpostavitev varnostnih politik, postopkov in mehanizmov za preprečevanje, zaznavanje in odzivanje na morebitne kibernetske napade. S tem direktiva spodbuja skupna prizadevanja za izpolnjevanje varnostnih zahtev in tako prispeva k ustvarjanju varnejšega kibernetskega okolja in večje odpornosti organizacij proti napadom.
Kakšna je trenutna raven odpornosti
Kot pravi sogovornik, ocena trenutne ravni odpornosti organizacij proti kibernetskim napadom ni enoznačna, je pa odgovor na to vprašanje pomemben za zagotavljanje splošne ravni varnosti informacijskih sistemov in ukrepov, ki se sprejemajo na ravni organizacij.
»Pri oceni moramo upoštevati več dejavnikov, ki vplivajo na odpornost organizacij. Vsekakor sta na prvem mestu seznanjenost odločevalcev in njihova pripravljenost, da se na strateški ravni lotijo tveganj, ki jih prinašajo kibernetske grožnje. To velja tako za odločevalce na ravni države, ki morajo zagotoviti ustrezno zakonodajo in podporne mehanizme, kakor tudi za vodstveno podporo v organizacijah. Če vodstvo organizacije razume pomen kibernetske varnosti in vlaganja v ustrezne ukrepe, se lahko ustvari kultura varnosti, ki je ključna pri zagotavljanju odpornosti proti napadom.
Ena od pomembnih komponent je ozaveščenost zaposlenih o varnostnih tveganjih, ki vodi v ustrezno varnostno kulturo. Organizacije, ki imajo dobro vzpostavljen program ozaveščanja in usposabljanja, so pogosto bolje pripravljene na prepoznavanje in preprečevanje kibernetskih napadov. Če zaposleni poznajo potencialne grožnje in vedo, kako ravnati ob pojavu suma na napad, se tveganje za uspešen vdor zmanjša. Hkrati pa je temelj varnostne kulture, da ukrepi niso usmerjeni v iskanje krivca in odkrivanje človeških napak, temveč v ustvarjanje pozitivnega in varnega delovnega okolja, krepitev osebne odgovornosti in transparentnosti, ki največ pripomore k temu, da se ob morebitnem spodrsljaju, bodisi ob dejanskem napadu bodisi med vajo, kakršne naj organizacije redno prakticirajo, skozi jasno analizo in odkrito komunikacijo prikažejo in odpravijo sistemske napake.
Kot je za družbo pomembno, da je zakonodaja jasna in preventivno naravnana, tako je za organizacije bistveno, da so vzpostavljene primerne politike in uvedeni pravilni varnostni ukrepi, ki ščitijo informacijske sisteme pred napadi. To vključuje uporabo požarnih pregrad, nadzor dostopa do informacijskega sistema, redno posodabljanje programske opreme, vzpostavitev varnostnih kopij podatkov in številne druge tehnološke in organizacijske ukrepe, ki so danes na voljo. Organizacije, ki imajo celostno varnostno politiko in to nenehno posodabljajo, so bolje pripravljene na obravnavo morebitnih hekerskih napadov.
Pomembno je tudi sodelovanje z zunanjimi strokovnjaki, ob tem pa spremljanje trendov in novih groženj v kibernetskem prostoru. Redno izvajanje varnostnih preverjanj, tudi zunanjih presoj in vdornih testov, lahko pomaga identificirati morebitne ranljivosti in izboljšati varnostne ukrepe organizacije,« je sklenil sogovornik.