Napadalec mora najti le eno varnostno težavo našega sistema, mi pa bi se morali braniti pred vsemi možnimi napadi. Kako se lahko organizacije učinkovito zoperstavijo hekerjem ob takem nesorazmerju moči je v intervjuju za revijo Manager pojasnil Jan Bervar, IT-arhitekt za področje varnosti.
Strokovnjaki za računalniško varnost svoje predstavitve pogosto začenjajo s šalo, ki gre nekako takole: »Obstajata dve vrsti organizacij – tiste, v katere so kriminalci že vdrli, in tiste, ki še ne vedo, da so vanje že vdrli.« Koliko je v njej resnice?
Večinoma kar drži. Sam bi sicer šalo obrnil na nekaj bolj resnega, kar drži še bolj: obstajajo organizacije, ki jih bo en sam vdor stal milijone evrov, in tiste, kjer bodo stroški vdora obvladljivi oziroma sprejemljivi. Če nam že kdo povzroči škodo, naj bo vsaj minimalna.
Kako pa ločite med temi organizacijami?
Razliko hitro vidimo, ko se poglobimo v varnostno kulturo, zgodovino razvoja informacijskega sistema ter možnosti zaposlovanja vrhunskih kadrov. Nekateri so v informacijsko varnost vlagali pametno, preverili šibke točke in jih okrepili, drugi pa so naložbene odločitve vlekli na podlagi strahu in se odločali na podlagi marketinga proizvajalcev rešitev. Tako rekoč vsem pa je skupno, da na trgu ne morejo dobiti kadrov, ki bi poskrbeli za optimalno varnostno kulturo, ter to, da v doglednem času ne morejo obvladati vseh tveganj.
Kakšna naj bo ustrezna naložba v informacijsko varnost?
Izkušnje kažejo, da poskušajo organizacije in podjetja vseh velikosti grožnje odpravljati le s preventivnimi metodami – vsako leto kupijo nekaj novih kibernetskih zdravil. Tako bodo dovolj odporni nekoč v prihodnosti ali pa nikoli, saj prepočasi zapirajo možnosti vdorov. Skoraj vsem pa manjka sposobnost zaznave, ali je nekdo vdrl v naš sistem oziroma ali so napadalci trenutno v našem sistemu. Rešitev je jasna, a ni preprosta, sicer bi jo že vsi imeli. Vzpostaviti moramo nekakšen alarmni sistem in ekipo, ki bo odkrivala varnostne incidente in se odzvala nanje. Podjetja za to aktivnost potrebujejo vrhunske strokovnjake, ki bodo znali prepoznati najrazličnejše napade in vdore, še preden se zgodi katastrofalna škoda. Za to je potrebnih ogromno izkušenj in znanj, saj je treba v velikanski količini informacij najti iglo v senu.
So slovenski informatiki kos tej nalogi?
Ko smo v slovenskih podjetjih gradili take sisteme, smo našli le zelo redke izjeme, kjer lahko tak sistem zaživi. Pri nas je ustreznega kadra izjemno malo. Večina izkušenih strokovnjakov svoj čas porabi za gradnjo in vzdrževanje sistemov, zmanjka pa jim časa za ukvarjanje z njihovim opazovanjem in zaznavanjem sumljivih aktivnosti. Zaznavanje vdorov zaradi svoje zahtevnosti zahteva več namenskih strokovnjakov, ne le koščka njihovega delovnega časa.
Kaj je torej rešitev?
V tujini so izziv že pred leti začeli reševati precej elegantno. Pojavila so se specializirana podjetja, ki so trgu ponudila storitev varnostnih operativnih centrov (SOC – Security Operations Center), kjer je mogoče kot storitev, za mesečno naročnino brez začetne investicije, najeti tako orodja kot tudi znanje za opazovanje lastnega IT-okolja. Varnostni center ponuja tako zaznavo kot tudi takojšnjo pomoč pri omejevanju in odpravi incidentov. Prepričan sem, da bo tak pristop letos in prihodnje leto zaživel tudi v Sloveniji, saj so tako rekoč vse organizacije ugotovile, da nimajo ne znanja ne kadra za boj z digitalnimi napadalci.
So napadalci toliko bolj napredni od »hišnih informatikov«?
Težava ni v naprednosti napadalcev, temveč v njihovi motiviranosti in času, ki ga imajo na voljo za kriminalna dejanja. Napadalec mora najti le eno varnostno težavo našega sistema, mi pa bi se morali braniti pred vsemi možnimi napadi. To je tako rekoč nemogoče, saj so računalniški sistemi zaradi zgodovinskega razvoja izjemno kompleksni in tako varnostno neobvladljivi. Prav zaradi teh lukenj v varovanju postane ključna lastnost sposobnost opazovanja, zaznave in odziva na incidente. Z njo precej omilimo vse lastne varnostne pomanjkljivosti in poskrbimo, da ne privedejo do milijonske škode.
Kakšna pa je cena teh rešitev?
Če želi organizacija interno vzpostaviti sistem zaznavanja vdorov, ki bi deloval 24 ur na dan, potrebuje po poročanju analitskega podjetja Gartner od osem do 15 namenskih varnostnih specialistov. To za podjetje pomeni od osem do 15 poštenih plač, medtem ko je zunanji najem enakovredne storitve od dva do trikrat cenejši. če upoštevamo, da se povprečna ocena škode varnostnega incidenta v svetu giblje med sto tisoč in milijon evri, je jasno, da ima informacijska varnost upravičljivo ceno. Ljudje se pogosto za rešitve izjemno kompleksnih težav odločamo iracionalno, kupujemo protivlomna vrata glede na všečnost njihove barve, za alarm in varnostno službo pa nam zmanjka denarja. Toda v digitalnem svetu zgolj vrata ne ustavijo skoraj nikogar več.
>>> Prenesite si intervju v PDF obliki <<<
Kaj je varnostni informativni center in kako vam pomaga biti bolj varen?
NIL ponuja najbolj celovito in dovršeno storitev varnostno operativnega centra (SOC) v Sloveniji. Vključuje vrhunsko ekipo izkušenih varnostnih strokovnjakov, orodja za spremljanje, prepoznavanje in vrednotenje varnostnih incidentov ter procese za učinkovit odziv na poslovno nesprejemljive IT-grožnje.