Delavska hranilnica logo varnostno operativni center SOC NIL d.o.o.
22.6.2020

»NIL-ov SOC je edini res pravi SOC v Sloveniji«

Delavska hranilnica zaradi pospešene digitalizacije in uvajanja naprednih digitalnih produktov kibernetsko varnost obravnava strateško. Učinkovito zaznavanje in odzivanje na potencialne kibernetske incidente je zato za njih ključno. To jim omogoča NIL-ov varnostno operativni center (SOC), po mnenju hranilnice najbolj celovit varnostno-operativni center na trgu.

Delavska hranilnica (DH) je finančna institucija s 30-letno tradicijo, ki skladno z vizijo želi biti prva izbira za prebivalstvo, sindikate, društva, samostojne podjetnike ter majhna in srednja podjetja v Sloveniji. DH je po zadnjih prodajah bank postala največja bančna ustanova v slovenski lasti, zato želi biti s svojim širokim spektrom kakovostnih finančnih rešitev ljudem blizu. To pomeni, da je sodobna, varna, zanesljiva in vedno konkurenčna.

Del uresničevanja te strategije je digitalizacija poslovanja. DH tako ponuja napredne finančne storitve, kot sta mobilna denarnica Dh Denarnik in mobilna banka Dh Mobilni, ter stalno razvija nove rešitve. V tem kontekstu je kibernetska varnost za DH strateškega pomena. Prepričani so namreč, da je inovativna, zanimiva in aktualna ponudba samo en vidik digitalizacije. Da bodo kot finančna institucija v digitaliziranem svetu resnično uspešni, morajo nujno zagotoviti ustrezno raven zanesljivosti in varnosti. Le tako bodo lahko še naprej upravičevali zaupanje komitentov. Zato DH ob razvoju novih storitev sočasno optimizira interne procese in nadgrajuje sisteme kibernetske obrambe.

»Delavska hranilnica kibernetsko varnost obravnava kot pomemben del odnosa s strankami, kot enega od ključnih vidikov upravljanja s tveganji in predvsem kot veliko odgovornost. Investicije v storitve, kot je SOC, to potrjujejo, saj z njo ves čas in proaktivno preverjamo potencialno varnostno sumljive dejavnosti. In to je s stališča upravljanja s tveganji za nas pomembna izboljšava. Druga pomembna posledica investicije v SOC pa je splošen dvig ozaveščenosti o kibernetski varnosti v celotni hranilnici. Že med implementacijo, še posebej pa po njej, ko zaradi periodičnih priporočil stalno iščemo možnosti za dodatne izboljšave. Tudi v upravi dojemamo varnost kot proces, postala je redna tema pogovorov, v okviru katerih stalno iščemo nove rešitve. In ravno to je po našem mnenju tudi edini pravi pristop k učinkoviti, celoviti in dolgoročni strategiji kibernetske obrambe
Renato Založnik, predsednik uprave, Delavska hranilnica

Najeti SOC je s tehničnega in poslovnega vidika najbolj racionalna rešitev

Oktobra 2017 se je zgodil poskus DDoS-napada na nekatere slovenske banke, ki je opozoril na resnost kibernetskih groženj v slovenskem finančnem sektorju. Čeprav sami niso bili med žrtvami, je dogodek tudi DH še bolj spodbudil k premisleku o njihovem načrtu in postopkih za odziv na kibernetski incident. Še dodatno je k notranjemu dvigu zavedanja o pomenu ustreznih mehanizmov za odziv in omejevanja kibernetskih napadov pripomogla obsežna revizija Banke Slovenije, ki je DH priporočila še jasnejšo ločitev nadzorne in izvajalske funkcije v kontekstu kibernetske obrambe. V poslovodstvu DH so se zato odločili, da naredijo korak naprej na tem področju in dopolnijo tako procesni vidik obravnave kibernetskih incidentov kot tehnične kapacitete, predvsem sistem za upravljanje varnostnih informacij in dogodkov SIEM (angl. Security Incident and Event Management).

Nalogo je prevzelo vodstvo IT-sektorja, ki je natančno pregledalo aktualno stanje ter opredelilo konkretne potrebe in cilje. S poslovnega vidika sta bila to zmanjšanje verjetnosti za uspeh kibernetske napada na hranilnico in tveganj za poslovno škodo ter optimizacija procesnih postopkov ob potencialnem kibernetskem incidentu. S tehničnega vidika pa sta bila najpomembnejša cilja stalno in celovito spremljanje kibernetske situacije v IT-okolju ter čim manjši poseg v obstoječo IT in varnostno arhitekturo. V DH so se na tej osnovi odločili za vpeljavo varnostno-operativnega centra (SOC), ki omogoča učinkovito zaznavo kibernetskih groženj, razumevanje resnosti le-teh ter hiter in ustrezen odziv.

 »Če organizacija kibernetsko varnost jemlje resnično resno, potem odločitev za SOC sploh ni težka. Edina dilema, ki ostane, je, ali ga najame ali postavi sama. Po naših ugotovitvah je uporaba SOC-a kot storitve boljša možnost, in to ne zgolj z vidika stroškov. Zelo pomemben razlog je kadrovski, saj je strokovnjake z ustreznim znanjem zelo težko najti in pridobiti. In če jih, se potem v praksi zelo rado zgodi, da jim poleg skrbi za kibernetsko varnost hitro naložimo še dodatne zadolžitve. In potem rezultat ni pravi. V Delavski hranilnici nismo želeli biti površni. Naš cilj je bil stalna osredotočenost na spremljanje varnostnega dogajanja ter pripravljenost 24/7 s strani predane in strokovne ekipe. Poslovodstvu smo vse te vidike jasno predstavili in ni presenetljivo, da je uprava soglasno podprla model najetega SOC-a oziroma SOCaaS.«
Janko Zorman, direktor IT, Delavska hranilnica

NIL-ov varnostno-operativni center (SOC) v Delavski hranilnici

Pri iskanju pravega partnerja so se v DH seznanili s storitvami številnih ponudnikov. Zanimala jih je strokovnost in izkušnje SOC-ekipe, kompatibilnost z njihovo opremo, možnosti upravljanja okolja SIEM ter predvsem obseg in konkretne storitve v okviru SOC-a. Opazili so, da je tipično SOC zgolj nek podaljšek oziroma v najboljšem primeru del omrežnega operativnega centra (NOC).

V DH pa so želeli celoviti, »pravi« SOC, ki se ukvarja samo z varnostjo, sestavljajo ga visoko usposobljeni strokovnjaki in je aktiven ves čas. Od vseh ponudnikov se je NIL-ov SOC najbolj približal njihovim pričakovanjem. Z implementacijo storitve so začeli decembra 2019, operativno raven pa so vzpostavili do marca 2020.

»Vpeljava najetega SOC-a ne pomeni, da se naše interne IT-ekipe sedaj ne ukvarjajo več s kibernetsko varnostjo. Še vedno načrtujemo stvari, nameščamo popravke, skrbimo za celotno arhitekturo itd. Tudi mi kaj sporočimo SOC-u. Bistvena razlika pa je, da imamo v SOC-u nekoga, ki se z našo kibernetsko obrambo ukvarja stalno in je za to delo vrhunsko usposobljen. In to je ključna prednost. Ni strahu, da bi zaradi drugih obveznosti ali odsotnosti kaj nehote spregledali. 30 vrhunskih strokovnjakov nenehno bdi nad varnostjo v našem IT-okolju. Bolj mirno lahko spim. Zelo smo zadovoljni tudi s sodelovanjem med našo ekipo in NIL-ovci. Poročila in priporočila so del storitve, ki pa vključuje tudi precej dodatne komunikacije, nasvetov. Vidi se, da se vsi skupaj zelo trudimo. Rezultat je potem kakovostno delo, stalen napredek in visoka raven zaupanja. Po videnem na trgu si upam trditi, da je NIL-ov SOC ta trenutek verjetno edini res pravi SOC v Sloveniji.«
Janko Zorman, direktor IT, Delavska hranilnica

Dvig ozaveščenosti o pomenu kibernetske varnosti na ravni celotne banke

DH je z vpeljavo NIL-ovega SOC vzpostavila sistem stalnega (24/7) zaznavanja in odzivanja na kibernetske grožnje. V okviru implementacije so v SOC vključili tudi varnostne tehnologije AMP (angl. Advanced Malware Protection) in EDR (angl. Endpoint Detection and Response). NIL je prevzel tudi upravljanje okolja SIEM.

Pomembna izboljšava so tudi mesečna poročila o zaznavah v SOC-u in priporočila za izboljšave. Na ta način DH stalno izboljšuje svojo kibernetsko obrambo in se odziva na aktualne, nove napade. Pomembna posledica obveščanja s strani SOC-a je povečanje ozaveščenosti o kibernetski varnosti na ravni celotne DH. IT-ekipa ima tako stalen vpogled v varnostno situacijo in dnevno komunicira z NIL-ovim SOC-om. Pomembne izboljšave in priporočila so predstavljena tudi upravi.

S SOC-om so v DH tudi nadgradili procesni vidik obravnave kibernetskih incidentov, ki je sedaj definiran in tudi s stališča regulatorja primer dobre prakse.

Poslovne prednosti:

  • Zmanjšanje kibernetskih tveganj
  • Nižji stroški za najeti SOC v primerjavi z lastno rešitvijo
  • Definiran sistem obravnave kibernetskih incidentov
  • Sistem stalnih izboljšav
  • Povečanje zavedanja o pomenu kibernetske varnosti na ravni uprave in podjetja

Tehnične prednosti:

  • Stalno (24/7) spremljanje kibernetske situacije in takojšnji odziv na potencialni varnostni incident
  • Upravljanje okolja SIEM
  • Mesečna poročila
  • Portal za spremljanje
  • Odlično strokovno sodelovanje med ekipami