Poleg čim hitrejše povrnitve delovanja informacijskega sistema so zelo pomembni tudi pravilni pravni in organizacijski odzivi
Neustrezna informacijska varnost je eno izmed poslovnih tveganj, ki jih podjetja najslabše obvladujejo. Tudi v Sloveniji se čedalje pogosteje pojavljajo kibernetski napadi, kjer lahko škoda znaša več milijonov evrov. Z zaščito pred takšnimi napadi pa se ne morejo ubadati le informatiki, temveč se mu mora posvetiti podjetje kot celota.
Ustrezna komunikacija lahko zelo omili neželene posledice
Uspešen kibernetski napad ruši zaupanje strank in uporabnikov napadenega podjetja ali organizacije. Če je poslovanje poslovnega subjekta odvisno od občutljivih podatkov strank ali uporabnikov (takšen primer so banke, zavarovalnice, zdravstvene ustanove, hoteli …) ali če skrbi za kritično infrastrukturo, je poslovna škoda, ki jo lahko utrpi, zelo visoka. Vodstvo mora zato zaradi ohranitve zaupanja v primeru uspešnega kibernetskega napada poskrbeti tudi za ustrezno komunikacijo s strankami, zaposlenimi in javnostjo. Tako lahko precej omili negativne posledice in potencialne globe ter odškodninske zahtevke, ki lahko v primeru množičnih tožb (class action) zgolj zaradi števila prizadetih uporabnikov presegajo milijone evrov.
Odziv mora biti hiter
Kaj torej storiti, če podjetje postane tarča hekerjev? Poleg tehničnih ukrepov za čim hitrejšo povrnitev delovanja informacijskega in drugih sistemov so zelo pomembni tudi pravilni pravni in organizacijski odzivi. »Čedalje bolj kompleksna zakonodaja nalaga številne nove dolžnosti v primeru napadov oziroma incidentov,« pravi Jure Planinšek. Zakon o informacijski varnosti na primer za nekatere organizacije določa obvezno priglasitev kibernetskih incidentov pristojnim nacionalnim organom, splošna uredba o varstvu podatkov (GDPR) pa je uvedla dolžnost obveščanja informacijskega pooblaščenca o zaznanih kršitvah varnosti osebnih podatkov. Obvestila je treba podati v najkrajšem možnem času, GDPR določa rok 72 ur.
Naj se ne primeri slovenski Equifax
V praksi morajo imeti podjetja implementirane zelo jasne politike in pravila odziva na kibernetske napade. Hkrati morajo poskrbeti za ozaveščenost zaposlenih, da bodo lahko ustrezno izpolnili omenjene zahteve in se odzvali skladno s pravili.
Globe zaradi nezadostne skrbnosti in neustreznega odziva so lahko zelo visoke. Letalskemu prevozniku British Airways zaradi odsvojitve podatkov strank grozi globa v višini 183 milijonov funtov (okoli 200 milijonov evrov), najvišjo globo kot posledico kibernetskega napada pa je plačala ameriška družba Equifax, ki se je nedavno poravnala z regulatorjem za 575 milijonov ameriških dolarjev (več kot pol milijarde evrov).
Potrebne so celovite varnostne rešitve
Če želi podjetje po kibernetskem vdoru znova vzpostaviti zaupanje, mora analizirati vzroke za kibernetski napad in sprejeti korektivne ukrepe, s katerimi zmanjša možnosti za novi napad. Klasični tehnični ukrepi, kot so požarne pregrade, zaščita z gesli in drugi, zaradi kompleksnosti informacijskih sistemov in inovativnosti napadalcev ne ponujajo več zadostne informacijske varnosti. Zato se čedalje več organizacij odloča za celovite varnostne rešitve, kot so storitve varnostno-operativnih centrov. Ti podjetjem pomagajo predvideti možnost za kibernetski napad in so jim v pomoč pri obrambi, če do njega dejansko pride.
Prej ali slej bo vsakdo napaden
V svetu informacijske varnosti velja, da bodo vsa podjetja prej ali slej napadena, kako močno jih bo napad prizadel, pa je odvisno tudi od njihovega odziva. Posledice neustreznega odziva so odvisne od okoliščin napada, konkretne organizacije in pravil, ki urejajo njeno poslovanje. V splošnem pa velja, da podjetja najprej doleti poslovna škoda (predvsem v obliki izgube ugleda in posledično posla), prekrškovna odgovornost (globe lahko znašajo tudi več sto milijonov evrov) ter odškodninski zahtevki strank. Nič manj boleče niso niti druge negativne posledice, ki jih določa specialna zakonodaja, ki velja za določene organizacije. Tu gre za morebitne odvzeme licenc in kazensko odgovornost vodstva in ključnih zaposlenih.
Vodstva podjetij bi torej morala kibernetska varnost in informacijska osebna higiena še posebej skrbeti. »Odgovornost za posledice zaradi nezagotavljanja zadostne informacijske varnosti nosi vodstvo organizacij,« poudarja Planinšek.
SOC kot ena najboljših praks
Skrb za zadostno stopnjo kibernetske varnosti je velik izziv, ki mu podjetja, ki jim pogosto primanjkuje varnostnih inženirjev, pogosto niso kos. Ena od možnih rešitev je sklenitev pogodbe s specializiranimi ponudniki storitev varnostno-operativnih centrov (SOC). Ti pogosto kibernetske napade zaznajo bistveno hitreje kot podjetja sama. Statistika namreč kaže, da podjetja in druge organizacije napadalce v svojem omrežju ali sistemu v povprečju odkrijejo šele po več kot 200 dneh, v tem času pa ti lahko odtujijo ogromno podatkov in povzročijo nepopravljivo škodo.
Oddelek informatike ne zmore vsega sam
Zato bi morale sodobne organizacije bistveno več pozornosti nameniti kibernetski varnosti že na ravni organizacijskih ukrepov. Predvsem je treba implementirati politiko ravnanja v primeru kibernetskega napada, ki jasno določa, kdo v organizaciji mora storiti kaj v primeru napada. »Pri tem mora sodelovati več oddelkov, saj je nerealno pričakovati, da bo za vse poskrbel oddelek informatike,« poudarja Planinšek. Dodaja še, da mora v primeru napada podjetje sodelovati tudi z organi pregona in specializiranimi organi, kot sta SI-CERT in informacijski pooblaščenec, ter po potrebi angažirati zunanje varnostne strokovnjake.
Avtorja: Miran Varga, Jure Planinšek
Članek je bil izvorno objavljen na portalu Akademija Finance.