Slika prikazuje simboliko kibernetske varnosti.

Ranljiva digitalizacija

Avtor MitjaObjavljeno dne

V mesecu maju je Nacionalni odzivni center za kibernetsko varnost SI-CERT izdal poročilo o kibernetski varnosti v Sloveniji za leto 2023. Iz poročila izhaja, da se je v letu 2023 število obravnavanih incidentov povečalo za kar 25 %, slovenska policija je zabeležila več kot 27 milijonov evrov škode zaradi spletnega kriminala. Dogodki v prvih 5 mesecih letošnjega leta pa so zagotovo razlog za ukrepanje.

Vse več digitalizacije tako v javnem kot zasebnem sektorju, skupaj s povečanjem števila kibernetskih napadov po svetu, je Slovenijo prisililo, da okrepi svoje zmogljivosti na področju kibernetske varnosti.

V začetku letošnjega leta smo bili priča ponavljajočim napadom onemogočanja dostopa do spletnih aplikacij tako kritične javne infrastrukture, občin, velikim, srednjim kot v zadnjem mesecu tudi manjšim podjetjem s strani ruskih hekerskih skupin.

Pomembno je razumeti, da lahko še tako majhna luknja v sistemih omogoča dostop do zalednih sistemov, spletne pošte, osebnih podatkov.

Napadi onemogočanja (DDoS napadi) imajo kot cilj nedostopnost spletnih mest, napadalcem pa dajejo možnost tudi vdora v sisteme in povzročanje zelo veliko škode. Nekaj primerov ste zagotovo zaznali v medijih, verjemite pa mi, da večina incidentov ostane neprijavljenih. Sama prijava incidenta sicer ni obvezna (izjema je, v kolikor pride do dostopa do osebnih podatkov), omogoča pa lažje razumevanje dogajanja, kot tudi predvidevanja ciljev spletnih kriminalcev.

Osvežena zakonodaja

V letu 2023 je Slovenija posodobila zakonodajo na področju kibernetske varnosti. Sprejet je bil novi Zakon o informacijski varnosti, ki je usklajen z evropsko direktivo NIS2. Ta zakonodaja zahteva, da kritična infrastruktura in digitalne storitve vzpostavijo strožje varnostne ukrepe in redno poročajo o stanju kibernetske varnosti.

Prav tako določa kazni za neizpolnjevanje teh zahtev, kar je spodbudilo organizacije, da bolj resno pristopijo k varnosti svojih spletišč. Žal pa še vedno vse preveč organizacij spletni varnosti ne namenja preveč pozornosti. Tako se še vedno srečujemo z »deljenjem« gesel, nevzdrževanimi in luknjastimi sistemi, omogočanja dostopa do baz podatkov nepooblaščenim brez pravega nadzora …

Nas pa že ne bodo napadli!

Če za varnost ni poskrbljeno, varnosti ni. Zavedati se je potrebno, da so hekerske skupine izjemno dobro seznanjene s stanjem infrastrukture, tehnološkim rešitvam, kot tudi varnostjo posameznega subjekta. Znano je, da se o dosežkih radi pohvalijo in zato je jasno, da se bodo raje lotili ranljivih. Kot bi ropar izbiral med hišo z varnostnim sistemom in hišo brez varnostnega sistema. Jasno je, katero bo izbral.

Poskrbeti je potrebno za splet aktivnosti, ki tveganja zmanjšuje: redno vzdrževati sisteme, programsko opremo, spletne strani …

Pomembno je razumeti, da lahko še tako majhna luknja v sistemih omogoča dostop do zalednih sistemov, spletne pošte, osebnih podatkov. Izurjenim hekerjem je nato odprta pot do onesposobitve vašega poslovanja in povzročanja velikanske škode. To je dejstvo in nihče se ne sme počutiti varnega, ne da bi poskrbel za kibernetsko varnost.

Ozaveščenost o kibernetski varnosti je bistvenega pomena za zmanjšanje tveganj. V letu 2023 je bilo izvedenih več kampanj in izobraževalnih programov, namenjenih tako podjetjem kot posameznikom. Nacionalni inštitut za kibernetsko varnost je organiziral delavnice, seminarje in spletne tečaje, ki so pokrivali teme od osnovnih varnostnih praks do naprednih tehnik za prepoznavanje in odzivanje na kibernetske grožnje. Kljub temu pa je še vedno  veliko organizacij, ki menijo, da ne morejo biti tarča in nikoli ne bodo. Če je to dovolj odgovorno, presodite sami 😉

Kaj lahko storimo?

Najprej je potrebno spoznati, da je kibernetska grožnja globalni pojav. Zaradi geopolitičnih razlogov je Slovenija zelo na udaru. Zato ni več časa razmišljati,  ali bi se s tem ukvarjali ali ne. Vprašanje je le ali bomo za svojo varnost znali poskrbeti.

Zaradi digitalizacije se celotno poslovanja podjetij preko spleta odpira tveganjem. Vsem je jasno, da je digitalizacija poslovnih procesov neizogibna, žal pa zaradi pomanjkljivega znanja ali naivnosti, postaja tudi okolje ranljivo.

… še vedno  veliko organizacij, ki menijo, da ne morejo biti tarča in nikoli ne bodo.

Poskrbeti je potrebno za splet aktivnosti, ki tveganja zmanjšuje: redno vzdrževati sisteme, programsko opremo, spletne strani, sprejeti in slediti varnostnim protokolom, biti dosleden pri izvajanju vseh varnostnih mehanizmov, ki bodo omogočali varno digitalizacijo.

Slovenija je v letu 2023 vlagala v napredne tehnologije za izboljšanje kibernetske varnosti. Uporaba umetne inteligence in strojnega učenja je postala ključni del strategij za zaznavanje in odzivanje na grožnje. Je pa bistveno, da se organizacije tega tveganja zavedajo, si prenehajo zatiskati oči in pričnejo z vlaganjem v, danes je to že jasno, eno ključnih tveganj vsake organizacije.

Emigmovci dajemo velik poudarek na varnosti – tako na aplikativni, kot tudi na serverski strani naših rešitev. Skrb za varnost vaših aplikacij smo postavili na vrh naših zavez. Neprestane investicije v strojno in programsko opremo to dokazujejo iz dneva v dan.

Za nasvet, posvet o dvigu nivoja vaše kibernetske varnosti, smo vam ves čas na razpolago. Pišite nam!!