Za upravljanje s kibernetskimi tveganji premalo lastnega znanja

Več tisoč bistvenih in pomembnih subjektov po NIS 2 se bo pri upravljanju s tveganji kibernetske varnosti moralo nasloniti na zunanje izvajalce, ki jih bodo podprli v procesu stalnih izboljšav kibernetske varnostne drže.

Za upravljanje s kibernetskimi tveganji premalo lastnega znanja

Direktiva NIS2 med prvimi ukrepi uvaja upravljanje tveganj kibernetske varnosti, ki v svoji najširši opredelitvi zajema ljudi, procese, tehnologijo, upravljanje, skladnost in obvladovanje poslovnih tveganj. Čeprav izpostavlja upravljanje s tveganji kibernetske varnosti kot enega od 10 področij ukrepov za doseganje kibernetske odpornosti, pa ne podaja konkretnih usmeritev in zahtev. Takšen, za slovenski okus morda preohlapen, pristop bo marsikaterega odgovornega za poslovna oziroma varnostna tveganja navdal z nelagodjem in v najslabšem primeru celo s podcenjevanjem problematike.

Eden od slovenskih svetovalcev CISA je povedal, da se sicer vsi zavedamo, kako smo izpostavljeni kibernetskim tveganjem, a da je prihajajoča zakonodaja neskladna s slovensko logiko: je odprta in liberalna kar dejansko pomeni, da si sam postaviš pravila in standarde, ki se jih nato držiš.

Pri NIS 2 je osnova, da si organizacija nalije čistega vina, kakšna je njena kultura, kakšne procese ima in kje nastopajo okoliščine, ki predstavljajo tveganja. Potem opredeli, kako podpira neželene dogodke, kako se proti njim bori, se zavaruje, reagira in podpira z vidika tehnologije in procesov. Ko tak sistem postavi, ga v nadaljevanju iterativno izboljšuje po pristopu učeče organizacije.

Po njegovem mnenju podjetja kibernetska tveganja podcenjujejo. V enem od slovenskih svetovalnih podjetij so spomladi izvedli anketo, ki je pokazala, da skoraj dve tretjini podjetij v zadnjih šestih mesecih ni izvedlo nikakršnega usposabljanja o kibernetski varnosti.


Skoraj dve tretjini podjetij v zadnjih šestih mesecih ni izvedlo nikakršnega usposabljanja o kibernetski varnosti.


Naš sogovornik je izpostavil, da je upravljanje s tveganji kibernetske varnosti kontinuiran proces. V Sloveniji pa se teži k formalističnemu potrjevanju skladnosti in ne zato, ker bi bilo to dobro za organizacijo. Zakon ali nek ISO-standard pri tem predtavljata minimalni obseg skladnosti. Pri kibernetski varnosti imamo zdaj zahtevo po upravljanju tveganj tretjih strani in če podjetje ne bo imelo urejenega tega področja, ga bodo tuji partnerji zaobšli.


Če podjetje ne bo imelo urejenega tega področja, ga bodo tuji partnerji zaobšli.


Kibernetska tveganja kot del širšega upravljanja s tveganji

Podjetja se bodo morala za doseganje skladnosti z NIS 2 osredotočiti na upravljanje tveganj in korporativno odgovornost, usvojiti obveznosti poročanja ter razviti neprekinjeno poslovanje.

Dr. Denis Čaleta, soustanovitelj Instituta za korporativne varnostne študije ugotavlja, da se upravljanju s tveganji in neprekinjenemu poslovanju v Sloveniji sicer namenja vedno več pozornosti saj podjetja k temu sili vedno bolj zahtevno globalno varnostno okolje, ki ima tudi na poslovanje naših organizacij vedno močnejši vpliv.

Denis Caleta ICSDr. Denis Čaleta, soustanovitelj Instituta za korporativne varnostne študije

»V zadnjem obdobju smo bili priča resnim stresnim preizkušnjam, ki so marsikatero poslovno organizacijo pripeljale do roba preživetja. Samo spomnimo se pandemije COVID, obsežnih poplav v lanskem letu, Ukrajinske vojne in posledično energetske krize, nekaj velikih industrijskih nesreč in požarov, da vedno bolj izrazitih kibernetskih napadov, tudi na kritično infrastrukturo, sploh ne omenjamo,« je pojasnil Čaleta.

Kot pravi Čaleta skozi prizmo tako velikih vplivov lahko razumemo, da je učinkovitost sistema upravljanja s tveganji in predvsem zagotavljanja neprekinjenosti delovanja ključnih procesov v organizacijah, postala nuja in ne več luksuz izbire.

»Seveda imamo na tem področju primere izrazito dobrih praks, še vedno pa se najde preveč tistih, ki svoje poslovanje temeljijo na izvajanju sreče in to področje nikakor nimajo ustrezno urejeno,« dodaja Čaleta.

Podjetja v Sloveniji še nimajo dovolj znanja za kontinuirano obvladovanje kibernetskih tveganj

Nezadostne kadrovske zmožnosti slovenskih podjetij preprečujejo, da bi se upravljanja s tveganji kibernetske varnosti lotila na iterativen način, kot ga predvideva NIS 2.

CISO, s katerim smo se pogovarjali je opozoril, da primanjkuje virov, volje, znanj in pripravljenosti, da bi to naredili. Večja podjetja imajo logiko, če imamo SAP in druge velike programske rešitve, potem je vse urejeno. To prakso podjetja v Sloveniji poganjajo že desetletja.

Samozaverovanost, ki prevladuje v slovenskih podjetjih, da lahko sama vse naredijo najbolje je dodaten zaviralen moment. Poleg tega v Sloveniji na polju kibernetske varnosti večinoma delujejo majhna podjetja, ki ne obvladujejo celotnega portfelja kibernetskih tveganj, ampak le posamezno področje rešitev. Takšna podjetja vstopajo v velika in srednja podjetja, tudi v naše blue chipe, razširjajo svojo logiko in skupaj z notranjimi informatiki poskušajo zlepiti nekaj skupaj. Ti mali ponudniki parcialnih rešitev prepričujejo srednja in velika podjetja, ki si potem zatiskajo oči, da imajo vse zgledno urejeno in zavračajo prenos dovršenih rešitev.

Čaleta je tudi poudaril, da imamo na eni strani imamo vedno večjo kompleksnost poslovnih procesov, uvajanje novih tehnologij, digitalizacijo, uvajanje umetne inteligence in še vrsto drugih novih razvojnih momentov, na drugi strani pa vedno večji primanjkljaj ustrezno izobraženega kadra na področju IKT. Vse to jasno kaže, da pri resnem razumevanju tveganj, ki jih prinaša kibernetsko okolje in s tem povezano upravljanje s tveganji zaostajamo za potrebami realnega okolja.


Pri resnem razumevanju tveganj, ki jih prinaša kibernetsko okolje in s tem povezano upravljanje s tveganji zaostajamo za potrebami realnega okolja.


Danes so varnostna tveganja izrazito medsebojno povezana, zato njihovega upravljanja ni možno zagotavljati samo s kibernetskih vidikov. Slednje privede do zaključka, da je pomanjkanje kadra, ki razume to kompleksnost še toliko bolj izrazito.

»Seveda se organizacije pri kakovosti kadrovskih virov medsebojno razlikujejo, vendar gre ocena generalno, ne samo za Slovenijo, temveč za celotno EU. Danes so spremembe na področju IKT tako dinamične, da je proces zagotavljanja kibernetske varnosti postal res zahteven,« je še opozoril Čaleta.

Poleg tega smo tako rekoč dnevno priča odkritju novih ranljivosti, kar pomeni, da ne moremo več govoriti v osnovnem upravljanju in zagotavljanju razpoložljivosti teh sistemov, saj je že najmanjša vrzel lahko okno za kibernetski napad.


Ne moremo več govoriti v osnovnem upravljanju in zagotavljanju razpoložljivosti teh sistemov, saj je že najmanjša vrzel lahko okno za kibernetski napad.


Glede na razmeroma visoko vrzel v znanju slovenskih podjetjih na polju upravljanja kibernetskih tveganj gre z veliko verjetnostjo pričakovati, da bodo ob pomanjkanju lastnih ljudi bodo podjetja znanja iskala na trgu. Pri tem jim bodo v pomoč predvsem ponudniki, ki poleg revizij informacijskih sistemov obvladujejo širšo sliko poslovanja, ki imajo izkušnje za izzive dosedanjih zavezancev (že po NIS 1) in ki lahko prenesejo dobre prakse iz tujine.


Prednostna področja za urejanje kibernetskih varnostnih tveganj

Obvladovanje kibernetskih tveganj je tesno povezano s celotnim poslovanjem podjetja. Gartner tako v svojih priporočilih naslavlja štiri področja, ki jim morajo obravnavati odgovorni za kibernetska varnostna tveganja.

Upravljanje kibernetskih tveganj: vzpostavitev procesov upravljanja s tveganji za obvladovanje kibernetskih tveganj in ublažitev groženj kritičnim storitvam. Države EU in Agencija Evropske unije za kibernetsko varnost (ENISA) bodo sicer izvajale usklajene ocene varnostnih tveganj kritičnih dobavnih verig, pri oceni katerih bodo upoštevale tehnične in po potrebi ne tehnične dejavnike tveganja.

Odgovornost podjetij: vzpostavitev mehanizmov notranjega poročanja, da bo višje vodstvo obveščeno o izpostavljenosti tveganju in varnostni drži, kar bo spodbujalo odgovornost. Vzpostaviti je smiselno strukture, ki bodo vodstvu podjetja omogočile nadzor in odobritev ukrepov kibernetske varnosti ter obravnavanje kibernetskih tveganj.

Obveznosti poročanja: razvoj zmogljivosti za zunanje poročanje, ki izpolnjujejo zahteve za poročanje o incidentih in zagotavljanje z NIS 2. Pri tem je treba vzpostaviti postopke za takojšnje poročanje o varnostnih incidentih, ki imajo pomemben vpliv na zagotavljanje storitev oziroma na njihove prejemnike. Pristojni organi lahko na osnovi kakovostnih poročil ocenijo vpliv incidenta in zagotovijo smernice prizadetim operaterjem ali ponudnikom storitev.

Neprekinjeno poslovanje: razvoj načrtov, ki vključujejo upravljanje varnostnih kopij, obnovo delovanja IT-storitev po nesreči in krizno upravljanje za zagotavljanje neprekinjenega poslovanja v primeru kibernetskih incidentov.