Dr. Blaž Ivanc je mednarodno priznan strokovnjak s področja kibernetske obrambe in redno predava na dogodkih vodilnih centrov za kibernetske tehnologije po svetu. Osredotoča se na varovanje evropske kritične infrastrukture in posebne varnostne projekte v tujini. Zadnja leta je bil tudi vodja informacijske varnosti v večjih bančnih skupinah, kjer je nazadnje opravljal funkcijo Group CISO v NLB Skupini. Blaž deluje kot svetovalec za obvladovanje informacijskih tveganj podjetjem v bančnem, telekomunikacijskem in obrambnem sektorju in je mentor strokovnjakom, ki jih zanimajo vrhunske kibernetske tehnologije. Trenutno kot vodja posebnih varnostnih projektov sodeluje tudi s podjetjem CREAPLUS.
V zadnjih nekaj letih je kibernetska varnost že prepoznana kot poslovni izziv, vendar zdaleč ni edini problem pri obvladovanju informacijske varnosti v organizacijah. Ali imajo slovenska podjetja v splošnem dobro zastavljen program informacijske varnosti?
Težko bi rekli, da imajo dobro zastavljen program informacijske varnosti, ne glede na to, kakšna so njihova lastna mnenja. Treba je vedeti, da obstaja velika vrzel med informacijsko zrelimi poslovnimi okolji iz razvite Evrope in primerljivimi organizacijami pri nas. Nekaj, kar je pri nas ocenjeno kot dobra praksa z vidika upravljavcev informacijske varnosti, varstva podatkov in revizorjev, je lahko v primerljivih organizacijah v razvitih državah v tujini ter v okviru enakih predpisov videno kot nedopustno.
Čemu lahko pripišemo takšno zaverovanost vase?
Problem je pomanjkanje oprijemljivih izkušenj, ki jih ključni kader težko pridobi v Sloveniji. Nimamo ustrezne prisotnosti velikih multinacionalk, ki s seboj prinesejo zahodne standarde, tudi na področju upravljanja informacijske varnosti. Problem je še pomanjkanje kadra z ustreznimi izvornimi znanji. Številčno je kadrov na tem področju kar nekaj, problem pa je, da težko primerjajo svoja znanja in izkušnje s kolegi iz velikih sistemov, kar bi jih motiviralo za kakovostnejšo pridobivanje dodatnih veščin. Če k temu dodamo še slovensko mentaliteto, kjer se vsi na vse spoznajo, potem je obstoječe stanje kar predvidljivo.
Razkoraki v poznavanju zasnov in v razumevanju temeljnih konceptov ter mehanizmov varovanja sistemov in podatkov so ogromni v primerjavi z drugimi državami članicami Evropske unije.
Kje so po vaših ocenah vrzeli največje?
Navadno se začne že pri samih ocenah tveganj, ki so z vidika kakovosti pomanjkljive, pogosto same sebi namen. Znanje v skromnejših državah, ki hkrati po številnih kazalcih niti ne dosegajo povprečja EU, pogosto nastaja in se deli preko samoukov, ki so pripravljeni svoje izkušnje nato deliti naprej, celo izobraževati druge in podobno. V razvitih državah v tujini so v ozadju utečeni sistemi in že omenjene izkušnje. Posledično same težave v Sloveniji nastopijo že v začetnih fazah ocenjevanja tveganj, to je pri dosledni prepoznavi in razvrščanju informacijskih sredstev. Nato obstaja cela veriga procesov, ki je morda na papirju še ustrezna, z vidika implementacije dejanskih ukrepov za ublažitev tveganj pa se že kažejo razpoke. Seveda je treba tudi močno okrepiti znanja na strani vseh relevantnih inštitucij regulacije in nadzora ter izboljšati njihovo razumevanje ustreznega naslavljanja zahtev iz predpisov. Razkoraki v poznavanju zasnov in v razumevanju temeljnih konceptov ter mehanizmov varovanja sistemov in podatkov so ogromni v primerjavi z drugimi državami članicami Evropske unije.
Kako dobro slovenske organizacije razumejo koncepte varnosti podatkov in nujnosti zaščite digitalnih transakcij? Lahko navedete kakšen realen problem ali posledico?
Osnove načeloma razumejo, večji problem je praktična implementacija. Pomanjkanje izkušenj iz tujine, nezadostno sodelovanje s strokovnjaki za varovanje IKT-sistemov in podatkov iz velikih tujih poslovnih sistemov ter nenazadnje odsotnost proizvajalcev resnih varnostnih tehnologij je kar opazno. To se vidi v tehnološkem in procesnem zaostanku, kakor tudi pri opremljenosti posameznikov s pričakovanimi znanji. Vstopni pogoji so žal zaradi odsotnosti ustrezno opremljenega kadra postavljeni zelo nizko. To v praksi pomeni, da lahko prihaja do težav od poznavanja izvedbe groženj do osnov upravljanja kibernetskih tveganj v poslovnih sistemih.
Svetoval bi, da organizacije vedno preverijo, kako enako pomembne organizacije na večjih trgih ali gospodarske družbe z boljšo varnostno kulturo in zavedanjem razumejo predpise in njihovo implementacijo preko tehnologij, procesov in obstoječih kadrov.
Kako pa so z vidika informacijske varnosti pripravljene na nove tehnologije in digitalizacijo vsega, na primer na internet stvari, umetno inteligenco, obsežne podatke, oblak, elektronsko izmenjavo podatkov ...?
Menim, da zanesenjaki in IKT-inženirji kar poskušajo spremljati zadeve, vendar informacijska varnost pokriva celotno organizacijo. Vedno pridemo do izkušenj, ki jih lahko kader v Sloveniji pridobi v bistveno bolj omejenem obsegu kot recimo v sistemsko pomembni instituciji iz razvite Evrope. Poleg tega informacijska varnost obsega celotno organizacijo, vpet je kader na več nivojih, z različnimi znanji in prepogosto z izrazito vrzeljo o poznavanju osnov varovanja IKT sistemov in podatkov. Svetoval bi, da organizacije vedno preverijo, kako enako pomembne organizacije na večjih trgih ali gospodarske družbe z boljšo varnostno kulturo in zavedanjem razumejo predpise in njihovo implementacijo preko tehnologij, procesov in obstoječih kadrov.
Kaj so prvi ali urgentni koraki, ki jih lahko organizacije izvedejo, da dvignejo raven informacijske varnosti? Večina jih recimo že ima vzpostavljeno neko osnovno zaščito pred vdori od zunaj, pred škodljivo programsko opremo, morda uporabljajo dvo-stopenjsko overjanje uporabnikov.
Najprej morajo organizacije ugotoviti, katere sisteme, informacije, operacije sploh varujejo in ta sredstva ustrezno razvrstiti z vidika različnih postavk kritičnosti. Da bodo lahko kasneje znotraj svojega prihajajočega varnostnega programa izdelali posamezne nivoje varnostnih ukrepov, bodo morali slediti postopkom priprave strategije kibernetske odpornosti, kot se to pričakuje v resnih poslovnih sistemih.
Tukaj ne gre toliko za nabavo nekih novih igračkarskih platform za kibernetsko varnost, temveč bolj za pravilne zasnove, prisotnost ustreznih mehanizmov in njihovih nastavitev. Za to so potrebni ljudje z oprijemljivimi znanji tako za izvedbo kot za upravljanje ter nenazadnje za revizijo izvedenih zadev.
Osnovna, a zelo pomembna iniciativa znotraj programa upravljanja informacijske varnosti, je uporaba strategij za zaščito pred različnimi kibernetskimi grožnjami glede na prioritete. Organizacije naj integrirajo smiselne modele zrelosti zmogljivosti, ki so uporabno orodje za razumevanje ravni varnostnih procesov. Hkrati so pri pripravi ali prenovi strategije kibernetske odpornosti pomembno orodje pri izdelavi analize razkoraka, da poslovodstvo ve, kje organizacija z vidika informacijske varnosti sploh je, kam želi iti in kaj to potegne za sabo. Seveda pa mora kader znotraj organizacije najprej obvladati pravilno ocenjevanje tveganj, poslovodstvo pa pokazati primeren posluh za informacijsko varnost. Tukaj ne gre toliko za nabavo nekih novih igračkarskih platform za kibernetsko varnost, temveč bolj za pravilne zasnove, prisotnost ustreznih mehanizmov in njihovih nastavitev. Za to so potrebni ljudje z oprijemljivimi znanji tako za izvedbo kot za upravljanje ter nenazadnje za revizijo izvedenih zadev.
V Sloveniji je dejanskih ciljanih napadov brez kakršne koli vpetosti avtomatizirane zlonamerne infrastrukture zelo malo, kar je sreča. V nasprotnem primeru bi bilo stanje precej slabše, kot je že.
Če posplošim, za vse deležnike bi bilo najbolje, da čim prej ugotovijo, kako najlažje prenoviti neustrezne temelje, če se seveda teh sploh zavedajo. Odmevnejši informacijski incidenti iz zadnjega obdobja, ki so dobili tudi precejšnjo medijsko pozornost, so nedopustni, vendar so manjši od marsikaterega drugega informacijskega incidenta, ki se je že zgodil v državi, le da hote ali nehote ni dobil ustrezne medijske pozornosti. Pri tem je treba povedati, da je velika večina incidentov posledica ne ravno najbolj dovršenih in dejansko usmerjenih kibernetskih napadov. V Sloveniji je dejanskih ciljanih napadov brez kakršne koli vpetosti avtomatizirane zlonamerne infrastrukture zelo malo, kar je sreča. V nasprotnem primeru bi bilo stanje precej slabše, kot je že.
Glede na prihajajoče zakonodajne zahteve, kaj bodo v splošnem morale narediti slovenske organizacije, še posebej podjetja? Kako velik bo ta premik, z današnje točke obvladovanja informacijske varnosti do upravljanja z ranljivostmi in upravljanja odpornosti?
Pri informacijskih sistemih tako na ravni države kot v podjetjih vidimo, da v temeljni zasnovi manjkajo nekateri ključni elementi za ustrezno varovanje IKT-sistemov in podatkov. Videti je, kot da jih razvijalci ne poznajo, naročniki pa ne zahtevajo. Če smo konkretnejši, zaupnost podatkov v smislu nečitljivosti mora biti ohranjena oziroma zagotovljena četudi pride do okužbe sistemov z izsiljevalsko programsko opremo ali če ima organizacija med zaposlenimi zlonamernega sistemskega skrbnika, ki želi poskrbeti za iznos podatkov v osebno korist. Tukaj pridemo do spoznanja, da je treba slovenskim strokovnjakom s področja upravljanja informacijske varnosti, varstva osebnih podatkov in IT-revizije predstaviti metode in tehnike, ki so že dolgo pričakovani standard v primerljivih sistemsko pomembnih organizacijah Zahodne Evrope, pri nas pa še vedno na meji poznanega. S tem bo strokovnjakom v Sloveniji približano razumevanje ustreznih varnostnih zasnov in mehanizmov za pravilno varovanje sistemov in podatkov. Težavo pa seveda dodatno predstavljajo določeni običaji, značilni za to regijo, zaradi česar ni dovolj prostora za strokovnost. Tudi na področju informacijske varnosti se bo treba približati evropskim vrednotam.