Prosimo, uporabite drug brskalnik, naprimer Google Chrome.
tehnologija /
Kibernetska varnost in odpornost
Približno na vsakih 39 sekund se po svetu zgodi nov kibernetski napad, zato je ključno, da podjetja poskrbijo tako za kibernetsko varnost, ki se osredotoča na preprečevanje vdorov, kot tudi za kibernetsko odpornost.
Ta pomeni sposobnost podjetja, da preživi digitalni udarec, ohrani poslovanje in si z minimalno škodo čim hitreje opomore.
Tekst: Hana Uršič
Zaposleni: najmočnejši in najšibkejši člen
Zagotavljanje kibernetske odpornosti temelji na treh stebrih. Prvi steber so ljudje, ki so po eni strani primarna obrambna linija za zaščito pred kibernetskimi napadi, hkrati pa njen najšibkejši člen. Po podatkih poročila Verizon DBIR 2024 je bil človeški dejavnik vključen pri kar 68 odstotkih kršitev varnosti podatkov (napake, socialni inženiring, odpiranje sumljivih e-sporočil, klik na lažno povezavo ipd.). Redno izobraževanje zaposlenih o nevarnostih je zato ključno. Podjetje lahko kupi najdražjo programsko opremo na svetu, a če bo zaposleni v računovodstvu kliknil na prepričljivo lažno e-sporočilo s priponko »Racun_za_najemnino_2024.pdf«, je vsa tehnologija zaman.
To je na lastni koži izkusil tudi globalni igralniški gigant MGM Resorts v Las Vegasu, ki so ga septembra 2023 hekerji napadli s pomočjo socialnega inženiringa. Na LinkedInu so našli podatke enega od zaposlenih, nato pa poklicali službo za pomoč uporabnikom (helpdesk). Kot je razbrati iz poročil, so se pretvarjali, da kliče omenjeni zaposleni, ki je pozabil geslo, in tako so prek službe za pomoč uporabnikom pridobili dostop do sistemov. Sledil je popoln kaos. Nehali so delovati igralni avtomati in rezervacijski sistemi, odpovedali so celo digitalni ključi za odpiranje hotelskih sob. Podjetje je poleg kraje osebnih podatkov strank utrpelo škodo, ki jo je ocenilo na več kot sto milijonov dolarjev.
Načrt odziva na napade mora biti preizkušen v praksi
Drugi steber zagotavljanja kibernetske varnosti so procesi. Podjetje mora poskrbeti za sistematično varnostno kopiranje, ki mora biti strogo ločeno od glavnega omrežja. Prav tako mora imeti izdelan in testiran načrt odziva na kibernetske incidente. Dr. Denis Čaleta, predsednik Slovenskega združenja korporativne varnosti, pojasnjuje: »V podjetjih pogosto obstajajo formalni dokumenti o neprekinjenosti poslovanja pri kibernetskih napadih, vendar ti niso ustrezno preizkušeni po realnih scenarijih ali s kriznimi vajami. Organizacije tako nimajo primerno vzpostavljenih rezervnih komunikacijskih poti in alternativnih procesov za delovanje v izrednih razmerah.«
Tretji steber kibernetske varnosti v podjetju je tehnologija, ki mora temeljiti na modelu ničelnega zaupanja (angl. zero trust). To pomeni, da se nikomur in nobeni napravi ne zaupa samodejno. Podjetja morajo poskrbeti za obvezno večfaktorsko avtentikacijo (MFA) ter vpeljati sisteme za stalno spremljanje in detekcijo groženj (npr. XDR – Extended Detection and Response).
6196 kibernetskih incidentov, od tega 778 zahtevnejših, je SI-CERT leta 2025 obravnaval v Sloveniji.
64 % podjetij po svetu je doživelo vsaj eno obliko kibernetskega napada.
4,88 milijona dolarjev je znašal povprečni globalni strošek kršitve varnosti podatkov leta 2024.
13,2 % celotnega IT-proračuna podjetja v povprečju namenijo za kibernetsko varnost.
560 tisoč novih zlonamernih programov (malware) se ustvari vsak dan.
3,4 milijarde lažnih e-sporočil (phishing) se pošlje po svetu vsak dan. Okoli sto milijonov jih sistemi prestrežejo, še preden dosežejo naše nabiralnike.
Napadeni smo! Kaj pa zdaj?
Čeprav hekerji najraje napadejo panoge, od katerih si obetajo največjo finančno korist (energetiko, zdravstvo, finančni sektor in javno upravo), pred njimi ni varno nobeno podjetje. Kibernetski napadi so pogosto usmerjeni tudi v proizvodna podjetja, ker se hekerji zavedajo, da si ta ne morejo privoščiti ustavitve strojev. Izpad proizvodnje namreč lahko stane tudi do 125.000 dolarjev na uro, zato hitreje plačajo odkupnino. Dr. Uroš Svete, direktor Urada Vlade RS za informacijsko varnost (URSIV), zato opozarja: »Ključno vprašanje ni več, ali se bo incident zgodil, temveč kako dobro je organizacija pripravljena nanj.«
Če podjetje doživi kibernetski napad, Milan Gabor, direktor podjetja Viris, svetuje naslednje: »Najprej ne zganjajte panike in ne brišite dokazov. Ključni koraki reševanja situacije so: izolirajte prizadete sisteme, ohranite dnevnike in dokaze, vključite strokovnjake, preverite obseg vdora, obvestite vodstvo in pravno službo ter po potrebi SI-CERT, policijo, regulatorje in poslovne partnerje.« Hkrati Gabor doda: »Pogosta napaka napadenih podjetij je, da poskušajo sistem počistiti sama, da prehitro ponovno vklopijo strežnike ali da komunicirajo nepremišljeno. Cilj podjetja po digitalnem vdoru ne sme biti le, da čim hitreje zažene poslovanje, ampak da prepreči ponovitev napada.«
In zakaj je kibernetske incidente pomembno prijaviti tudi ustreznim državnim institucijam? »Pravočasno poročanje omogoča hitro tehnično podporo, koordiniran odziv in zmanjšanje posledic napada. Incidenti namreč pogosto niso izolirani dogodki, saj lahko isti napadalci hkrati ciljajo na več organizacij. Z deljenjem informacij lahko zaščitimo druge potencialne tarče,« razloži dr. Svete in dodaja, da »sistem poročanja ni namenjen sankcioniranju, temveč krepitvi kolektivne odpornosti«.
Kibernetska varnost kot del organizacijskega DNK
Letno poročilo IBM Cost of a Data Breach Report 2024 navaja, da je povprečni strošek kršitve varnosti podatkov (angl. data breach) leta 2024 dosegel 4,88 milijona dolarjev. Za mala podjetja ocene industrije (zavarovalnic in analitikov) kažejo, da se stroški incidenta v povprečju gibljejo med 120.000 in 1,2 milijona dolarjev, kar je za večino med njimi pogubno. Zato mora vodstvo podjetja kibernetsko varnost prepoznati kot strateško poslovno vprašanje.
»Glavni izvršni direktor mora s svojim zgledom pokazati, da je varnost sestavni del kulture organizacije in odgovornost vseh zaposlenih. Pomembno je, da so varnostni cilji vključeni v poslovne procese, razvojne strategije in sistem odločanja na vseh ravneh podjetja. Organizacija mora vlagati v stalno izobraževanje zaposlenih ter gradnjo kulture zaupanja, odgovornosti in pravočasnega poročanja o tveganjih. Ko zaposleni razumejo, da varnost neposredno vpliva na stabilnost podjetja, njegov ugled in njihova delovna mesta, začne ta postopoma postajati del organizacijskega DNK,« bistvo odlično strne dr. Čaleta.
Največje nevarnosti in tveganja
Izsiljevalsko programje (ransomware) in dvojno izsiljevanje
Hekerji ne le zaklenejo podatke, temveč jih pred tem ukradejo in grozijo, da jih bodo javno objavili, če podjetje ne plača odkupnine. Včasih izsiljujejo celo stranke napadenega podjetja.
Napadi z uporabo UI (sophisticated phishing, deepfake)
UI omogoča hekerjem, da ustvarjajo popolna phishing sporočila brez slovničnih napak ali celo uporabijo tehnologijo deepfake (avdio in video prevare), s katero lahko na primer popolno oponašajo direktorjev glas in računovodji naročijo nakazilo denarja.
Napadi na dobavno verigo (supply chain attacks)
Napadalci se izognejo dobro zaščiteni glavni tarči (velikemu podjetju) in raje vdrejo v slabše zaščitenega manjšega dobavitelja ali ponudnika programske opreme, ki jo uporablja večja tarča.
»Direktiva NIS 2 predstavlja pomemben premik v razumevanju kibernetske varnosti. Ta ni več zgolj tehnično vprašanje IT-oddelkov, temveč postaja vprašanje upravljanja, odgovornosti in korporativnega vodenja. Osebna odgovornost vodstva pomeni, da morajo uprave aktivno razumeti tveganja, sprejemati informirane odločitve in zagotoviti ustrezne vire za obvladovanje kibernetskih groženj.« Dr. Uroš Svete, direktor URSIV-a
Osnovna varnostna higiena
V kaj naj najprej investira podjetje s 50 do 100 zaposlenimi? Milan Gabor, direktor podjetja Viris, svetuje:
uvedbo večfaktorske avtentikacije (MFA),
redne, strogo ločene in testirane varnostne kopije,
dosledno upravljanje posodobitev in ranljivosti,
zaščito končnih naprav (EDR in antivirusno zaščito, šifriranje podatkov, nadzor naprav),
varnost e-pošte in redno izobraževanje zaposlenih za prepoznavanje phishing napadov,
osnovni načrt odziva na incidente (kdo odloča, koga poklicati, kako izolirati sisteme).