Kje se hranijo podatki evropskih podjetij in potrošnikov

V EU se trenutno veliko govori o tako imenovani digitalni suverenosti, ki se sprašuje, kje se hranijo podatki evropskih podjetij in potrošnikov ter kdo lahko do njih dostopa in jih obdeluje. Podobna vprašanja bi si morali v podjetjih in državah postavljati tudi, ko gre za rabo varnostnih rešitev. Je tehnologija, tudi varnostna, »Made in EU« res edina prava pot?

Ko podjetja izbirajo ponudnike kibernetske zaščite, se pogosto osredotočajo le na ceno in tehnične specifikacije, medtem ko geopolitično poreklo programske opreme ostaja v ozadju. Petra Veber, direktorica podjetja Sisplet, ponudnika varnostnih rešitev, opozarja, da je to velika napaka. Evropske rešitve namreč prinašajo neposredno prednost, saj so prilagojene evropskemu poslovnemu okolju že v svoji DNK.

»Poglavitna prednost je, da rešitve 'Made in EU' že v osnovi delujejo v istem pravnem okolju. To pomeni, da se pravni red EU upošteva že od same zasnove in razvoja pa vse do ponudbe. Ne gre torej za prilagajanje rešitev našemu pravnemu redu, ampak so te rešitve take že po naravi,« pojasnjuje Vebrova, ki kot ključno razliko izpostavlja vprašanje zaupnosti in tako imenovanih skritih vrat (angl. backdoors), ki jih zakonodaje nekaterih tretjih držav dobesedno izsiljujejo od tamkajšnjih tehnoloških velikanov. V ZDA na primer velja patriotski zakon (USA PATRIOT Act), na podlagi katerega lahko oblast brez vednosti uporabnika pregleduje komunikacijo znotraj globalnih platform, kot je na primer e-poštna platforma gmail. Podobna, pogosto še bolj netransparentna tveganja prinašajo tudi programske rešitve iz Rusije ali z Bližnjega in Daljnega vzhoda.

Poleg pravnih obstajajo tudi zelo oprijemljiva poslovna tveganja, povezana z geopolitičnimi trenji. »Upravljanje tveganj v poslovnih okoljih postaja vse bolj zahtevno. Danes na poslovanje podjetij vplivajo že sankcije zaradi geopolitičnih dogodkov ali vojn. Takšen primer smo imeli z določeno varnostno rešitvijo ruskega porekla. Zagotavljanje podpore, vzdrževanja in posodobitev je hitro postalo težava. Nastopijo lahko tudi etična vprašanja, denimo, ali bomo uporabljali rešitve iz držav, ki eklatantno kršijo človekove pravice, napadajo druge države in podobno,« dodaja direktorica Sispleta. Ključna prednost evropskih rešitev je torej celovita »skladnost po zasnovi« – tako pravno kot kulturno.

Uredba NIS2: med skrbmi in realnostjo

Uvedba direktive NIS2 (v slovensko zakonodajo prenesene prek zakona ZinfV-1) ter uredbe Dora za finančni sektor je med direktorji domačih podjetij sprožila precej buren odziv. Ne le da imajo podjetja odpor proti korenitim spremembam, temveč se zaradi stroge zakonodaje in regulative srečujejo z resnimi operativnimi izzivi. Tista, ki so že v preteklosti gradila svojo obrambo na standardih NIS1 ali pridobila certifikat ISO 27001, so prehod sicer dočakala dobro pripravljena. Večje težave pa so v podjetjih in organizacijah, kjer je varnost »zaspala« in je na ravni prejšnjega desetletja.

»Veliko podjetij še ni šlo naprej od požarnega zidu na usmerjevalniku in v operacijski sistem vgrajene zaščite. Čeprav je treba priznati, da je precej srednjih in velikih tudi v preteklosti vlagalo v kibernetsko varnost. Sedanja zakonodaja je v resnici bolj napotek, kako razvijati kibernetsko obrambo in zaščito,« komentira Vebrova, ki pri tem pomirja vodstva podjetij, da nihče ne pričakuje popolne preobrazbe čez noč: »Vsekakor se vsega, kar zakonodaja zahteva, ne more doseči v, recimo, 12 mesecih. Lahko pa podjetje naredi načrt, kako bo dokaj hitro vseeno uvedlo vseh deset skupin predvidenih ukrepov. Mimogrede, niso vsi ukrepi povezani z naložbami in denarjem.«

Kako ubežati pasti »kljukanja kvadratkov«

Največja nevarnost administrativno težkih zakonov je, da postanejo zgolj papirnata formalnost. Na primer kljukanje kvadratkov glede posameznih zahtev, češ, saj jih v praksi nihče ne bo (nikoli) preverjal. Da bi NIS2 v resnici izboljšal varnost, morajo vodstva podjetij spremeniti pogled na zakonodajo. »V osnovi ne gre za projektno uskladitev z zakonodajo, ampak za vzpostavitev dejavnosti, načina poslovanja. NIS2 pravzaprav govori o tem, kako kibernetsko varnost in odpornost vgraditi v poslovanje. Zato ga je treba obravnavati kot priročnik, ki podjetje popelje do bolj uspešnega poslovanja v digitalnem okolju. Mar naj ne bi bil to cilj vsake organizacije?«

Klicani na odgovornost

Temu, da bi izmikanje ali ignoriranje varnostno naravnane zakonodaje podjetjem ne prišlo v navado, je namenjena ena največjih sprememb na področju odgovornosti. Ena največjih novosti, ki jih prinaša nova zakonodaja, je namreč osebna odgovornost članov uprav in direktorjev za varnostne incidente. Kljub temu se v poslovni praksi še vedno pojavlja nevarna miselnost, da so slovenska podjetja premajhna ali premalo zanimiva, da bi padla v oči mednarodnim kriminalcem. »Ljudje še vedno prepogosto razmišljajo, 'saj nam se pa to ne more zgoditi, ker nismo zanimivi'. Preveč podcenjujejo možnosti varnostnega incidenta in težo teh tveganj,« opozarja Vebrova.

Z napadalci v kibernetski krajini res ni šale. Tovrstni kriminal danes deluje kot optimizirana industrija. Napadalci primarno iščejo enostavne tarče, IKT-okolja podjetij, kjer so varnostna vrata odprta. »Zanimivo je, da jim je na voljo veliko hitro dostopnih tarč in se jim sploh ni treba ukvarjati z res kompleksnimi napadi na pomembna in običajno bolj(e) zaščitena podjetja. Na te preprosto dosegljive 'sadeže' kar naletijo in jih vzamejo skoraj mimogrede. Drugo so ciljani napadi na infrastrukturna ali visokotehnološka podjetja. Tukaj je sporočilo precej preprosto: kako zanimivo je podjetje, ni odvisno od njegove dejavnosti in/ali imena, ampak od tega, kako zaščiteno je.«

Varnost lahko zagotavlja le ekipa

Omrežje, oblak, aplikacije, storitve, naprave – varovanje sodobnega IKT-okolja podjetja zahteva veliko specifičnih varnostnih znanj in posledično ekipo varnostnih strokovnjakov. Postavitev lastnega, 24 ur na dan delujočega varnostno-operativnega centra je za večino slovenskih podjetij finančna in kadrovska utopija. Strokovnjakov za kibernetsko varnost na trgu primanjkuje, tehnološka oprema pa zahteva ogromna sredstva. Petra Veber vidi izhod iz te situacije v enem samem pristopu – najemu zunanjih varnostnih storitev. »Če bi morala podjetja sama vlagati v celoten tehnološki sklad, ki je potreben za zagotavljanje odpornosti v današnjem okolju digitalnih nevarnosti, lahko zaprejo vrata. Kje so šele vprašanja o kadrih, ki jih preprosto ni. Zakonu lahko očitamo, da vzpostavlja merila, ki so težko dosegljiva. Vendar podjetja imajo možnost, da veliko zahtev prenesejo na ustrezne ponudnike. Storitve MDR (upravljano zaznavanje in odzivanje) rešijo njihove številne, tako finančne kot kadrovske izzive.«

Uporaba upravljanih varnostnih storitev podjetjem omogoča, da skrb za spremljanje anomalij in nevarnosti prenesejo na zunanje strokovnjake. Inšpektorji, ki bodo v praksi preverjali skladnost z ZinfV-1, bodo po besedah sogovornice kazali razumevanje do tistih podjetij, v katerih so izkazane jasna volja in aktivnosti za izboljšave, medtem ko bodo neaktivnost in ponavljajoče se kršitve ostro kaznovane.