Vsa podjetja bi rada poslovala varno, kar pa je v digitalni krajini velik izziv. V zagotavljanje kibernetske varnosti je treba nenehno vlagati, so pa naložbe bistveno nižje od stroškov sanacij napadov.

Mala in srednje velika podjetja (MSP) so hrbtenica domačega gospodarstva. Predstavljajo kar 99,8 odstotka vseh podjetij v Sloveniji, pri čemer zaposlujejo skoraj 70 odstotkov ljudi in ustvarijo 65 odstotkov vseh prihodkov. Njihov prispevek družbi je očiten, saj igrajo ključno vlogo pri dodajanju vrednosti vsem sektorjem gospodarstva.

In prav tako kot korporacije in mikro podjetniki se tudi mala in srednje velika podjetja srečujejo z digitalno preobrazbo in digitalno krajino, kjer pa ne manjka tudi pasti in nevarnosti – za njihove podatke, računalnike, posel.

Digitalizacija omogoča neprekinjeno poslovanje

Pandemija je podjetja vseh vrst in velikosti prisilila, da ponovno premislijo o svoji digitalni miselnosti. Sprejeti so morala ukrepe za neprekinjeno poslovanje, kot so uporaba storitev v oblaku, nadgradnja internetnih povezav, spletnih strani ali trgovin in omogočanje dela na daljavo.

Evropska agencija za kibernetsko varnost (ENISA) je med pandemijo opravila raziskavo s področja kibernetske varnosti med malimi in srednje velikimi podjetji. Strokovnjaki so odkrili številne varnostne izzive podjetij, najpogostejši ugotovljeni kibernetski incidenti pa so bili napadi z izsiljevalsko programsko opremo, ukradeni prenosni računalniki, napadi z lažnim predstavljanjem in direktorske prevare. Podjetja so izgubila milijone.

Med malimi in srednjimi podjetji, ki jih je anketirala ENISA, jih je kar 90 odstotkov izjavilo, da bi (nove ali dodatne) težave s kibernetsko varnostjo imele resne negativne posledice za njihovo poslovanje že v enem tednu po tem, ko bi prišlo do incidenta. 57 odstotkov anketiranih je odkrito odgovorilo, da bi v primeru kibernetskega napada najverjetneje bankrotirali ali prenehali poslovati.

Od deset do dvajset tisočakov za odkupnino

Nacionalni varnostni center SI-CERT je objavil tudi podatke za Slovenijo. Povprečna višina odkupnine za odšifriranje podatkov podjetja (ki je posledica napada z izsiljevalskim virusom) je domače podjetje stala 10.000 evrov, vrivanje v poslovno komunikacijo (na primer med direktorja in računovodjo) 19 tisočakov, povprečna izguba pri investicijski goljufiji (povezana s kriptovalutami) pa je znašala kar 20.000 evrov.

Ob omenjenih številkah hitro postane jasno, da je strošek investicije v storitve zagotavljanja kibernetske varnosti pravzaprav zanemarljiv v primerjavi s sanacijo posledic napada.

Izzivi: čas, denar, kadri, znanje

V času povečanega obsega dela na daljavo, ki se bo zelo verjetno ohranilo tudi v prihodnje, in naraščajočih kibernetskih groženj se mala in srednja podjetja srečujejo z velikimi izzivi glede kibernetske varnosti. Ne le pomanjkanje denarja za varnostne rešitve (le redka podjetja sploh imajo proračun za kibernetsko varnost), tudi pomanjkanje kibernetskih veščin, torej ustreznih kadrov in znanja, so potencialne težave, ki jih velja čim prej nasloviti – in odpraviti.

Kako naj torej podjetja ustrezno zavarujejo svoje (digitalno) poslovanje? Prvi korak je vzpostavitev dobre kulture kibernetske varnosti. Ta je ključni element za trajni uspeh vseh MSP. Odgovornost za to kritično funkcijo v podjetju velja dodeliti osebi, ki bo zagotovila ustrezne vire, kot so kadri, nakup strojne in programske varnostne opreme ter storitev, poskrbela za usposabljanje zaposlenih in vzpostavitev učinkovitih varnostnih politik.

Zaposlenim je treba pojasniti, da kibernetska varnost zadeva vse v podjetju – napadalci lahko izkoristijo katero koli razpoko, ranljivost ali napako. Odgovornost za varno digitalno poslovanje je torej na plečih vseh zaposlenih – vsak mora prispevati svoj kamenček v mozaik. Le z ustreznim izobraževanjem in usposabljanjem zaposlenih bo podjetje poskrbelo, da ti ne bodo več najšibkejši člen varnostne verige.

Nujna so redna usposabljanja za ozaveščanje o kibernetski varnosti za vse zaposlene, da bodo lahko prepoznali različne grožnje za kibernetsko varnost in se z njimi ustrezno spoprijeli. Podjetja morajo zaposlene spodbujati k uporabi močnih gesel in večfaktorske avtentikacije ter skrbnemu ravnanju z napravami, s katerimi dostopajo do omrežij, sistemov, aplikacij in podatkov podjetja. To velja tudi za morebitne tretje osebe, ki imajo ustrezne dostope do virov podjetja.

Dvig varnostne letvice

Teorija mora delovati tudi v praksi. Pripraviti je treba formalen načrt odzivanja na incidente, ki bo vključeval jasne in dokumentirane smernice, vloge in odgovornosti, da se zagotovi pravočasen, profesionalen in ustrezen odziv na vse varnostne incidente. Za hiter odziv na varnostne grožnje mora podjetje preučiti, katera orodja bi lahko uporabilo za spremljanje in ustvarjanje opozoril v primeru sumljivih dejavnosti ali kršitev varnosti.

Kibernetskih napadalcev ne prestraši velika ključavnica na glavnih vratih, saj imajo veliko raje slabše varovana stranska vrata, posebno takrat, ko jih kdo (zaradi malomarnosti) pusti odprta.

Zagotavljanje varnosti naprav zaposlenih, na primer njihovih namiznih, prenosnih in tabličnih računalnikov ter pametnih telefonov, je eden ključnih korakov doseganja visoke ravni kibernetske varnosti. Vsa programska oprema v podjetju mora biti brezhibna in posodobljena, nujno je uporabljati varnostne rešitve, kot so protivirusni programi, požarni zidovi in orodja za odkrivanje vdorov ter druga varnostna orodja nove generacije (XDR, NGFW, SIEM/SOAR …). Vse povezave naj bodo šifrirane, morebitno brezžično omrežje za goste in obiskovalce pa ločeno od omrežja podjetja.

Po pomoč k strokovnjakom

Podjetja, ki se zavedajo nevarnosti v digitalni krajini, ne poskrbijo le za zaščito svojega digitalnega okolja in izobraževanje zaposlenih, temveč se periodično odločijo tudi za tako imenovani varnostni pregled. Gre za neodvisno revizijo, ki jo opravijo varnostni strokovnjaki in etični hekerji. Ti preverijo, kako dobro pravzaprav delujeta njihova obramba in odziv zaposlenih.

Kibernetska varnost je namreč nekaj, česar ni mogoče preprosto kupiti. Še najbližje rešitvi na ključ so varnostne storitve, ki jih ponujajo specializirani ponudniki, na primer storitve varnostno-operativnega centra, ki preverja grožnje v krajini oziroma panogi, v kateri deluje podjetje.

A storitve varnostno-operativnega centra so za številna MSP (pre)drage, zato iščejo alternative. Podjetje A1 Slovenija je ravno za ta segment podjetij razvilo storitev, ki jo je poimenovalo Kibernetska varnost na ključ. Z njo proaktivno spremlja aktivnosti, preprečuje napade in razrešuje varnostne dogodke strank. Podpora varnostno-operativnega centra A1 zagotavlja hiter odziv na kibernetske napade, proaktivno iskanje groženj in obvladovanje tveganj, vključno s forenzičnimi poročili.

»Smo svetovalno podjetje, ki deluje na specifičnem področju, zato razumemo, da naše stranke prepoznajo dodano vrednost našega dela – zagotavljanja kakovostnih kadrov. Prav tako vemo, da na področju informacijske varnosti sami nismo sposobni zagotavljati dovolj visoke ravni zaščite našega podjetja. Storitev kibernetske varnostni na ključ, ki jo zagotavlja specializiran ponudnik, nas je rešila teh skrbi,« izkušnje podjetja Competo opiše direktor Matija Vošnjak.

»S prehodom na storitev Kibernetska varnost na ključ je A1 Slovenija našemu podjetju zagotovil neprimerljivo močnejšo kibernetsko zaščito ter hkrati oddelku IT prihranil čas, ki ga je prej porabljal za vzdrževanje in posodabljanje varnostnih rešitev ter odpravljanje morebitnih okužb. Odrešil ga je tudi skrbi glede varnosti občutljivih podatkov ter prekinitev dela, ki bi bile posledica morebitnega napada z izsiljevalskim kriptovirusom. Hkrati je naš oddelek IT pridobil celovit vpogled v delovanje vseh računalnikov v poslovnem omrežju, nad katerimi zdaj bdijo tudi strokovnjaki za kibernetsko varnost na strani ponudnika, ki lahko zaznajo in odpravijo grožnje, še preden jih občutijo uporabniki,« pa je izkušnjo z najemom storitev kibernetske varnosti opisal Beno Artič, vodja oddelka IT v podjetju Aliansa.