Varnost nekoč strošek, zdaj naložba v prihodnost

Ljubljana – Verjetno sta le dve vrsti podjetij: tista, ki so že bila žrtve vdora, in tista, ki tega še ne vedo. Informacija je denar, nam je povedal Andrej Podvršič, glavni varnostni direktor družbe Chemours, ob robu varnostne konference, ki jo je pripravil Inštitut za korporativne varnostne študije.

Gospod Podvršič, ste glavni varnostni direktor (ang. chief security officer) v ameriški družbi Chemours, ki je prisotna v več kot 130 državah in ima več kot 7000 zaposlenih, delujete pa v Ženevi. Kateri so glavni izzivi na področju varnosti, s katerimi imate opraviti?

V prvo vrsto moram postaviti zaposlene, oni so naši najpomembnejši resursi, glede na to, da delujemo v zelo tekmovalnem okolju in poskušamo biti ves čas inovativni. Drugi izziv je varovanje poslovnih skrivnosti. Tretji del pa je digitalizacija vseh procesov v proizvodnji in informatiki.

Z digitalizacijo se vsak dan generira vse več podatkov, podjetja so vse bolj ranljiva. Veliko je govora o kibernetičnih vdorih, industrijskem vohunstvu. Kako vi to vidite?

To je res dvorezen meč. Po eni strani poskušamo biti vse bolj stroškovno učinkoviti, po drugi pa to poskušamo tudi zavarovati. Na neki način tu nastaja konflikt. Ker gospodarsko vohunstvo ne uporablja samo človeških resursov, ampak je kombinacija ljudi in vdorov, je to velik izziv ne samo za nas, pač pa za vsa podjetja, ki delujejo globalno in tudi lokalno.

Kakšne varnostne izzive pa prinaša famozni internet stvari, kjer bo po nekaterih ocenah že čez dve ali tri leta digitalno povezanih 50 milijard naprav? To očitno pomeni tudi nova tveganja in možnosti zlonamernih spletnih vdorov?

Želel bi si kristalno kroglo, da bi napovedal, kaj bo iz tega nastalo. Vsekakor pa je to za ocenjevalce varnostnih tveganj velik izziv. Ne samo da se splet stvari širi v informatiko, sega in širi se tudi v proizvodnjo in tako imenovani industrijski nadzor. Vsako uspešno podjetje poskuša voditi svoje poslovne procese na stroškovno čim bolj uspešen način. Vidimo že posledice interneta stvari tudi na področju industrijskih nadzornih sistemov, ki pomenijo veliko tveganje, zato morata biti sistem informatike in upravljanje kritičnih sistemov strogo ločena.

Kaj priporočate slovenskim podjetjem? Kako naj poskrbijo za svojo varnost, tudi v smislu kibernetičnih tveganj in nevarnosti?

Začne se s tem, da spoznaš, da imaš problem. Ne bom govoril, kako se slovenska podjetja vedejo do tega, a na konferenci o korporativni in informacijski varnosti se je pokazalo, da je zavedanje o tej varnosti zdaj veliko boljše tudi zaradi inštituta za korporativno varnost in delovanja številnih korporativnih menedžerjev v Sloveniji. Pomembno je prepoznati problem, se z njim spopasti, poiskati ustrezne rešitve tudi znotraj upravljanja tveganj v podjetjih. Ključna je aktivnost, ki bo ohranjala podjetja pri življenju in jih naredila uspešna. To je stalni proces – nenehno moraš ocenjevati tveganja in z vsakim tveganjem prihaja tudi kakšna priložnost. Zato ne gre samo za tveganja, ampak tudi za nove poslovne priložnosti, ki jih morajo izkoristiti tako globalna kot tudi slovenska podjetja.

Slovenija še vedno ni članica evropske organizacije za kibernetično varnost (European Cybersecurity Organization), kar nas lahko skrbi. Na drugi strani pa je Estonija, ki ima manj prebivalcev kot mi, v tej organizaciji že zelo dejavna. Kaj svetujete slovenskim odločevalcem?

To je lahko konkretna kritika slovenske neudeležbe v kibernetičnem združenju. Vem in verjamem, da imamo številne in ustrezne strokovnjake s tega področja. V Sloveniji je zelo veliko znanja in ne smemo biti sramežljivi. Verjetno je za tem tudi neka politična odločitev, ki mogoče še ni bila sprejeta. Ne poznam dovolj ozadja, da bi lahko konkretno odgovoril, bi pa gotovo priporočil, naj se Slovenija odloči in čim prej pošlje svojega predstavnika v to organizacijo, ker ga potrebujemo.

Po ameriškem 11. septembru se je veliko spremenilo v varnostni obravnavi državljanov, na letališčih se sezuvamo, zelo omejen je vnos tekočin v letala in podobno. Kaj pa korporacije? So tudi v njih bolj poostreni varnostni pristopi?

Popolnoma sta se spremenila mentaliteta in odnos do korporativne varnosti v podjetjih. Prej je bila bolj obravnavana kot fizično varovanje in vedno so na nas gledali kot na strošek, zdaj pa se varnost že obravnava kot investicija v prihodnost – ker ocenjujemo varnostna tveganja in pomagamo sprejemati odločitve v zvezi z njimi. Ključno vprašanje za vsako podjetje – pa naj bo globalno, regionalno ali lokalno – je, koliko tveganja je še pripravljeno sprejeti in pri tem ustvarjati dobiček. A dejstvo je, da brez tveganja ni dobička.

Ali kot smo slišali na konferenci o korporativni varnosti: v poslu ustvarjamo denar s prevzemanjem tveganj in ga izgubljamo, če jih ne obvladujemo in upravljamo.

Natančno tako. Je pa treba tveganja ustrezno oceniti, vzpostaviti mehanizme, ki bodo varovali podjetja, če se tveganje uresniči, in biti pripravljen na nadaljnje delovanje. Ena ključnih stvari, s katerimi bi se moralo ukvarjati vsako podjetje, je tako imenovani business continuity; torej da ko se zgodi nekaj izrednega, v najkrajšem času lahko vzpostavi normalno delovanje, ustvarjanje prihodkov in dobička.

Nekdanji direktor FBI Robert Mueller je nekoč dejal, da obstajata dve vrsti podjetij: tista, ki so že doživela vdor v računalnike, in tista, ki ga še niso. Se strinjate?

Sam bi to definicijo spremenil in rekel, da verjetno obstajajo podjetja, ki so že bila žrtve vdora, in tista, ki tega še ne vedo. Nekateri mislijo, da njihove informacije niso zanimive – a ni tako. Informacija je danes denar. Poglejmo primer farmacevtske ali katerekoli industrije, ki vlaga milijone v razvoj novih proizvodov. Če lahko nekdo hitro in na lahek način pridobi te informacije, ne da bi porabil več milijonov za razvoj, nas je preprosto prehitel in bo lahko ta produkt lansiral na trg pred nami, mi pa se lahko samo še obrišemo pod nosom za svoje pravice in dobiček. S tem so ogroženi delovna mesta, denar davkoplačevalcev in kakovost življenja v neki državi.

Poznamo vas tudi kot direktorja slovenske policije za časa ene od Drnovškovih vlad, bili ste slovenski konzul v New Yorku. Kako je naneslo, da ste se zaposlili v ugledni multinacionalki Chemours? So pomagale dobre zveze?

Prišel sem po priporočilu. Ker sem diplomant akademije FBI, mi je nekdanji direktor varnosti pri mojem nekdanjem delodajalcu DuPont, kjer so iskali naslednika – bil je Američan, iskali pa so Evropejca, ki bi dobro poznal ameriško gospodarstvo in ameriška poslovna načela – predlagal, da bi kandidiral za to službo. Na koncu je bilo približno 15 kandidatov, trije smo končali v finalu, jaz pa sem bil izbran. Na začetku morda še nisem povsem razumel, za kako zapleteno področje gre pri korporativni varnosti, saj se s tem prej nisem ukvarjal. Ko sem prišel v novo službo, sem na začetku nase prevzel nekaj tveganj, moram pa reči, da mi nikoli ni bilo žal. Ogromno sem se naučil. Varnost postaja zelo cenjena dobrina, saj se zadeve v svetu zelo spreminjajo. Žal na slabše, ne na bolje.

Imamo v Sloveniji dovolj strokovnjakov za korporativno varnost?

Bom povedal iskreno: prehod iz varnostnih institucij, kot so obveščevalne službe, policija, vojska, v korporativno varnost ni lahek. Preprosto zato, ker se znajdeš bolj v vlogi marketinga in prodaje svojih storitev notranjim klientom. Trdim pa, da je v Sloveniji ogromno znanja, veliko sposobnih ljudi. Tu je tudi inštitut korporativne varnosti in tudi Gea College, ki ima tak podiplomski študij, lahko pomaga. Veliko mladih zdaj odhaja v tujino, treba je poskrbeti, da bo ta pretok obstajal, a se morajo nato tudi vrniti v Slovenijo, kar je seveda izziv.

Naše okolje ni stimulativno?

Takšno bi moralo biti, pa to ne pomeni samo denarja, daleč od tega. Denar je pomemben, so pa še drugi motivatorji.

Službe, povezane s korporativno varnostjo, so v vzponu?

Gotovo. Najbolj so iskani kadri s področja kibernetične varnosti. To je prihodnost, svet se digitalizira. Kot je povedal kolega iz evropske organizacije za kibernetično varnost, Evropa zdaj potrebuje 35.000 ljudi s tega področja. Kje jih bomo dobili in kako jih bomo izšolali? Še enkrat bi poudaril, da se Slovenija ne zna dovolj dobro tržiti – smo ena najvarnejših držav in imamo zelo veliko znanja.