Povedomie v oblasti kybernetickej bezpečnosti je vo firmách stále nízke. Bez primeranej ochrany však môžu čeliť vážnym finančných stratám, výpadkom výroby či poškodeniu povesti. O aktuálnej situácii v súvislosti s vývojom kybernetickej bezpečnosti, trendoch či kritickej infra-štruktúre štátu viac prezrádza Igor Straka, business unit manager – cyber security spoločnosti TÜV SÜD.
Aké sú hlavné bezpečnostné výzvy a čo ovplyvňuje kritickú infraštruktúru štátu či výrobné podniky?
Ako hlavnú bezpečnostnú výzvu vnímam to, aby kybernetická bezpečnosť začala byť vôbec vnímaná používateľmi, aby sme boli schopní im zrozumiteľne vysvetľovať základné aspekty: čo sú to hrozby a riziká a ako súvisia s ľuďmi – používateľmi informačných systémov a sietí. Ľudia sú a vždy budú najslabším článkom v celom reťazci.
V posledných rokoch sú tu aj nové veci, akou je schopnosť reagovať na neočakávané udalosti donedávna nepredstaviteľných rozmerov a dosahov a schopnosť čeliť geopolitickým hrozbám v čase vojny a nestability. Musíme mať schopnosť adaptovať sa, všetko ostatné sú iba technické a organizačné detaily.
S akými útokmi sa stretáva kritická infraštruktúra štátu či výrobné firmy a čo môžu ovplyvniť?
Tieto sektory sú špecifické tým, že útoky proti nim sa realizujú v takzvaných kampaniach a nie sú to úplne typické náhodné útoky alebo útoky rôznych „osamelých strelcov“. Typické je však to, že snaha útočníkov je smerovaná najmä na používateľov, ktorých využívajú ako vektor útoku, čiže ako cestu – pro-stredníka na dosiahnutie svojich cieľov. Používateľ o tom často ani netuší. Nedá sa špecificky povedať, čo môžu útoky ovplyvniť. Zjednodušene však čokoľvek, čo je súčasťou kybernetického priestoru.
Aké sú najdôležitejšie kritické systémy a technológie vo výrobných firmách, ktoré vyžadujú osobitnú pozornosť z hľadiska kybernetickej bezpečnosti?
Osobitnú pozornosť si vyžadujú riadiace systémy v OT sieťach a ich konvergencia s IT sieťami a systémami. Žiaľ, v súčasnosti sa tomuto trendu už nedá vyhnúť a prináša to nové a často ťažko riešiteľné výzvy. Kto takéto systémy má a netuší, čo si práve prečítal, ten má pravdepodobne veľký problém.
Technologický vývoj je dynamický. Ako by sa vo výrobných firmách mala plánovať stratégia ochrany pred hrozbami?
Zjednodušene povedané, plánovanie stratégie by malo byť štandardné, nič nové nemusíme v tomto smere vymýšľať, všetko už dávno existuje, je vyskúšané a funguje vrátane rôznych noriem. Často opakovanou chybou v plánovaní je nadužívanie vlastnej kreativity, keď existuje jednoduchšia cesta medzinárodných štandardov.
Z hľadiska kyberbezpečnosti je dnes určitým trendom aj security operations center (SOC). O čo ide a v čom spočívajú hlavné výhody?
SOC je vo svojej podstate interná služba vo forme špecializovaného oddelenia v rámci organizácie alebo externe dodávaná. Súčasťou SOC sú procesy a technické riešenia, ktoré umožňujú expertom zabezpečovať správu, monitorovanie a riešenie bezpečnostných udalostí a incidentov. Ich výhodou je garancia systematického fungovania kybernetickej bezpečnosti vo všetkých jej oblastiach.
Je podľa vás lepšie mať SOC interne alebo skôr outsourcovať?
Do určitej veľkosti organizácie nemá vôbec zmysel zaoberať sa myšlienkou interného SOC. Organizácia bude čeliť mimoriadne vysokým a navyše pravidelným nákladom vo forme licencií do špecializovaných nástrojov, školení zamestnancov, údržby infraštruktúry či mzdových nákladov na špecializovaných odborníkov.
Outsourcing je síce relatívne drahší, no v dlhodobom horizonte efektívnejší. Výhodou je možnosť dať si službu postaviť na mieru a modifikovať ju v čase tak, aby bola v súlade s ekonomickými možnosťami organizácie.
Pri outsourcingu je kľúčová voľba vhodného partnera, tak ako všade, aj tu sú SOC provideri rôznej kvality od tak-
zvaných garážových firiem až po skutočne profesionálne služby, kde sa základná cena poskytovaných služieb začína aj na desaťnásobku ceny v porovnaní s garážovými firmami.
Ako môže SOC pomôcť pri detekcii či rýchlej reakcii na kybernetické útoky?
V rámci kvalitnej a profesionálnej služby SOC sa používa množstvo pokročilých nástrojov, ktoré majú schopnosť korelovať informácie z rôznych zdrojov. Na analýzu týchto informácií sa používajú prvky strojového učenia, umelej inteligencie a práca analytikov. Ide o kombináciu schopností umelej inteligencie „hľadať ihlu v kope sena“ a analytikov verifikovať, či je to naozaj ihla alebo niečo iné. Týmto spôsobom je možné vidieť kybernetické hrozby vo fázach, keď je ešte možné im zabrániť alebo vhodnými opatreniami minimalizovať ich dosah.
Ako je dnes na tom v súvislosti s kybernetickou bezpečnosťou kritická infraštruktúra štátu?
Nie je to ideálne, ale aj štát sa minimálne za posledných päť rokov výrazne posunul. Je tu fungujúci systém auditov kybernetickej bezpečnosti, síce s kapacitnými problémami, ale už sa aspoň v kriticky dôležitých sektoroch kybernetická bezpečnosť rieši systematicky. Organizácie, ktoré prevádzkujú prvky kritickej infraštruktúry, prešli „bojovými skúškami“ v období covidu, keď čelili takým prekážkam, o ktorých možno dovtedy ani netušili.
Ustáli to, a čo sa naučili počas krízy, úspešne dokážu zúročiť teraz v čase hybridnej vojny. Slušne funguje národná jednotka CSIRT pod Národným bezpečnostným úradom, ktorá pôsobí najmä analyticky, vydáva varovania a aktívne spolupracuje aj na riešení prípadných incidentov. Dnes si dovolím tvrdiť, že štát sa nachádza v situácii, keď nie je nepripravený čeliť kybernetickým útokom. Neznamená to však absolútnu bezpečnosť, len sú všetci možno o niečo lepšie pripravení ako pred tromi rokmi
Ako sa podľa vás pracuje so zvyšovaním povedomia o kybernetických hrozbách?
Úprimne, je to bieda. Mám pre to určité pochopenie. Výrobné firmy sa sústreďujú v prvom rade na svoj hlavný biznis, ktorým je výroba, a kým nezažili na vlastnej koži kybernetický útok, žijú s pocitom, že problém sa ich netýka. Celé to zhoršuje aj fakt, že obvykle idú požiadavky na kybernetickú bezpečnosť „zdola“, keď si zorientovaní IT špecialisti uvedomujú naliehavosť riešiť túto tému, ale nenachádzajú pochopenie vo vedení organizácií. So šírením povedomia treba preto začať vo vedení. Výzvou je aj vysvetliť potenciálnemu zákazníkovi, že kybernetická bezpečnosť nie je náklad, ale investícia.
Aké sú trendy v kybernetickej bezpečnosti na rok 2023?
Novým fenoménom na scéne je uvoľnenie služieb umelej inteligencie pre širokú verejnosť, ktorú síce nemožno vnímať ako nejakú všeobecnú hrozbu, ale budú pribúdať viac alebo menej významné úniky citlivých dát prostredníctvom používateľov, ktorí AI využívajú. Osobne očakávam v tejto oblasti určitú invenciu od kyberzločincov vo forme falošných AI služieb zameraných cielene na krádeže dát. Zneužívanie AI pre deepfake operácie tu už máme, ale očakávam „niečo veľké“ aj v tejto oblasti. S AI sa nám trochu mení rozloženie síl, pretože v obrannej časti AI používame už dávno, ale už majú tento nástroj v rukách aj útočníci a boli by sami proti sebe, keby ho nezačali vo veľkom sofistikovane používať. V rámci Slovenska očakávam zintenzívnenie vplyvových operácií nepriateľských mocností v kybernetickom priestore s blížiacimi sa parlamentnými voľbami.
