Vlatko Košturjak iz Diverta prokomentirao je ukratko trenutno stanje informacijske i kibernetičke sigurnosti.
Svi koji žele više informacija mogu preuzeti Izvještaj o stanju informacijske i kibernetičke sigurnosti 2022. ili u dnu ovog članka pogledati video s nedavno održanog panela na istu temu.
Kakva je godina bila 2022. u odnosu na 2021.? Napredujemo li ili nazadujemo? Koliko smo sigurni?
U svakom slučaju napredujemo. Organizacije shvaćaju kolika je važnost informacijske i kibernetičke sigurnosti u poslovanju, a lideri na odgovornim pozicijama postaju svjesni kolika može biti šteta prouzrokovana cyber napadom. Regulatorni zahtjevi podržavaju ovaj trend, a 2022. godinu obilježila je objava direktive Network and Information Security (NIS) i The Digital Operational Resilience Act (DORA) u službenim glasnicima EU-a, kao i nove inačice standarda ISO 27001.
Da ovakvi potezi zaista ostavljaju pozitivan trag, pokazuju i rezultati istraživanja koje smo proveli u sklopu pripreme izvještaja "Stanje informacijske i kibernetičke sigurnosti 2022.". Naime, broj tvrtki s implementiranim standardom ISO 27001 porastao je s 51,7 posto u 2021. godini na 54,8 posto godini. Istovremeno se smanjuje broj tvrtki koje nemaju sustav upravljanja informacijskom/kibernetičkom sigurnošću, što je također pomak u dobrom smjeru. U odnosu na podatke iz 2021. kada 30 posto tvrtki nije imalo sustav upravljanja informacijskom/kibernetičkom sigurnošću, u 2022. godini se taj broj smanjio na čak 23,8 posto.
Sigurnost se više ne promatra kao nužno zlo, već kao temelj za uspješno i kontinuirano poslovanje. Sve se više ulaže u sigurnosna rješenja, uspostave sustava upravljanja informacijskom sigurnošću, edukaciju zaposlenika. Čak i usprkos činjenici da je inflatorni pritisak smanjio budžete na koje službe zadužene za sigurnost mogu računati, napredak koji smo bilježili u 2022. godini pokazuje kako idemo u dobrom smjeru.
Ali s druge strane, napreduju i napadači. Geopolitička situacija još nas je jednom bolno podsjetila da je kibernetički prostor zaista peta domena ratovanja. Globalni trendovi ukazuju na povećan broj zabilježenih incidenata kibernetičke sigurnosti, a Hrvatska u tom kontekstu prati svjetske trendove. Na temelju podataka prikupljenih u sklopu istraživanja o percepciji informacijske i kibernetičke sigurnosti u Republici Hrvatskoj koje je proveo Diverto, broj organizacija koje nisu niti svjesne sigurnosnih incidenata se smanjuje. Međutim, i uz spomenuti porast svijesti o tome da smo svi ranjivi i podložni sigurnosnim incidentima, broj organizacija koje su imale značajnije incidente se povećao. Vidljiv je i značajan porast kritičnosti posljedica sigurnosnih incidenata. Ukratko, incidenti su sve učestaliji, a posljedice sve veće.
Postoji li trenutak kada ćemo zaista moći reći da smo sigurni?
Nema 100 posto sigurnosti. Kao što se često govori, sigurnost je proces, a ne proizvod. Jednostavnije, sigurnost je bitka bez kraja. Svakog se dana otvara nova fronta i iznimno je izazovno odgovarati na prijetnje. Jedna od takvih fronti o kojoj se u posljednje vrijeme govori su OT sustavi, pogotovo u kontekstu sigurnosti kritične infrastrukture. Nije nepoznanica da kritična infrastruktura često koristi starije sustave dizajnirane tako da budu pouzdani, ali zbog svoje starosti, inherentno kibernetički nesigurni. Ta činjenica, u današnje vrijeme integracija, takve OT sustave čini privlačnim metama napadača. Dodatni izazov sigurnosti OT sustava predstavlja razvoj novih tehnologija jer nove tehnologije poput IoT-a (Internet of Things) i 5G mreža dodatno povećavaju rizik od napada. Organizacije koje ne razumiju kontekst, ne identificiraju dionike i nemaju podršku poslovodstva nisu niti u poziciji da učinkovito provode program kobernetičke sigurnosti. Takve su organizacije izrazito izložene kibernetičkim napadima i neće moći prikladno odgovoriti na takve situacije. Pretjerano povjerenje u izdvojenost (tkz. air gap) i kibernetičku otpornost integratora i/ili proizvođača bez adekvatnog testiranja i sustavnog pristupa jedan je od najčešćih razloga neuspjeha programa kibernetičke sigurnosti.
Stoga je ključno naglasiti da se sigurnošću može upravljati jedino sveobuhvatnim pristupom, što mora uključivati kompletne lance opskrbe i pokrivati ljude, procese i tehnologiju. Kontinuirano ulaganje, edukacija, konstantna implementacija i poboljšanje sigurnosnih kontrola su se isto tako pokazali kao uspješni sastojci obrane.
Djeluje kao da posla ne nedostaje? Imamo li mi ljude koji mogu odgovoriti na sva ta pitanja?
Nažalost, vjerujem da su svi bolno svjesni da je nedostatak kvalificirane radne snage i dalje prisutan, kao i da se jaz dodatno produbljuje. Svjedoci smo da obrazovni sustav nije u mogućnosti reagirati dovoljno brzo, što pokazuje nesrazmjer potražnje i ponude stručnjaka za sigurnost. Organizacije se sve više oslanjaju na eksternalizaciju što pozitivno utječe na stručnost pružatelja sigurnosnih usluga, ali im stvara i pritisak jer je posla sve više, što nas vraća na isti problem... Ukratko, premalo nas je.
Ako ovaj niz nastavimo, shvatimo i da se u velikom broju organizacija nedostatak ljudi već dugi niz godina pokušavao nadomjestiti sigurnosnim rješenjima koja nisu uvijek adekvatno implementirana pa su samim tim i djelomično iskorištena. Danas svjedočimo zaokretu ovakvog trenda.
Geopolitička situacija i inflacija snažno utječu na „kupovnu moć“ organizacija pri nabavi sigurnosnih rješenja i usluga te se sve više organizacija okreće prema optimizaciji postojećih tehnologija i rješenja.
Djeluje kao previše posla za premalo ljudi? Može li nam možda AI pomoći u budućnosti?
Machine Learning se već koristi dugi niz godina u području sigurnosti, a s Artificial Intelligence gotovo svi eksperimentiraju, a iskoristivi proizvodi već se pojavljuju. Svakako AI pomaže već sada i vidimo ga kao alat koji će ubrzati postupke, ali za sada nije u potpunosti zamjena za čovjeka.
Ono što vidimo je da AI koriste i napadačka i obrambena strana, i da su to tek početni koraci u korištenju. Već sada napadačkoj strani ubrzava postupke napada te pomaže u boljem skaliranju napada. Obrambenoj isto tako ubrzava obradu velike količine podataka.
Ono što svakako zabrinjava je mogućnost uklanjanja moralnih granica.
Osobno sam pozitivan jer povijesno gledano, nove napadačke tehnike uvijek su natjerale i obranu da bude inovativna i kroz takve učestale interakcije, svi smo napredovali u zaštiti sustava. Ako pogledate samo kako je informacijska sigurnost izgledala prije 20-ak godina kada sam se počeo profesionalno baviti s njom i sada, vidi se jako veliki napredak i velika svjesnost. Samo ne treba stati, već svaki dan raditi na boljoj zaštiti. Napadači ne staju, pa ne bi trebali niti mi.