Izbrani nasveti Deli stran

Ko pride do napada, ne izvlecite kabla

20. 04. 2021

Ko pride do napada, ne izvlecite kabla

Pogovor s kibernetskim strokovnjakom, ki je delal za Airbus in Thales. Yoan Klein je trenutno zaposlen v Bruslju, ki pri podjetju Huawei skrbi za varnostni center.

Avtorica: Barbara Leskovar (iz SBC Podjetnika, izdaja marec 2021)

Eden od globalnih ponudnikov, ki je prisoten v več kot 170 državah in trgih po svetu, se zaveda, kako pomembna je kibernetska varnost za zagotavljanje zaupanja v digitalni svet. Predlani je podjetje v Bruslju odprlo Huawei Center za transparentnost in kibernetsko varnost.

O kibernetski varnosti smo se za SBC Podjetnik pogovarjali z Yoanom Kleinom, višjim svetovalcem za kibernetsko varnost, ki je zaposlen v Centru za kibernetsko varnost in transparentnost v Bruslju. Klein je magistriral iz telekomunikacij in računalništva v Franciji. Preden se je pridružil podjetju Huawei, je delal na strokovnih tehničnih položajih in vodil ekipe kibernetskih strokovnjakov za večja evropska kibernetska podjetja, kot sta Airbus in Thales.

Kakšna je strategija kibernetske varnosti v podjetju Huawei?
»Naša strategija kibernetske varnosti se nenehno razvija tako, da našo varnostno držo prilagaja pred najnovejšimi grožnjami sveta, ki nas obdajajo. Konkreten primer: pravkar smo končali drugi petletni program transformacije, povezane s programsko opremo. To med drugim pomeni pregled in (po potrebi) spremembo obstoječih programskih kod. Zagotavlja tudi izvajanje najboljših praks varnega razvoja kode v vseh družbah. Naložba v ta program je zelo visoka, okoli 2000 milijonov dolarjev.«

Kako v vašem podjetju skrbite za kibernetsko varnost?
K uspehu strategije prispeva jasna troslojna organizacija upravljanja kibernetske varnosti. Naš Globalni odbor za kibernetsko varnost (GCSC) je kot vrhovni organ za upravljanje kibernetske varnosti v podjetju Huawei odgovoren za ratifikacijo strategije zagotavljanja kibernetske varnosti. Globalna pisarna za kibernetsko varnost (GCSO) je zadolžena za razvoj te strategije, upravljanje in nadzor njenega izvajanja.

Različne ukrepe na svetovni ravni izvajajo vsi oddelki in jih ustrezno nadzorujejo zaposleni, usposobljeni za kibernetsko varnost. Poleg tega smo v večini držav Evropske unije postavili odgovorne osebe za kibernetsko varnost (Cyber Security Officers), ki so zadolženi za zagotavljanje skladnosti naše strategije izvajanja ter skladnosti z lokalnimi predpisi in standardi.«

Kaj svetujete, kako se odzvati na napad?
»Kibernetski napadi se dogajajo vsak dan, v poslu in posameznikom. Ne nanašajo se le na večja podjetja. Poročila o kibernetski varnosti iz leta 2020 so pokazala, da je bila večina kibernetskih napadov dejansko usmerjena v srednja in majhna podjetja (SME).

Prva stvar je, da se izognete ravnanju v slogu ‘izvleči kabel’: v mnogih primerih bo ugašanje računalnikov uničilo informacije (in dokaze) o tem, kako je hekerjem uspelo izvesti napad. To je dragocena informacija za izboljšanje varnosti.

Ne obstaja univerzalen scenarij, so pa ustaljeni naslednji koraki: upravljanje in varovanje komunikacij, analiza odkritih nenavadnih elementov, zadrževanje in nevtralizacija napada, ocena kršitve podatkov in obvestila v skladu z veljavnimi zakoni. Nazadnje sledijo aktivnosti po zaključenem varnostnem incidentu.«

Kakšne regulative na področju kibernetske varnosti se nam obetajo v prihodnosti?
»Evropska komisija je decembra 2020 predstavila novo strategijo EU za kibernetsko varnost, vključno z elementi, povezanimi z zakonodajo (predvsem Direktivo NIS2) in certificiranjem (Zakon o kibernetski varnosti). Zakon o kibernetski varnosti prvič uvaja okvir za certificiranje kibernetske varnosti na ravni Evropske unije za izdelke, storitve in procese IKT. Podjetja, ki poslujejo v EU, bodo imela koristi od enotnega certificiranja, priznanega po vsej Evropski uniji.

Pomembno je, da podjetja sledijo oblikovanju teh različnih shem certificiranja in prispevajo k različnim javnim posvetovanjem Evropske unije, da bi bolje razumela in se pripravila na prihodnje varnostne zahteve.«

Tri pasti

1. Ne obstaja čarobna krogla rešitev. Kombinacija več vrst ukrepov za ublažitev bo poskrbela, da bodo naša omrežja varnejša.
2. Ne poskušajte vsega narediti naenkrat in že prvi dan. Postopen pristop, ki sloni na merljivih korakih, je pot k uspešnim trajnostnim prizadevanjem.
3. Ne ustvarjajte pretežkih in statičnih kontrol. Kibernetska varnost pomeni sposobnost prilagajanja varnostne drže in sposobnost obrambe.

 

Menite da je članek koristen?

Morda vas zanima še:

Člani SBC

NASTAVITVE ZASEBNOSTI

Spletno mesto uporablja piškotke. Osnovni so nujni za delovanje, dodatni pa vam omogočajo boljšo uporabniško izkušnjo in dostop do kakovostne vsebine. Preberite več o piškotkih.

Nujni piškotki so potrebni za ustrezno delovanje spletnega mesta. Nastavijo se samodejno ob vaši interakciji s tem spletnim mestom. Analitični piškotki so namenjeni zbiranju podatkov o uporabi spletnega mesta za izboljšanje uporabniške izkušnje in zmogljivosti.