.webp){kind=icon}
Profesor Kevin Powers je ustanovitelj in direktor magistrskega programa politika in upravljanje kibernetske varnosti na Bostonskem kolidžu. Ima 27 let izkušenj, delal je tako za ameriško vojsko kot zasebna podjetja, ki delujejo na področju kibernetske varnosti. Na konferenci Cyber Security, ki jo je organizirala Bloomberg Adria, se je z njim pogovarjal Daniel Fazlić, odgovorni urednik regionalnega digitalnega uredništva Bloomberg Adria.
Kako bi primerjali zavedanje o kibernetski varnosti v Sloveniji in ZDA?
V ZDA kibernetska varnost dolgo ni bila v središču poslovne kulture, dokler niso sprejeli ustrezne zakonodaje. Med administracijo Baracka Obame leta 2013 so se osredotočili na varovanje kritične infrastrukture. V državi New York pa so leta 2017 sprejeli prvi zakon o kibernetski varnosti (Cybersecurity regulation compliance requirements – DFS). Kibernetska varnost ni več le stvar IT-oddelkov, ampak je del glavnega posla in se dotika tudi vodilnih v družbah.
Preberi še
Hladna vojna na spletu: Ozaveščanje je maraton, pa regulativa?
Analiza napadov, odzivov in zaščite v dobi kibernetske varnosti.
06.11.2023
Zakaj Slovenija v kibernetski obrambi pokorava svetovno elito?
Andraž Logar, 3fs: 'Sodelujemo v tekmovanju, kjer sodelujejo profesionalne vojske za kibernetsko bojevanje.'
27.10.2023
Bloomberg Adria Cyber Security konferenca: Prihodnost v kodah kibernetskega sveta
Bloomberg Adria Cyber Security konferenca združuje vodilne strokovnjake, raziskovalce, podjetnike in odločevalce, ki so predani zagotavljanju varnosti na spletu.
26.10.2023
Rekordna investicija Microsofta v Avstraliji, tudi v kibernetsko varnost
Pri pobudi za kibernetsko varnost bo Microsoft sodeloval tudi z avstralsko obveščevalno agencijo Signals Directorate.
24.10.2023
Kibernetski kriminal v regiji: koga napadajo hekerji in kako
Človeštvo bo še naprej povečevalo svojo odvisnost od tehnologije. Kako poskrbeti za varnost
25.10.2023
Posledice hekerskega napada so dražje od vlaganj v kibernetsko zaščito
Že nekaj urni izpad poslovanja zaradi hekerskega napada lahko podjetjem povzroči veliko, včasih celo nepopravljivo škodo, kljub temu pa je veliko podjetij še vedno neustrezno kibernetsko zaščitenih.
24.10.2023
Lahko pojasnite primera napada na podjetji Drizly in Solar Winds?
Drizly je aplikacija, ki so jo razvili študenti v Bostonu za dostavo alkoholnih pijač. Prišlo je do vdora in kraje osebnih podatkov uporabnikov. Ukrepal je regulator, Zvezna komisija za trgovino (FTC), in podjetje je dobilo milijon dolarjev kazni, poleg tega so vodilni privolili v redne zunanje preglede na lastne stroške. Tudi generalni direktor je prejel kazen in ta ga bo spremljala tudi, ko bo zamenjal podjetje.
Pri Solar Winds pa so napadalci prek podjetja prišli do osebnih podatkov uslužbencev na tisoče organizacij v ZDA, tudi v javnem sektorju. Prišlo je do tožbe zoper odbor direktorjev. Preiskovalci so našli predstavitev za upravni odbor podjetja, in to je bilo dovolj, da so obtožili glavnega direktorja za informatiko (CIO), da članom odbora ni posredoval vseh informacij.
Nejc Pernek
Kot posledica ukrepov zoper vodstva podjetij se zdaj pripravlja zakonodaja tako v ZDA kot Evropi. Podjetja bodo morala razkriti, kakšno znanje imajo vodilni s področja kibernetske varnosti. S tem se je odgovornost prenesla na vodstva podjetij. Člani odbora morajo podpisati dokument, v katerem piše, da sledijo najboljšim poslovnim praksam. Če pride do vdora v sistem, se s tem ne morejo več izogniti odgovornosti. Pričakujemo lahko tudi tožbe zoper direktorje za informatiko, generalne direktorje in člane upravnih odborov podjetij.
Koliko so po vaših izkušnjah člani odborov v podjetjih vključeni v zagotavljanje kibernetske varnosti?
Člani odbora so običajno zelo uspešni in inteligentni ljudje. To so voditelji. Ampak do zdaj je bila kibernetska varnost vedno stvar IT-oddelkov, zato se niso želeli ukvarjati s tem področjem. Zdaj so se razmere spremenile. Podjetja uvajajo izobraževanja zaposlenih, prihaja do bolj celostnega pristopa. Zdaj se na ravni odbora podjetja zavedajo težave in so prisiljena ukrepati.
Kako naj države z zakonodajo 'prisilijo' posameznika, na primer starejšega zaposlenega, da sprejme ukrepe za kibernetsko zaščito?
Del regulacije je tudi obveznost podjetij za izvajanja treningov zaposlenih s področja kibernetske varnosti. To morajo biti osebni treningi za izboljšanje sposobnosti posameznika. Regulatorji lahko to od podjetij zahtevajo.
Pogosto poudarjamo, da bi moralo biti več komunikacije med podjetji in regulatorji glede kibernetskih napadov.
Zdaj zakonodaja zahteva, da morajo podjetja poročati o napadu v 72 urah ali nekem podobno določenem času, sicer jim grozi kazen. Najprej je bil rok v ZDA določen pri 90 dnevih, nato se je skrčil na 30 dni, pa so se v podjetjih pritoževali, da je to prehitro. Zdaj smo že pri 72 urah in manj. In so tudi posledice, če podjetje napada ne prijavi.
Spletni izsiljevalski napadi (ransomware) se povečujejo po številu in težavnosti. Kako se braniti?
Podjetje mora najprej preveriti, kakšen je najslabši možni scenarij, in se vprašati, kako bo ukrepalo ter kako hitro bo lahko znova začelo poslovati. Znan je denimo primer mesta Oakland v ZDA, ki je bilo tarča napada ransomware in je bilo nepripravljeno ter ni imelo načrta akcije. Posledično mesto kar šest tednov ni moglo zagotavljati osnovnih storitev.
Kako nevarne so kraje podatkov podjetij?
To je postalo vprašanje nacionalne varnosti. Igra se je spremenila. Včasih so vohuni kradli podatke, zdaj delujejo celotne države. V središču so Kitajska in njeni sodelavci. Njihova tarča so korporacije in vlade na Zahodu, ki jim kradejo intelektualno lastnino. Na podlagi teh ukradenih podatkov vzpostavijo proizvodnjo svojih izdelkov in jih prodajajo ceneje na Zahodu ter tako ogrožajo poslovanje zahodnih podjetij.
Primer je podjetje National Steel Corporation iz ZDA, ki je vložilo 200 milijonov v znanje za proizvodnjo lažjega jekla. Kitajci so ukradli podatke in začeli proizvajati to jeklo, kar je ogrozilo obstoj podjetja.
"Kibernetska varnost zdaj ni več le stvar IT, ampak je del glavnega posla."
Kako nasloviti težave kibernetskih napadov?
Tako, da se to prepozna kot problem nacionalne varnosti. Pri tem morajo sodelovati vlade, univerze, zasebna podjetja in organi pregona. Vsi morajo biti v enem prostoru, se pogovarjati. Podjetja se preprosto ne morejo sama braniti pred napadi velikih držav. Ukrepati morajo nacionalne agencije, da poskrbijo za zaščito varnostne infrastrukture. Da podjetja ne ostanejo sama s posledicami napada, tožbami, kaznimi regulatorja in podobno.
Nejc Pernek
Kakšno je sodelovanje med državami in podjetji?
V Evropi je več sodelovanja med državami in podjetji. V ZDA si podjetja ne želijo vmešavanja vlade, regulatorjev, takšna je pač tradicija v ZDA. Ampak na področju kibernetske varnosti moramo sodelovati.
Kaj bi morali učiti uporabnike, na primer člane upravnih odborov?
To, kakšna je njihova odgovornost, kakšna so tveganja, kakšni so ukrepi regulatorjev, kakšni so zakoni.
Kakšni so bili po vaših izkušnjah odzivi članov odborov na izobraževanja iz kibernetske varnosti?
Ugotovili so, da se niso zares zavedali tveganja z vidika poslovanja. Člani odborov namreč razumejo, kaj je upravljanje tveganj (risk managment).
Lahko navedete primer, ko je podjetje želelo primer kibernetskega napada pomesti pod preprogo?
Uber in njihov direktor za informacijsko varnost Joseph Sullivan, ki je zdaj obsojen, ker ni obvestil regulatorjev o vdoru v sistem podjetja. Regulator FTC je že vodil preiskavo v podjetju in Sullivan je FTC obljubil, da bo sporočil, če se bo zgodil še kakšen incident. In nato, ko so doživeli izsiljevalski napad, je raje plačal podkupnino in ni prijavil incidenta ter ni obvestil odbora direktorjev. Seveda je zadeva prišla v javnost in so ga obsodili [na pogojno triletno zaporno kazen]. To je močno sporočilo za vse, da ničesar ni mogoče prikriti.
