'I u digitalnom svijetu postoje prozori i vrata koje treba zatvoriti', ističe Zoran Kežman, stručnjak za kibernetičku sigurnost i predavač u Centru kibernetičke sigurnosti, koji je domaća IT tvrtka Span - naš lider u kibernetičkoj sigurnosti - pokrenula prije godinu dana. Kako bi se uhvatili u koštac s rastućim brojem prijetnji i opasnostima za poslovanje tvrtki, u Hrvatsku su doveli najmodernije svjetske prakse i iskustvo, istovremeno naglasivši potrebu za kibernetičkim stručnjacima, kojih nedostaje u Europi
Cilj Spanova Centra za kibernetičku sigurnost je, među ostalim, poboljšanje kibernetičke otpornosti među stručnjacima za sigurnost, IT stručnjacima te zaposlenicima bez tehničkog iskustva i menadžmentom.
Prva godina Centra, kako izgleda jedan trening, kako Span rješava izazov nedostatka kibernetičkih stručnjaka te na koji način upravo obuka ljudi može biti ključna u borbi protiv kibernetičkih prijetnji neke su od tema koje smo pretresli s Kežmanom.
vezane vijesti
Koji su, prilikom osnivanja Centra kibernetičke sigurnosti, bili glavni ciljevi Spana? Kako je izgledala prva godina?
U Spanu smo prepoznali potrebu za educiranjem ljudi o kibernetičkoj sigurnosti neovisno o tome dolaze li iz javnog ili poslovnog sektora. Naime, digitalizacija i digitalna transformacija nose velike koristi svim granama industrije. Paralelno s tim, i svatko od nas mnoge stvari može obaviti digitalno, koristeći sustave kao što su e-građani, Internet bankarstvo i slično, a što je značajno unaprijedilo naše korisničko iskustvo.
No, istovremeno to otvara prostor i rizicima koji prate u korak sve veću upotrebu tehnologije. Cilj Span Centra kibernetičke sigurnosti je stvaranje obrambenih sposobnosti na nivou cijele organizacije kroz adekvatnu obuku svih profila zaposlenika. To ne uključuje samo edukaciju osoblja koje je posvećeno kibernetičkoj sigurnosti, nego i ICT osoblja, ali i svih ostalih zaposlenika u organizaciji, uključujući i rukovodeće osoblje i najviši menadžment.
Tijekom ove prve godine bili smo fokusirani na promicanje i provedbu upravo tih aktivnosti u sklopu Centra. I Europska komisija prema nedavno objavljenom Izvješću o stanju Digitalnog desetljeća ističe važnost osposobljavanja većeg broja ICT stručnjaka u području kibernetičke sigurnosti.
Zoran Kežman: 'I u digitalnom svijetu postoje prozori i vrata koje treba zatvoriti'
'Definiranjem i provedbom kvalitetnog programa podizanja svijesti o kibernetičkoj sigurnosti, može se drastično smanjiti ljudski rizik, kroz smanjenje broja incidenata i poboljšanje sposobnosti da ih se pravovremeno otkrije i odgovori na njih. Tu vidimo našu ulogu u pružanju savjetodavnih usluga organizacijama u kreiranju, provedbi i upravljanju takvim programima. Nulti korak je podizanje svijesti na najvišem nivou menadžmenta o važnosti adresiranja ljudskog rizika, odnosno ljudskog faktora kao najveće sigurnosne ranjivosti.
Jedan primjer su kratki jednosatni brifinzi prilagođeni za najviši menadžment koji im daju potrebnu sliku o kibernetičkim prijetnjama, implikacijama na poslovanje i ključnim elementima rizika. Drugi primjer su tzv. 'Table Top' vježbe u kojima menadžment tim izlažemo zahtjevnoj kriznoj situaciji izazvanoj kibernetičkim incidentom, a pomažu u procjeni spremnosti na kibernetički incident te podizanju svijesti menadžment tima o rizicima i potencijalnim utjecajima. Razumijevanje i podrška visokog menadžmenta su ključni. Kada jednom postoji svijest o potrebi adresiranja ljudskog rizika, svaka organizacija, ovisno o svojoj postojećoj sigurnosnoj kulturi i potrebama, odlučuje se za određeni sadržaj vlastitog programa podizanja svijesti o kibernetičkoj sigurnosti zaposlenika.
Slično kao i u fizičkom svijetu, u kojem nam je normalno da kada odlazimo iz ureda, zatvorimo prozor, uklonimo povjerljive dokumente sa stola, zaključamo vrata - tako i u digitalnom svijetu postoje prozori i vrata koje treba zatvoriti. Kroz programe podizanja svijesti o kibernetičkoj sigurnosti postižemo upravo takve trajne promjene ponašanja kao i promjene uvjerenja, stavova i percepcija vezanih za sigurnost. Takvi programi se u organizacijama provode tijekom cijele godine s ciljem kontinuiranog usavršavanja znanja i stjecanja potrebnih vještina.
Pri tome koristimo različite metode, što između ostalog uključuje izvođenje obuke uživo, simulirana phishing testiranja zaposlenih, ali i druge oblike obuke i provjere znanja korištenjem različitih edukativnih sadržaja, kao što su npr. video sadržaji, newsletteri, igre ili kvizovi. Bitno je napomenuti i da ovakve aktivnosti ne zamjenjuju već postojeće sigurnosne kontrole, nego ih nadograđuju i upotpunjuju. One pomažu u adresiranju i u rješavanju mnogobrojnih ranjivosti i nedostataka koji su vezani za ljudski element. Na taj način doprinose osnaživanju sveukupne, učinkovite zaštite ključnih računalnih sustava i poslovnih podataka i povećanju spremnosti organizacije na različite oblike kibernetičkih prijetnji.'
Kako Span Centar pridonosi obuci i osposobljavanju ICT stručnjaka, posebno u području kibernetičke sigurnosti? Koliko nam nedostaje takvih stručnjaka?
U Spanovom Centru dijelimo znanja i iskustva u području kibernetičke sigurnosti na različite načine. Pored raznovrsnih oblika obuke ICT stručnjaka, organiziramo i webinare, stručne konferencije, radimo predstavljanja različitih sigurnosnih rješenja, kao i okupljanja stručnjaka na kojima diskutiramo aktualne teme iz područja kibernetičke sigurnosti. Što se tiče same obuke, treninzi pokrivaju široki spektar domena kibernetičke sigurnosti, kao i različitih razina stručnosti.
To uključuje treninge koji su namijenjeni stručnjacima koji tek počinju svoju karijeru u području kibernetičke sigurnosti, pa sve do onih koji su ekspertne razine, namijenjenih stručnjacima s višegodišnjim iskustvom.
Kao neke primjere, izdvojio bih Osnove digitalne forenzike i Naprednu digitalnu forenziku, kao i Akademiju za SOC analitičare. Prema istraživanju ISC2 (vodeća svjetska organizacija za stručnjake kibernetičke sigurnosti), u 2022. godini na tržištu je zabilježena potreba za 3,4 milijuna stručnjaka, što je samo u odnosu na 2021. porast od 26 posto.
Kako izgleda trening 'Cyber Security Awareness', koji organizirate svakog mjeseca, koje teme se obrađuju i gdje se prijaviti?
Trening Osnove kibernetičke sigurnosti traje tri sata i namijenjen je svim zaposlenima, bez obzira na njihovo informatičko predznanje. Daje uvid u različite aspekte kibernetičkih prijetnji te isto tako niz praktičnih savjeta kojih se trebamo pridržavati kako bismo u kibernetičkom svijetu, i mi kao pojedinci i organizacije u kojima radimo, bili sigurniji.
Kako izgleda jedan trening u Span Centru kibernetičke sigurnosti?
'Osnove kibernetičke sigurnosti' je trosatni trening namijenjen svim zaposlenicima. Prvi dio treninga je osmišljen kako bi se kod polaznika kreirala želja za promjenom – tu ciljamo na promjenu ponašanja kroz osvještavanje o realnosti i ozbiljnosti prijetnji koje vrebaju u cyber svijetu, ali i razumijevanje njihovih implikacija na pojedince i organizacije.
Nakon toga, u drugom dijelu, cilj nam je da polaznici steknu znanja i vještine za uspješno prepoznavanje različitih opasnosti, poput zlonamjernog softvera ili socijalnog inženjeringa, kao i za sigurnije korištenje digitalnih uređaja i interneta. Pri tome prolazimo kroz mnogobrojne primjere kibernetičkih incidenata iz svijeta i Hrvatske. Tako polaznici mogu puno bolje razumjeti koliko je svatko od nas, odnosno koliko je ljudski faktor ključan za sigurnost i koliko individualno možemo doprinijeti većoj pripravnosti i otpornosti na različite oblike prijetnji.
Taj trening održavamo svaki mjesec online putem ili u prostorijama Centra te se na njega svatko može prijaviti. No, ovaj trening je izrazito tražen od kompanija i u zasebnim privatnim terminima, kada ga po potrebi prilagođavamo i određenim specifičnim potrebama. Po završetku ovog treninga, svaki polaznik dobiva certifikat o sudjelovanju, kao i preglednu infografiku koja služi kao podsjetnik na najvažnije teme i savjete koji su obrađeni tijekom ovog trosatnog treninga. No ono što je u svemu najvažnije i s čim polaznici odlaze s treninga je zapravo promjena njihovog ponašanja i stavova vezanih za sigurnost, koje uspijevamo postići.
Kakav je dosad bio odaziv?
Vrlo smo zadovoljni s odazivom, jer su svi treninzi koje smo organizirali bili popunjeni u skladu s očekivanjima, a neke smo zbog velikog interesa, kao npr. Osnove forenzike računala, morali organizirati i u dodatnim terminima.
Kako bismo osigurali najviši nivo kvalitete sadržaja i same izvedbe, nakon svakog treninga provodimo anketu zadovoljstva polaznika, koja uključuje i njihove prijedloge za poboljšanja budućih treninga.
Dosadašnji treninzi su ocijenjeni vrlo visokim ocjenama, pa je tako prosječna ocjena zadovoljstva svih održanih treninga 4,7 od mogućih 5, dok je ocjenom 8,9 od 10 ocijenjena vjerojatnost daljnje preporuke što nam je vrijedna povratna informacija o korisnosti ponuđenih i održanih treninga.
Kako gledate na izazove s kojima se suočava Europa zbog nedostatka stručnjaka za kibernetičku sigurnost? Kako se konkretno Span planira nositi s tim nedostatkom?
U Spanu imamo preko 200 zaposlenih specijalista kibernetičke sigurnosti koji svaki dan rade na kibernetičkoj zaštiti nekih od najvećih svjetskih kompanija u svojoj branši i koji svakodnevno rješavaju stvarne kibernetičke izazove. I sami smo svjesni izazova vezanih uz nedostatak specijalista, jer i mi kontinuirano vršimo zapošljavanje u tom području.
Sadašnje i buduće aktivnosti Centra, su između ostalog usmjerene i na adresiranje tog izazova. Prema predviđanjima ENISA-e, agencije koja je na nivou EU zadužena za kibernetičku sigurnost, to je nešto što će nas pratiti u vremenu koje je pred nama, pa tako ENISA predviđa da će do 2030. i dalje nedostajati dovoljan broj specijalista i eksperata, te kako će upravo to biti značajan rizik.
Rad i aktivnosti Centra kibernetičke sigurnosti se u velikoj mjeri oslanjanju na Spanovo bogato iskustvo s mnogobrojnih projekata i pruženih usluga u području informacijske i kibernetičke sigurnosti na kojima su radili i rade Spanovi stručnjaci. To je ogromna vrijednost, jer osim što znanje prenose vrsni stručnjaci s prve linije obrane, s polaznicima dijele i brojne vlastite primjere i u mogućnosti su adresirati njihov interes za pojedine, specifične teme. No, pored Spanovih stručnjaka, oslanjamo se i na niz renomiranih vanjskih trening partnera i stručnjaka.
Kako ljudski faktor igra ključnu ulogu u kibernetičkoj sigurnosti?
Tijekom proteklih nekoliko godina došlo je do drastičnog porasta broja kibernetičkih napada koji pokušavaju zaobići tehnologiju, ciljajući ljude. Zaposlenici na različite načine izlažu svoje organizacije mnogobrojnim rizicima, a što nije moguće riješiti jedino tehničkim kontrolama, unatoč kontinuiranom razvoju novih sigurnosnih tehnologija i alata, kao i unaprjeđenju postojećih. Ljudski faktor se često zanemaruje, što dovodi do rizika.
Kao što redovito ažuriramo softver da bismo smanjili ili uklonili ranjivosti, potrebno je 'ažurirati' i ljudski operacijski sustav kroz sveobuhvatnu, kontinuiranu obuku. Naime, činjenica je da ljudi griješe, da nas je relativno lako navesti da pogriješimo, da kršimo pravila, da donosimo krive odluke ili da ne napravimo aktivnost koju smo trebali. Sve to rezultira činjenicom da je preko 80 posto svih uspješnih kibernetičkih napada uzrokovano ljudskim faktorom. I napadači su svjesni toga pa su tako gotovo svi najčešći inicijalni vektori napada u pravilu vezani za ljudski faktor. Naime, za napadače je puno manji napor iskoristiti ljude i njihove slabosti nego investirati u traženje novih sigurnosnih propusta.
Napadači najčešće koriste tehnike socijalnog inženjeringa, pri čemu prednjače phishing prijevare. Phishing je posebno popularan među napadačima zato što ne zahtijeva veliko stručno znanje ili vještinu u recimo programiranju, pa ga čak i početnici mogu izvršiti. Ima ogromnu uspješnost, jer su ljudi lako skloni povjerovati e-mailovima ili web stranicama koje im izgledaju uvjerljivo i autentično, a isto tako, radi se o metodi koja napadaču omogućuje vrlo brz i efikasan način da dođe do osjetljivih informacija ili da ugrozi sigurnost.
Samo jednom je dovoljna nepažnja ili nesmotrenost kako bi napadač postigao svoj cilj i zato je važna odgovarajuća obuka svakog zaposlenika u organizaciji. To je ujedno najbrži i najučinkovitiji način zaštite od kibernetičkih prijetnji.
Neizostavna tema su i aktualni kibernetički ratovi. Koliku štetu mogu nanijeti?
Kako smo već pričali o utjecaju digitalizacije i digitalne transformacije na poslovni svijet, isto tako sve veća ovisnost o tehnologijama rezultira povećanjem kibernetičkog kriminala i korištenjem tehnologije u svrhe ratovanja. Kibernetički ratovi brzo rastu jer zahtijevaju puno manje resursa i jeftiniji su od klasičnih oblika ratovanja. Štete mogu biti velike i mogu imati ozbiljne posljedice na ljudske živote, ako napadi ciljaju kritičnu infrastrukturu poput bolnica, energetskih postrojenja ili transportnih sustava.
U biti, moderni ratovi su zapravo hibridni, što znači da se kombiniraju oba tipa rata kako bi se postigli određeni ciljevi. Rana detekcija i reakcija na takve događaje je izuzetno važna, kako bi organizacije ograničile napadače i umanjile štetu. Pored tehnologije, u tome ključnu ulogu igraju i ljudi i odgovarajući procesi. Kako bismo pomogli organizacijama u stvaranju potrebnih kompetencija u tom dijelu, spomenuo bih našu SOC Akademiju, kao mjesto na kojem će polaznici steći potrebna znanja i vještine za prepoznavanje i rješavanje, ali i sprječavanje kibernetičkih incidenata.
To je jedan sveobuhvatni trening u trajanju od sedam tjedana, kojim se polaznici osposobljavaju za SOC analitičare. Osim teorijskog znanja, polaznici treninga stječu i vještine upotrebe različitih analitičkih alata kroz posebno izgrađenu platformu za vježbanje u uvjetima različitih kibernetičkih incidenta.
