REPUBLIKA SLOVENIJA URAD VLADE REPUBLIKE SLOVENIJE ZA INFORMACIJSKO VARNOST ~4 ~ Priročnik kibernetske varnosti KOLOFON Avtorji: Ivana Boštjančič Pulko, Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) Gorazd Božič, Nacionalni odzivni center za kibernetsko varnost (SI-CERT) dr. Denis Čaleta Institut za korporativne varnostne študije (ICS-Ljubljana) Matic Čaleta, Institut za korporativne varnostne študije (ICS-Ljubljana) Borut Jakopin, Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) mag. Polona Jerina, Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) Matjaž Mravljak, Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) Maja Obreht, Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) Recenzenti: Ivana Boštjančič Pulko (URSIV), Sebastjan Čagran (URSIV), Borut Jakopin (URSIV), mag. Polona Jerina (URSIV), Urban Kunc (URSIV), mag. Matjaž Mravljak (URSIV), Žiga Novak, (URSIV), Maja Obreht (URSIV), mag. Melita Šinkovec (URSIV) Založnik Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) Jezikovni pregled Neža Šuligoj Oblikovanje & Grafična podoba Robert Mostar Oblika izdaje Elektronska izdaja Datum izdaje februar 2025 Elektronski naslov založnika gp.uiv@gov.si Vsebine za Sekcijo 1 so prispevali predstavniki URSIV in SI-CERT, vsebine za Sekcijo 2 in Sekcijo 3 sta prispevala predstavnika ICS-Ljubljana. ti Nobeden del publikacije se ne sme reproducirati brez predhodnega dovoljenja založnika. Publikacija © Založnik Urad Vlade Republike Slovenije za informacijsko varnost (URSIV). Vse pravice so pridržane. je dostopna v elektronski obliki na uradnih straneh Urada Vlade Republike Slovenije za informacijsko arnos varnost (URSIV). e v Kataložni zapis o publikaciji (CIP) pripravili v Narodni in univerzitetni knjižnici v Ljubljani očnik kibernetsk COBISS.SI-ID 226661635 Prir ISBN 978-961-96923-0-1 (PDF) 2 POZDRAVNI NAGOVOR DIREKTORJA URSIV DR. UROŠA SVETETA Spoštovani, nahajamo se v času, ko digitalni svet postaja neločljiv del našega vsakdana. Tehnologija poganja naše gospodar-stvo, povezuje ljudi in ustvarja priložnosti, ki si jih še pred leti nismo mogli niti zamisliti. A z vsemi temi priložnostmi prihajajo tudi tveganja. Kibernetska varnost ni le tehnična nuja, temveč postaja temeljna vrednota vsake družbe, ki stremi k razvoju, napredku in zaupanju v digitalno prihodnost. Najboljši način napovedovanja prihodnosti je njeno ustvarjanje, je zapisal Peter Drucker, uteme-ljitelj sodobne vede o upravljanju. Ta misel povzema vodilo in prizadevanja Urada Vlade Republi-ke Slovenije za informacijsko varnost (URSIV). Stremimo k oblikovanju nacionalnega sistema, ki bo v času hitrega digitalnega napredka čim bolj odporen na kibernetske grožnje. Ključna stvar pri vzpostavljanju tega sistema pa je izgradnja učinkovitega sodelovanja med deležniki, ki oblikujejo nacionalni sistem kibernetske varnosti. Pričujoč priročnik je eden izmed korakov URSIV k tesnejšemu povezovanju različnih sektorjev, vključno z javnim, zasebnim in civilno družbo, ki tvorijo živahen ekosistem kibernetske varnosti v Republiki Sloveniji. Predstaviti vam želimo URSIV kot krovno nacionalno entiteto za vzpostavitev učinkovitega sistema kibernetske varnosti, strukturo in procese zagotavljanja kibernetske var-nosti, pravni okvir, tako slovenski kot mednarodni, projekte ter nenazadnje tudi vizijo za skupno ustvarjanje prihodnosti. Kibernetska varnost je praksa zaščite omrežij, sistemov, podatkov in informacijskih tehnologij pred kibernetskimi napadi, nepooblaščenim dostopom, poškodbami, krajo, ali motnjami delova-nja. Kibernetska varnost vključuje tehnološke, procesne in človeške dejavnike ter uporablja različ-ne tehnologije, politike in prakse za zaščito pred kibernetskimi grožnjami. Naša vizija za Slovenijo je jasna: postati želimo država, kjer varnost in digitalna inovacija hodita z roko v roki. Slovenija želi povezati talente, institucije in gospodarstvo v učinkovit nacionalni kiber-netski ekosistem. Naša prizadevanja temeljijo na zaupanju, sodelovanju in odgovornosti – tako ti med državo, kot tudi med podjetji, raziskovalnimi ustanovami ter posamezniki. arnos Stremimo k okolju, kjer bomo državljani, podjetja in institucije varno delovali v digitalnem svetu e v ter skupaj z vami pišemo zgodbo o varnem in uspešnem digitalnem jutri. Dr. Uroš Svete očnik kibernetsk Ljubljana, februar 2025 Prir 3 KAZALO VSEBINE Sekcija 1 / Splošne informacije o vlogi organov in sistema upravljanja informacijske varnosti v Republiki Sloveniji 10 1. Uvodne informacije in napotila 11 2. Predstavitev Urada Vlade Republike Slovenije za informacijsko varnost (URSIV) 13 3. Povzetek Nacionalnega načrta za odzivanje na kibernetske incidente 17 4. Vloga SI-CERT: nacionalnega odzivnega centra za kibernetsko varnost 20 5. Predstavitev inšpekcijskih pregledov in priporočila na podlagi prakse (inšpekcijske izkušnje) 26 Sekcija 2 / Pregled nacionalnih in evropskih pravnih podlag ter ključne mednarodne institucije za strokovno podporo 30 6. Pregled in predstavitev nacionalnih pravnih podlag ter ključnih poudarkov 31 7. Pregled in predstavitev evropskih pravnih podlag ter ključnih poudarkov 37 8. Pregled področij delovanja Evropske agencije za kibernetsko varnosti (ENISA) 46 9. Predstavitev mednarodnih standardov in drugih okvirjev za področje informacijske in kibernetske varnosti 51 Sekcija 3 / Napotki za sistemski pristop pri vzpostavitvi učinkovitega sistema informacijske varnosti 60 10. Napotki za pripravo dokumentacije skladne z zakonom: priprava krovne varnostne politike 61 11. Predstavitev ključnih korakov upravljanja kibernetske oziroma informacijske varnosti 70 12. Napotki za izdelavo analize tveganj informacijske varnosti 76 13. Napotki za pripravo ukrepov za obvladovanje tveganj 88 ti 14. Napotki za pripravo ocene vpliva na poslovanja in ukrepov zagotavljanja neprekinjenega poslovanja arnos (Business Impact Analysis - BIA) 95 e v 15. Napotki za krizno upravljanje in pripravo obnovitvenih načrtov 101 16. Napotki za pripravo politike in postopkov za oceno učinkovitosti varnostnih ukrepov 110 17. Napotki glede varnosti pri nabavi, razvoju, integraciji, vzdrževanju omrežnih in informacijskih sistemov ter odstranjevanju sistemov iz produkcije 114 očnik kibernetsk 18. Ključni nasveti upravljanja s kibernetskimi incidenti in preprečevanja izrabe prepoznanih tehničnih ranljivosti 120 Prir 19. Predstavitev korakov izvedbe vdornih testiranj 126 4 20. Napotki pri izvajanju in upravljanju varnostnih kopij, vključno z dnevniškimi zapisi 133 21. Predstavitev ključnih storitev varnostno operativnih centrov 142 22. Predstavitev aktualnih pristopov in orodij za spremljanje informacijskih sistemov v organizacijah, zaznavanje poskusov vdorov ter preprečevanje kibernetskih incidentov 150 23. Poudarki in predlogi ter obvezni elementi pri sklepanju pogodb z zunanjimi izvajalci 155 24. Ključni nasveti za krizno komuniciranje 161 25. Napotki za varovanje podatkov - osebnih in drugih občutljivih podatkov 167 26. Napotki za upravljanje in hrambo dnevniških zapisov 172 27. Napotki glede fizičnega varovanja prostorov 176 28. Napotki za pripravo javnih naročil 181 ti arnos e v očnik kibernetsk Prir 5 KAZALO SHEM Shema1: Organizacijska struktura URSIV 14 Shema 2: Kdaj prijaviti incident na SI-CERT 22 Shema 3: Vrste goljufij in viri informacij 22 Shema 4: Protokol TLP (ang. Traffic Light Protocol) je de-facto standard pri izmenjavi informacij 25 Shema 5: Ukrepi za obvladovanje tveganj kibernetske varnosti po NIS 2 41 Shema 6: Vsebinski sklopi samo-ocenitev začetnega stanja kibernetskega stanja v organizaciji 63 Shema 7: Vsebinski pregled zakonsko predvidene dokumentacije 66 Shema 8: Vprašalnik za pridobitev podatkov za oceno vplivov prekinitev na poslovanje 98 Shema 9: Upravljanje kriznih dogodkov v sistemu zagotavljanja neprekinjenega poslovanja 102 Shema 10: Krizno vodstvo in opis ključnih vlog ter pooblastil 103 Shema 11: Vzorec odzivnih in okrevalnih postopkov v načrtu neprekinjenega poslovanja 106 Shema 12: Načrtovanje testiranja scenarijev na področju zagotavljanja neprekinjenega poslovanja 107 Shema 13: Tok informacij v kriznem vodstvu 163 ti arnos e v očnik kibernetsk Prir 6 STROKOVNE KRATICE IN POJASNILA AES: Napredni standard šifriranja AI: Umetna inteligenca AIGC: Vsebina, ustvarjena z umetno inteligenco API: Programski vmesnik za aplikacije BCMS: Sistem za upravljanje neprekinjenega poslovanja BCP: Načrt za neprekinjeno poslovanje BIA: Analiza vpliva na poslovanje Black box: Testiranje brez poznavanja notranje strukture ali delovanja sistema. CEN: Evropski odbor za standardizacijo CENELEC: Evropski odbor za elektrotehniško standardizacijo CIA: Centralna obveščevalna agencija CISA: Agencija za kibernetsko in infrastrukturno varnost CISSP: Certificirani strokovnjak za varnost informacijskih sistemov CSIRT: Ekipe za odzivanje na računalniške incidente CTF: Ujemi zastavo (tekmovanje v kibernetski varnosti) CTI: Kibernetsko-obveščevalni podatki DDoS: Porazdeljen napad za onemogočanje storitev DHCP: Protokol za dinamično dodeljevanje naslovov IP DIN: Nemški inštitut za standardizacijo DLP: Preprečevanje izgube podatkov DNS: Sistem domenskih imen DPIA: Ocena vpliva na varstvo podatkov ti 2FA: Dvofaktorska avtentikacija arnos e v EDR: Zaznavanje in odzivanje na končnih točkah ENISA: Evropska agencija za kibernetsko varnost ESG: Okoljski, družbeni in upravljavski vidiki ETSI: Evropski inštitut za telekomunikacijske standarde očnik kibernetsk Prir FBI: Zvezni preiskovalni urad 7 FISMA: Zakon o upravljanju varnosti informacij v ZDA GDPR: Splošna uredba o varstvu podatkov GRC: Upravljanje, tveganja in skladnost Grey Box: Testiranje z omejenim poznavanjem notranje strukture. HIPAA: Zakon o prenosljivosti in odgovornosti zdravstvenih podatkov IAM: Upravljanje identitet in dostopov IAMaaS: Upravljanje identitet in dostopov kot storitev IBS: Informacijski bazični sistemi ICS: Industrijski kontrolni sistemi IDS: Sistem za zaznavanje vdorov IEC: Mednarodna elektrotehniška komisija IKT: Informacijsko-komunikacijske tehnologije IOC: Indikatorji kompromitiranja IPS: Sistem za preprečevanje vdorov IR: Odziv na incidente ISMS: Sistem za upravljanje informacijske varnosti MSSP: Ponudnik storitev upravljanja varnosti NDR: Zaznavanje in odzivanje v omrežju NIS: Direktiva o omrežjih in informacijskih sistemih NSA: Nacionalna varnostna agencija NTP: Protokol za sinhronizacijo časa ti OSINT: Obveščevalni podatki iz odprtih virov arnos PBX: Zasebna telefonska centrala e v PCI: Plačilna industrija PCIDSS: Standard varnosti podatkov v plačilni industriji PDEU: Pogodba o delovanju Evropske unije očnik kibernetsk PHISHING: Lažno predstavljanje za krajo podatkov (ribarjenje) Prir RBAC: Nadzor dostopa na podlagi vlog 8 RDP: Protokol za oddaljeno namizje RPO: Ciljna točka obnovitve RSA: Rivest–Shamir–Adleman (kriptografski algoritem) RTO: Ciljni čas obnovitve SDLC: Življenjski cikel razvoja programske opreme SIEM: Upravljanje informacij in dogodkov na področju varnosti SIST: Slovenski inštitut za standardizacijo SLA: Dogovor o ravni storitev SOAR: Orkestracija, avtomatizacija in odziv na področju varnosti SOC: Varnostno-operativni center SOCaaS: Varnostno-operativni center kot storitev SUIV: Sistem upravljanja informacijske varnosti SUNP: Sistem upravljanja neprekinjenega poslovanja SUVI: Sistem upravljanja varovanja informacij SWOT: Moč, slabosti, priložnosti, grožnje TTP: Taktike, tehnike in postopki VAPT: Ocena ranljivosti in testiranje prodiranja VISHING: Goljufivo predstavljanje prek telefona VPN: Navidezno zasebno omrežje White box: Testiranje z natančnim poznavanjem notranje strukture in delovanja sistema. XDR: Razširjeno zaznavanje in odzivanje ZInfV: Zakon o informacijski varnosti ti ZISSP: Zakon o informacijski varnosti in sistemski zaščiti podatkov arnos e v ZJN-3: Zakon o javnem naročanju ZJNPOV: Zakon o javnem naročanju na področju obrambe in varnosti ZUP: Zakon o splošnem upravnem postopku ZVOP: Zakon o varstvu osebnih podatkov očnik kibernetsk Prir 9 Sekcija 1 Splošne informacije o vlogi organov in sistema upravljanja informacijske varnosti v Republiki Sloveniji ti arnos e v očnik kibernetsk Prir 10 Poglavje 1 Uvodne informacije in napotila Namesto uvoda munikacijskih sistemov pred kibernetskimi in- cidenti, ter se približati zahtevam zakonodaje. Urad Vlade za informacijsko varnost je sprejel odločitev o pripravi tega priročnika zaradi po- večane potrebe pri zavezancih, ter na splošno za krepitve odpornosti informacijsko-komu- Urad Vlade za informacijsko varnost nikacijskih sistemov pred kibernetskimi inci- Urad Vlade Republike Slovenije za informa-denti v slovenskih organizacijah. Za izvedbo cijsko varnost (URSIV) je pristojni nacionalni naloge je poleg lastnih kapacitet urada, pri- organ za informacijsko varnost, ki deluje kot pravo vsebine prevzel Institut za korporativne samostojna vladna služba. Ima ključno vlogo varnostne študije. pri vzpostavitvi celovite strategije informacij- ske in kibernetske varnosti na nacionalni rav- ni. Skladno z 27. členom Zakon o informacijski Namen priročnika varnosti, pa nudi tudi podporo zavezancem, Priročnik ima namen organizacijam in ose- ročnika. kar urad vidi tudi v pripravi in objavi tega pri-bam odgovornim za pripravo varnostne do- kumentacije podati osnovne informacije ter napotke kje pridobiti dodatne vsebine za po- samezna področja, nima pa namena posre-Pravne podlage dovati vzorčne dokumentacije za dosego za- Vse navedene pravne podlage so v času na-konodajne skladnosti. To je naloga in obveza stanka priročnika veljavne pravne podlage. vsake posamezne organizacije, saj so tudi or- Urad pa se zaveda, da se le-te lahko spreme- ti ganizacije zelo raznolike. nijo, zato ne odgovarja za morebitne neskla- dnosti z bodočo zakonodajo. arnose v Komu je namenjen? Vse navedbe vezane na Zakon o informacijski varnost, bodo ustrezno posodobljene ko bo Priročnik je primarno namenjen vsem zave- sprejet nov zakon, kar lahko vpliva na posa-zancem po Zakonu o informacijski varnosti, mezna poglavja tega priročnika. vendar pa je kot pomoč in podpora hkrati na- očnik kibernetsk menjen tudi vsem drugim organizacijam, ki Prir želijo okrepiti svojo varnost informacijsko-ko- 11 Poglavja in podane usmeritve Urad bo vesel vsakršne povratne informacije Priročnik ni pravno zavezujoč dokument in še manjka, kar sprejema na glede vsebin podanih v priročniku in kaj morda tudi v nobenem delu ne posega ali spreminja gp.uiv@gov.si. zakonodajnih obveznosti. V primeru morebi- Urad vidi ta priročnik kot prvi korak, ki se bo tnih neskladnosti z zakonodajo, vedno obvelja z razvojem področja in zakonodaje tudi ustre- zakonodajni oziroma pravno zavezujoč doku- zno nadgrajeval oziroma dopolnjeval. ment npr. zakon, uredba ipd. Priročnik je lahko napotek za vse organizacije in posameznike, ki bodo pripravljali varnostno dokumentacijo v svojih organizacijah. ti arnos e v očnik kibernetsk Prir 12 Poglavje 2 Predstavitev Urada Vlade Republike Slovenije za informacijsko varnost (URSIV) POVZETEK Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) ima osrednjo vlogo pri zagotavljanju nacionalne kibernetske varnosti. Kot samostojen organ je odgovoren za vzpostavitev strategij, usklajevanje deležnikov ter zaščito ključnih informacijskih sistemov in kritične infrastrukture. Njegova naloga vključuje pripravo zakonodajnih okvirov, medna- rodno sodelovanje, izvajanje inšpekcijskega nadzora in razvoj rešitev za obvladovanje ki- bernetskih groženj. V sodelovanju z drugimi organi in sektorji URSIV prispeva k odpornosti Slovenije na sodobne kibernetske izzive. KLJUČNE TOČKE: • URSIV (ustanovitev, samostojna vladna služba) • Nacionalna strategija kibernetske varnosti • ZInfV (Zakon o informacijski varnosti) • Ključne naloge (koordinacija, zakonodaja, mednarodno sodelovanje, inšpekcija) • Kritična infrastruktura (energija, digitalna infrastruktura, zdravstvo, bančništvo) ti • Mednarodni projekti (NCC-SI, Evropski izziv kibernetske varnosti, SI-EuroQCi) arnos e v • SIGOV-CERT (CSIRT, odziv na incidente) • Izobraževanje in ozaveščanje o kibernetski varnosti • Horizontalni pristop (koordinacija med ministrstvi, agencijami) očnik kibernetsk • Mednarodno sodelovanje (ENISA, TF-CSIRT). Prir 13 Urad Vlade Republike Slovenije za informacij- jela nacionalno strategijo kibernetske varnosti sko varnost (URSIV) je pristojni nacionalni or- (Sklep vlade številka: 38100-12/2015/5), ki stre- gan za informacijsko varnost, ki deluje kot sa- mi k vzpostavitvi celovitega sistema kibernet- mostojna vladna služba. Ima ključno vlogo pri ske varnosti kot pomembnega elementa naci- vzpostavitvi celovite strategije informacijske in onalne varnosti. so osredotočene na krepitev odpornosti kritične ke Slovenije januarja 2017 sprejela odločitev, da Urad za varovanje tajnih podatkov (UVTP) infrastrukture in zagotavljanje varnosti ključnih prevzame naloge nacionalnega organa za ki-informacijskih sistemov v državi. Z vzposta-ve naloge zajemajo širok spekter dejavnosti, ki Skladno s sprejeto strategijo je Vlada Republi-kibernetske varnosti na nacionalni ravni. Njego- vitvijo učinkovitega sistema za obvladovanje bernetsko varnost, kar se je zgodilo aprila 2017. UVTP je začasno opravljal naloge pristojnega kibernetskih groženj URSIV aktivno prispeva k nacionalnega organa skladno z Zakonom o in-zagotavljanju varnosti posameznikov, podjetij formacijski varnosti (ZinfV), razen nalog uprav-in javnih institucij. nega odločanja in nadzora, ki jih je opravljalo ministrstvo, pristojno za informacijsko družbo URAD VLADE REPUBLIKE SLOVENIJE (takrat MJU). UVTP je te naloge izvajal do vzpo- ZA INFORMACIJSKO VARNOST stavitve Uprave RS za informacijsko varnost (URSIV), organa v sestavi Ministrstva za javno SLUŽBA ZA upravo (MJU), ki je prevzela naloge nacionalne- SPLOŠNE ZADEVE ga organa na začetku leta 2020 (Uradni list RS, št. 52/2018). Urad Vlade Republike Slovenije za informacijsko varnosti je bil ustanovljen 15. SEKTOR ZA INFORMACIJSKO julija 2021 z Odlokom o ustanovitvi, nalogah in IN KIBERNETSKO VARNOST organizaciji Urada Vlade Republike Slovenije za informacijsko varnost (Uradni list RS, št. 114/21 in 69/23). URSIV je tako 31. julija 2021 prevzel SEKTOR ZA naloge Uprave RS Slovenije za informacijsko DVIG ODPORNOSTI varnost, ki je delovala kot organ v sestavi Mini- strstva za javno upravo. SEKTOR ZA URSIV je samostojna vladna služba in je s tem MEDNARODNE ZADEVE podrejen neposredno predsedniku Vlade Repu- blike Slovenije. Ker je vladna služba, ni del no- benega izmed ministrstev Republike Slovenije, SEKTOR SIGOV-CERT saj v sistemu deluje horizontalno. S tem, ko je Vlada Republike Slovenije oblikovala Urad Vla- de Republike Slovenije za informacijsko varnos- INŠPEKCIJA ZA ti, kot vladno službo, je prepoznala prednosti ti horizontalnosti vladnih služb v pravni ureditvi INFORMACIJSKO VARNOST arnos Republike Slovenije. Horizontalnost se nanaša e v Shema1: Organizacijska struktura URSIV (Vir: URSIV) na sodelovanje in usklajevanje med različni- mi ministrstvi, agencijami in drugimi vladnimi Kratka zgodovina Urada organi na isti ravni hierarhije. Ta pristop omo- goča bolj učinkovito delovanje državne uprave, Slovenija je pomen kibernetske varnosti pre- ker spodbuja deljenje informacij in medsebojno očnik kibernetsk poznala v temeljnih nacionalno varnostnih do- sodelovanje. Prednosti horizontalnosti vladnih Prir kumentih, in sicer v Resoluciji o strategiji naci- služb so v tem, da omogočajo: boljše usklaje- onalne varnosti leta 2010 in leta 2019 (Uradni vanje politik, hitrejše in učinkovitejše reševanje list RS, št. 59/19). Vlada Republike Slovenije je problemov, povečana transparentnost in odgo-14 na svoji 76. redni seji, 25. februarja 2016, spre- vornost, boljša pripravljenost na krizne situacije. Ključne naloge ne s kibernetsko varnostjo, in prispeva k skupni varnosti na ravni Evropske unije ter širše. URSIV povezuje deležnike v nacionalnem siste- mu informacijske varnosti in na strateški ravni URSIV izvaja naloge enotne kontaktne točke koordinira operativne zmogljivosti v sistemu. za zagotavljanje čezmejnega sodelovanja z Posebno pozornost posveča zavezancem po ustreznimi organi drugih držav članic EU in z ZInfV, iz skupine ponudnikov digitalnih storitev, evropsko mrežo skupin CSIRT ter druge naloge iz skupine organov državne uprave in iz skupine mednarodnega sodelovanja. Z lastno inšpekcij-izvajalcev bistvenih storitev na področjih: sko službo izvaja nadzor nad izvajanjem ZInfV. - energije, onalno varnost (SNAV) o stanju povečane ogro-URSIV je z obveščanjem vlade in Sveta za naci-- digitalne infrastrukture, ženosti zaradi verjetnosti realizacije kritičnega - oskrbe s pitno vodo in njene distribucije, sistem nacionalne varnosti. incidenta ali kibernetskega napada umeščen v - zdravstva, URSIV deluje tudi kot središčna točka za obve-- prometa, ščanje javnosti in drugih deležnikov o poten- cialnih kibernetskih grožnjah. Z vzpostavitvijo - bančništva, sistemov za hitro opozarjanje in obveščanje je v - infrastrukture finančnega trga, primeru povečanih tveganj ali incidentov zmo-žen hitro reagirati ter obvestiti pristojne organe - preskrbe s hrano in in javnost. Pri tem uporablja najnovejše teh- - varstva okolja. nologije in pristope za odkrivanje, spremljanje ter analizo kibernetskih groženj. Ključni del de-Na zakonodajni ravni URSIV tesno sodeluje pri lovanja URSIV je izobraževanje in ozaveščanje pripravi in izboljšavi zakonodajnih okvirjev, ki javnosti o pomembnosti kibernetske varnosti. urejajo področje informacijske varnosti, ter si V ta namen izvaja različne kampanje, uspo-prizadeva za usklajevanje slovenske zakono- sabljanja in delavnice za ciljne skupine, kot so daje z evropskimi direktivami in standardi. S podjetja, javni sektor ter posamezniki. Tako tem zagotavlja, da Slovenija ostaja v koraku z si prizadeva za dvig splošne informacijske pi-najnovejšimi zahtevami in trendi na področju smenosti in varnostne kulture, kar je ključnega kibernetske varnosti, kar je ključno za zaščito pomena za zmanjševanje tveganj kibernetskih pred nenehno spreminjajočimi se grožnjami v napadov. digitalnem okolju. Vloga URSIV je torej osrednja pri zagotavljanju URSIV tesno sodeluje z drugimi ključnimi su- varnosti informacijske infrastrukture Republi-bjekti na področju informacijske varnosti, kot ke Slovenije, kar vključuje tako preventivne kot so nacionalne in mednarodne organizacije, za- reaktivne ukrepe za zaščito pred kibernetskimi sebni sektor ter akademske ustanove. Z vzpo- napadi in krepitev zavedanja o pomembnosti stavitvijo partnerskih odnosov na nacionalni in kibernetske varnosti na vseh ravneh družbe. ti odzivanje na kibernetske incidente ter razvija Projekti URSIV na področju kibernetske var- arnos mednarodni ravni URSIV krepi zmogljivosti za nove rešitve za preprečevanje in obvladovanje nosti v Sloveniji e v groženj. Zaradi vse večje mednarodne narave URSIV se redno udeležuje nacionalnih in med-kibernetskih groženj je URSIV močno vključen narodnih dogodkov ter konferenc na temo ki- sodeluje v različnih mednarodnih pobudah in sko varnost (NCC-SI), ki krepi raziskovanje in Prir inovacije ter njihovo uvajanje na področje ki- organizacijah. Tako zagotavlja, da je Slovenija bernetske varnosti. Z zagotavljanjem možnosti dobro pripravljena na globalne izzive, poveza- sofinanciranja iz evropskih projektov pospešuje 15 netske varnosti, kjer si izmenjuje najboljše pra- Nacionalni koordinacijski center za kibernet- očnik kibernetsk kse in tehnološke rešitve z drugimi državami ter v mednarodno sodelovanje na področju kiber- bernetske varnosti. V letu 2024 je vzpostavil razvoj industrijskih, tehnoloških ter raziskoval- - Projekt s področja uporabe umetne inteligen- nih zmogljivosti države. ce v kibernetski varnosti, ki ga je URSIV sofi- nanciral z ARIS. Velik poudarek NCC-SI namenja izobraževanju s področja kibernetske varnosti. Poudarek je Sektor SIGOV-CERT je strokovnjakov. V ta namen potekajo različne formacijskih sistemih organov državne uprave. Deluje v okviru Urada Republike Slovenije za aktivnosti, npr. vsakoletna udeležba na evrop-informacijsko varnost. Pristojen je za sprejem skem tekmovanju mladih talentov v kibernet-pot, saj na kibernetskem področju primanjku- SIGOV-CERT je odzivni center za incidente v in- predvsem na mladih, ki se odločajo za poklicno ski varnosti »Evropski izziv kibernetske varnosti in obravnavo kibernetskih incidentov v organih državne uprave, ki upravljajo informacijske sis-(European Cybersecurity Challenge)« v okviru teme ter dele omrežja oziroma izvajajo infor-projekta »Kibertalent«. Vanj sodi tudi uspo-macijske storitve, nujne za nemoteno delovanje sabljanje deklet za kibernetsko varnost. Urad države ali za zagotavljanje nacionalne varnosti. stremi k vzpostavitvi mrež srednjih šol za kiber- netsko varnost ter sodeluje pri poletnih taborih SIGOV-CERT predstavlja kontaktno točko za s področja kibernetske varnosti za mlade. priglasitev incidentov zavezancem po Zakonu o URSIV podpira raziskave, razvoj in inovacije na informacijski varnosti (ZInfV) in jim nudi meto-dološko pomoč pri obravnavi ter razreševanju področju kibernetske varnosti tudi s sofinanci-kibernetskih incidentov. Od leta 2024 je SIGOV-ranjem projektov. Uspešno sodeluje v konzor--CERT akreditiran v sklopu Odzivne skupine cijih za izvedbo projektov EU. Nekaj projektov, za računalniške varnostne incidente (CSIRT) kjer je URSIV sodeloval: TF-CSIRT Trusted Introducer (stran je v angleš- - »SI-EuroQCi« za vzpostavitev nacionalne čini), ki omogoča zaupanje, sodelovanje in iz- kvantne komunikacijske infrastrukture za menjavo informacij med CSIRT ekipami v Evro-varno distribucijo kvantnih šifrirnih ključev. pi, kar pripomore k višjemu nivoju kibernetske - »Akadimos« s področja pridobivanja veščin mreže Agencije evropske unije za kibernetsko varnosti. Prav tako je SIGOV-CERT član CSIRT kibernetske varnosti. varnost (ENISA). - »ALiEnS-SOC«, namenjen uporabi novih teh- Naloge SIGOV-CERT: nologij in umetne inteligence v varnostno operativnih centrih. SIGOV-CERT izvaja zakonsko določene naloge - »Atlantis«, katerega cilj je povečati odpornost naloge: CSIRT organov državne uprave in še naslednje in kibernetsko-fizično-človeško varnost ključ- nih kritičnih infrastruktur EU. - sprejema, obravnava in ocenjuje priglasitve - Pilotni projekt Agencije evropske unije za ki- tira, hrani in varuje; incidentov zavezancev ter te podatke eviden- bernetsko varnost (ENISA) za izvajanje stori- ti tev zagotavljanja kibernetske varnosti, ki so - zavezancem nudi metodološko podporo, po- namenjene zavezancem, tudi upravljalcem moč in sodelovanje ob pojavu incidenta; arnos kritične infrastrukture. e v - sodeluje z nacionalnim CSIRT in s pristoj- - Projekt napredne analitike podatkov in mo- nim nacionalnim organom ter jima na poziv deliranje napadov ter napadalcev na podro- na varen način - nudi informacije o izvajanju čju kibernetske varnosti v sektorjih obrambe, svojih pristojnosti na podlagi tega zakona; očnik kibernetsk - objavlja opozorila o tveganjih in ranljivostih zaščite in reševanja ter kritične infrastrukture. notranje varnosti, obveščevalne dejavnosti, Prir na področju informacijske varnosti organov Sofinanciral ga je z Javno agencijo za znan- državne uprave. stvenoraziskovalno in inovacijsko dejavnost (ARIS) ter Ministrstvom za obrambo. 16 Poglavje 3 Povzetek Nacionalnega načrta za odzivanje na kibernetske incidente POVZETEK Nacionalni načrt za odzivanje na kibernetske incidente (NOKI) je temeljni dokument za usklajeno in sistematično obvladovanje kibernetskih incidentov na državni ravni. Določa okvir za sodelovanje vseh deležnikov, vključno z državnimi organi, lokalno samoupravo, zasebnim sektorjem in upravljavci kritične infrastrukture. S poenotenjem postopkov in me- todologij, vključno z razvrščanjem incidentov, komunikacijskimi smernicami in časovnimi okviri za poročanje, NOKI omogoča učinkovito preprečevanje in obvladovanje kibernetskih groženj. Dokument, ki ga upravlja URSIV, je zasnovan na Strategiji kibernetske varnosti in Zakonu o informacijski varnosti ZInfV ter redno posodobljen glede na mednarodne stan- darde in potrebe. Ključne točke: • NOKI (strateški okvir, URSIV, koordinacija deležnikov) • Kibernetski incidenti (opredelitev, razvrstitev, pragovi poročanja) ti • Poročanje (postopki, časovni okvirji, vloge zavezancev) arnos • Upravljanje incidentov (priprava, zaznavanje, omilitev, okrevanje) e v • Kritični incidenti (koordinacija na nacionalni ravni, mednarodno sodelovanje) • Koordinacijska skupina za kibernetsko varnost (naloge, vodenje) • Mednarodno sodelovanje (EU, NATO, čezmejne grožnje) očnik kibernetsk • Posodobitve NOKI (uskladitev z direktivo NIS 2, hitro spreminjajoče se okolje). Prir 17 V vsakdanjem življenju se povečuje uporaba družbenih oziroma gospodarskih dejavnosti informacijskih sistemov, omrežij, pametnih po ZInfV. Zaradi vse večje potrebe po koordi- naprav in interneta stvari, kar vpliva na go- naciji glede vprašanj kibernetske varnosti na spodarske in negospodarske dejavnosti ter na nacionalnem nivoju, je NOKI zagotovil vzpo- vsakdanje življenje in blaginjo družbe. Hiter stavitev Koordinacijske skupine za kibernetsko razvoj informacijsko-komunikacijskih tehno- varnost in določil njeno sestavo in naloge. incidenti so danes ena najpogostejših varno- nega odziva na nacionalni ravni, NOKI oprede- ljuje vloge različnih deležnikov, ki jih naslavlja stnih groženj, kibernetska varnost pa predsta- prek različnih področij. Z uvedbo poenotene izzive v obliki kibernetskih groženj. Kibernetski Z zagotavljanjem sistematičnega in usklaje-logij prinaša velike koristi, a tudi neprestane sistema. homogene taksonomije, ki kibernetske inci- vlja pomemben del nacionalno varnostnega dente klasificira glede na nevarnost in vpliv, je Nacionalni načrt za odzivanje na kibernetske NOKI uvedel opredelitev kibernetskih inciden- incidente (v nadaljnjem besedilu NOKI) pred- tov ter njihovo vrednotenje. NOKI je tudi do- stavlja temelj državnega sistema odzivanja na ločil enotno metodologijo poročanja in spre- kibernetske incidente. NOKI je sprejela Vlada mljanja kibernetskih incidentov ter opredelil Republike Slovenije 18. marca 20211 in določila posamezne postopke glede na vrednotenje in- Urad Vlade Republike Slovenije za informacij- cidenta in tip zavezanca. Določene so bile tudi sko varnost (URSIV) za skrbnika dokumenta, ustrezne komunikacijske poti, prek katerih se ki je pooblaščen tudi za posodabljanje prilog. izvaja priglasitev, poročanje in koordinacija za NOKI je javno dostopen dokument, izdelan na izvajanje postopkov odziva na različne kate- podlagi Strategije kibernetske varnosti in Za- gorije ter stopnje incidentov. S celotnim nabo- kona o informacijski varnosti (ZInfV) ter drugih rom navedenih ukrepov je bila vzpostavljena relevantnih nacionalnih in mednarodnih pred- podlaga za enotno in koordinirano odzivanje pisov. vseh relevantnih deležnikov na državni ravni v NOKI določa skupno doktrino in strateški okvir incidentov. primeru lažjih, kot tudi kritičnih kibernetskih za odzivanje celotnega kroga deležnikov, ki so vključeni v nacionalni sistem zagotavlja- V nadaljevanju je predstavljena struktura nja kibernetske varnosti – vse ravni državnega NOKI, ki je po uvodu in predstavitvi namena sestava (državni organi in ustanove), lokal- sledeča: ne samouprave, zasebni in neprofitni sektor (vključno z zasebnimi in javnimi lastniki ter Opredelitev in stopnje kibernetskih inci- upravljavci kritične infrastrukture). NOKI je dentov zagotovil poenotenje postopkov upravljanja - Opredelitev: Incident je vsak dogodek, ki ima kibernetskih incidentov in podal smernice za dejanski negativni učinek na varnost omrežij usklajen odziv vseh deležnikov, s poudarkom in informacijskih sistemov. Incidenti so raz- ti na usklajenem komuniciranju ter preprečitvi vrščeni glede na tip in njihov vpliv, oziroma širitve incidenta na druge subjekte. Z opera- učinek na omrežne ter informacijske siste- arnos cionalizacijo postopkov določenih z ZInfV, je me. e v opredelil pomembne elemente kot so pragovi kibernetskih incidentov, časovni okvirji prigla- - Stopnje: Incidenti so kategorizirani kot lažji, sitve in poročanja o kibernetskih incidentih težji in kritični, z določenimi merili za dolo- čanje praga za obvezno poročanje na pod- ter komunikacijske poti. Slednje je zlasti po- lagi vnaprej opredeljenih kazalnikov. Stopnja membno, kadar kibernetski incident vpliva na očnik kibernetsk kazalnikov in njihova interakcija določata, ali storitev, ki je bistvena za ohranitev ključnih je kibernetski incident pod pragom obvezne- Prir 1 2022-03-NOKI.pdf (gov.si) 18 ga poročanja in kakšni so postopki deležni- - Mednarodno sodelovanje: Mehanizmi odzi- kov kibernetske varnosti. vanja in pomoči na mednarodni ravni (pred- Poročanje o kibernetskih incidentih orodje v primeru kritičnih incidentov, kiber-vsem EU in NATO) predstavljajo koristno - Zaznavanje in poročanje: Kibernetski inci- netskih napadov večjih razsežnosti ter kiber- denti se razvrščajo v kategorije od C6 do C1, netskih incidentih s čezmejnimi učinki. glede na odnos med napadenim deležnikom Priloge NOKI so tabele in obrazci za poročanje (žrtvijo kibernetskega incidenta) in stopnjo ter diagrami s prikazi postopkov za obvladova-nevarnosti (učinkom kibernetskega inciden-nje incidentov. ta). Podrobno so določeni postopki za za- znavanje in poročanje o incidentih, vključno Državni sistem odzivanja na kibernetske inci- s priglasitvijo ter pripravo vmesnih in konč- dente je kompleksen proces, ki zahteva veliko nih poročil. znanja in zavedanja ter usklajenega delovanja - Komunikacija: Opredeljene so smernice za nje na kibernetske incidente med drugim zah-vseh relevantnih deležnikov. Uspešno odziva-obveščanje javnosti, pri čemer se komuni- teva sistematične, hitre in učinkovite ukrepe, ciranje o kibernetskem incidentu prilagaja ki so jasno opredeljeni. NOKI je zato ključnega glede na kategorijo kibernetskega incidenta. pomena za zagotavljanje kibernetske varnosti Upravljanje kibernetskih incidentov v Republiki Sloveniji. Pomembno je, da so vsi - Upravljanje kibernetskih incidentov je or- nalogami, ki morajo biti predmet rednih izo-deležniki seznanjeni s postopki, zahtevami in so usmerjeni v čim boljšo zaščito oziroma bljanj. preprečevanje nastanka kibernetskih inci-Veljavni NOKI že zdaj predvideva redne (vsaj ganiziran sklop ukrepov in aktivnosti, ki braževanj ter preverjanj v obliki vaj in usposa- dentov. Sestavljeno je iz več faz: priprava, zaznavanje, zadrževanje, omilitev, okrevanje vsake tri leta) posodobitve zaradi hitro spre- in aktivnosti po incidentu. minjajoče se krajine kibernetskega varnostne- - V posameznih fazah upravljanja kibernet- rodnimi akti in nacionalno zakonodajo, na skih incidentov so zapisane pristojnosti, od-ga okolja, potrebe po usklajevanju z medna- govornosti in naloge, ki jih izvajajo deležniki. zlasti treba opraviti po sprejemu novega Za-Opredeljene so naloge različnih subjektov, katerih tudi temelji. Posodobitev načrta bo vključno z URSIV, SI-CERT, SIGOV-CERT, SOC pravni red prenesel zahteve evropske direktive kona o informacijski varnosti, ki bo v slovenski in AKOS. NIS 2. Odzivanje na kritične kibernetske incidente na državni ravni - Nacionalna raven: Koordinacija upravljanja kritičnega kibernetskega incidenta (C1 ali C2, ti za katerega obstaja dejanska nevarnost, da preide v C1), se prenese na URSIV. Za uskla- arnos jevanje kibernetske varnosti na državni ravni e v je pristojna Koordinacijska skupina za kiber- netsko varnost, ki se srečuje na rednih in iz- rednih zasedanjih ter jo vodi direktor URSIV. očnik kibernetsk Prir 19 Poglavje 4 Vloga SI-CERT: nacionalnega odzivnega centra za kibernetsko varnost POVZETEK SI-CERT je nacionalni odzivni center za kibernetsko varnost, ki zagotavlja tehnično pomoč pri reševanju incidentov, kot so vdori, računalniške okužbe in druge zlorabe. Besedilo opisuje postopke za prijavo incidentov in poudarja sodelovanje centra z različnimi organizacijami na nacionalni ter mednarodni ravni. Prav tako se osredotoča na zakonodajne obveznosti prijave incidentov za določene subjekte in nudi napotke za učinkovito odzivanje na kibernetske grožnje. SI-CERT ima ključno vlogo pri ozaveščanju o varni rabi interneta in sodeluje v projektih za izboljšanje kibernetske varnosti. ti Ključne točke: arnos • Vloga in pristojnosti SI-CERT e v • Postopki za prijavo kibernetskih incidentov • Poročanje (postopki, časovni okvirji, vloge zavezancev) • Aktivnosti SI-CERT pri odzivu na kibernetske incidente (priprava, zaznavanje, očnik kibernetsk omilitev, okrevanje) Prir • Projekti in vzvodi za povečanje osveščanja uporabnikov. 20 Nacionalni odzivni center za kibernetsko var- podatke in vas skrbi možnost prestrezanja na nost SI-CERT (Slovenian Computer Emergency poti, lahko sporočila zašifrirate s programom Response Team) opravlja koordinacijo razreše- PGP (Pretty Good Privacy) ali GPG (GNU Priva- vanja incidentov, tehnično svetovanje ob vdo- cy Guard) tako, da uporabite SI-CERT javni PGP rih, računalniških okužbah in drugih zlorabah ključ. Na enak način nam posredujte tudi vzor- ter izdaja opozorila za upravitelje omrežij in šir- ce škodljive kode ali prestreženi zlonamerni šo javnost o trenutnih grožnjah na elektronskih promet okuženih sistemov, saj lahko sicer kak-omrežjih. SI-CERT izvaja nacionalni program šen od poštnih strežnikov na poti sporočilo za- ozaveščanja Varni na internetu in sodeluje v ustavi zaradi protivirusne zaščite. Če niste vešči projektu SAFE-SI. SI-CERT deluje v okviru jav- postopkov šifriranja in digitalnega podpisova- nega zavoda Arnes (Akademska in raziskovalna nja s PGP, lahko podatke pošljite v ZIP arhivu, mreža Slovenije). zaščitenim z geslom. Delovanje centra SI-CERT je opredeljeno v 28. Prostovoljna in obvezna priglasitev incidenta členu Zakona o informacijski varnosti. Zakon o informacijski varnosti (ZInfV) določa v SI-CERT ima na voljo različne kontaktne elek- 13. in 14. členu zakona obvezo priglasitve inci-tronske naslove: denta na SI-CERT za vse zavezance, ki so bili - dentov, tev. Podobno določa za operaterje elektronskih press@cert.si za novinarska vprašanja in komunikacij Zakon o elektronskih komunikaci-- info@cert.si za vsa ostala vprašanja. jah (ZEKom-2) v 118. členu. Zakon o varovanju - cert@cert.si za sporočanje kibernetskih inci- stvenih storitev ali ponudniki digitalnih stori-določeni po sklepu Vlade RS kot izvajalci bi- Mednarodno sodelovanje osebnih podatkov (ZVOP-2) pa v 23. členu do- ločenim upravljalcem osebnih podatkov nalaga SI-CERT je član CSIRT mreže po Direktivi NIS, “smiselno uporabo določb o varnostnih zahte-svetovnega združenja odzivnih in varnostnih vah in priglasitvi incidentov iz zakona, ki ureja centrov FIRST (Forum of Incident Response informacijsko varnost.” and Security Teams), član skupine nacionalnih odzivnih centrov pri CERT/CC, član delovne sku- Vsi ostali poslovni subjekti, javne ustanove in pine evropskih odzivnih centrov TF-CSIRT in je fizične osebe lahko podajo prostovoljno prijavo akreditiran v programu Trusted Introducer. incidenta na SI-CERT. Namen prijave je stro- kovna pomoč pri identifikaciji težave, pomoč Storitve odzivnega centra SI-CERT so na voljo pri njeni odpravi, zamejitvi in odpravi posledic. širši javnosti. SI-CERT aktivnosti v celoti finan- SI-CERT ni organ pregona, zato je pri sumu cira Urad Vlade Republike Slovenije za infor- kaznivega dejanja potrebna prijava hkrati tudi macijsko varnost, pristojni nacionalni organ za policiji. Če gre za sum zlorabe osebnih podat-informacijsko varnost. kov, podajte tudi prijavo Informacijskemu po-Prijava incidenta – splošna navodila oblaščencu. SI-CERT ima z obema organoma vzpostavljeno operativno sodelovanje za skup- ti SI-CERT je nacionalni odzivni center za kiber- no preiskovanje, kadar je to potrebno. netsko varnost. Ob zaznanem varnostnem in- arnos cidentu pošljite prijavo z elektronskim sporoči- SI-CERT zaradi kadrovskih omejitev ne more e v lom na naslov nuditi telefonske podpore pri prostovoljnih pri-cert@cert.si in nudili vam bomo pomoč pri preiskavi incidenta. javah incidentov. Prosimo vas, da prijavo odda- te po elektronski pošti, pred tem pa preverite, Prijavi priložite natančen opis dogajanja in ali je vaš primer že opisan in so na voljo na-vse relevantne dnevniške izseke (ang. log fi- vodila za ukrepanje (glej “Kdaj pomoč poiščete očnik kibernetsk les), vzorce škodljive kode, podtaknjene vsebi- sami” v nadaljevanju). Prir ne na spletni strani ipd. Če pošiljate občutljive 21 Kdaj prijaviti incident na SI-CERT Primer incidenta Pričakovane aktivnosti SI-CERT Okužba računalnika Pomoč pri odstranjevanju okužbe in njenih posledic, (izsiljevalski virusi, bančni trojanci, ciljani napadi, analiza vzorca in korelacija z do zdaj znanimi grožnja- agenti za pošiljanje neželene elektronske pošte). mi. Svetovanje o ukrepih za sanacijo stanja. Opažen vdor v strežnik Iskanje izrabljene varnostne luknje ali ranljivosti, po- moč pri opredeljevanju posledic in vira vdora, analiza (razobličenje, zloraba podatkovnih baz, namestitev sledi na zlorabljenih sistemih, nasveti za odstranjevan- prikritih orodij storilca). je škode in zaščito. Phishing elektronska sporočila Odstranjevanje in označevanje lažnih spletnih mest. Prepoznava širših in ciljanih napadov, obveščanje me- (potvorjena elektronska sporočila, ki vas napeljujejo, dijev ter javnosti, sodelovanje z bančnim sektorjem in da vpišete geslo na lažno spletno stran). ponudniki storitev. Napad onemogočanja Ocena o uporabljenih sredstvih za napad, opredelitev možnih zaščitnih ukrepov, poskus onemogočanja bot- (poplava s prometom, napad na storitev ali spletno neta in obveščanje ponudnikov o zlorabljeni infrastruk- aplikacijo z namenom njenega onemogočanja). turi ter njeni zaščiti. (vmesniki za upravljanje spletnih storitev, upravljan- Obveščanje skrbnikov, svetovanje pri nastavitvah in je naprav ali industrijskih procesov, spletnih kamer Ranljive ali izpostavljene storitve ipd., ranljiva omrežna infrastruktura, ki omogoča omejevanju dostopa, preiskovanje zlorabe storitve. napade onemogočanja). Izguba gesel ali kraja omrežne identitete Svetovanje pri ponovnem prevzemu računov, dodatnih (zloraba preko phishing napada ali okužbe računal- zaščitnih ukrepih in možni identifikaciji storilca. nika). Shema 2: Kdaj prijaviti incident na SI-CERT (vir: SI-CERT) Kaj lahko pričakujete po oddani prijavi Kdaj pomoč poiščete sami Iz SI-CERT vam bomo odgovorili v najkrajšem Splet predstavlja nove priložnosti tudi za sple- možnem času z obrazložitvijo incidenta in na- tne goljufe. Podatke in nasvete za njihovo pre- potki, kako ukrepati naprej. V večini primerov poznavo smo zbrali v programu ozaveščanja lahko pričakujete odgovor v nekaj urah, v sko- Varni na internetu, kjer lahko sami najdete raj vseh primerih pa v manj kot 48 urah, pri dovolj napotkov za ustrezno ukrepanje, saj čemer upoštevamo vrsto in nujnost incidenta, zaradi obilice pojavitev na vse priglasitve go- kot ju določimo po interni triažiter glede na ljufij vsakemu prijavitelju posebej ne moremo zakonske obveznosti. Glede na vrsto incidenta odgovoriti. Tveganja za tovrstne zlorabe boste bomo po potrebi stopil v stik s tujimi odzivnimi lahko bistveno zmanjšali sami, če se prijavite centri, kadar pa bo potrebno, vas bomo napo- na novičnik, v katerem obveščamo javnost o tili na ali pa sami kontaktirali druge pristojne aktualnih opaženih goljufijah. ti ustanove. arnos Vrsta goljufije Vir dodatnih informacij e v Sumljive ponudbe (ponudbe o hitrem zaslužku ali kreditih, loterijske nagrade, brezplačne Varni na internetu vinjete ali telefoni, neverjetno poceni spletni nakupi, dediščine neznanih https://varninainternetu.si sorodnikov …). Spletna goljufija očnik kibernetsk (lažne spletne trgovine, prevare pri prodaji in nakupih preko spletnih Prir posrednikov, nigerijske ter ljubezenske prevare, izsiljevanje z domnevni- mi intimnimi posnetki). Shema 3: Vrste goljufij in viri informacij (vir: SI-CERT) 22 Več o spletnih goljufijah - Zavezanci po Zakonu o elektronskih komu- zbrali v programu ozaveščanja Varni na inter- skih komunikacijah, je ojačati varnost javnih netu, kjer lahko sami najdete dovolj napotkov komunikacijskih omrežij in storitev subjektov, za ustrezno ukrepanje, saj zaradi obilice poja-Podatke in nasvete za njihovo prepoznavo smo uveljavil Direktivo (EU) 2018/1972 o elektron-nikacijah (ZEKom-2); namen ZEKom-2, ki je vitelju posebej ne moremo odgovoriti. Tvega- nalno varnost. Skladno s to zavezo in zaradi nja za tovrstne zlorabe boste lahko bistveno večje učinkovitosti in takojšnjega razreševa-zmanjšali sami, če ostanete obveščeni preko nja varnostnih incidentov morajo operaterji o vitev na vse priglasitve goljufij vsakemu prija- tične storitve, kar ima pomen tudi za nacio-ki z vidika države in družbe zagotavljajo kri- novičnika, v katerem obveščamo javnost o ak- varnostnem incidentu takoj obvestiti AKOS in tualnih opaženih goljufijah. SI-CERT (nacionalno skupino CSIRT). Pogoji, Navodila za zavezance kdaj gre za takšne varnostne incidente, so do- ločeni v 118. členu ZEKom-2. S sprejetjem Zakona o informacijski varnosti (ZInfV) leta 2018, ki je v slovenski pravni red - Zavezanci po Zakonu o varstvu osebnih po- prenesel Direktivo o ukrepih za visoko skupno datkov (ZVOP-2); Zakon o varstvu osebnih raven varnosti omrežij in informacijskih siste- podatkov prenaša evropsko splošno uredbo mov v Uniji (direktiva NIS), je SI-CERT določen o varstvu podatkov (GDPR) v slovensko zako-za nacionalno skupino CSIRT, katere naloge nodajo in tudi ureja nacionalne posebnosti so opredeljene v 28. členu ZInfV. Kot ključne varstva osebnih podatkov. V 23. členuZVOP-2 naloge v vlogi nacionalne skupine CSIRT iz- so opredeljene posebne obdelave osebnih postavljamo sprejem prijav incidentov, ki jih podatkov, upravljavcem ta člen nalaga smi-priglasijo zavezanci, in nudenje metodološke selno uporabo določbe o varnostnih zahte-pomoči pri obvladovanju incidentov, saj pra- vah in priglasitvi incidentov iz zakona, ki ureja vilno in pravočasno odzivanje na kibernetske informacijsko varnost, ki se nanašajo na iz-incidente bistveno prispeva k zagotavljanju vi- vajalce bistvenih storitev, če upravljavec glede soke stopnje kibernetske varnosti v državi. teh obdelav ni dolžan izvajati ukrepov po za- konu, ki ureja informacijsko varnost. V vlogi zavezancev, ki imajo dolžnost priglasi- tve kibernetskih incidentov nacionalni CSIRT Kako prijaviti incident na SI-CERT skupini, so tri skupine subjektov: Zaznani incident zavezanci v čim krajšem času, - Zavezanci po Zakonu o informacijski var- brez nepotrebnega odlašanja priglasite po ele- nosti (ZInfV) so tako izvajalci bistvenih ktronski pošti na naš naslov cert@cert.si. storitev (priglasitev v skladu s 13. členom Podatke lahko zašifrirate s SI-CERT javnim PGP ZInfV) kot ponudniki digitalnih storitev ključem. Če niste vešči postopkov šifriranja in (priglasitev v skladu s 14. členom ZInfV), ki mo-digitalnega podpisovanja s PGP, lahko občutlji-rajo nacionalnemu CSIRT brez nepotrebnega ve podatke pošljite v ZIP arhivu, ki ga zaščitite z odlašanja priglasiti incidente s pomembnim ti geslom. V primeru želje ali zahteve po uporabi negativnim vplivom na delovanje bistvenih druge vrste šifriranja in/ali digitalnega podpi-arnos storitev, ki jih zagotavljajo. Pri določitvi, ali bi sovanja, nam to posebej sporočite.e v incident imel pomemben negativen vpliv, se upoštevajo dejavniki, ki so navedeni v Ured- V primeru posredovanja vzorcev škodljive kode bi o določitvi bistvenih storitev in podrobnejši ali druge zlonamerne ali sumljive vsebine, mo- metodologiji za določitev izvajalcev bistvenih rate to pred pošiljanjem zašifrirati. V naspro- storitev. tnem primeru sporočilo ne bo dostavljeno, očnik kibernetsk zaradi detekcije škodljive vsebine na poštnem Prir strežniku. 23 Obrazci za poročanje - Po prejemu prijave lahko z naše strani priča- - Zavezanci, kot jih določa metodologija po Odgovor v zadevi vsebuje unikatno oznako kujete odgovor s potrdilom o prejemu prijave. ZInfV, pri sporočanju incidentov sledijo Na- (primer: \[SI-CERT#187654\]). Če je le možno, cionalnemu načrtu odzivanja na kibernet- naj vsa nadaljnja komunikacija glede istega ske incidente (NOKI), ki je vodilo zavezancev, incidenta v zadevi sporočila ohrani to oznako. komu, kdaj in kako priglasiti kibernetski inci- dent znotraj svojih sistemov. Zavezanci lahko Prostovoljna prijava bijo obrazec Priloga E iz NOKI. Zavezanci lahko na SI-CERT priglasite tudi v komunikaciji s SI-CERT prostovoljno upora- incident ali varnostni dogodek, ki po po- - Operaterji elektronskih komunikacij v skladu membnosti ne zadostuje kriterijem za obve- z ZEKom-2 incident priglasijo prek obrazca, zno poročanje, bi pa podatki o incidentu lahko predpisanega s strani AKOS Poročilo o varno- koristili širši skupnosti. Tako prijavo obravna- stnem incidentu vamo kot prostovoljno priglašeno prijavo. Med take primere lahko spadajo: - Upravljavci pri sporočanju kršitev varnosti osebnih podatkov na področju posebnih ob- - e-naslov, ki vsebuje škodljivo kodo; sitvi incidenta lahko uporabijo obrazec Prilo- - kakršenkoli phishing napad (tudi neuspešen); delav sledijo določbam po ZInfV in pri prigla- ga E iz NOKI. - zaznane okužbe spletnih strani; Dodatni napotki - skeniranje omrežja, poskusi vdorov, ali kakr- - Prijava naj poleg ključnih podatkov o zazna- šenkoli drug škodljiv ali sumljiv promet iz slo- venskih IP naslovov; nem incidentu (čas zaznave incidenta, opis, kaj se je zgodilo, vpliv incidenta na delovanje - skeniranje omrežja ali poskusi vdorov, ki storitve ipd.), vsebuje še vse relevantne dnev- odstopajo od običajnih zaznav; kode, podtaknjene vsebine na spletni strani - novi, neznani in neobičajni vzorci napadov. niške izseke (ang. log files), vzorce škodljive ipd. Deljenje informacij v CSIRT skupnosti - Če je možno, naj bodo poslani podatki v for- SI-CERT vse informacije, povezane s prijavljeni- matu, ki omogoča čim lažjo strojno obdela- mi kibernetskimi incidenti, tako prostovoljnimi vo (txt, csv, json, xml, log …). Izogibajte se kot s strani zavezancev, obravnava kot zaupne. formatom, ki niso namenjeni strojni obdelavi (pdf, xlsx, jpg, png …). Skladno z ustaljenimi postopki delovanja odziv- nih centrov pa lahko določene kazalnike zlorab - V primeru potrebe po pošiljanju večje količine (ang. indicators of compromise, IoC) delimo še podatkov, nam to posebej sporočite, da vam v širši CSIRT skupnosti. pošljemo povezavo na spletno stran, na kate- ti Pri tem uporabljamo protokol TLP (ang. Traffic ri boste lahko varno odložili večje datoteke. Light Protocol), ki je postal de-facto standard arnos pri izmenjavi informacij. e v očnik kibernetsk Prir 24 Oznaka Pomen RED Informacija ni za razkritje, omejeno le na prisotne Naslovniki ne smejo deliti informacije izven okvirja samega sestanka ali pogovora, v katerem je RDEČA bila informacija posredovana. Informacija TLP:RED se mora posredovati ustno ali osebno. Razkritje omejeno na organizacije udeleženih AMBER Naslovniki lahko delijo informacijo samo znotraj svoje organizacije. Pošiljatelj lahko dovoli RUMENA izmenjavo tudi s partnerskimi organizacijami naslovnika, ko je poznavanje informacije nujno pri zaščiti in preprečevanju nadaljnje škode. Razkritje omejeno na skupnost ali sektor GREEN Naslovniki lahko delijo informacijo po potrebi znotraj svoje organizacije ter znotraj svoje ZELENA skupnosti ali sektorja, vendar pa ne po komunikacijskih kanalih, ki so dostopni tudi širši javnosti (objava na javno dostopnih mestih). WHITE Razkritje ni omejeno BELA Naslovniki lahko informacijo prosto delijo naprej. Shema 4: Protokol TLP (ang. Traffic Light Protocol) je de-facto standard pri izmenjavi informacij (Vir: SI-CERT) Izmenjava informacij o kibernetskih grožnjah Na SI-CERT upravljamo centralno vozlišče je odprtokodna platforma za izmenjavo infor- MISP organizacije pridobijo brezplačen dostop macij o kibernetskih grožnjah. Prek platfor-do širokega nabora indikatorjev zlorab, ki jih me MISP partnerji izmenjujemo informacije o lahko uporabijo za iskanje korelacij znotraj MISP (Malware Information Sharing Platform) narodno skupnost. S priklopom na platformo MISP v državi in smo dobro povezani v med- kazalnikih zlorab (IoC), pridobljenih z analizo sistema SIEM ali pa zgolj kot dodatna pravila škodljive kode ali zajemom in analizo sumlji-na požarni pregradi ali obogatitev filtrov po-ve omrežne dejavnosti. Tako pridobljeni indi-štnega strežnika. katorji so ključnega pomena pri pravočasnem odkrivanju in proaktivni zajezitvi omrežnih Zavezanci se lahko za priklop na MISP obrnejo zlorab ter tudi za povezovanje posameznih, z z elektronskim sporočilom na info@cert.si . analizo pridobljenih indikatorjev z že znanimi omrežnimi zlorabami in okužbami. ti arnos e v očnik kibernetsk Prir 25 Poglavje 5 Predstavitev inšpekcijskih pregledov in priporočila na podlagi prakse (inšpekcijske izkušnje) POVZETEK V pričujočem poglavju so izpostavljene tiste ugotovitve, ki jih Inšpekcija za informacijsko varnost pri Uradu Vlade RS za informacijsko varnost najpogosteje zaznava pri izvedbi ustreznih nadzorov zavezancev v Republiki Sloveniji. Informacija se podaja kot pomemben pripomoček in napotilo za stare ter nove zavezance na podlagi Zakona o informacijski varnosti, da bodo lahko še bolj uspešno zagotovili uskladitev svojih procesov in varnostnih ti zahtev znotraj svojih organizacijskih okolij. arnos e v Ključne točke: • Vloga in pristojnosti Inšpekcije za informacijsko varnost • Postopki za pripravo na izvajanje inšpekcijskih postopkov pri zavezancih očnik kibernetsk • Glavne ugotovitve ob izvedenih inšpekcijskih postopkih (primeri dobrih praks Prir in napotil za večjo pozornost na posameznih področjih). 26 V inšpekcijah, ki jih izvaja Inšpekcija za infor- ničnih ranljivosti zelo oteženo. Nemogoče je macijsko varnost pri Uradu Vlade RS za infor- namreč spremljati ranljivosti za informacijska macijsko varnost, so najpogosteje zaznane sredstva, če ta sploh niso prepoznana oziroma nepravilnosti ali pomanjkljivosti pri zavezan- popisana. Posledično zavezanci za morebitne cih po Zakonu o informacijski varnosti: ranljivosti izvejo šele po obvestilu SI-CERT ali Zavezanec ima pomanjkljivo izdelano za-seveda sploh izvedeno (pogosto ni). zunanjih ponudnikov storitev, če je obveščanje konsko predpisano dokumentacijo ali pa na- vedene dokumentacije sploh nima. Zavezanec nima izvedenih popisov poslov-Glede na to, v katero vrsto zavezancev spada- nih procesov (ali pa so ti izvedeni samo del-jo na podlagi prvega odstavka 5. člena Zakona no). o informacijski varnosti, bi morali zavezan- Enako, kot velja za popis sredstev, velja tudi ci imeti izdelano varnostno dokumentacijo v za popis procesov. Brez popisa poslovnih pro-skladu z eno od uredb, ki veljajo za tovrstne cesov in prepoznave kritičnosti določenih pro-zavezance (IBS, ODU ali povezani subjektu). cesov ni mogoče izdelati ter upravljati sistema Inšpekcija ugotavlja, da imajo zavezanci po- neprekinjenega poslovanja, niti ni mogoče iz-gosto pomanjkljivo dokumentacijo (npr. manj- vesti ocene vpliva na poslovanje. kajo posamezni elementi, dokumentacija ne odraža dejanskega stanja SUNP in SUVI, do- Zavezanec nima izdelane ocene vpliva na kumentacija ne podpira aktivnosti zavezanca) poslovanje (BIA analiza), ima pa izdelano ali je celo sploh nimajo. politiko/načrt neprekinjenega poslovanja. Zavezanec nima izdelanega popisa (ključ- Ocena vpliva na poslovanje oz. BIA analiza je eden ključnih elementov za pripravo politike nih) informacijskih virov/sistemov, ima pa neprekinjenega poslovanja, saj zajema do-izdelano analizo obvladovanja tveganj. ločitev ciljnih časovnih okvirov za obnovitev Popis sredstev znotraj SUVI je eden ključnih procesov in ciljnih točk za obnovitev podatkov elementov za pripravo analize obvladovanja ter navedbo možnih dogodkov in incidentov, tveganj. Šele ko so določena sredstva prepoz- ki vplivajo na neprekinjeno poslovanje. Hkrati nana in popisana, je mogoče prepoznati mo- je tudi temelj za navedbo ukrepov, ki zagota-žne grožnje za izgubo zaupnosti, celovitosti in vljajo neprekinjeno poslovanje in minimalno razpoložljivosti sredstev, prepoznati morebi- raven poslovanja. Brez BIA analize ni mogo-tne njihove ranljivosti in oceniti stopnjo vpliva če realno oceniti, s katerimi ukrepi zavezanec uresničitve groženj. Brez popisa sredstev tudi zagotavlja neprekinjeno poslovanje in kako ga ni mogoče izdelati seznama ključnih, krmilnih zagotavlja, niti ni mogoče realno določiti mi-in nadzornih informacijskih sistemov ter preso- nimalne ravni poslovanja. Politika neprekinje-diti, ali je zagotavljanje storitev odvisno od po- nega poslovanja, izdelana brez BIA analize, je sameznega sredstva. Analiza tveganj, izdelana zato zelo verjetno pomanjkljiva ali pavšalno to so popisi sredstev sicer narejeni, vendar kot arnos tevana je (izredno) visoka razpoložljivost, parcialne rešitve samo za ozke segmente po-e v nima vzpostavljene (ustrezne) sekundarne slovanja, za katere se je velikokrat izkazalo, da lokacije. niso povezani z izvajanjem bistvenih storitev. lana pavšalno in je sama sebi namen. Pogos- ti Zavezanec, ki izvaja storitve katerih zah- brez popisa sredstev, je zato zelo verjetno izde- izdelana. Poudarjamo, da je po izvedenem popisu Nekateri zavezanci morajo storitve zagotavlja-ti v zelo visoki razpoložljivosti, 24 ur na dan, sredstev treba tega tudi redno periodično po-sedem dni v tednu. Če so storitve odvisne od očnik kibernetsk sodabljati. Neizveden ali neposodobljen po- informacijskih sredstev (in skoraj gotovo so), Prir pis informacijskih sredstev pomeni, da bo na bo zavezanec brez ustrezne sekundarne loka- primer upravljanje in preprečevanje izrab teh- 27 cije težko zagotavljal storitve v primeru izpada ravni storitev). Zavezanci pogosto tega ne primarne lokacije, ki se lahko zgodi iz različ- opredelijo. Za informacijsko varnost je odgo- nih razlogov (naravne nesreče, kot so poplave, voren zavezanec tudi v primeru, ko izvajanje potresi, požari, sabotaže ali druge vrste na- informacijskih storitev najemajo pri zuna- mernih poškodovanj). Taki zavezanci morajo njem ponudniku storitev. zato zagotavljati ustrezno sekundarno lokaci- jo, ki bo zagotavljala nemoteno izvajanje sto- Zavezanec ni predpisal in izvajal testov po- ritev v primeru, da to na primarni lokaciji ni stopkov upravljanja izrednih dogodkov, ki več mogoče. imajo negativen vpliv na izvajanje bistvenih storitev. Zavezanec ni opredelil varnostnih zahtev za Na izvajanje bistvenih storitev ali storitev, ki ključne dobavitelje informacijske opreme, ki jih morajo neprekinjeno zagotavljati različni se uporablja za zagotavljanje bistvenih sto-subjekti, lahko vplivajo različni dogodki. Na ritev. splošno ne zadostuje, da jih zavezanci samo Izvajanje kritičnih (bistvenih) procesov, s ka- opredelijo v predpisanih internih aktih, saj terimi se zagotavlja neprekinjeno izvajanje bi- brez občasnega testiranja postopkov zaveza- stvenih storitev, je pogosto odvisno od opreme nec težko predvideva, kako bodo vplivali na iz- ali storitev tretjih oseb, torej tudi pogodenih vajanje bistvenih storitev, na poslovne procese dobaviteljev. Zavezanci naj zato določijo kri- ali na zagotavljanje neprekinjenega poslova- tičnost vsakega dobavitelja za poslovanje, pri nja. Zavezanci pogosto takšnih testov niti ne čemer naj analiza upošteva možne posledice predpišejo, ali pa jih predpišejo in jih ne izvaja- v primeru motenj v storitvah dobavitelja (med jo (npr. imajo na lokaciji zagotovljen generator te spadajo tudi morebitne motnje pri dobavi ter UPS za primer izpada električne energije, opreme) ali celo za primer, da so te storitve vendar ne testirajo, za kakšen obseg nalog in onemogočene (npr. stečaj oziroma prenehanje za koliko časa zadostujeta). Pomembno je, da poslovanja dobavitelja). Za ključne dobavite- zavezanci periodično takšne teste tudi izvede- lje je nato treba opredeliti varnostne zahteve, jo, saj bodo lažje zagotovili izvajanje storitev v tega pa zavezanci pogosto ne storijo. Dobro realnih dogodkih. definirane varnostne zahteve zagotavljajo, da zavezanec dobi varno strojno in program- Zavezanec ni redno izvajal (v skladu z navo- sko opremo brez potencialnih ranljivosti. Pri dili oziroma priporočili proizvajalcev opre- strojni opremi naj gredo zahteve v smeri over- me) posodobitev ključnih informacijskih janja izvora (varnost dobavne verige), zahte- sistemov (strežnikov, aplikacij, omrežne vanje dokazil o izvajanju testiranj, prilaganje opreme, ipd.). certifikatov za skladnost z varnostnimi stan- Neposodobljeni informacijski sistemi bistveno dardi in podobno. Pri programski opremi naj povečujejo tveganje za kibernetske napade, gredo zahteve v smeri zagotavljanja sodobnih saj so izpostavljeni znanim ranljivostim, ki jih ti varnostnih funkcionalnosti (npr. t.i. »military lahko izkoristijo različni akterji. Posledica so grade« šifriranje), zagotavljanja podpore pri lahko v takšnim primerih izjemno hude, saj arnos odpravi napak in ranljivosti, zagotavljanja re- lahko vodijo v prekinitev zagotavljanja storitev, e v dnih posodobitev ter vključene zaščite pred izgube podatkov, izgube nadzora nad sistemi nepooblaščenim dostopom. in posledično velikih stroškov ter izgube ugle- Ker zavezanci za IT področje pogosto naje- da. Zato je ključno, da se posodobitve izvajajo redno in pravočasno. majo zunanje ponudnike storitev, je ključno, očnik kibernetsk da so v takem primeru varnostne zahteve Zavezanec ni zagotovil ohranjanja dnev- Prir zaglavne dobavitelje opredeljene v internih niških zapisov o delovanju vseh ključnih in- aktih in vključene v pogodbe (sporazum o formacijskih sistemov in delov omrežja, ki so 28 bistvenega pomena za delovanje bistvenih Zavezanci ne izvajajo rednega izobraževanja storitev, za obdobje najmanj šest mesecev zaposlenih na področju informacijske var-(na območju R Slovenije). nosti in ne zagotavljajo zadostnega usposa-Definiranje ključnih informacijskih sistemov in bljanja ter izpopolnjevanja za ključni IT kader. delov omrežja je pomembno tudi ker je treba Strokovnjaki na področju kibernetske varnos-za te sisteme, če so bistvenega pomena za de- ti stalno opozarjajo, da smo ljudje najšibkej-lovanje bistvenih storitev, zagotoviti dnevniške ši člen v verigi kibernetska varnosti. Veliko zapise (loge) za obdobje najmanj šest mese- škodljivih dogodkov bi se dalo preprečiti z cev, pri čemer se morajo hraniti na območju ustreznim usposabljanjem zaposlenih, saj se Republike Slovenije. Pogosto pri zavezancih incidenti pogosto začnejo na podoben način. ugotavljamo, da takšnih zapisov sploh ni, ni Izobraževanje zaposlenih je zato ključnega vseh potrebnih zapisov, ali da se hranijo pre- pomena pri prepoznavanju tovrstnih dejanj, malo časa. zlasti phishinga in drugih podobnih oblik soci- Zavezanec ni preverjal kakovosti izdelave zaposleni bolj ozaveščeni o posledicah, ki jih alnega inženiringa. Menimo, da bi morali biti varnostnih kopij. lahko povzročijo morebitna tvegana dejanja Varnostno kopiranje je eden ključnih mehaniz- (npr. odpiranje škodljivih priponk, uporaba mov za zagotavljanje razpoložljivosti podatkov svojih naprav za službene namene in obratno, v primeru nepredvidenih dogodkov. Zavezanci ipd.). ga sicer zagotavljajo na različne načine, precej Poudariti je treba zlasti to, da zavezanci po-redkeje pa preverjajo kakovost izdelanih kopij. gosto ne namenjajo dovolj pozornosti niti Če zavezanec namreč vsaj občasno ne izvede usposabljanju in izpopolnjevanju ključnega testa oz. simulacije obnove podatkov iz obsto-IT kadra, temveč so ti kadri prepuščeni lastni ječih kopij, bo težko vedel, ali je obnova sploh iniciativi in lastni volji. Poudarjamo, da je po-mogoča. Zavezanci naj zato poleg varnostne-dročje kibernetske varnosti take narave, da ga kopiranja periodično izvajajo tudi obnovo z zahteva stalno usposabljanje in izpopolnjeva-namenom, da preverijo, ali so varnostne kopi-nje, kar bi morali zavezanci upoštevati že v fazi je ustrezne in dovolj kakovostne, da omogoča-načrtovanja proračunov. jo obnovo podatkov v primeru nepredvidenega dogodka. Zavezanci sicer prepoznajo odgovorne osebe Zavezanci nimajo potrebnega kadra/znanja za neprekinjeno poslovanje, niso pa ti ključ- za izvajanja dolžnega nadzorstva nad izva-ni kadri prepoznani v podpornih procesih (ni janjem storitev zunanjih ponudnikov (ni mo-zagotovljene dosegljivosti potrebnega ključ- goče obvladovanje tveganj dobavne verige). nega kadra izven delovnega časa). S prejšnjo točko – izvajanje rednega izobra-Mogoča posledica takšnega ravnanja je, da ževanja in izpopolnjevanja kadra – je poveza-zavezancu ključni kader ne bo na voljo ob no tudi izvajanje nadzorstva nad izvajanjem ti Zato je vprašljivo, ali bo zavezanec res lahko arnos ni mogoče nadzirati, če zavezanci nimajo ka-e v zagotavljal neprekinjeno poslovanje v takšnih morebitnih incidentih ali podobnih dogodkih. storitev zunanjih ponudnikov. Dobavne verige dra in/ali znanja, da to izvajajo. S tem ostane primerih in na določene neželene dogodke re- tveganje, povezano s celotno dobavno verigo, agiral učinkovito in pravočasno. praktično neobvladovano ali nenadzorovano. očnik kibernetsk Prir 29 Sekcija 2 Pregled nacionalnih in evropskih pravnih podlag ter ključne mednarodne institucije za strokovno podporo ti arnos e v očnik kibernetsk Prir 30 Poglavje 6 Pregled in predstavitev nacionalnih pravnih podlag ter ključnih poudarkov POVZETEK Poglavje ponuja pregled ključnih zakonodajnih aktov in smernic, ki urejajo področje infor- macijske varnosti v Republiki Sloveniji. Zakon o informacijski varnosti (ZInfV) določa prav- ne podlage za zaščito omrežij in informacijskih sistemov ter pristojnosti zavezancev, kot so izvajalci bistvenih storitev, izvajalci digitalnih storitev in ostali zavezanci. Integracija Di- rektive NIS-2 bo prinesla novosti v nacionalni zakonodaji, vključno s strožjimi standardi in razširjenim področjem uporabe. Prav tako uredbe, kot so tiste o varnostni dokumentaciji, zagotavljajo jasne okvirje za izvajanje varnostnih ukrepov. Poglavje poudarja pomembnost usklajevanja z evropskimi standardi in prilagodljivost zakonodaje glede na hitro spremi- njajoče se grožnje. Ključne točke: • Zakon o informacijski varnosti (ZInfV) • Direktiva NIS-2 in njen vpliv • Uredbe o varnostni dokumentaciji ti • Zakon o kritični infrastrukturi (ZKI) arnos • Strategija kibernetske varnosti e v • Zakon o elektronskih komunikacijah (ZEKom-2) • Pristojnosti nacionalnih organov in CSIRT • Usklajevanje z EU standardi očnik kibernetsk • Prilagodljivost zakonodaje na nove grožnje. Prir 31 Razumljivo je, da so zavezanci, ki so ključni za bliki Sloveniji. Tiso bistvenega pomena za ne- neprekinjeno delovanje širše družbene skup- moteno delovanje države v vseh varnostnih nosti tako pomembni, da jih zakonodajalec razmerah in zagotavljajo bistvene storitve za obravnava neposredno in posredno v posame- ohranitev ključnih družbenih ter gospodarskih znih pravnih predpisih. Zaradi navedenega je dejavnosti v Republiki Sloveniji. Določa mini- pričujoče poglavje usmerjeno v pregled trenu- malne varnostne zahteve in zahteve za prigla- tno veljavnih zakonskih aktov, ki bodo omogo- sitev incidentov za zavezance tega zakona. Prav čali razumeti normativni okvir, pristojnosti in tako ureja pristojnosti, naloge, organizacijo in nenazadnje tudi odgovornosti za ureditev var- delovanje pristojnega nacionalnega organa za nosti ter zagotavljanje neprekinjenosti delova- informacijsko varnost, enotne kontaktne točke nja ključnih procesov v teh organizacijah. Po- za informacijsko varnost, nacionalne skupine membno je tudi zavedanje, da se zakonodajni za obravnavo incidentov s področja varnosti okvir na tem področju zaradi dinamičnih spre- elektronskih omrežij ter informacij (nacional- memb v mednarodnem in posledično nacio-ni CSIRT) in skupine za obravnavo incidentov s nalnem okolju, vseskozi spreminja. Trenutno v področja varnosti elektronskih omrežij in infor- Republiki Sloveniji poteka integracija nove EU macij organov državne uprave (CSIRT organov direktive NIS-22 v nacionalni pravni red, kar bo državne uprave) na področju zagotavljanja in- posledično pomenilo, da bo do konca leta spre- formacijske varnosti. gledu pomembnih zakonskih predpisov smo se V 5. členu ZInfV so podrobno določeni zavezan-jet nov Zakon o informacijski varnosti3. V pre- v zaključku tega poglavja dotaknili tudi tistih ci in področja, na katerih delujejo omenjeni za-vezanci. pravnih predpisov, ki posredno ali v kombina- ciji z osnovnimi pravnimi predpisi s področja (1) Zavezanci po tem zakonu so: bistvenih storitev. - izvajalci bistvenih storitev, informacijske varnosti vplivajo tudi na izvajalce Pri pripravi pregleda in predstavitve nacional- - ponudniki digitalnih storitev, nih pravnih podlag ter ključnih poudarkov s - organi državne uprave, ki upravljajo z infor- področja informacijske varnosti v Sloveniji je macijskimi sistemi in deli omrežja oziroma pomembno, da se osredotočite na zakonodajo, izvajajo informacijske storitve, nujne za ne- uredbe ter smernice, ki pokrivajo to področje. moteno delovanje države ali za zagotavljanje V nadaljevanju navajamo najpomembnejše nacionalne varnosti (v nadaljevanju: organi pravne predpise: državne uprave), in ti Temeljni zakoni in predpisi - državni organi, organi lokalnih skupnosti, javne agencije in nosilci javnih pooblastil ter I Zakon o informacijski varnosti (ZInfV) drugi subjekti, ki niso organi državne uprave (Uradni list RS, št. 30/18, 95/21, 130/22 – iz prejšnje alineje ali izvajalci bistvenih stori- ZEKom-2, 18/23 – ZDU-1O in 49/23)- Te- tev iz prve alineje tega odstavka in se povezu- meljni zakon, ki ureja področje informacij- jejo s centralnim državnim informacijsko-ko- ske varnosti v Sloveniji. arnos munikacijskim omrežjem oziroma sistemom (v nadaljevanju: povezani subjekti). e v Ta zakon ureja področje informacijske varnos- ti in ukrepe za doseganje visoke ravni varnosti (2) Izvajalci bistvenih storitev so subjekti, ki omrežij ter informacijskih sistemov v Repu- delujejo na naslednjih področjih: očnik kibernetsk raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 201/1972 ter razveljavitvi 2 Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno Prir Direktive (EU) 2016/1148 (direktiva NIS 2) 3 Osnutek si lahko ogledate na tej povezavi https://e-uprava.gov.si/si/drzava-in-druzba/e-demokracija/predlo- gi-predpisov/predlog-predpisa.html?id=16290 32 1. energija, V 7. členu tega zakona so še podrobneje opre- 2. digitalna infrastruktura, deljena zakonska merila – metodologija za določitev kdo je izvajalec bistvenih storitev 3. oskrba s pitno vodo in njena distribucija, (1) Pri določitvi izvajalcev bistvenih storitev iz 4. zdravstvo, drugega odstavka 5. člena tega zakona se upo- števa naslednja merila: 5. promet, 6. bančništvo, ohranitev ključnih družbenih oziroma go-- subjekt zagotavlja storitev, ki je bistvena za 7. infrastruktura finančnega trga, spodarskih dejavnosti; 8. preskrba s hrano in - zagotavljanje te storitve je odvisno od omre- žij in informacijskih sistemov ter 9. varstvo okolja. - incident bi imel pomemben negativen vpliv V 6. členu je opredeljen postopek določitev iz- na zagotavljanje te storitve. vajalcev bistvenih storitev (2) Pri določanju, kako pomemben je negativen (1) Za namen določitve izvajalcev bistvenih sto- vpliv iz tretje alineje prejšnjega odstavka, se ritev Vlada Republike Slovenije določi seznam upoštevajo vsaj trije od naslednjih med področ-bistvenih storitev iz predpisa, ki ureja standar- nih dejavnikov: dno klasifikacijo dejavnosti. 1. število uporabnikov, ki so odvisni od stori- (2) Posameznega izvajalca bistvenih storitev tve subjekta; na podlagi meril iz 7. člena tega zakona določi vlada. 2. odvisnost drugih področij iz drugega odstavka 5. člena tega zakona od storitve (3) Ne glede na določbo prejšnjega odstavka subjekta; vlada kot izvajalce bistvenih storitev določi tudi tiste upravljavce kritične infrastrukture, ki so 3. stopnja in trajanje vpliva, ki bi ga incidenti določeni v skladu s predpisi, ki urejajo področje lahko imeli na gospodarske ter družbene kritične infrastrukture, in nosilce obrambnega dejavnosti ali javno varnost; načrtovanja, ki so določeni v skladu s predpisi, 4. tržni delež subjekta; ki urejajo področje obrambe, katerih zagota- vljanje storitev je odvisno od omrežij in infor- 5. geografska razširjenost, kar zadeva obmo-macijskih sistemov. čje, ki bi ga incident lahko prizadel; (4) Če izvajalec zagotavlja bistveno storitev v 6. pomen subjekta za ohranitev zadostne Republiki Sloveniji in še kateri drugi državi čla- ravni storitve, ob upoštevanju razpoložlji-nici EU, se pristojni nacionalni organ pred do- vosti alternativnih načinov za zagotavljanje odstavka ali prejšnjega odstavka tega člena v ti (3) Pri odločanju, ali bi incident imel pomem- skladu z Direktivo 2016/1148/ES posvetuje s pri- ločitvijo izvajalcev bistvenih storitev iz drugega storitve. stojnim nacionalnim organom države članice e v ben negativen vpliv, se upoštevata vsaj dva od arnos naslednjih področnih dejavnikov: EU, kjer izvajalec takšne storitve zagotavlja. očnik kibernetsk Prir 33 - število uporabnikov, ki jih je prizadela mot- Za opredelitev ostalih podrobnosti si lahko nja pri zagotavljanju bistvene storitve; ogledate celotno vsebino zakona. - trajanje incidenta; II. Uredba o varnostni dokumentaciji in mi- - geografska razširjenost, kar zadeva obmo- nimalnih varnostnih ukrepih povezanih čje, na katerega vpliva incident. subjektov (Uradni list RS, št. 118/23) (4) Metodologijo za določitev izvajalcev bistve- turo predpisane dokumentacije povezanih su- Ta uredba podrobneje določa vsebino in struk- nih storitev podrobneje določi vlada. bjektov, metodologijo za pripravo analize obvla- 11. člen opredeljuje varnostne zahteve, ki jih dovanja tveganj informacijske varnosti z oceno morajo zagotoviti izvajalci bistvenih storitev sprejemljive ravni tveganj, način izvajanja ob- (1) Izvajalci bistvenih storitev skladno z meto- formacijske varnosti, minimalni obseg varno- dologijo iz tretjega odstavka 12. člena tega za- veznosti povezanega subjekta na področju in- kona, določijo svoje ključne, krmilne in nad- pripravo navodil in postopkov za obvladovanje zorne informacijske sisteme ter dele omrežja, stnih ukrepov glede informacijske varnosti ter s katerimi zagotavljajo izvajanje bistvenih obveščanja CSIRT organov državne uprave. incidentov informacijske varnosti s protokolom storitev. III. Uredba o varnostni dokumentaciji in var- oceno in vrednotenje tveganj ter na tej osnovi (Uradni list RS, št. 98/23) pripravijo in izvedejo potrebne ukrepe za ob-(2) Izvajalci bistvenih storitev izvedejo analizo, nostnih ukrepih organov državne uprave vladovanje tveganj glede varnosti omrežij ter Ta uredba podrobneje določa vsebino in struk- informacijskih sistemov, ki jih uporabljajo pri turo varnostne dokumentacije, metodologiji za bistvenih storitvah. pripravo analize obvladovanja tveganj ter za (3) Izvajalci bistvenih storitev sprejmejo ustre- macijskih sistemov in delov omrežja in pripa- zne ukrepe za preprečitev in zmanjšanje vpliva določitev ključnih, krmilnih in nadzornih infor- incidentov, ki vplivajo na varnost tistih omrežij no varnostnih ukrepov organov državne uprave. dajočih podatkov ter minimalni obseg in vsebi- ter informacijskih sistemov, ki se uporabljajo za zagotavljanje bistvenih storitev, da bi zagotovili IV. Uredba o varnostni dokumentaciji in var- neprekinjeno izvajanje teh storitev. nostnih ukrepih izvajalcev bistvenih sto- ritev (Uradni list RS, št. 8/23) (4) Če izvajalci bistvenih storitev za opravljanje svoje dejavnosti črpajo vhodne podatke in infor- Ta uredba podrobneje določa vsebino in struk- macije iz ključnih delov nacionalno varnostne- turo varnostne dokumentacije, metodologijo ga sistema, vzpostavijo vse potrebne varnostne za pripravo analize obvladovanja tveganj ter za zahteve ob soglasju pristojnega ministrstva za določitev ključnih, krmilnih in nadzornih infor- posamezni ključni del nacionalno varnostnega macijskih sistemov in delov omrežja in pripada-ti sistema. jočih podatkov ter minimalni obseg in vsebino varnostnih ukrepov izvajalcev bistvenih storitev. arnos V 12. členu pa je določena varnostna doku- e v mentacija in varnostni ukrepi, ki jih tukaj ne V. Uredba o določitvi bistvenih storitev in bomo posebej navajali, saj bodo podrobno opi- podrobnejši metodologiji za določitev iz- sani v 11. poglavju tega priročnika. vajalcev bistvenih storitev (Uradni list RS, št. 39/19) V 13. členu so opredeljene dolžnosti in obseg očnik kibernetsk priglasitve incidentov. Podrobno smo to že Ta uredba določa tiste storitve iz Uredbe o stan- predstavili v poglavju 4, kjer je predstavljena dardni klasifikaciji dejavnosti (Uradni list RS, št. Prir 69/07 in 17/08; v nadaljnjem besedilu: SKD), ki vloga SI-CERT. se za potrebe izvajanja Zakona o informacijski 34 varnosti (Uradni list RS, št. 30/18) štejejo za VIII. Zakon o elektronskih komunika-bistvene, in metodologijo za določitev izvajal- cijah (ZEKom-2) (Uradni list RS, cev bistvenih storitev, vključno z vrednotenjem št. 130/22 in 18/23 – ZDU-1O) med področnih in področnih dejavnikov. Ta zakon ureja pogoje za zagotavljanje elek- Za izvajalce bistvenih storitev je to zelo pomem- tronskih komunikacijskih omrežij in izvajanje ben dokument in dodatno pojasnjuje vredno- elektronskih komunikacijskih storitev, ureja tenje področnih in med področnih dejavnikov zagotavljanje univerzalne storitve, zagotavlja-med posameznimi sektorji. nje konkurence, upravljanje radiofrekvenčnega VI. Odlok o ustanovitvi, nalogah in organi- kovitejšo gradnjo in postavitev elektronskih ko-spektra ter elementov oštevilčenja, ureja učin-zaciji Urada Vlade Republike Slovenije munikacijskih omrežij ter souporabo obstoječe za informacijsko varnost (Uradni list RS, fizične infrastrukture, določa pogoje za omeji-št. 114/21 in 69/23) tev lastninske pravice, določa pravice uporab-S tem odlokom se ustanovi Urad Vlade Repu- nikov, ureja varnost omrežij in storitev, vključno blike Slovenije za informacijsko varnost (v na- v luči tveganj, ki jih prinašajo nove tehnologije daljnjem besedilu: urad) ter se v skladu s tem ter delovanje v stanjih ogroženosti, zagotavlja odlokom, Zakonom o informacijski varnosti uresničevanje in ureja varovanje pravice do ko-(Uradni list RS, št. 30/18 in 95/21; v nadaljnjem munikacijske zasebnosti uporabnikov javnih besedilu: zakon) in z drugimi predpisi določijo komunikacijskih storitev, ureja reševanje spo-njegove naloge in organiziranost. rov na področju tega zakona, ureja pristojnosti, VII. Strategija kibernetske varnosti – vzpo- kacijska omrežja in storitve Republike Sloveni-stavitev sistema zagotavljanja visokega organizacijo in delovanje Agencije za komuni- je (v nadaljevanju: agencija) kot neodvisnega nivoja kibernetske varnosti (februar 2016) regulativnega organa ter pristojnosti drugih S pomočjo strategije kibernetske varnosti Slo- organov, ki opravljajo naloge po tem zakonu, venija krepi svoj sistem zagotavljanja kiber- ter druga vprašanja, povezana z elektronskimi netske varnosti, hkrati pa to področje tudi sis- komunikacijami. nujna zaradi vedno večjega pomena kibernet- lavje Varnosti omrežij in storitev ter delovanje ske varnosti za nemoteno delovanje sistemov, v stanjih ogroženosti, ki je posebej pomembno temsko ureja. Okrepitev celotnega sistema je V tem poglavju je zlasti pomembno VIII. pog-od katerih je odvisno delovanje celotne družbe. za telekomunikacijske operaterje. Prav tako državo k temu spodbujajo in hkrati zavezujejo nacionalni ter mednarodni strate- Zakon o kritični infrastrukturi (ZKI) (Uradni list ški dokumenti. Učinkovit sistem zagotavljanja RS, št. 75/17, 189/21 – ZDU-1M in 102/24 – ZKI-1) kibernetske varnosti ni in ne more biti poce- Ta zakon ureja ugotavljanje in določanje kritič-ni, temveč je neprimerljivo cenejši, kot bi bilo ne infrastrukture Republike Slovenije, načela odpravljanje posledic, ki bi lahko nastale ob ter načrtovanje zaščite kritične infrastrukture, varnostnih incidentih, če takega sistema ne ti naloge organov in organizacij na področju kri-bi bilo. Strategija vsebuje pregled obstoječega tične infrastrukture ter obveščanje, poročanje, arnos stanja na področjih, pomembnih za zagotavlja-zagotavljanje podpore odločanju, varovanje e v nje kibernetske varnosti, opredeljuje vizijo ter podatkov in nadzor na področju kritične infra-zastavlja cilje. Prav tako opredeljuje področ-strukture. ja, na katerih se bo udejanjala, in tveganja, ki nastopajo v kibernetskem prostoru. Strategija Ta zakon je pomemben za tiste organizacije, predlaga način, kako naj bo sistem zagotavlja- ki so določene tako v kategorijo izvajalcev bi- očnik kibernetsk nja kibernetske varnosti organiziran, in potreb-stvenih storitev, kakor tudi upravljalcev kritične Prir ne ukrepe za uresničitev zastavljenih ciljev. infrastrukture. 35 OPOMBA: V postopku sprejema je nov Zakon nov Zakon o kritični infrastrukturi, ki bo v na- o informacijski varnosti s katerim bo Repu- cionalni pravni red prenesel EU Critical En- blika Slovenija v pravni red prenesla določila tities Resilience Directive (CER Directive - EU EU direktive NIS-2. V osmem poglavju bodo Directive 2022/2557), ki še tesneje povezuje podrobneje predstavljene novosti, ki jih pri- področja kritične infrastrukture in kibernetske naša omenjena EU direktiva in se bodo ob varnosti. sprejemu odrazile tudi v novem Zakonu o in- formacijski varnosti. Ravno tako je bil sprejet ti arnos e v očnik kibernetsk Prir 36 Poglavje 7 Pregled in predstavitev evropskih pravnih podlag ter ključnih poudarkov POVZETEK Evropska unija je skozi pravne in strateške ukrepe oblikovala celovit okvir za kibernetsko varnost, ki naslavlja hitro spreminjajoče se digitalne grožnje. Ključni dosežki vključujejo sprejetje Direktive NIS (2016), ki je prvič postavila pravne temelje za zaščito kritičnih sek- torjev, ter njeno nadgradnjo z Direktivo NIS-2 (2022), ki širi področje uporabe na dodatne sektorje, uvaja strožje zahteve in spodbuja čezmejno sodelovanje. EU Cybersecurity Act (2019) uvaja certifikacijski sistem za IKT izdelke, storitve in procese, kar zagotavlja uskla- jenost varnostnih standardov po celotni EU. ENISA, kot centralni organ za kibernetsko varnost, podpira izvajanje teh ukrepov, spodbuja ozaveščenost ter krepi operativne zmo- gljivosti držav članic. Skupni cilj teh strategij je povečati odpornost kritične infrastrukture, izboljšati sodelovanje in zagotoviti varen digitalni prostor za vse državljane in organizacije. Ključne točke: • Pravna podlaga: Direktiva NIS (2016) • Razširitev in nadgradnja: Direktiva NIS-2 (2022) • Standardizacija: EU Cybersecurity Act • Osrednja vloga: ENISA (Agencija za kibernetsko varnost) ti • Krepitev odpornosti kritične infrastrukture arnos • Varovanje dobavnih verig in IKT sektorja e v • Mednarodno sodelovanje in kibernetska diplomacija • Evropski sistem zgodnjega opozarjanja: Kibernetski ščit (AI) • Strateško usklajevanje držav članic očnik kibernetsk • Vzpostavitev zaupanja v digitalne ekosisteme. Prir 37 Da bi pridobili celovito razumevanje strategij Ukrepi temeljijo na „pristopu vseh nevarnosti“, Evropske unije (EU), ki se nanašajo na vzposta- katerega cilj je zaščititi omrežne in informacij- vitev zakonodajnega in regulativnega okvira za ske sisteme ter fizično okolje teh sistemov pred kibernetsko varnost, se je nujno treba poglobiti incidenti, ki vključujejo „vsaj“ naslednje: EU. Ta zgodovinski kontekst zagotavlja ključno (a) politike o analizi tveganja in varnosti infor-v zapleten razvoj sistema kibernetske varnosti osnovo za razumevanje kasnejših priporočil in macijskega sistema; najboljših praks, ki so bile oblikovane na pod- (b) obravnavanje incidentov; bljenih iz različnih kontekstov. (c) neprekinjeno poslovanje, kot je upravljanje lagi neposrednih izkušenj ter spoznanj, prido- varnostnih kopij in obnova po katastrofi ter Razvoj režima kibernetske varnosti EU je dokaz krizno upravljanje; la s porajajočimi se prizadevanji za obravnavo povezanimi z varnostjo, v zvezi z odnosi med vsakim subjektom in njegovimi neposredni- kibernetskih groženj s postopnimi pobudami mi dobavitelji ali ponudniki storitev; v posameznih državah članicah. Ko sta se re- no pokrajino digitalnih groženj. Pot se je zače- (d) varnost dobavne verige, vključno z vidiki, njegove prilagodljivosti kot odziv na dinamič- snost in kompleksnost kibernetskih napadov (e) varnost pri pridobivanju, razvoju in vzdrže- stopnjevala, se je pojavilo kolektivno spoznanje vanju omrežij ter informacijskih sistemov, – potreba po usklajenem pristopu za učinkovito vključno z obravnavanjem ranljivosti in reševanje teh izzivov. razkritjem; To spoznanje je doseglo vrhunec z oblikova- (f) politike in postopke za ocenjevanje učinko- njem strategije kibernetske varnosti EU, ki je vitosti ukrepov za obvladovanje tveganja ki- bil temeljni mejnik. Direktiva o varnosti omrežij bernetske varnosti; in informacij (NIS), sprejeta leta 2016, je dolo- čila prelomen pravni okvir, ki je določal ukre- (g) osnovne prakse kibernetske higiene in pe kibernetske varnosti v bistvenih sektorjih. usposabljanje na področju kibernetske var- Ta direktiva je poudarila medsebojno poveza- nosti; ti nost kritične infrastrukture in vzpostavila trden (h) politike in postopke v zvezi z uporabo krip-mehanizem poročanja za incidente, izboljšala tografije ter po potrebi šifriranja; zavedanje o razmerah ter spodbudila kulturo (i) varnost človeških virov, politike nadzora do-preglednosti. stopa in upravljanje sredstev; Najnovejši korak prizadevanj EU za kibernet-(j) uporaba večfaktorske avtentikacije ali reši-sko varnost se odraža v novi direktivi NIS-2, ki tev za stalno avtentikacijo, zaščitene gla-bi jo morale vse države članice EU sprejeti in sovne, video in besedilne komunikacije ter objaviti ukrepe, potrebne za uskladitev z direk-zaščitenih komunikacijskih sistemov v sili tivo NIS 2. Ob upoštevanju »stanja« in, kjer je znotraj subjekta, kjer je primerno. primerno, ustreznih evropskih ter mednaro- arnos dnih standardov in stroškov izvajanja, navedeni Na tej podlagi je EU marljivo črpala iz izkušenj ukrepi zagotavljajo raven varnosti omrežij ter in spoznanj iz resničnega sveta, da bi izboljša- e v informacijskih sistemov, ki ustreza povzroče- la svoj okvir kibernetske varnosti. Priporočila in nim tveganjem. Pri ocenjevanju sorazmernosti najboljše prakse so natančno zbrali iz različnih teh ukrepov je treba ustrezno upoštevati stop- sektorjev, industrij ter zainteresiranih strani. Ta njo izpostavljenosti subjekta tveganjem, veli- ponavljajoč se proces vključuje stalen dialog, ki kost subjekta in verjetnost pojava incidentov ter očnik kibernetsk vključuje povratne informacije javnih in zaseb- njihovo resnost, vključno z njihovim družbenim Prir nih subjektov. in gospodarskim učinkom. 38 Praktičnost teh priporočil je poudarjena tako, Kibernetska varnost je horizontalna razse-da temeljijo na dejanskih scenarijih, kar zago- žnost, ki podpira prednostno nalogo Komisije, tavlja, da odmevajo s kompleksnostjo, s katero da zgradi „Evropo, primerno za digitalno dobo“. razviti prilagodljive strategije, ki bodo poskrbele paleto ukrepov kibernetske varnosti, katerih nadaljnje podrobnosti so navedene v tabeli 1. za edinstvene izzive, ki jih predstavljajo različni Zlasti od leta 2016 se je poudarek na kibernet-sektorji, hkrati pa se bodo držale splošnih načel njem spoznanj iz različnih kontekstov želi EU V zadnjem desetletju je EU obravnavala široko se soočajo različna ciljna okolja. S sintetizira- odpornosti, sodelovanja in trdnega obvladova- ski varnosti znatno povečal s sprejetjem di-rektive NIS, ki spodbuja industrijo in ustreznih nja tveganja. akterjev za zmanjšanje ranljivostiter krepitev I. Politika kibernetske varnosti in zakono- odpornosti. To je bilo dopolnjeno s podpisom dajni okviri javno-zasebnega partnerstva med EU in Evrop- Kibernetska varnost gre z roko v roki z razvojem za podporo vsem vrstam projektov ter pobud za sko organizacijo za kibernetsko varnost (ECSO) tehnologije in posledično digitalno preobraz- razvoj kibernetske varnosti v EU (Fovino, 2020). bo družbe. Danes so digitalizacija, digitalna identiteta, zasebnost, varstvo podatkov ter, kar Skupno sporočilo o kibernetski varnosti iz leta je ključnega pomena, spreminjajoči se izzivi v 2017 (EC, 2017c) predstavlja najobsežnejši del varnosti in varnosti naših družb zelo pomemb- oblikovanja politike EU v zvezi s kibernetsko ni pri oblikovanju politik ter so povezani s kiber- varnostjo, ki združuje ukrepe v tri stebre evrop-netsko varnostjo. ske politike kibernetske varnosti: odpornost, odvračanje in obramba. Verjetno so najpomembnejši akterji na podro- čju kibernetske varnosti države same po sebi. „Akt o kibernetski varnosti“ (ES, 2017d) se osre-To pomeni, da se vse začne s kratkoročno ali dotoča na opredelitev certifikacijskih procesov srednjeročno strateško vizijo in načrtom države in standardov za kibernetsko varnost za izdelke ter povezanimi ukrepi za njeno uresničitev (ENI- IKT ter daje trajni mandat ENISA, Agenciji EU SA, 2020b). Ob upoštevanju tega bi morala biti za kibernetsko varnost. Kar zadeva hibridne osnovna prednostna naloga vlad oblikovanje (kibernetske) grožnje, sta bili aprila 2016 obja-celovite strategije kibernetske varnosti – sku- vljeni skupni sporočili Evropskemu parlamentu paj z ustreznimi viri za financiranje pobud – ki in Svetu z naslovom „Skupni okvir za boj proti določa pristojni organ, odgovoren za nacionalni hibridnim grožnjam“ (EU, 2016) ter „Povečanje položaj kibernetske varnosti v državi. Nekatere odpornosti in krepitev zmogljivosti za obravna-države članice imajo na primer strateški cilj po- vo hibridne grožnje« junija 2018 (EC, 2016a). jo, da sta njihov prihodnji razvoj in rast odvisna tovil sredstva za usklajevanje odziva držav čla-nic EU na zlonamerne kibernetske dejavnosti od njihove sposobnosti varovanja digitalnega na ravni EU. Drugi dopolnilni ukrepi vključujejo gospodarstva. To zahteva ustrezno vlaganje in digitalnega gospodarstva, pri čemer priznava- Podobno bo „Cyber Diplomacy Toolbox“ zago-večati delež bruto domačega proizvoda zaradi izvedbo strukturnih reform. „načrt“, priporočilo o obravnavi hudih, obsežnih ti kibernetskih incidentov, ustanovitev Evropskega arnos Glede na to, da digitalna transformacija ne kompetenčnega centra za kibernetsko varnost e v pozna meja, se je kibernetska varnost interna- za usklajevanje mreže kompetenčnih centrov cionalizirala. Izzivi, s katerimi se sooča medna- za kibernetsko varnost in posebne smernice o rodna skupnost, vključujejo prihodnje medna- tem, kako obravnavati ukrepe kibernetske var-rodno sodelovanje pri predpisih o kibernetski nosti v omrežjih 5G (Fovino, 2020). kibernetske kriminalitete in mednarodnem Direktiva o varnosti omrežij in informacijskih Prir varnosti, standardizaciji, čezmejnem pregonu očnik kibernetsk pravu ter o tem, kako se odzvati na vse več hi- sistemov – Direktiva NIS bridnih groženj. 39 Direktiva o varnosti omrežij in informacijskih informacije in se dogovarjajo o tem, kako sistemov – Direktiva NIS (EC, 2016b) – je vse- dosledno izvajati direktivo NIS po vsej EU. evropska zakonodaja o kibernetski varnosti, Skupina za sodelovanje NIS daje tudi stra- katere cilj je zagotoviti zmogljivosti kibernetske teško usmeritev osnovni mreži EU CSIRT. varnosti na enaki ravni razvoja v vseh državah Člani NIS Cooperation Group so predstavni- članicah EU. Zagotavlja učinkovito izmenjavo ki ustreznih nacionalnih ministrstev in naci- informacij in sodelovanje, vključno s čezmejno onalnih agencij za kibernetsko varnost. janju višje ravni kibernetske varnosti v EU. - Ozaveščenost o varnosti s spodbujanjem izmenjavo informacij, s čimer prispeva k ustvar- kulture varnosti v ključnih sektorjih za go- Direktiva NIS operaterjem bistvenih storitev spodarstvo in družbo EU, ki so močno od- (OES) in ponudnikom digitalnih storitev (DSP) visni od IKT, kot so energija, promet, voda, nalaga nove zahteve glede varnosti omrežij ter bančništvo, infrastrukture finančnih trgov, informacij. Oba sta odgovorna za prijavo večjih zdravstvo in digitalne infrastrukture. varnostnih incidentov. Predmet uredbe so tudi DSP, ki še niso vzpostavljeni, a še vedno deluje- Zadnji korak Komisije EU – Direktiva NIS 2 jo v EU. Tudi če OES in DSP oddajo vzdrževanje Direktiva NIS zahteva občasno pregledovanje svojih informacijskih sistemov tretjim osebam, njenega delovanja. V zvezi s tem je bilo v 3. jih Direktiva NIS šteje za odgovorne za vse var- četrtletju 2020 odprto posvetovanje, rezulta- nostne incidente. Poleg tega morajo OES in ti tega posvetovanja pa so bili uporabljeni za DSP poročati o vseh pomembnih incidentih vrednotenje in oceno učinka Direktive NIS. Kot pristojnim organom ali skupinam za odzivanje rezultat pregleda je bila sprejeta nova zakono- na incidente z računalniško varnostjo (CSIRT). dajna direktiva NIS-2. Polno ime je »Direktiva Pomemben incident kibernetske varnosti dolo- (EU) 2022/2555 Evropskega parlamenta in Sve- ča število uporabnikov, ki jih je prizadela kršitev ta z dne 14. decembra 2022 o ukrepih za visoko varnosti, in dolgotrajnost ter geografski doseg skupno raven kibernetske varnosti v Uniji, spre- incidenta. membi Uredbe (EU) št. 910/2014 in Direktive Države članice EU morajo vzpostaviti strategijo (EU ) 2018/1972 in o razveljavitvi Direktive (EU) 2016/1148 (Direktiva NIS 2)«. Direktive NIS, ki poleg nacionalnih pristojnih or- ganov (NCA) in enotnih kontaktnih točk (SPOC) Natančneje, NIS 2 se osredotoča na razširitev vključuje ustanovitev skupin CSIRT. Takšni viri direktive NIS in zagotavlja naslednje: so odgovorni za obravnavanje kršitev kibernet- ske varnosti na način, ki zmanjša vpliv. Poleg Večje zmogljivosti tega se vse države članice EU spodbuja k izme- - Uvaja strožje ukrepe nadzora in izvršbe. njavi informacij o kibernetski varnosti. - Predvideva seznam upravnih sankcij, kot so Na splošno Direktiva NIS zagotavlja pravne uk- globe za kršitev obveznosti upravljanja tve- repe, ki povečujejo raven kibernetske varnosti v ganja kibernetske varnosti in poročanja. ti EU z zagotavljanjem: Povečano sodelovanje arnos - Izmenjava informacij, saj morajo države e v - Vzpostavlja evropsko mrežo povezo- članice ustanoviti skupine CSIRT in pristojni nacionalni organ NIS. valnih organizacij za kibernetske krize (EU-CyCLONe) za podporo usklajenega - Sodelovanje z ustanovitvijo skupine za sode- upravljanja obsežnih kibernetskih varno- lovanje za podporo in olajšanje strateškega stnih incidentov in kriz na ravni EU. očnik kibernetsk sodelovanja ter izmenjave informacij med Prir državami članicami. NIS Cooperation gro- - Spodbuja izmenjavo informacij in sodelova- up je skupina za strateško sodelovanje, kjer nje med organi držav članic prek okrepljene države članice EU sodelujejo, izmenjujejo vloge skupine za sodelovanje. 40 - Vzpostavlja usklajeno razkritje ranljivosti za - Povečuje kibernetsko varnost dobavne veri- na novo odkrite ranljivosti po vsej EU. ge za ključne informacijske in komunikacij- ske tehnologije. Okrepljeno obvladovanje tveganja kibernetske varnosti - Uvaja odgovornost vodstva družbe za skla- - Zvišuje varnostne zahteve s seznamom bernetske varnosti. dnost z ukrepi za obvladovanje tveganj ki- osredotočenih ukrepov, vključno z odzi- vom na incidente in kriznim upravljanjem, - Poenostavlja obveznosti poročanja o inci- obravnavanjem ranljivosti ter razkritjem, dentih z natančnimi določbami o procesu testiranjem kibernetske varnosti in učinko- poročanja, vsebini in časovnici. vito uporabo šifriranja. Poleg tega NIS 2 razširja področje uporabe di- rektive na več sektorjev in storitev, kot so: - ponudniki javnih elektronskih komunikacij- skih omrežij ali storitev; - digitalne storitve, kot so platforme storitev socialnega mreženja in podatkovni centri; - ravnanje z odpadnimi vodami in odpadki; - prostor; - proizvodnja nekaterih kritičnih izdelkov (kot so zdravila, medicinske naprave, ke- mikalije); - poštne in kurirske storitve; - hrana; - javna uprava. Ena najpomembnejših sprememb, ki jih prinaša direktiva NIS 2, je opredelitev novega področja uporabe. Dejansko, kjer je Direktiva NIS v svoje področje uporabe vključila operaterje bistvenih storitev in ponudnike digitalnih storitev, Direkti- va NIS 2 prinaša nadomestitev teh z dvema no- vima kategorijama subjektov. Natančneje, člen 2. predloga Komisije bi določil, da se Direktiva NIS 2 uporablja za nekatere „javne in zasebne ti bistvene subjekte“, ki delujejo v sektorjih, na- vedenih v Prilogi I Direktive NIS 2 (energija, pro- arnos met, bančništvo, infrastrukture finančnih trgov, e v zdravstvo, pitna voda, odpadna voda, digitalna infrastruktura, javna uprava in prostor) ter ne- katerim „pomembnim subjektom“, ki delujejo Shema 5: Ukrepi za obvladovanje tveganj kibernetske v sektorjih, navedenih v Prilogi II Direktive NIS 2 očnik kibernetsk (poštne in kurirske storitve, ravnanje z odpadki, Prir proizvodnja, proizvodnja ter distribucija kemi- varnosti po NIS 2 (Vir: URSIV) kalij, proizvodnja, predelava in distribucija hra- 41 ne, proizvodnjater digitalni ponudniki). Poleg javnih in zasebnih sektorjev, kot so bolnišni- tega je uvedeno pravilo o omejitvi velikosti, v ce, energetska omrežja, železnice, podatkovni skladu s katerim vsi srednji in veliki subjekti, kot centri, javne uprave, raziskovalni laboratoriji so opredeljeni v Priporočilu Komisije 2003/361/ in proizvodnja kritičnih medicinskih naprav in ES z dne 6. maja 2003 o opredelitvi mikro, ma- zdravil ter druge kritične infrastrukture in stori- lih in srednje velikih podjetij, ki delujejo v zgoraj tve. Takšne infrastrukture morajo ostati nepre- omenjeni sektorji, bi samodejno spadali v po- pustne v hitro spreminjajočem se in komple- dročje uporabe direktive NIS 2 (uvodna izjava 8. ksnem okolju groženj. To se izvaja z Direktivo direktive NIS 2) (Baldin, 2021; ECSO, 2020). o ukrepih – revidirano Direktivo NIS ali »NIS 2« Poleg tega Direktiva NIS 2 med drugim: po vsej EU. – za visoko skupno raven kibernetske varnosti - od držav članic zahteva, da sprejmejo naci- Predlaga se tudi vzpostavitev mreže varno- onalno strategijo kibernetske varnosti (členi stno-operativnih centrov (SOC) po vsej EU, ki bi 5–11 Direktive NIS 2); izkoriščala umetno inteligenco (AI). Ta mreža - krepi sodelovanje med državami članicami SOC bo oblikovala „kibernetski varnostni ščit“ z omogočanjem strateškega sodelovanja in za EU, ki bo lahko dovolj zgodaj zaznal znake izmenjave informacij (12. do 16. člen Direkti- kibernetskega napada in omogočil proaktivno ve NIS 2); ukrepanje. Dodatni ukrepi bodo vključevali na- - krepi varnostne zahteve z obveznostjo držav jetjem, izpopolnjevanje delovne sile, privablja-mensko podporo malim in srednje velikim pod- jo obveznosti kibernetske varnosti, in poe- varnost in vlaganje v raziskave ter inovacije, ki nostavi obveznosti poročanja (členi 17 do 23 so odprte, konkurenčne in temeljijo na odlič- članic, da vsem zajetim subjektom naloži- nje ter ohranjanje strokovnjakov za kibernetsko direktive NIS 2); nosti. - omogoča izmenjavo informacij med zajeti- Operativna zmogljivost za preprečevanje, mi subjekti (26. in 27. člen Direktive NIS 2); in odvračanje in odzivanje - oblikuje strožje nadzorne ukrepe, zahte- V postopnem in vključujočem procesu z drža- ve za izvrševanje ter usklajene minimalne vami članicami je v pripravi nova skupna kiber- sankcije (28. do 34. člen Direktive NIS 2) netska enota. Cilj je zbližati organe EU in or- (Baldin, 2021). gane držav članic, odgovorne za preprečevanje, II. Strategija EU za kibernetsko varnost odvračanje ter odzivanje na kibernetske na- pade, da se okrepi njihovo sodelovanje. Poleg Cilj strategije EU za kibernetsko varnost je pod- tega so predlagani predlogi za preprečevanje, pirati skupno odpornost Evrope na kibernetske odvračanje, odvračanje in učinkovito odzivanje grožnje in zagotoviti, da lahko vsi državljani ter na zlonamerne kibernetske dejavnosti, zlasti podjetja izkoristijo uporabo zaupanja vrednih tiste, ki vplivajo na kritične infrastrukture, do-ti in zanesljivih digitalnih storitev, aplikacij ter bavne verige, demokratične institucije ter pro- arnos gotavlja varnost in zaščito evropskih vrednot ter sodelovanja na področju kibernetske obrambe e v temeljnih pravic vsakogar. V okviru strategije orodij. Varuje globalni in odprt internet ter za- cese. EU si prizadeva tudi za nadaljnjo krepitev in razvoj najsodobnejših zmogljivosti za ki- EU za kibernetsko varnost so obravnavana tri bernetsko obrambo, pri čemer izkorišča delo glavna področja ukrepov EU. Evropske obrambne agencije ter spodbuja dr- očnik kibernetsk Odpornost, tehnološka suverenost in vodstvo žave članice, da v celoti izkoristijo Stalno struk- turno sodelovanje in Evropski obrambni sklad. Vključuje reformo varnostnih pravil v zvezi z Prir omrežnimi in informacijskimi sistemi, da se poveča raven kibernetske odpornosti kritičnih 42 Sodelovanje za napredek globalnega in odpr- stvari (IoT). Gre za pravni okvir, ki usklajuje te-tega kibernetskega prostora stne postopke za certificiranje proizvodov, sto- ritev in procesov na ravni EU. EU nadalje podpira sodelovanje z mednaro- dnimi partnerji za krepitev svetovnega reda, ki Natančneje, zakon EU o kibernetski varnosti temelji na pravilih, spodbujanje mednarodne vključuje: boščin na spletu. Da bi pospešila mednarodne sko varnost (ENISA), ki predvideva znatno povečanje finančnih in človeških virov agen-standarde, ki odražajo te temeljne vrednote cije. V zvezi s tem ima ENISA omogočeno, EU, bo EU spodbujala tudi sodelovanje z Zdru-ter zaščito človekovih pravic in temeljnih svo- - Trajni mandat za Agencijo EU za kibernet-varnosti in stabilnosti v kibernetskem prostoru ženimi narodi in drugimi ustreznimi forumi, ok- da poveča zmogljivosti kibernetske varnosti v Evropski uniji in spodbuja pripravljenost. repila orodje EU za kibernetsko diplomacijo ter ENISA naj bi delovala tudi kot neodvisen povečala prizadevanja za krepitev kibernetskih kompetenčni center. Cilj je dvojen, ozave-zmogljivosti v tretjih državah z razvojem zuna-ščati državljane in podjetja ter podpreti in-nje kibernetske zmogljivosti EU Agenda grad-stitucije EU in države članice pri izvajanju nje. EU bo oblikovala tudi mrežo kibernetske političnega okvira ter ustreznih pogojev na diplomacije EU po vsem svetu, da bi promovi-področju kibernetske varnosti. rala svojo vizijo kibernetskega prostora. EU je prav tako zavezana podpreti novo stra- - Vzpostavitev okvira EU za certificiranje var-nosti IKT za izdelke, storitve in procese. To tegijo kibernetske varnosti s povečano ravnjo vključuje obsežen nabor pravil, tehničnih naložb, predvidenih v naslednjih sedmih letih, zahtev, standardov in postopkov na rav-prek programa Digitalna Evropa in Horizon ni EU za vrednotenje lastnosti kibernetske Europe ter načrta za oživitev Evrope. Cilj je varnosti izdelkov, storitev ali procesov. Cer-doseči do 4,5 milijarde EUR skupnih naložb iz tifikati veljajo v vseh državah članicah EU in EU, držav članic in industrije v okviru strokov-zagotavljajo informacije o izpolnjenih var-nega centra za kibernetsko varnost in mreže nostnih zahtevah IKT. Podjetja, ki poslujejo usklajevalnih centrov ter zagotoviti, da večji v EU, bodo imela koristi od tega, da bodo del doseže MSP. morale svoje izdelke, postopke in storitve Poleg tega je namenjen krepitvi industrijskih IKT certificirati samo enkrat, ter da bodo in tehnoloških zmogljivosti EU na področju njihovi certifikati priznani po vsej EU. ENI-kibernetske varnosti s projekti, ki jih skupaj SA bo imela ključno vlogo pri vzpostavitvi podpirata proračun EU ter nacionalni prora- in vzdrževanju evropskega certifikacijske-čuni. V zvezi s tem ima EU priložnost združiti ga okvira za kibernetsko varnost s pripravo svoja sredstva, da bi okrepila svojo strateško tehnične podlage za posebne sheme cer-avtonomijo in spodbudila svoj vodilni položaj tificiranja. ENISA bo skrbela za obveščanje na področju kibernetske varnosti v celotni di- javnosti o certifikacijskih shemah in izdanih gitalni dobavni verigi v skladu z vrednotami ter certifikatih preko namenskega portala. ti prednostnimi nalogami EU. - Na podlagi novih pravil o telekomunikacijah arnos III. EU Cybersecurity Act (Kodeks elektronskih komunikacij) morajo e v varnosti) (EC, 2019c) je začel veljati 27. junija omrežij, ter da operaterji sprejmejo tehnič-2019. Gre za obsežen sveženj ukrepov, katerih ne in organizacijske ukrepe za obvladovanje cilj je okrepiti odpornost proti kibernetskim na-morebitnih varnostnih tveganj v omrežjih EU Cybersecurity Act (Zakon EU o kibernetski vitosti in varnosti javnih komunikacijskih države članice zagotoviti ohranitev celo-padom v Evropski uniji (EU). Gre za pomemben očnik kibernetsk korak k varnosti na evropskem enotnem di- ni nacionalni regulativni organi pooblastila, ter storitvah. Določa tudi, da imajo pristoj- Prir gitalnem trgu in večjemu zaupanju v internet 43 vključno s pooblastilom za izdajanje zave- shema za kibernetsko varnost postati obvezna zujočih navodil in zagotavljanje skladnosti prek ustrezne zakonodaje EU, da se zagotovi z njimi. Poleg tega lahko države članice ustrezna raven kibernetske varnosti izdelkov, splošnim pooblastilom za operaterje dolo- storitev in procesov IKT. pred nepooblaščenim dostopom zaradi va- V skladu z aktom EU o kibernetski varnosti se čijo pogoje v zvezi z varnostjo javnih omrežij rovanja zaupnosti komunikacij. uveljavljajo vloga in odgovornosti Agencije EU za kibernetsko varnost (ENISA). Natančneje, - Akt EU o kibernetski varnosti prvič določa glavne naloge ENISA v okviru novega manda- »zasnovo zasnove« in »privzeto varnost« ta so: kot regulativni načeli za varnostno po- proizvajalce ali ponudnike, vključene v na- bernetske varnosti, zlasti direktive o omre- žnih in informacijskih sistemih (NIS), kot membne izdelke. V zvezi s tem spodbuja - Podpora izvajanju politik na področju ki- cesov IKT, da izvajajo ukrepe v najzgodnej- tudi drugih političnih pobud z elementi ki- črtovanje in razvoj izdelkov, storitev ali pro- ših fazah procesa načrtovanja ter razvoja. bernetske varnosti v različnih sektorjih (npr. energija, promet, finance). To omogoča zaščito varnosti teh izdelkov, storitev ali procesov na najvišji možni rav- - Zgradite strokovno znanje o kibernetski ni, tako da je pojav kibernetskih napadov varnosti, na primer z usposabljanji, da bi predviden in minimiziran. pomagali izboljšati zmogljivosti javnih or- Tisti, za katere se pričakuje, da bodo imeli ko- ganov EU in nacionalnih javnih organov. risti od zakona EU o kibernetski varnosti, vklju- - Analiza trga glede standardizacije in certifi- čujejo: ciranja kibernetske varnosti. - Državljani in končni uporabniki, ki jim bo - Zagotavljanje operativnega sodelovanja in omogočeno bolj poučeno odločanje o na- kriznega upravljanja, namenjenega krepit- kupu glede izdelkov in storitev, ki jih upora- vi obstoječih preventivnih operativnih zmo- bljajo. gljivosti ter podpiranju operativnega sode- - Prodajalci in ponudniki izdelkov ter storitev, lovanja kot sekretariat mreže CSIRTs. ENISA bo tudi nudila pomoč državam članicam ki bodo deležni stroškovnih in časovnih pri- pri obravnavi incidentov in imela vlogo pri hrankov, saj bodo opravili enoten postopek usklajenem odzivu EU na obsežne čezmej- za pridobitev evropskega certifikata, ki je ne kibernetske incidente. veljaven in jim omogoča konkurenčnost v vseh državah članicah. - Usklajeno razkrivanje ranljivosti, kjer bo ti - Vlade, ki bodo bolje opremljene za spreje- državam članicam in institucijam, agenci- jam in organom Unije pomagalo pri vzpo- manje bolj informiranih odločitev o nakupu stavitvi ter izvajanju politik razkritja ranlji- izdelkov in storitev IKT. vosti na prostovoljni osnovi. Opozoriti je treba, da so sheme certificiranja, arnos ustvarjene v skladu z Zakonom EU o kibernet- e v ski varnosti, prostovoljne. To praktično pome- Viri: so njihovi izdelki certificirani pod njimi. Vendar - Baldin, A. (2021). EU: Towards the adopti-ni, da se lahko prodajalci odločijo, ali želijo, da očnik kibernetsk lahko Komisija oceni učinkovitost in upora- Guidance, December 2021. Retrieved from https://www.dataguidance.com/opinion/ bo sprejetih evropskih certifikacijskih shem za pa zakon o kibernetski varnosti predvideva, da on of the NIS 2 Directive. OneTrust Data- Prir eu-towards-adoption-nis-2-directive kibernetsko varnost. Na ta način lahko oceni, ali bi morala posebna evropska certifikacijska 44 - Council of the European Union (2020). Co- mission, 13 September 2017. Retrieved uncil Resolution on Encryption: Security from https://eur-lex.europa.eu/legal-con- through encryption and security despite tent/EN/TXT/?qid=1505294563214&uri=- encryption. Retrieved from https://data. JOIN:2017:450:FIN 13084-2020-REV-1/en/pdf - EC (2017d). Proposal for a Regulation of the consilium.europa.eu/doc/document/ST- European Parliament and of the Council - EC (2016a). Joint Communication to the Eu- on ENISA and Repealing Regulation (EU) ropean Parliament and the Council, Joint 526/2013, and on Information and Com- Framework on Countering Hybrid Threats – munication Technology Cybersecurity Cer- a European Union Response, JOIN(2016) 18 tification (‘Cybersecurity Act’), COM(2017) Final. European Commission, 6 April 2016. 477 Final. European Commission, 13 Retrieved from https://eur-lex.europa.eu/ September 2017. Retrieved from https:// legal-content/EN/TXT/?uri=CELEX%3A- eur-lex.europa.eu/legal-content/EN/TX- 52016JC0018 T/?uri=COM:2017:477:FIN - EC (2016b). The Directive on Security of - EC (2019c). EU Cybersecurity Act - Re- Network and Information Systems (NIS gulation (EU) 2019/881 of the European Directive). European Commission and Eu- Parliament and of the Council. European ropean Parliament, 5 July 2016. Retrieved Commission. Retrieved from https://digi- from https://digital-strategy.ec.europa.eu/ tal-strategy.ec.europa.eu/en/policies/cy- en/policies/nis-directive bersecurity-act - EC (2017a). Commission Recommendation - EU (2013). Joint Communication to the Eu- (EU) 2017/1584 of 13 September 2017 on Co- ropean Parliament, the Council, the Euro- ordinated Response to Large-Scale Cyber- pean Economic and Social Committee and security Incidents and Crises. European the Committee of the Regions, Cybersecuri- Commission. Retrieved from https://eur- ty Strategy of the European Union: An Open, lex.europa.eu/eli/reco/2017/1584/oj Safe and Secure Cyberspace, JOIN(2013) 01 - EC (2017b). Cybersecurity in the European European Union, European Economic and Final. European Parliament, Council of the Digital Single Market. European Commissi- Social Committee, and Committee of the on, Directorate-General for Research and Regions. Retrieved from https://eur-lex.eu-Innovation, 24 March 2017. Retrieved from https://doi.org/10.2777/466885 EX%3A52013JC0001 ropa.eu/legal-content/EN/TXT/?uri=CEL- - EC (2017c). Joint Communication to the - Fovino, I. N. (2020). Cybersecurity – our di-European Parliament and the Council, gital anchor, a European perspective. Euro-Resilience, Deterrence and Defence: Bu-pean Commission, Joint Research Centre, ilding Strong Cybersecurity for the EU, Ispra - Italy, Luxembourg: Publications JOIN(2017) 450 Final. European Com- ti arnos e v očnik kibernetsk Prir 45 Poglavje 8 Pregled področij delovanja Evropske agencije za kibernetsko varnosti (ENISA) POVZETEK ENISA predstavlja ključni steber pri zagotavljanju kibernetske varnosti na ravni EU. Skozi svoja poročila, smernice in analize organizacijam omogoča učinkovito prepoznavanje in obvladovanje kibernetskih groženj. Širok nabor dokumentov, od poglobljenih analiz trenu-tnih in prihodnjih groženj do dobrih praks za varnost dobavnih verig, pomaga izvajalcem bistvenih storitev in nacionalnim organom pri prilagajanju na kompleksne izzive. Posebna pozornost je namenjena sektorsko specifičnim priporočilom za področja, kot so zdravstvo, promet in umetna inteligenca. Ključne točke: ti • Poročilo o grožnjah za leto 2024 • Ocena zrelosti izobraževanja o kibernetski varnosti arnos e v • Napovedovanje kibernetskih groženj za leto 2030 • Dobre prakse za krizno upravljanje • Varnost dobavnih verig in IoT očnik kibernetsk • Smernice za varnost umetne inteligence Prir • Analize in poročila za posamezne izpostavljene sektorje. 46 V nadaljevanju je predstavljenih nekaj primerov - Igra za ozaveščanje v različnih različicah dokumentov in študij, ki so lahko uporabne za in slogih, skupaj z vodnikom o igranju. ročja informacijske varnosti za izvajalce bistve- Z AR-in-a-Box ENISA organizacijam zago-pridobitev dodatnih informacij ali znanja s pod-nih ali pomembnih storitev s strani ENISA: tavlja bistvena orodja in vire za učinkovi-to dvigovanje ozaveščenosti o kibernetski - 2024 Report on the State of the Cybersecu- varnosti v okviru njihovega delovanja ter rity in the Union: Ta dokument je prvo po- ponuja dinamično rešitev, ki se bo redno ročilo o stanju kibernetske varnosti v Uniji, posodabljala in obogatila. - EU zagotoviti na dokazih temelječ pregled nostnih incidentih za sektor storitev za-upanja v EU, pri čemer analizira temeljne trenutnega stanja na področju kibernetske vzroke, statistiko in trende. Gre za zbirni varnosti in zmogljivosti na ravni EU ter na-pregled prijavljenih kršitev za leto 2023, ki cionalni in družbeni ravni ter priporočila jih je 27 držav članic EU in 3 države EGP politike za odpravo ugotovljenih pomanjkl-posredovalo ENISA in Komisiji. jivosti in povečanje ravni kibernetske var-- Cyber Europe 2024 - After Action Report : nosti po vsej Uniji. Poročilo po ukrepanju ponuja pregled izda-Cybersecurity Awareness Raising: The ENI-je vaje Cyber Europe iz leta 2024, ki je bila SA-Do-It-Yourself Toolbox sijo, v skladu z 18. členom Direktive (EU) cidents 2023: Poročilo ENISA za leto 2023 o varnostnih incidentih v storitvah zaupanja 2022/2555 (v nadaljevanju NIS2).Namen predstavlja sedmi krog poročanja o var-poročila je oblikovalcem politik na ravni pino za sodelovanje NIS in Evropsko komi- - Annual Report - Trust Services Security In-ki ga je sprejela ENISA v sodelovanju s sku- ritev ter velikih in malih zasebnih podjetij. ENISA Threat Landscape 2024: Leta 2024 je bilo ugotovljenih sedem glavnih groženj Zagotavlja teoretično in praktično znanje o kibernetski varnosti, pri čemer so grožnje tem, kako oblikovati in izvajati učinkovite zoper razpoložljivost na vrhu lestvice, sle-programe ozaveščanja o kibernetski var-dijo pa ji izsiljevalska programska oprema nosti, vključno z: in grožnje zoper podatke, poročilo pa po-- Smernice za ustvarjanje programov oza-nuja ustrezen poglobljen potop v vsako od veščanja po meri za interno uporabo kibernetski varnosti, zasnovana za potrebe vanju vrzeli ter povečanju pripravljenosti in odpornosti na kibernetsko varnost. javnih organov, operaterjev bistvenih sto-- celovita rešitev za dejavnosti ozaveščanja o izvedena junija in je bila namenjena odkri-: AR-in-a-Box je - Smernice za ustvarjanje ciljno usmer-znotraj organizacije. njih z analizo več tisoč javno prijavljenih kibernetskih incidentov ter dogodkov.- Cybersecurity Education Maturity Asses-jenih kampanj za ozaveščanje zunanjih sment : Namen te študije ENISA je razviti deležnikov. model ocenjevanja zrelosti za oceno stop-- Navodila za izbiro ustreznih orodij in nje izobrazbe o kibernetski varnosti vsake kanalov za učinkovito doseganje ciljne ti države članice v osnovnih in srednjih šolah publike. ter zagotoviti celovit pregled EU. Poleg tega - Navodila za razvoj ključnih kazalni-arnos si ENISA prizadeva zbirati in deliti pripo-e v kov uspešnosti za oceno učinkovitosti ročila ter najboljše prakse med državami, programa ali kampanje. skupaj s kvantitativnimi ocenami zrelosti.- Priročnik za razvoj komunikacijske stra-- Foresight Cybersecurity Threats For 2030 - tegije, ki je ključna za doseganje ciljev Update 2024: Extended report : To je druga ozaveščanja. ponovitev študije »ENISA Foresight Cyber-očnik kibernetsk- Kviz za ozaveščanje, s katerim preverimo security Threats for 2030«, ki predstavlja Prir razumevanje in zadrževanje ključnih in-celovito analizo in oceno nastajajočih gro-formacij. 47 ženj kibernetski varnosti, predvidenih za znanja in najboljših praks ter prepozna- leto 2030. Poročilo ponovno ocenjuje pred- vanjem manjkajočih elementov. Ogrodje je hodno ugotovljenih prvih deset groženj sestavljeno iz treh plasti (temeljev kiber- in ustrezne trende, medtem ko raziskuje netske varnosti, kibernetske varnosti, spe- razvoj teh groženj v obsegu tekočega leta. cifične za umetno inteligenco, in sektorske - Best Practices for Cyber Crisis Manage- specifične kibernetske varnosti za umetno ment: Ta študija poudarja zapletenost inteligenco) in je namenjeno zagotavljan- pojma kibernetske krize in stopnjo sub- ju postopnega pristopa k sledenju dobrim jektivnosti, ki jo vključuje. Povzdigovanje praksam kibernetske varnosti, da bi zgra- obsežnega kibernetskega incidenta v ki- dili zaupanja vredne dejavnosti v zvezi z bernetsko krizo je odvisno predvsem od umetno inteligenco. politične odločitve in je v veliki meri od- - Cybersecurity and privacy in AI - Forecas- visno od stopnje tveganja, ki so ga države ting demand on electricity grids: To po-članice EU (MS) pripravljene tolerirati (t. i. ročilo omogoča boljšo oceno resničnosti, „nagnjenost k tveganju“). da umetna inteligenca prinaša svoj nabor - NIS Investments Report 2023: Namen tega groženj, kar posledično vztraja pri iskanju poročila je oblikovalcem politik zagotoviti novih varnostnih ukrepov za boj proti njim. dokaze za oceno učinkovitosti obstoječe- Na koncu je treba opozoriti, da ta priročnik ga okvira kibernetske varnosti EU, zlasti s močno poudarja vprašanja zasebnosti na podatki o tem, kako so operaterji osnovnih enak način kot vprašanja kibernetske var- storitev (OES) in ponudniki digitalnih sto- nosti, pri čemer je zasebnost eden najpo- ritev (DSP) opredeljeni v direktivi Evrop- membnejših izzivov, s katerimi se današ- ske unije o varnosti omrežij ter informacij nja družba sooča. Varnost in zasebnost (Direktiva NIS) vlagajo svoje proračune za sta tesno povezani, vendar sta obe enako kibernetsko varnost in kako je Direktiva NIS pomembni, zato je treba za vsako upora- vplivala na to naložbo. Ta četrta ponovitev bo vzpostaviti ravnotežje. Posledično, kot poročila predstavlja podatke iz 1.080 OES/ je razvidno iz tega poročila, lahko priza- DSP iz vseh 27 držav članic EU. devanja za optimizacijo varnosti in zaseb- - Foresight 2030 Threats: Ta publikacija po- nosti pogosto pridejo na račun delovanja vzema prihajajoče izzive in ponuja oce- sistema. no tveganj. Ali smo pripravljeni oblikovati - Cybersecurity Support Action: Podporni kibernetsko varno prihodnost, ki je pred ukrep ENISA za kibernetsko varnost zago- nami? tavlja naknadne in predhodne storitve ter - Good Practices for Supply Chain Cyberse- pomoč subjektom iz direktive NIS 2 držav curity: Poročilo ponuja pregled trenutnih članic. praks kibernetske varnosti dobavne verige, - Risk Management Standards: Namen tega ki jim sledijo bistveni in pomembni subjekti dokumenta je zagotoviti skladen pregled v EU, na podlagi rezultatov študije ENISA iz objavljenih standardov, ki obravnavajo vi- ti leta 2022, ki se je osredotočala na naložbe dike obvladovanja tveganja, in nato opisa-arnos proračunov za kibernetsko varnost med or- ti metodologije in orodja, ki jih je mogoče e v ganizacijami v EU. uporabiti za uskladitev s temi standardi ali - Multilayer Framework for Good Cyber- njihovo izvajanje. security Practices for AI: V tem poročilu - Guidelines for Securing the Internet of predstavljamo razširljiv okvir za usmer- Things: Ta študija ENISA opredeljuje smer-janje nacionalnih organov za konkurenco nice za zavarovanje dobavne verige za IoT. očnik kibernetsk in deležnikov umetne inteligence glede ENISA je s prispevki strokovnjakov za IoT Prir korakov, ki jih morajo upoštevati, da zava- ustvarila varnostne smernice za celotno ži- rujejo svoje sisteme, operacije ter procese vljenjsko dobo: od zahtev in zasnove do do- umetne inteligence z uporabo obstoječega stave ter vzdrževanja za končno uporabo in 48 odlaganja. Študija je bila razvita za pomoč ekosistem, zlasti pristaniških organov ter proizvajalcem interneta stvari, razvijalcem, upravljavcev terminalov, gradijo svojo stra- integratorjem in vsem zainteresiranim tegijo kibernetske varnosti. Študija navaja stranem, ki so vključene v dobavno verigo glavne grožnje, ki predstavljajo tveganje interneta stvari, pri sprejemanju boljših za pristaniški ekosistem, in opisuje ključne varnostnih odločitev pri gradnji, uvajanju scenarije kibernetskih napadov, ki bi lahko ali ocenjevanju tehnologij interneta stvari. vplivali nanje. Ta pristop je omogočil iden- - Good Practices for Security of IoT - Secure tifikacijo varnostnih ukrepov, ki jih morajo Software Development Lifecycle: Ta študi- vrata uvesti, da bi se bolje zaščitila pred ja ENISA uvaja dobre prakse za varnost in- kibernetskimi napadi. Glavni opredelje- terneta stvari, s posebnim poudarkom na ni ukrepi naj bi služili kot dobre prakse za smernicah za razvoj programske opreme osebe, odgovorne za izvajanje kibernetske za varne izdelke in storitve interneta stvari varnosti. Študija je lahko koristna za druge skozi njihovo življenjsko dobo. Vzpostavitev deležnike v širši skupnosti znotraj prista- varnih razvojnih smernic v celotnem eko- niškega ekosistema, kot so ladjarske druž- sistemu IoT je temeljni gradnik za varnost be in oblikovalci pomorske politike. IoT. Z zagotavljanjem dobrih praks o tem, - Guidelines - Cyber Risk Management for kako zavarovati proces razvoja programske Ports: Namen tega poročila je upravljav- opreme IoT, se ta študija ukvarja z enim vi- cem pristanišč zagotoviti dobre prakse za dikom za doseganje varnosti že po zasnovi, oceno kibernetskega tveganja, ki jih lahko kar je ključno priporočilo, ki je bilo poudar- prilagodijo katerikoli metodologiji ocenje- jeno v študiji ENISA Baseline Security Re- vanja tveganja, ki ji sledijo. Da bi to dosegli, commendations, ki se je osredotočala na to poročilo uvaja štirifazni pristop k obvla- varnost ekosistema IoT s horizontalnega dovanju kibernetskega tveganja za prista- vidika. niške operaterje, ki sledi skupnim načelom Sektorsko usmerjene študije in dokumenti: rake metodologije ocenjevanja tveganja, ki obvladovanja tveganja in je preslikan v ko- - je določena v Kodeksu ISPS ter ustreznem Securing Smart Airports : Kot odgovor na nove nastajajoče grožnje, s katerimi se EU zakonodajo za varnost pristanišč in pri- soočajo pametna letališča, to poročilo po- staniških zmogljivosti. Za vsako od teh faz nuja vodnik za letališke odločevalce (CISO, to poročilo zagotavlja uporabne smernice CIO, IT direktorje in vodje operacij) ter leta- za pomoč upravljavcem pristanišč pri nji- liške strokovnjake za varnost informacij, pa hovih prizadevanjih, navaja pogoste izzive, tudi ustrezne nacionalne organe in agen- povezane z izvajanjem ustreznih dejavnos- cije, ki so pristojni kibernetske varnosti za ti, dobre prakse, ki jih lahko posamezne letališča. Na podlagi poglobljenega pregle- organizacije takoj sprejmejo in prilagodijo, da obstoječega znanja in potrditvenih in- ter kartiranje navedenih dobrin prakse za tervjujev s strokovnjaki za zadevo to poro- vsako fazo z ustreznimi izzivi, ki jih obrav- letališč. Na podlagi tega je bila izvedena - Telecom Security Incidents 2021: To poro- arnos čilo zagotavlja anonimizirane in združene podrobna analiza in preslikava groženj s čilo izpostavlja ključne prednosti pametnih navajo. ti posebnim poudarkom na ranljivostih pa- informacije o večjih telekomunikacijskih e v metnih komponent. varnostnih incidentih v letu 2021. Letni po- - Port Cybersecurity - Good practices for vzetek za leto 2021 vsebuje poročila o 168 cybersecurity in the maritime sector: To incidentih, ki so jih predložili nacionalni poročilo, ki je bilo razvito v sodelovanju organi iz 26 držav članic EU (MS) in dveh očnik kibernetsk z več pristanišči EU, namerava zagotovi- držav EFTE. Prir ti uporabno osnovo, na kateri lahko CIO - ENISA Transport Threat Landscape: To po- in CISO subjektov, vključenih v pristaniški ročilo je prva analiza kibernetske grožnje 49 prometnega sektorja v EU, ki jo je izved- - Health Threat Landscape: To je prva ana-la Agencija Evropske unije za kibernetsko liza kibernetske grožnje zdravstvenega varnost (ENISA). Namen poročila je prine- sektorja v EU, ki jo je izvedla Agencija Evro- sti nove vpoglede v realnost prometnega pske unije za kibernetsko varnost (ENISA). sektorja s kartiranjem in preučevanjem ki- Namen poročila je prinesti nove vpoglede bernetskih incidentov od januarja 2021 do v realnost zdravstvenega sektorja s karti- oktobra 2022. Opredeljuje glavne grožnje, ranjem in preučevanjem kibernetskih in- akterje in trende na podlagi analize kiber- cidentov od januarja 2021 do marca 2023. netskih napadov, usmerjenih v letalski, Opredeljuje glavne grožnje, akterje, vplive pomorski, železniški in cestni promet v ob- in trende na podlagi analize kibernetskih dobju skoraj dveh let. napadov na zdravstvene organizacije v - Railway Cybersecurity - Good Practices dvoletnem obdobju. dobre prakse za pristope obvladovanja stavljenih mednarodnih organizacij in virov, ki bodo lahko služili za razširitev potrebnega kibernetskega tveganja, ki se uporablja-okvir znanja vsem strokovnjakom, ki se bodo jo v železniškem sektorju. Ponuja vodnik poročila je referenčna točka za trenutne V pričujočem poglavju smo podali nekaj izpo-in Cyber Risk Management: Namen tega za prevoznike v železniškem prometu in v organizacijah ukvarjali z uvajanjem določil direktive NIS-2 ter Zakona o informacijski var-upravljavce infrastrukture za izbiro, kom-nosti. Seveda se je potrebno zavedati, da je to biniranje ali prilagajanje metod obvlado-samo del možnih referenčnih publikacij. vanja kibernetskega tveganja potrebam njihove organizacije. Gradi na poročilu ENISA iz leta 2020 o kibernetski varnosti v železniškem sektorju (ENISA, 2020), ki Viri: je ocenilo raven izvajanja ukrepov kiber- - Evropska unija, Evropska agencija za ki- netske varnosti v železniškem sektorju. To bernetsko varnost (ENISA): https://europe- poročilo vsebuje smernice, ki jih je mogoče an-union.europa.eu/institutions-law-bud- izvajanjem ustreznih dejavnosti, in opisuje search-all-eu-institutions-and-bodies/eu- ropean-union-agency-cybersecurity-eni- uporabiti, navaja skupne izzive, povezane z g e t / i n s t i t u t i o n s - a n d - b o d i e s / dobre prakse, ki jih lahko posamezne orga- sa_sl?utm nizacije brez težav sprejmejo ter prilagodi-jo. Poleg tega je na voljo seznam koristnega referenčnega gradiva, skupaj s praktičnimi primeri in veljavnimi standardi. ti arnos e v očnik kibernetsk Prir 50 Poglavje 9 Predstavitev mednarodnih standardov in drugih okvirjev za področje informacijske in kibernetske varnosti POVZETEK Mednarodni standardi predstavljajo ključni okvir za zagotavljanje informacijske in kiber- netske varnosti. Najbolj uveljavljeni so standardi organizacije ISO, ki jih v Sloveniji podpira Slovenski inštitut za standardizacijo (SIST). Poleg ISO/IEC standardov, kot so 27001, 27002 in 22301, igrajo pomembno vlogo tudi drugi okviri, kot so NIST, DIN in panogi specifični standardi PCI DSS ter HIPAA. Ti standardi omogočajo sistematičen pristop k obvladovanju tveganj, zaščiti informacij in neprekinjenemu poslovanju. Praktična uporaba teh standar- dov ne le zagotavlja skladnost z zakonodajo, temveč tudi povečuje odpornost organizacij na kibernetske grožnje. Implementacija mora biti prilagodljiva in usmerjena v učinkovitost. Ključne točke: • Standard ISO/IEC 27001 ti • Standard ISO/IEC 27002 arnos • Standard ISO 22301 e v • Standarda ISO 31000 in ISO 31010 • SIST – Slovenski inštitut za standardizacijo • Standardi za neprekinjeno poslovanje očnik kibernetsk • Varnostna dokumentacija in upravljanje tveganj. Prir 51 Treba se je zavedati, da je področje informaci- nosti; v praksi se uporabljajo kratice SUVI, jske in kibernetske varnosti zelo močno podpr- SUIV in ISMS); Mednarodne standardizacije organizacije ISO informacijske varnosti (predvsem pomem- ben pri delu dokumentacije povezane z za- (International Standardization Organization), gotavljanjem SUVI); katere polnopravni član je tudi standardi. V EU so najbolj razširjeni standardi - ISO/IEC 27002: Kodeks ravnanja za nadzor to z dogovorjenimi ter splošno uporabljenimi Slovenski in- štitut za standardizacijo (SIST). Omenjena - ISO 22301: standard za sisteme upravljanja ustanova je v Republiki Sloveniji tudi poo- neprekinjenega poslovanja (predvsem po- blaščena za zastopanje Slovenije pri medn- memben pri delu dokumentacije povezane arodnih organizacijah kot so ISO Mednarodna z zagotavljanjem sistema upravljanja ne- standardizacijska organizacija (International prekinjenega poslovanja; v praksi se upora- standardization organization), IEC Mednar- bljata kratici SUNP in BCMS); Electrotechnical Commission), - ISO 31000: Splošne smernice za obvladova- odna elektrotehnična komisija (International komite za standardizacijo (European Com- nje tveganj (pomemben za oba dela SUVI in CEN Evropski mittee for Standardization), SUNP); CENELEC Evrop- ski komite za elektrotehniško standardizacijo - ISO 31010: Tehnike ocenjevanja tveganj (po- (European Committee for Electrotechnical memben za oba dela SUVI in SUNP). Standardization) in ETSI (Evropski institut za standardizacijo telekomunikacij (European ISO/IEC 27001 in ISO/IEC 27002 sta medna- Telecommunications Standards Institute)). V rodno priznana standarda za upravljanje in mednarodnem okolju sicer poznamo tudi dru- zagotavljanje informacijske varnosti v organi- ge standardizacijske organe, ki so uveljavljeni zacijah. Spodaj je podroben pregled teh stan- tudi na področju informacijske in kibernetske dardov in njihove vloge pri zagotavljanju var- varnosti, kot na primer nosti informacij z učinkovitimi nadzornimi in NIST Nacionalni insti- tut za standardizacijo in tehnologijo (National upravljalnimi sistemi. Institute of Standards and Technology) iz ZDA ISO/IEC 27001: Sistemi upravljanja informa- ali DIN Nemški institut za standardizacijo (De- cijske varnosti (SUVI) utschen Institut für Normung). Nekatere pano- ge poznajo še standarde, specifične za to pano- ISO/IEC 27001 je standard, ki določa zahteve za go, na primer PCI DSS (payment card industry vzpostavitev, izvajanje, vzdrževanje in stalno iz- data security standard) na področju kartičnega boljševanje SUVI. Cilj SUVI je zaščititi zaupnost, in plačilnega prometa ali HIPAA (health in- celovitost in razpoložljivost informacij z upo- surance portability and accountability act) na rabo procesa obvladovanja tveganj ter zagota- področju zdravstva. vljanjem zaupanja zainteresiranim stranem, da so tveganja ustrezno obvladana. Za podporo in razumevanje potrebnih ukrepov ti zavezancev po ZINFV, na podlagi Zakona o in- Ključni elementi ISO/IEC 27001: arnos formacijski varnosti so pomembni predvsem 1. Kontekst organizacije: naslednji standardi, na katerih tudi smiselno e v- razumevanje organizacije in njenega kon-temeljijo zahtevani ukrepi v omenjenih zakon-teksta, skih ter podzakonskih predpisih. Ti pomembni standardi so naslednji: - razumevanje potreb in pričakovanj zainte- resiranih strani, očnik kibernetsk - ISO/IEC 27001: Sistemi upravljanja informa- - določitev obsega SUVI. Prir cijske varnosti (predvsem pomemben pri delu dokumentacije povezane z zagotavlja- njem sistema upravljanja informacijske var- 52 2. Vodenje: 1. Politike informacijske varnosti: - vodstvo in zavezanost, - usmeritve za upravljanje informacijske - politika informacijske varnosti, varnosti. - organizacijske vloge, odgovornosti in poo- 2. Organizacija informacijske varnosti: blastila. - notranja organizacija, 3. Načrtovanje: - mobilne naprave in delo na daljavo. - ukrepi za obvladovanje tveganj in prilož- 3. Varnost človeških virov: nosti, - pred zaposlitvijo, 4. Podpora:- cilji informacijske varnosti in načrtovanje - med zaposlitvijo, za njihovo dosego,- prenehanje in sprememba zaposlitve.- načrtovanje sprememb. 4. Upravljanje sredstev:- odgovornost za sredstva,- viri,- klasifikacija informacij,- usposobljenost,- ravnanje z mediji.- zavedanje, 5. Nadzor dostopa:- komunikacija,- poslovne zahteve za nadzor dostopa,- dokumentirane informacije.- upravljanje uporabniškega dostopa, 5. Delovanje:- odgovornosti uporabnikov,- operativno načrtovanje in nadzor,- nadzor dostopa do sistemov in aplikacij.- ocena in obravnava tveganj, 6. Kriptografija:- upravljanje sprememb.- kriptografski nadzori. 6. Ocenjevanje uspešnosti: 7. Fizična in okoljska varnost:- spremljanje, merjenje, analiza in vredno-- varna območja, tenje, - notranja revizija, - varnost opreme. - pregled vodstva. 8. Operativna varnost: 7. Izboljšave: - operativni postopki in odgovornosti, ISO/IEC 27002: Kodeks ravnanja za nadzor - neskladnosti in korektivni ukrepi, - zaščita pred zlonamerno programsko opremo,- stalno izboljševanje.- varnostne kopije, ti- zapisovanje in spremljanje, informacijske varnosti ISO/IEC 27002 je dopolnilni standard k ISO/ - nadzor operativne programske opreme, arnos IEC 27001. Ponuja smernice za organizacijske - upravljanje tehničnih ranljivosti, e v standarde informacijske varnosti in prakse - premisleki za revizijo informacijskih siste- izbiro, uvedbo ter upravljanjem nadzorov, ob 9. Varnost komunikacij: upoštevanju tveganj informacijske varnosti v upravljanja informacijske varnosti, vključno z mov. okolju organizacije. Prir - upravljanje varnosti omrežja, očnik kibernetsk Ključni elementi ISO/IEC 27002: - prenos informacij. 53 10. Pridobivanje, razvoj in vzdrževanje siste- - Izvedite oceno tveganj za prepoznavanje mov: groženj, ranljivosti in vplivov. - varnostne zahteve informacijskih siste- - Izberite nadzore na podlagi ISO/IEC 27002 mov, za obvladovanje ugotovljenih tveganj. - varnost v procesih razvoja in podpore, - Uvedite nadzore in razvijte podporne po- - testni podatki. stopke. 11. Odnosi z dobavitelji: - Spremljajte in pregledujte učinkovitost nadzorov. - informacijska varnost v odnosih z dobavi- - Izvedite notranje revizije in preglede vod- telji, stva. - upravljanje storitev dobaviteljev. - Nenehno izboljšujte SUVI na podlagi ugo- 12. Upravljanje incidentov informacijske var- tovitev revizij in spreminjajočih se okolij nosti: tveganj. 13. Vidiki informacijske varnosti pri obvladova-- upravljanje incidentov informacijske var- 2. Uporaba nadzorov (ISO/IEC 27002): nosti in izboljšave.- Nadzor dostopa: Uvedite politike za upravljanje uporabniškega dostopa, ki za-nju poslovne kontinuitete: gotavljajo, da imajo uporabniki ustrezne - kontinuiteta informacijske varnosti, pravice dostopa. - redundantnosti. - Kriptografija: Uporabljajte šifriranje za 14. Skladnost: zaščito občutljivih podatkov med preno- som in shranjevanjem. - skladnost z zakonskimi in pogodbenimi - Fizična varnost: Zagotovite varnost podat- zahtevami, kovnih centrov z ustreznimi fizičnimi nad- - pregledi informacijske varnosti. zori dostopa in okoljskimi zaščitami. Integracija ISO/IEC 27001 in ISO/IEC 27002 - Upravljanje incidentov: Vzpostavite po- - ISO/IEC 27001 se osredotoča na del sistema stopke za poročanje, odzivanje in odpra- upravljanja, ki podrobno opisuje, kako vzpo- vljanje incidentov. staviti SUVI, ki zagotavlja, da se varnostni Sledenje strukturiranemu pristopu, ki ga pred-ukrepi nenehno izboljšujejo in prilagajajo pisujeta ISO/IEC 27001 in izvajanje podrobnih spreminjajočemu se okolju groženj. nadzorov iz ISO/IEC 27002, lahko organizacije, ti - ISO/IEC 27002 zagotavlja specifične nadzo- kot je Elektro Gorenjska, učinkovito upravljajo in izboljšajo svojo informacijsko varnost ter za- re, ki jih lahko organizacije uvedejo za ob- gotovijo robustno zaščito pred spreminjajočimi vladovanje ugotovljenih tveganj, in ponuja se grožnjami. podrobne smernice za izvajanje varnostnih ukrepov, ki podpirajo SUVI. ISO 22301: Sistem upravljanja neprekinjene- arnos ga poslovanja Praktična uporaba e v ISO 22301 je mednarodni standard za sisteme Primer scenarija: upravljanja neprekinjenega poslovanja (SUNP). 1. Izvajanje SUVI (ISO/IEC 27001): Ta standard organizacijam pomaga pri načr- - Določite obseg SUVI glede na kontekst in tovanju, vzpostavitvi, izvajanju, vzdrževanju in Prir zmanjšuje verjetnost nastanka, pripravlja na, se - Razvijte politiko informacijske varnosti. odziva na in okreva po motnjah, ko se zgodijo. očnik kibernetsk zainteresirane strani. nenehnem izboljševanju sistema, ki ščiti pred, 54 Ključni elementi ISO 22301: - Kompetentnost: Zagotavljanje usposo- bljenosti osebja, ki deluje v okviru SUNP. 1. Kontekst organizacije: - Razumevanje organizacije in njenega kah neprekinjenega poslovanja in posa-- Zavedanje: Povečanje zavedanja o politi- konteksta: Identificiranje notranjih in zu- meznih odgovornostih. nanjih vprašanj, ki lahko vplivajo na spo-sobnost organizacije za doseganje ciljev - Komunikacija: Vzpostavitev procesov za SUNP. notranjo in zunanjo komunikacijo v zvezi z SUNP. - Razumevanje potreb in pričakovanj zain- teresiranih strani: Identificiranje ključnih - Dokumentirane informacije: Vzpostavitev zainteresiranih strani in njihovih zahtev in vzdrževanje dokumentiranih informacij, v zvezi z zagotavljanjem neprekinjenega ki so potrebne za SUNP. poslovanja. 5. Delovanje: - Določitev obsega SUNP: Določitev meja in uporabnosti sistema upravljanja nepreki- - Operativno načrtovanje in nadzor: Vzpo- njenega poslovanja v organizaciji stavitev in izvajanje operativnih kontrol . za doseganje ciljev neprekinjenega po- 2. Vodenje: slovanja. - Vodstvo in zavezanost: Najvišje vodstvo - Analiza vpliva na poslovanje (BIA) in ocena mora izkazati vodstvo in zavezanost glede tveganj: Izvedba BIA in ocena tveganj za SUNP. prepoznavanje ter določanje prednostnih - Politika neprekinjenega poslovanja: Raz- poslovanja. področij za zagotavljanje neprekinjenega vijanje in implementacija politike nepreki- njenega poslovanja. - Strategije in rešitve za neprekinjeno po- - Organizacijske vloge, odgovornosti in po- obvladovanje ugotovljenih tveganj. slovanje: Razvijanje strategij in rešitev za oblastila: Določitev odgovornosti in po- oblastil za vodenje ter izvajanje SUNP. - Načrti neprekinjenega poslovanja: Pripra- 3. Načrtovanje: motenj. va in vzdrževanje načrtov za obvladovanje - Ukrepi za obvladovanje tveganj in prilož- - Programi ozaveščanja in usposabljanja: nosti: Identificiranje in obravnavanje tve-Izvajanje programov za ozaveščanje in ganj ter priložnosti, ki lahko vplivajo na usposabljanje zaposlenih o SUNP. doseganje ciljev SUNP. - Cilji neprekinjenega poslovanja in načrto- testiranje načrtov za neprekinjeno poslo-- Vaje in testiranje: Redno izvajanje vaj in vanje za njihovo dosego: Določanje ciljev vanje. ti za doseganje želenih rezultatov nepreki- njenosti poslovanja in načrtovanje potreb- 6. Ocenjevanje uspešnosti: arnos nih ukrepov.e v- Spremljanje, merjenje, analiza in vredno- - Načrtovanje sprememb: Upravljanje spre- tenje: Spremljanje in merjenje učinkovito- memb, ki vplivajo na SUNP. sti SUNP, analiza rezultatov ter vrednote- 4. Podpora: nje doseganja ciljev. - Viri: Zagotavljanje potrebnih virov za vzpo- ranjih revizij za preverjanje skladnosti in - Notranja revizija: Izvajanje rednih not- očnik kibernetsk stavitev, izvajanje, vzdrževanje in izboljše- Prir učinkovitosti SUNP. vanje SUNP. 55 - Pregled vodstva: Redni pregledi s strani Vzpostavitev sistema upravljanja sistema ne- vodstva za oceno uspešnosti SUNP in do- prekinjenega poslovanja v skladu z ISO 22301, ločitev priložnosti za izboljšave. skupaj z integracijo drugih standardov za in- 7. Izboljšave: določeni kot zavezanci, pomaga pri zagotavlja- formacijsko varnost, lahko organizacijam, ki so - Neskladnosti in korektivni ukrepi: Obvla- nju celovite zaščite pred motnjami in varnosti dovanje neskladnosti in izvajanje korektiv- informacij. To bo omogočilo učinkovito obvla- nih ukrepov. dovanje tveganj, povečalo odpornost na inci- - Nenehno izboljševanje: Iskanje priložnosti nje po motnjah. dente in zagotovilo hitro ter učinkovito okreva- za stalno izboljševanje SUNP. Implementacija ISO 31000 in ISO 31010 Integracija ISO 22301 z drugimi standardi, kot sta ISO/IEC 27001 in ISO/IEC 27002 ISO 31000 in ISO 31010 sta ključna standarda Integracija ISO 22301 z drugimi varnostnimi splošne smernice za obvladovanje tveganj, ISO standardi, kot sta ISO/IEC 27001 (informacij-za obvladovanje tveganj, kjer ISO 31000 ponuja macijske varnosti), lahko prinese večje koristi se organizacije, kot so zavezanci lahko bistveno za celovito upravljanje varnosti in kontinuitete izboljša sposobnost za identifikacijo, oceno in v organizaciji. Integracija teh standardov lahko obvladovanje tveganj. ska varnost) in ISO/IEC 27002 (kontrole infor- nja tveganj. Njuna integracija v poslovne proce- 31010 pa podrobneje opisuje tehnike ocenjeva- vključi naslednje korake: Koraki za implementacijo ISO 31000 in ISO 1. Harmonizacija politik in ciljev: 31010 2. Skupni procesi ocenjevanja tveganj:- Usmerjanje politik informacijske varnosti 1. Vzpostavitev konteksta organizacije: in neprekinjenega poslovanja k skupnim - Razumevanje notranjega in zunanjega ciljem ter strategijam. okolja: Analiza notranjih dejavnikov (npr. kultura, struktura, procesi) in zunanjih de- - Uporaba enotnega pristopa k ocenjevanju javnikov (npr. regulative, tržni pogoji). tveganj, ki pokriva tako informacijsko var- - Opredelitev obsega obvladovanja tve- nost kot neprekinjeno poslovanje. ganj: Določitev področja uporabe sistema 3. Konsolidacija dokumentacije: upravljanja tveganj (RMS). - Združitev dokumentacije, kjer je to mo- 2. Vodenje in zavezanost: goče, da se prepreči podvajanje in poveča - Zavezanost vodstva: Zagotovitev podpore učinkovitost upravljanja. najvišjega vodstva in določitev jasnih od- 4. Usklajevanje vlog in odgovornosti: govornosti ter pooblastil za obvladovanje ti tveganj. - Določitev jasnih vlog in odgovornosti, ki arnos podpirajo tako informacijsko varnost kot - Razvoj politike obvladovanja tveganj: Do- e v ločitev smernic in ciljev za obvladovanje neprekinjeno poslovanje. tveganj. 5. Skupne vaje in testiranje: 3. Načrtovanje: - Izvajanje združenih vaj in testiranj za pre- verjanje učinkovitosti načrtov za informa- - Ukrepi za obvladovanje tveganj: Identifi- očnik kibernetsk kacija tveganj in priložnosti, razvoj načrtov cijsko varnost ter zagotavljanje nepreki- Prir za zmanjšanje tveganj. njenega poslovanja. 56 - Določitev kriterijev za tveganja: Določitev Vrednotenje tveganj: jetnost in vpliv. - Primerjava z merili za tveganje: Primerjava meril za ocenjevanje tveganj glede na ver- ugotovljenih tveganj s kriteriji, določenimi v 4. Implementacija in delovanje: začetni fazi. - Vzpostavitev strukture za obvladovanje - Razvrstitev tveganj: Razvrstitev tveganj po tveganj: Vključevanje obvladovanja tve- prioriteti glede na njihovo pomembnost za ganj v obstoječe procese in sisteme. organizacijo. - Izvajanje procesov za obvladovanje tve- Obvladovanje tveganj: fikacijo, analizo in vrednotenje tveganj. - Izogibanje tveganjem: Izogibanje dejavnos-ganj: Uporaba ISO 31010 tehnik za identi- tim, ki povzročajo tveganje. 5. Spremljanje in pregled: - Zmanjšanje tveganj: Uvedba ukrepov za - Spremljanje učinkovitosti: Redno spre- zmanjšanje verjetnosti ali vpliva tveganja. vljanje učinkovitosti ter skladnosti. - Prenos tveganj: Prenos tveganja na tretjo mljanje in pregledovanje RMS za zagota- osebo (npr. zavarovanje). - Notranje revizije: Redne revizije za prever-janje skladnosti z ISO 31000 in ISO 31010 - Sprejemanje tveganj: Sprejemanje tvega- standardi. nja, ko je verjetnost in vpliv v mejah spre-jemljivega. 6. Nenehno izboljševanje: Primer integracije v posamezno organizacijo - Identifikacija priložnosti za izboljšave: Stalno iskanje načinov za izboljšanje RMS. - Vzpostavitev politike obvladovanja tveganj: Razvoj in odobritev politike, ki jo podpira - Izvajanje izboljšav: Implementacija spre- najvišje vodstvo. in pregledov. - Analiza tveganj v IT in OT okolju: Izvedba memb na podlagi rezultatov spremljanja SWOT analize za identifikacijo tveganj po- Podrobnosti o tehnikah ocenjevanja tveganj vezanih z IT in OT sistemi. po ISO 31010 - Vzpostavitev kontrolnih mehanizmov: Identifikacija tveganj: Uvedba kontrolnih seznamov in redno izva- janje notranjih revizij. - Brainstorming: Skupinsko ustvarjanje idej za identifikacijo možnih tveganj. - Izvedba scenarijskih analiz: Priprava sce- - SWOT analiza: Analiza močnih in šibkih oceno njihovega vpliva. narijev za simulacijo možnih incidentov in točk ter priložnosti in groženj. - Kontrolni seznami: Uporaba seznamov za ti dno spremljanje učinkovitosti uvedenih - Nenehno spremljanje in izboljševanje: Re- sistematično preverjanje morebitnih tve- ukrepov in prilagajanje strategij obvladova- arnos ganj. nja tveganj.e v Analiza tveganj: Implementacija ISO 31000 in ISO 31010 v posa-- Kvalitativna analiza: Ocena tveganj glede na mezni organizaciji bo zagotovila celovit in struk- - Kvantitativna analiza: Kvantificiranje tve- ganizaciji omogočilo učinkovito prepoznavanje, očnik kibernetsk ocenjevanje in obvladovanje tveganj, s čimer se verjetnost in vpliv z uporabo lestvic. turiran pristop k obvladovanju tveganj. To bo or- ganj z uporabo matematičnih modelov (npr. Prir bo povečala odpornost na potencialne grožnje Monte Carlo simulacije). ter izboljšala stabilnost in uspešnost poslovanja. 57 Napotila za prakso Viri: - Uvajanje standardov v redno poslovanje je - SIST ISO/IEC 27001:2023: Informacijska ganizacijam, ki so ali bodo v prihodnje sodi- je zasebnosti — Sistemi upravljanja in- formacijske varnosti — Zahteve (ISO/IEC vsekakor priporočljiv korak, ki bo vsem or- varnost, kibernetska varnost in varovan- le v okvir zavezancev za izvajanje bistvenih 27001:2022) storitev, močno olajšal uvajanje zakonskih zahtev na področju Zakona o informacijski - ISO/IEC 27002:2022: Information security, varnosti. cybersecurity and privacy protection — In- formation security controls - Varnostne standarde uvajajte v svoje orga-nizacijske procese zaradi izboljšanja ravni - ISO/IEC 27005:2022: Information security, varnosti in ne zato, da dobite ustrezno potr- cybersecurity and privacy protection — Guidance on managing information secu- dilo o skladnosti s standardom. rity risks - Pri uvajanju bodite pragmatični in upo- - ISO 31000:2018: Risk management — Gui- rabljate zdrav razum v smeri zagotavljanja delines ukrepov. - ISO 31010:2019 : Risk management — Risk učinkovitosti predvidenih standardizacijskih assessment techniques - Pri uvajanju ne komplicirajte z uvajanjem - ISO 28000:2022: Security and resilience — standardov iz različnih standardizacijskih Security management systems — Require-okolij, temveč se odločite za en okvir in tega ments uveljavite v celoti.- ISO 22301:2019: Security and resilience — - Standarde lahko pridobite preko SIST. Business continuity management systems — Requirements - ISO 9001:2015: Quality management sys- tems — Requirements ti arnos e v očnik kibernetsk Prir 58 ti arnos e v očnik kibernetsk Prir 59 Sekcija 3 Napotki za sistemski pristop pri vzpostavitvi učinkovitega sistema informacijske varnosti ti arnos e v očnik kibernetsk Prir 60 Poglavje 10 Napotki za pripravo dokumentacije skladne z zakonom: priprava krovne varnostne politike POVZETEK Priprava krovne varnostne politike je ključnega pomena za organizacije, ki želijo izpol- njevati zakonske zahteve s področja informacijske varnosti in zagotavljati skladnost z Za- konom o informacijski varnosti ter evropskimi smernicami, kot je NIS-2. Takšna politika določa splošna načela, cilje in postopke za zaščito informacij ter upravljanje tveganj. Poleg vzpostavitve sistemov SUVI in SUNP je treba izvesti analizo tveganj, pripraviti načrte za odzivanje na incidente in obnovitev sistemov ter oblikovati varnostne ukrepe. V pomoč organizacijam pri oceni ravni kibernetske varnosti je na voljo samo ocenitveno orodje, ki pokriva 19 ključnih tematskih področij. Dokumentacija mora biti celovita, strukturirana in prilagojena specifikam organizacije. Ključne točke: • Krovna varnostna politika • Sistem upravljanja varnosti informacij (SUVI) in Sistem upravljanja neprekinjenega poslovanja (SUNP) • Analiza tveganj • Načrt neprekinjenega poslovanja ti • Načrt obnovitve sistemov arnos • Načrt odzivanja na incidente e v • Samoocenitveno orodje • Varnostni ukrepi • Skladnost z NIS-2 očnik kibernetsk • Organizacijska odgovornost. Prir 61 Namen krovne varnostne politike je, da se do- 4. načrt obnovitve in ponovne vzpostavi- loči splošne smernice, načela in zahteve za tve delovanja informacijskih sistemov iz varovanje informacij ter informacijskih siste- prejšnje alineje; tike je zagotoviti celovit, strukturiran in jasen 5. načrt odzivanja na incidente s protokolom mov v organizaciji. Cilj krovne varnostne poli- okvir za upravljanje vseh vidikov varnosti ter obveščanja nacionalnega CSIRT; upravljanja tveganj z vidika vseh nevarnosti, ki 6. načrt varnostnih ukrepov za zagotavljanje pretijo informacijskim in omrežnim sistemom. celovitosti, zaupnosti in razpoložljivos- V skladu z zakonskimi zahtevami in pričako- ti omrežja ter informacijskih sistemov, ki upoštevajo področne posebnosti. vanimi standardi zagotavljanja informacijske varnosti morajo izvajalci zavezanci za zagota- vzpostaviti ter vzdrževati dokumentiran sis- procesov informacijske varnosti v vaših orga- nizacijah pa je URSIV pripravil poseben samo- tem upravljanja varovanja informacij (SUVI) 4 ocenitveni vprašalnik , ki vam pomaga izvesti in sistem upravljanja neprekinjenega poslova- varnosti omrežij in informacijskih sistemov Za ustrezno začetno oceno nivoja urejenosti vljanje informacijske varnosti ter visoke ravni nja (SUNP) začetno oceno kibernetske varnosti. To je lah- 5 , ki mora obsegati najmanj: ko ustrezna in učinkovita podlaga za nadalje- 1. analizo obvladovanja tveganj z oceno spre- vanje potrebnih ukrepov dograditve sistema jemljive ravni tveganj; upravljanja varnosti informacij ter sistema 2. politiko neprekinjenega poslovanja z načr- upravljanja neprekinjenega poslovanja. tom njegovega upravljanja; Omenjeni vprašalnik temelji na orodju, ki ob- 3. seznam njegovih ključnih, krmilnih in nad- sega 238 kontrolnih točk razdeljenih v 19 te- matskih sklopov. zornih informacijskih sistemov ter delov omrežja in pripadajočih podatkov, ki so Ti sklopi so: bistvenega pomena za delovanje bistvenih storitev; 4 Sistem za upravljanje varovanja informacij (SUVI) je proces, s katerim rešujemo vse izzive varovanja informacij in predstavlja temelj za zmanjševanje informacijskih tveganj. Varovanje informacij in podatkov predstavlja nabor tehničnih ter organizacijskih ukrepov, katerih cilj je varovanje in zagotavljanje celovitosti, razpoložljivosti, uporab- nosti, dostopnosti ter zaupnosti informacij in podatkov, ki jih obdeluje ter pripravlja organizacija in zagotavljanje njegovega neprekinjenega delovanja. Upravljanje informacijske varnosti mora biti vedno usklajeno z drugimi or- ganizacijskimi procesi. 5 Sistem upravljanja neprekinjenega poslovanja (SUNP) je sistem upravljanja, ki temelji na strateški in taktični sposobnosti organizacije, da pripravi načrt za primere prekinitev in motenj pri poslovanju ter se nanje odzove z namenom zagotovitve storitev na sprejemljivi, vnaprej določeni ravni, in vključuje pripravo in uporabo načrtov ti obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov. arnos e v očnik kibernetsk Prir 62 1) Upravljanje kibernetske varnosti in obvladovanje 11) Delo na daljavo tveganj 2) Popis strojne in programske opreme 12) Uporaba kriptografije 3) Varna konfiguracija naprav in aplikacij 13) Usposabljanje in ozaveščanje 4) Nadzor nad aplikacijami in storitvami 14) Obvladovanje tveganj dobavne verige 5) Upravljanje računov in nadzor dostopov 15) Tehnična ocena kibernetske varnosti 6) Preverjanje pristnosti uporabnika 16) Fizična varnost 7) Varnost omrežja 17) Varnostno kopiranje podatkov 8) Zaščita pred zlonamerno programsko opremo 18) Ravnanje z incidenti 9) Vzdrževanje in analiza dnevnikov dogodkov 19) Neprekinjeno poslovanje in okrevanje po nesrečah 10) Varnost spletnih aplikacij Shema 6: Vsebinski sklopi samo-ocenitev začetnega stanja kibernetskega stanja v organizaciji (Vir: URSIV) Orodje je namenjeno predvsem izvajalcem bi- - Služi kot osnovno orodje za odločanje na stvenih storitev, organom državne uprave in podlagi dokazov v zvezi s kibernetsko var-povezanim subjektom, ki so zavezanci po Za- nostjo. konu o informacijski varnosti, zato se pripo- roča uporaba orodja v povezavi s postopkom - Poenostavljen pristop k splošni skladnosti ocene tveganj v organizaciji in pri prepoznava- z regulativnimi ali drugimi zahtevami. stavljenost organizacije večjim tveganjem. kumentacije vam v nadaljevanju ponujamo »kontrolni seznam«, ki vam bo v veliko pomoč Glavni cilji uporabe omenjenega orodja so: pri celoviti pripravi potrebne varnostne doku-mentacije, da boste skladni z zahtevami Zako-šibkih točk (slabosti), ki lahko vplivale na izpo- Za pregled priprave ustrezne varnostne do-nju tehničnih, organizacijskih ter upravljavskih - Praktični pristop merljivemu ocenjevanju na o informacijski varnosti, posledično pa tudi ravni kibernetske varnosti organizacije na z evropsko direktivo NIS-2. podlagi ocene specifičnih področij. - Pomoč organizacijam pri ugotavljanju sla- bosti, ki bi lahko povečale izpostavljenost grožnjam, obenem pa jim orodje omogoča možnost izbora ustreznih tehničnih in or- ganizacijskih ukrepov, ki lahko zmanjšajo tveganja. ti arnos e v očnik kibernetsk Prir 63 Člen6 Namen 3 Vsebina in struktura varnostne dokumentacije 3.1 Vzpostavljen in vzdrževan SUVI 3.2 Vzpostavljen in vzdrževan SUNP 3.3 SUVI in SUNP podpisana s strani zakonitega zastopnika IBS 4 Analiza obvladovanja tveganj 4.1 Navedba uporabljene metodologije za izvedbo analize, biti mora primerljiva, verodostojna in ponovl-jiva v skladu s pravili stroke 4.2 Navedba sredstev znotraj SUVI in upravljavcev/odgovornih za sredstva 4.3 Navedba možnih groženj tem sredstvom 4.4 Navedba ranljivosti sredstev, ki bi jih grožnje lahko prizadele 4.5 Navedba vpliva uresničitve groženj na zaupnost, celovitost in razpoložljivost sredstev 4.6 Ocena vpliva na opravljanje bistvenih storitev v primeru kršitve informacijske varnosti zaradi izgube zaupnosti, celovitosti, razpoložljivosti in avtentičnosti 4.7 Ocena verjetnosti, da nastane kršitev informacijske varnosti 4.8 Ovrednotenje ravni tveganj 4.9 Določitev in obrazložitev sprejemljive ravni tveganj 4.10 Navedba ukrepov za odpravo ali zmanjšanje tveganj na sprejemljiv nivo 5 Politika neprekinjenega poslovanja 5.1 Navedba ciljev in načel za zagotavljanje neprekinjenega poslovanja (neprekinjenega izvajanja bistve-nih storitev) 5.2 Navedba postopkov neprekinjenega poslovanja, ki se izdelajo na podlagi popisa poslovnih procesov 5.2 Popis poslovnih procesov Ocena vpliva na poslovanje, zajema navedbo možnih dogodkov (odpovedi informacijskih sistemov, 5.3 pomanjkanje zaposlenih, izpad posamezne lokacije znotraj organizacij, odpovedi storitev pogodbenih izvajalcev) 5.4 Določitev minimalne ravni poslovanja 5.5. Navedba ukrepov za zagotavljanje neprekinjenega poslovanja, ki se izdelajo na podlagi ocene vpliva na poslovanje in minimalne ravni poslovanja 5.6 Določitev vlog in odgovornosti za izvajanje politike neprekinjenega poslovanja ter njeno posodabljan-je ti 6 Seznam ključnih, krmilnih in nadzornih informacijskih sistemov 6.1 Navedba sredstev znotraj SUVI, od katerih je odvisno zagotavljanje bistvenih storitev arnos e v 6.2 Opredelitev ključnih, krmilnih in nadzornih informacijskih ter omrežnih sistemov in določitev njihovih upravljavcev 7 Načrt obnovitve delovanja informacijskih in omrežnih sistemov 7.1 Opis postopkov za obnovitev delovanja informacijskih sistemov iz člena 6 očnik kibernetsk 7.2 Opis odgovornosti za postopke obnovitve Prir 8 Načrt odzivanja na incidente informacijske varnosti 6 Člen se nanaša in povezuje z Uredbo o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave 64 8.1 Opis orodij in infrastrukture za zaznavanje ter odziv na incidente 8.2 Opis sistema za zbiranje in zavarovanje dokazov o incidentu, vključno z dnevniškimi zapisi ter revizij-skimi sledmi (če te obstajajo) 8.3 Opis politik in postopkov za odziv na incidente, obravnavo in analizo incidentov, vključno z evidenti-ranjem odzivnih aktivnosti 8.4 Opis odgovornosti oseb/organizacijskih enot, ki se bodo vključile v aktivnosti odzivov/obravnave/ana-lize incidentov 8.5 Opis postopkov in odgovornosti za poročanje o incidentih znotraj ter zunaj organizacije Opis protokola obveščanja nacionalnega CSIRT o incidentu (zajema najmanj oceno števila prizadetih uporabnikov bistvene storitve, oceno trajanja incidenta, 8.6 navedbo kazalnikov zlorabe, če ti obstajajo, oceno geografske razširjenosti območja vpliva incidenta, oceno morebitnega čezmejnega vpliva incidenta, oceno morebitnega medpodročnega vpliva incidenta, opis pomembnosti vpliva incidenta na nepre-kinjeno izvajanje bistvenih storitev) 9 Načrt varnostnih ukrepov 9.1 Navedba ukrepov, ki so učinkoviti tako, da povečajo informacijsko varnost glede na obstoječe in pred-videne grožnje 9.2 Navedba ukrepov, ki so prilagojeni tako, da se organizacija usmeri v ukrepe, ki najbolj vplivajo na nji-hovo informacijsko varnost in se izogibajo podvajanjem 9.3 Navedba ukrepov, ki so skladni tako, da se prednostno obravnavajo osnovne in skupne varnostne ran-ljivosti organizacije kljub področnim posebnostim 9.4 Navedba ukrepov, ki so sorazmerni s tveganji tako, da se izogibajo čezmerni obremenitvi posamezne organizacije 9.5 Navedba ukrepov, ki so konkretni tako, da organizacija te ukrepe izvaja, in da ukrepi prispevajo k in-formacijski varnosti 9.6 Navedba ukrepov, ki so preverljivi tako, da se na zahtevo pristojnega organa lahko predložijo dokazila o njihovi izvedbi 9.7 Navedba ukrepov, ki so vključujoči tako, da so upoštevani vsi vidiki informacijske varnosti, vključno s fizično varnostjo informacijskih sistemov 10.1 Metodologija za pripravo analize obvladovanja tveganj 10.1.1 Organizacija navede metodologijo z opredelitvijo lestvic in atributov ocenjevanja, po kateri bo izvedla analizo obvladovanja tveganj 10.1.2 Izvede popis sredstev znotraj SUVI in določi njihove upravljavce/odgovorne osebe za ta sredstva 10.1.3 Prepozna možne grožnje za izgubo zaupnosti, celovitosti in razpoložljivosti sredstev 10.1.4 Prepozna ranljivost sredstev, ki bi jih grožnje lahko prizadele ti 10.1.5 Oceni stopnjo vpliva uresničitve groženj na zaupnost, celovitost in razpoložljivost sredstev zaradi ran- arnos ljivostie v 10.1.6 Oceni primernost obstoječih ukrepov in stopnjo obvladovanja ugotovljenih tveganj s temi ukrepi 10.1.7 Ovrednoti ugotovljena tveganja glede na verjetnost nastanka tveganj in obseg negativnih posledic ob uresničitvi tveganj na zagotavljanje storitev 10.1.8 Določi oceno sprejemljive ravni tveganja glede na vrednotenje ugotovljenih tveganj očnik kibernetsk 10.2 Metodologija za določitev ključnih, krmilnih in nadzornih informacijskih sistemov Prir 10.2.1 Na podlagi popisanih sredstev znotraj SUVI organizacija presodi, ali je zagotavljanje bistvenih storitev odvisno od posameznega sredstva znotraj SUVI 65 10.2.2 Za sredstva, od katerih je odvisno zagotavljanje bistvenih storitev, organizacija presodi, katero od teh sredstev je bistveno za delovanje glavne storitve Analiza obvladovanja tveganj in določitev ključnih, krmilnih ter nadzornih informacijskih sistemov 10.3 mora temeljiti na postopkih, ki so dosledni, primerljivi in verodostojni Analiza obvladovanja tveganj in določanje ključnih, krmilnih in nadzornih informacijskih sistemov IBS 10.4 izvaja v rednih časovnih presledkih, ali kadar so predlagane, ali nastanejo bistvene spremembe v okviru SUVI 11 Minimalni obseg in vsebina varnostnih ukrepov 11.1 Zagotavlja podporo vodstva organizacije pri zagotavljanju informacijske varnosti, vključno z vključe-vanjem področja informacijske varnosti v letni načrt poslovanja organizacije 11.2 Zagotavlja integriteto kadrov v povezavi z informacijsko varnostjo pred zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve 11.3 Zagotavlja notranji pregled SUVI in SUNP najmanj enkrat letno ter kadar so predlagane ali nastanejo bistvene spremembe 11.4 Zagotavlja upravljanje ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov z določitvijo odgovornosti za njihovo zaščito 11.5 Zagotavlja ohranjanje dnevniških zapisov o delovanju ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja 11.6 Zagotavlja upravljanje prometa in komunikacij 11.7 Zagotavlja opredelitev varnostnih zahtev za ključne dobavitelje organizacije 11.8 Zagotavlja fizično in tehnično varovanje dostopov do prostorov, kjer so ključni, krmilni ter nadzorni informacijski sistemi organizacije 11.9 Zagotavlja varnostne mehanizme v posamezni aplikativni programski opremi za izvajanje dejavnosti IBS 11.10 Zagotavlja preverjanje identitete uporabnikov 11.11 Zagotavlja upravljanje in preprečevanje izrabe tehničnih ranljivosti 11.12 Zagotavlja raven dostopnosti informacij in upravlja pooblastila za dostop 11.13 Zagotavlja zaščito pred zlonamerno programsko kodo Zagotavlja evidentiranje dejavnosti ključnih, krmilnih in nadzornih informacijskih sistemov in delov 11.14 omrežja ter pripadajočih podatkov, njihovih uporabnikov in administratorjev 11.15 Zagotavlja zaznavanje poskusov vdorov in preprečevanje incidentov ti Shema 7: Vsebinski pregled zakonsko predvidene dokumentacije (vir: ICS) arnos e v očnik kibernetsk Prir 66 Posebno pozornost je treba pri pripravi doku- razvrščanje podatkov glede na občutljivost in mentov nameniti razumevanju dveh sistemov pomembnost. skozi različne standarde, ki podpirajo vzposta- Ravnanje s podatki: Določite postopke za varno SUVI in SUNP, ki sta med seboj sicer ločena, tudi vitev obeh procesov, vendar sta na drugi strani ravnanje, shranjevanje, prenos in uničenje po-datkov. komplementarna ter močno prepletena. To ra-zumevanje je ključno, da bo priprava ustrezne Šifriranje: Naročite uporabo šifriranja za obču-varnostne dokumentacije učinkovita, celovita, tljive podatke tako v mirovanju kot med preno-in da bo zajela vse vidike, ki so pomembni za som. sistemov v organizacijah in zagotavljanje ne- Nadzor dostopa: Uvedite nadzor dostopa za učinkovito ter varno delovanje informacijskih prekinjena delovanja tistih delov, ki so opre- omejevanje dostopa do podatkov na podlagi načela najmanjših privilegijev. deljeni kot ključni za zagotavljanje izvajanja bistvenih ali pomembnih storitev. 3. Politika nadzora dostopa V nadaljevanju vam posredujemo še korač- Avtentikacija uporabnikov: Določite zahteve za ni prikaz izdelave potrebne dokumentacije za mehanizme avtentikacije uporabnikov, kot so uskladitev z zahtevami Zakona o informacijski gesla, večfaktorska avtentikacija in biometrič-varnosti. ne kontrole. Krovna varnostna politika Avtorizacija: Opredelite postopke za dodeljeva- Krovna varnostna politika je temeljni doku- nje, spreminjanje in preklic dostopnih pravic do sistemov ter podatkov. ment, ki opredeljuje načela, cilje, odgovornosti in postopke za zagotavljanje informacijske var- Upravljanje računov: Uvedite postopke za nosti v organizaciji. Njen namen je zagotoviti upravljanje uporabniških računov, vključno z skladnost z zakonodajo, vključno z Zakonom o rednimi pregledi dostopnih pravic in pravo-informacijski varnosti, in določiti okvir za izva- časno odstranitvijo dostopa za odpuščene za-janje varnostnih ukrepov in postopkov. poslene. Priprava Krovne varnostne politike bi morala v 4. Politika omrežne varnosti grobem vsebovati naslednja temeljna področja: Segmentacija omrežja: Opredelite omrežno ar- 1. Splošna varnostna politika hitekturo, vključno s segmentacijo omrežij za Namen in obseg: Določite namen in obseg var- omejevanje širjenja morebitnih varnostnih in-cidentov. nostne politike, vključno z njeno uporabo za vse zaposlene, izvajalce ter partnerje. Požarni zidovi in zaznavanje vdorov: Opisujte lje, kot so ohranjanje zaupnosti, celovitosti in nje vdorov (IDS) in sistemov za preprečevanje vdorov (IPS) za zaščito omrežja. razpoložljivosti informacij. Varnostni cilji: Opredelite glavne varnostne ci- uporabo požarnih zidov, sistemov za zaznava- ti Odgovornosti: Dodelite odgovornosti za Poskrbite za varnost na omrežnem nivoju z arnos onemogočanjem neuporabljenih vrat na omre- upravljanje informacijske varnosti na vseh rav-e v žnih napravah in servisih, ki jih ne uporabljate. neh znotraj organizacije. Naprave redno posodabljajte, saj s tem odpra- Skladnost: Zagotovite skladnost z ustreznimi vite morebitne ranljivosti. Poskrbite za varno- zakoni, predpisi in standardi (npr. ISO 27001). stne kopije konfiguracij omrežnih naprav, da 2. Politika varnosti podatkov boste lahko v primeru odpovedi naprave hitro očnik kibernetsk zagotovili ponovno delovanje nove naprave. Prir Razvrščanje podatkov: Ustanovite shemo za Zagotavljajte redundanco omrežja, če je to nuj- 67 no za izvedbo vaših kritičnih procesov. Doku- neprenehno poslovanje prek vaj in simulacij. mentirajte spremembe konfiguracij in vzposta- Redno preverjajte, ali je iz varnostnih kopij mo- vite sistem upravljanja procesa sprememb. Če goče uspešno izvesti obnovitev. je mogoče, spremembe konfiguracij predhodno testirajte v ne-produkcijskem okolju. 7. Politika varstva osebnih podatkov Oddaljen dostop: Vzpostavite smernice za va- Načela varstva podatkov: Upoštevajte načela varstva podatkov, kot so zakonitost obdelave, ren oddaljen dostop do omrežja, vključno z načelo najmanjše obdelave podatkov, omeji- uporabo virtualnih zasebnih omrežij (VPN). tev namena in transparentnost. Prva tri nače- Spremljanje in beleženje: Uvedite stalno spre- la zagotavljajo, da se obdelujejo le tisti osebni mljanje in beleženje omrežnih dejavnosti za podatki, s katerimi je mogoče doseči namen zaznavanje ter odzivanje na varnostne inci- obdelave. Evidenca dejavnosti obdelav in vzpo- dente. stavitev postopkov za uveljavljanje pravic posa- 5. Politika zaščite končnih točk delave osebnih podatkov. meznikov pa zagotavljata transparentnost ob- Protivirusna in programska oprema za odkriva- Dobra praksa je, da imenujete pooblaščeno nje škodljivih kod: Zahtevajte namestitev in re- osebo za varstvo podatkov, tudi če vas zakon o dno posodabljanje protivirusne ter programske varstvu osebnih podatkov in GDPR ne zavezu- opreme za odkrivanje škodljivih kod na vseh jeta k imenovanju. Če pri obdelavi osebnih po- končnih točkah. datkov obstaja tveganje za kršitev pravic v zvezi Upravljanje popravkov: Določite postopke za z osebnimi podatki, izvedite oceno učinka in se pravočasno uporabo varnostnih popravkov in posvetujte s pooblaščeno osebo za varstvo po- posodobitev na končnih napravah. datkov. Šifriranje naprav: Naročite uporabo šifriranja Pravice posameznikov: Uvedite postopke za na vseh mobilnih in prenosnih napravah. omogočanje uresničevanja pravic posamezni- Politike uporabe: Ustanovite smernice za spre- tvijo obdelave in izbrisom podatkov. kov, vključno z dostopom, popravkom, omeji- jemljivo uporabo končnih naprav, vključno s prepovedjo nepooblaščenih namestitev pro- Obveščanje o kršitvah: Vzpostavite protokol za gramske opreme. pravočasno obveščanje o kršitvah varstva po- 6. Politika obnovitve po nesrečah in zagota- nim organom. datkov prizadetim posameznikom in regulator- vljanje neprekinjenosti poslovanja Ocena tveganj: Redno izvajajte ocene tveganj lovalci podatkov izpolnjujejo zahteve varstva za prepoznavanje morebitnih groženj poslo-Zunanji izvajalci: Zagotovite, da zunanji obde- podatkov preko pogodbenih dogovorov in re- vanju. dnih revizij. ti Načrtovanje obnovitve: Razvijajte in vzdržujte 8. Politika varnostnega izobraževanja in oza-arnos načrt za obnovitev po nesrečah ter načrt za ne- veščanja prekinjeno poslovanje, ki opredeljujeta postop- e v ke za odzivanje na motnje in okrevanje po njih. Programi usposabljanja: Razvijajte in izvajaj- Postopki varnostnega kopiranja: Določite po- poslene, vključno z ozaveščanjem o pogostih stopke za varnostno kopiranje ključnih podat- te redne programe usposabljanja za vse za- grožnjah ter varnih praksah. kov in sistemov, vključno s frekvenco ter mesti očnik kibernetsk Ozaveščevalne kampanje: Izvajajte stalne kam- shranjevanja varnostnih kopij. Prir panje za ozaveščanje o pomenu informacijske Testiranje in vaje: Redno preizkušajte in poso- varnosti. dabljajte načrte za obnovitev po nesrečah ter 68 Simulacije spletnega ribarjenja: Izvajajte simu- šimi praksami ter zagotavljajo robustno zaščito lacijske vaje za prepoznavanje in odzivanje na svojih informacijskih sredstev. Priprava krovne poskuse spletnega ribarjenja. varnostne politike zahteva celovit pristop, ki varnosti s promoviranjem poročanja o sumlji- ničnih ter organizacijskih ukrepov. Pomembno vih dejavnostih in potencialnih varnostnih inci-je, da politika ni zgolj dokument, temveč živi dentih. del organizacijske kulture, ki se redno pregle-Poročanje o incidentih: Spodbujajte kulturo ciljev, vzpostavitev odgovornosti in uvedbo teh-vključuje analizo tveganj, določitev varnostnih 9. Politika upravljanja tretjih strank duje in prilagaja spreminjajočim se varnostnim izzivom ter regulatornim zahtevam. Ocena dobaviteljev: Izvajajte temeljite ocene dobaviteljev in izvajalcev za zagotavljanje, da izpolnjujejo varnostne standarde organizacije. Viri: Pogodbene zahteve: V pogodbe s tretjimi stran- - SIST ISO/IEC 27001:2023: Informacijska kami vključite specifične varnostne zahteve in varnost, kibernetska varnost in varovan-odgovornosti. je zasebnosti — Sistemi upravljanja in-formacijske varnosti — Zahteve (ISO/IEC Spremljanje in revizija: Redno spremljajte in re-27001:2022) vidirajte skladnost tretjih strank z varnostnimi politikami ter postopki. - ISO/IEC 27002:2022: Information security, Postopki prekinitve: Vzpostavite postopke za formation security controls cybersecurity and privacy protection — In-varno prekinitev odnosov s tretjimi strankami, vključno z vračilom ali uničenjem občutljivih - ISO 31000:2018: Risk management — Gui-podatkov. delines 10. Politika razvoja programske opreme - ISO 31010:2019 : Risk management — Risk Varnost v razvojnem življenjskem ciklu: Integri- assessment techniques rajte varnost v vse faze življenjskega cikla ra- - Uredba o varnostni dokumentaciji in mi-zvoja programske opreme (SDLC), od zasnove nimalnih varnostnih ukrepih poveza- do uvedbe. nih subjektov: Uradni list RS, št. 118/23: Pregled kode: Uvedite redne preglede kode in https://pisrs.si/pregledPredpisa?id=U- statične analize kode za prepoznavanje ter od- RED8925&utm= pravljanje varnostnih ranljivosti. - Urad Vlade RS za informacijsko varnost Testiranje: Izvajajte temeljito varnostno testi- https://www.gov.si/drzavni-organi/vlad- ranje, vključno z vdornim testiranjem in oceno ne-sluzbe/urad-vlade-za-informacij- ranljivosti, pred uvedbo programske opreme. sko-varnost/ Če je le mogoče, ločite testno okolje od produk- ti - Zakon o informacijski varnosti (ZInfV) cijskega. (Uradni list RS, št. 30/18 , 95/21 , 130/22 – arnos Upravljanje popravkov: Zagotovite pravočasne ZEKom-2, 18/23 – ZDU-1O in 49/23 ): ht-e v posodobitve in popravke za odpravljanje varno- tps://pisrs.si/pregledPredpisa?id=ZA- stnih ranljivosti v programski opremi. KO7707&utm_ S temi podrobnimi navodili lahko organizacije ustvarijo celovito krovno varnostno politiko, ki očnik kibernetsk je skladna z zakonskimi zahtevami in najbolj-Prir 69 Poglavje 11 Predstavitev ključnih korakov upravljanja kibernetske oziroma informacijske varnosti POVZETEK Upravljanje kibernetske in informacijske varnosti je ključnega pomena za zaščito organi-zacijskih informacijskih sistemov in podatkov pred nenehno spreminjajočimi se grožnja-mi. Poglavje zajema celovit pregled ključnih korakov, od prepoznavanja varnostnih zahtev, identifikacije tveganj, razvoja strategije upravljanja, implementacije ukrepov, izobraževa-nja zaposlenih, nadzora in odziva na incidente, rednega testiranja ter priprave na obnovo po incidentu. Poudarjena je potreba po povezovanju z mednarodnimi standardi, kot je standard ISO/IEC 27002, ter pomembnost sodelovanja vseh ravni organizacije, vključno z vodstvom in zaposlenimi. Uspešno upravljanje zahteva stalno prilagajanje novim izzivom, redno ocenjevanje učinkovitosti varnostnih ukrepov ter vzpostavitev celovitih načrtov za neprekinjeno poslovanje in odzivanje na incidente. Ključne točke: • Upravljanje kibernetske varnosti • Identifikacija in analiza tveganj • Strategija upravljanja tveganj ti • Implementacija varnostnih ukrepov • Izobraževanje in ozaveščanje zaposlenih arnos e v • Nadzor in odzivanje na incidente • Redno testiranje in ocenjevanje ukrepov • Priprava na obnovo po incidentih očnik kibernetsk • Povezovanje s standardom ISO/IEC 27002 Prir • Neprekinjeno poslovanje in krizni načrti. 70 1. Uvod v upravljanje kibernetske varnosti goditev kontrol glede na lastne potrebe in jih ski sistemi podpirajo ključne poslovne procese, kovitih postopkov za spremljanje in odzivanje je učinkovito upravljanje kibernetske varnosti na varnostne incidente. Uvedba oziroma upo-postalo nuja. Pomen prepoznavanja varnostnih V sodobnem poslovnem okolju, kjer informacij- Poleg tega ponuja okvir za vzpostavitev učin-usmerja pri izbiri potrebnih varnostnih ukrepov. zahtev je zato ključen del tega procesa. Organi- da ostanejo proaktivni pri obvladovanju varno-števanje teh smernic omogoča organizacijam, zacija mora najprej prepoznati in oceniti svoje stnih tveganj, kar poveča odpornost na zunanje specifične varnostne potrebe. Ti izzivi niso zgolj in notranje grožnje. tehnični, temveč se navezujejo na različne po-slovne, pravne in regulativne dejavnike, ki obli- 2. Identifikacija tveganj kujejo varnostne zahteve. Identifikacija tveganj je osnova za vzpostavitev Glavni viri varnostnih zahtev vključujejo: učinkovitega sistema kibernetske varnosti. Gre - Ocenjevanje tveganj: Organizacije mora- na in oceni grožnje, ki bi lahko ogrozile njene za postopek, pri katerem organizacija prepoz-jo analizirati grožnje, ki lahko vplivajo na informacijske sisteme ter podatke. Pri identi-njihove informacijske sisteme. Ta analiza fikaciji tveganj je pomembno, da podjetje upo-vključuje prepoznavanje ranljivosti v siste-števa celoten spekter potencialnih nevarnosti, mih, ocenitev potencialnih vplivov in opre- saj te izhajajo iz različnih virov, od zunanjih delitev resnosti tveganj. Učinkovita ocena napadov do notranjih napak ali malomarnosti tveganj omogoča pripravo prioritetne le-zaposlenih. stvice ukrepov in zagotovi, da se omejena sredstva usmerijo v reševanje najbolj kritič- Postopek identifikacije tveganj vključuje več nih težav. ključnih korakov: - Pravne in regulativne zahteve: Zakonodaja - Zbiranje informacij o obstoječih grožnjah: in regulativa se na področju varnosti infor- Organizacije morajo redno spremljati ra- macij nenehno razvijata. Podjetja morajo zvoj kibernetskih groženj, tako na globalni biti skladna z nacionalnimi in mednarodni- kot nacionalni ravni. To vključuje analizo mi (evropskimi) pravnimi podlagami in/ali z preteklih varnostnih incidentov v industriji/ različnimi varnostnimi standardi, ki se upo- sektorju, kot tudi reden pregled lastnih in- rabljajo v njihovi panogi. Upoštevanje teh formacijskih sistemov. podlag zagotavlja, da podjetje ne le varuje bitnim kaznim/globam zaradi neskladnosti. formacijskih sistemih so tista šibka mesta, kjer lahko pride do vdora ali izgube podat-svoje podatke, temveč se tudi izogiba more- - Prepoznavanje ranljivosti: Ranljivosti v in-- Cilji in načela upravljanja: Pomembno je, kov. Te ranljivosti so lahko tehnične narave, da organizacije določijo jasno strukturo ci- kot so nezakrpane programske opreme, ali ljev glede upravljanja informacij. To vklju- pa izhajajo iz neustreznih varnostnih praks čuje vzpostavitev postopkov za varovanje znotraj organizacije. ti ter preverjanje skladnosti z varnostnimi so tveganja prepoznana, jih je treba oce- e v niti glede na njihovo verjetnost in možne nosti in določanje načinov za spremljanje občutljivih podatkov, opredelitev odgovor- - Ocena resnosti in verjetnosti tveganj: Ko arnos politikami. posledice. Tveganja, ki predstavljajo veliko Povezava z SIST EM ISO/IEC 27002: grožnjo, je treba obravnavati prednostno, Standard ISO/IEC 27002 predstavlja temeljni nizaciji znatno škodo. saj lahko njihova realizacija povzroči orga-vir smernic za vzpostavitev ustreznih kontrol in Priročnik kibernetsk mehanizmov za zaščito pred varnostnimi tve- Učinkovita identifikacija tveganj omogoča or-ganji. Standard omogoča organizacijam prila- ganizacijam, da oblikujejo ustrezne strateške 71 varnostne ukrepe, ki so usmerjeni v prepreče- 4. Implementacija varnostnih ukrepov izboljševanje, saj se narava groženj nepresta- plementacija, ki je ključnega pomena za zaš- čito informacijskih sistemov pred kibernetski- no spreminja. mi grožnjami. Ta korak vključuje tako tehnične nehen proces, ki zahteva stalno prilagajanje in Ko je strategija pripravljena, sledi njena im-vanje in blaženje potencialnih škod. To je ne- 3. Razvoj strategije upravljanja tveganj kot organizacijske ukrepe, ki morajo biti na- Ko so tveganja prepoznana in ocenjena je nas- zaščito. tančno izvedeni, da zagotovijo največjo možno lednji korak oblikovanje strategije za njihovo upravljanje. Razvoj strategije upravljanja tve- Glavne komponente implementacije: ganj je ključnega pomena, saj mora zagotoviti, grožnje, in da so stroškovno učinkoviti. V tem požarnih zidov, naprednih sistemov za za- znavanje vdorov (IDS), šifriranje podatkov da se ukrepi osredotočijo na najpomembnejše - Tehnološki ukrepi: Sem spadajo uporaba metode in vire, ki so potrebni za obvladovanje ter protivirusni programi. Ti ukrepi so prva koraku organizacija določi prioritetne naloge, tveganj. obrambna linija pred zunanjimi grožnjami. Koraki pri razvoju strategije: - Organizacijski ukrepi: Varnostne politike, kot so pravilniki o uporabi gesel, dostop do - Določitev ciljev in prioritet: Strategija podatkov in postopki za obravnavo varno- mora temeljiti na jasnih ciljih, ki so pove- stnih incidentov so prav tako ključni ele- zani z zaščito ključnih informacijskih virov. menti zaščite. Pomembno je, da so zapos- Organizacija mora določiti, kateri podatki leni seznanjeni z varnostnimi pravili, in da in sistemi so najbolj občutljivi ter katere organizacija zagotovi redno izobraževanje grožnje predstavljajo največje tveganje. na tem področju. - Izbira metod upravljanja tveganj: Na voljo - Redno testiranje in nadzor: Sistemi, ki so so različne metode za obvladovanje tve- bili implementirani, morajo biti redno pre- ganj, vključno z izogibanjem tveganjem, verjani in testirani, da se zagotovi njihova zmanjševanjem njihovega vpliva, preno- učinkovitost. To vključuje izvajanje varno- som tveganj na tretje strani (npr. zavaro- stnih preizkusov, kot so vdorni (penetra- valnice) ali sprejemanjem tveganj v pri- cijski) testi ter spremljanje dnevniških za- merih, ko so posledice sprejemljive. Za več pisov, da se čim prej odkrijejo morebitne informacij o posameznih metodah si lahko neskladnosti. ukrepov za obvladovanje tveganj. Implementacija varnostnih ukrepov zahteva ogledate poglavje 14: Napotki za pripravo tesno sodelovanje različnih oddelkov znotraj - Ocena stroškov in virov: Pri razvijanju organizacije. Poleg IT oddelka je nujno, da so strategije je pomembno, da se oceni tudi v ta proces vključeni tudi zaposleni z oddelka ti stroškovna učinkovitost posameznih var- za človeške vire, pravne službe in vodstvo, saj nostnih ukrepov. Organizacija mora preso- je kibernetska varnost v rokah celotne organi- arnos diti, ali so viri (tako finančni kot kadrovski) zacije, odgovornost pa nosi vodstvo. e v razporejeni optimalno glede na stopnjo tveganj. 5. Izobraževanje in usposabljanje zaposlenih očnik kibernetsk Strategija upravljanja tveganj se mora prilaga- Človeški dejavnik ostaja eden najpomembnej- ših, vendar tudi najšibkejših elementov kiber- jati spremembam v poslovnem okolju in slediti netske varnosti v organizacijah. Veliko varno- razvoju tehnologij. Poleg tega mora vključeva- stnih incidentov izhaja iz napak zaposlenih, ki ti redno ocenjevanje in testiranje učinkovito- Prir zaradi pomanjkljivega znanja ali nepazljivosti sti ukrepov, kar zagotavlja, da je organizacija omogočijo zlorabo sistemov ali izpostavijo ob- pripravljena na nove ter razvijajoče se grožnje. 72 čutljive podatke. Zato je ključnega pomena, vključuje uporabo naprednih tehnologij, kot so da organizacija vzpostavi celovit in učinkovit orodja za zaznavanje vdorov (IDS), ki nenehno program izobraževanja, ozaveščanja ter uspo- spremljajo promet v omrežju in opozarjajo na sabljanja zaposlenih. Ta mora biti zasnovan sumljive dejavnosti, ter sisteme za prepreče-tako, da ne gre zgolj za enkratno izobraževa- vanje vdorov (IPS), ki lahko proaktivno blokira-nje, temveč za neprekinjen proces, ki se prila- jo zaznane grožnje. Pomembno je tudi redno gaja novim izzivom in grožnjam. spremljanje dnevniških zapisov s pomočjo re- novih zaposlenih, kjer se jih seznani z osnov- analizo dogodkov v omrežju v realnem času. nimi varnostnimi politikami organizacije, pra-Poleg tega se uporabljajo požarni zidovi (Fi-vilno uporabo tehnologije, kot so gesla, VPN-ji rewall) in rešitve za zaznavanje ter odzivanje Začeti je treba s temeljitim uvajanjem vseh dogodkov (SIEM), ki omogočajo sledenje ter šitev za upravljanje varnostnih informacij in in večfaktorska avtentikacija. Vendar to ni do- na končnih točkah (EDR) in omrežju (NDR) za volj. Zaposlene je treba redno osveščati o no-dodatno zaščito. vih grožnjah, kot so lažno predstavljanje (ang. phishing) napadi, socialni inženiring, izsilje- Ko pride do varnostnega incidenta, mora biti valska programska oprema, saj so te taktike organizacija pripravljena na hiter in učinko-vedno bolj sofisticirane in pogosto izkoriščajo vit odziv. To pomeni, da je treba imeti vnaprej ravno pomanjkanje zavedanja pri uporabnikih. pripravljen načrt za odzivanje na incidente, ki mere in simulacije, kjer zaposleni lahko preiz- jo vključevati takojšnje ukrepe za omejevanje kusijo svoje odzive na potencialne kibernetske škode, kot je na primer izolacija okuženega grožnje. Na primer, simulirani napadi lažnega sistema ali prekinitev dostopa do ogroženih Usposabljanje mora vključevati praktične pri- ke, ki jih je treba izvesti. Odzivni načrti mora-jasno določa korake, odgovornosti in postop- predstavljanja (ang. Phishing) lahko služijo podatkov, ter obveščanje vseh prizadetih stra-kot uporabno orodje, da se pokažejo slabosti ni, tako znotraj organizacije kot tudi zunaj nje. v obstoječih procesih in se hkrati okrepi prip-ravljenost zaposlenih na resnične napade. Re- Pomembno je, da odziv na incidente ni le teh-dni seminarji, delavnice in dostop do spletnih nična naloga IT oddelka, temveč celostni pro-tečajev morajo biti del vsakdanje prakse, saj ces, ki vključuje tudi pravne, komunikacijske le tako lahko organizacija zagotovi, da so za- in vodstvene vidike. Če gre za večji incident, posleni vedno korak pred napadalci. ki lahko vpliva na ugled podjetja ali vključu- da usposabljanje vključuje širšo ozaveščenost partnerje, javnosti in regulatorje. Po zaključku o odgovornosti zaposlenih. Na vseh ravneh incidenta pa je treba izvesti temeljito analizo podjetja se mora vzpostaviti varnostna kultu-dogodka, da se ugotovi, kaj je šlo narobe, kate-Poleg tehničnih vidikov je pomembno tudi, komunikacijski načrt, kako obvestiti stranke, je osebne podatke, mora biti pripravljen tudi ra, kjer vsak posameznik razume svojo vlogo re ranljivosti so bile izkoriščene in kako lahko pri zaščiti podatkov in sistemov. Le tako lahko organizacija izboljša svoje varnostne ukrepe. podjetje učinkovito zmanjšuje človeška tvega- ti nja in krepi svojo celotno varnostno kulturo. Uspešen nadzor in odziv na incidente omo- 6. Nadzor in odziv na incidente e v gočata organizaciji, da minimizira škodo in arnos prepreči, da bi posamezni incidenti imeli dol- Kibernetska varnost ni statičen proces, temveč goročne negativne posledice na poslovanje. zahteva nenehen nadzor in hitro ukrepanje ob Varnost je le tako celovito vzpostavljena, če lahko pojavijo kadarkoli, ne glede na to, kako in reaktivnimi ukrepi. očnik kibernetsk robustni so preventivni ukrepi. Zato je ključ- morebitnih incidentih. Varnostni incidenti se podjetje učinkovito prehaja med preventivnimi no, da organizacija vzpostavi sistem za stalno so sistemi za zaznavanje vdorov (IDS), SIEM: Organizacije uporabljajo različna orodja, kot Prir spremljanje svojih informacijskih sistemov. To 73 varnostno-informacijski in dogodkovni sistem Poleg testov je pomembno tudi redno oce- (Security Information and Event Management) njevanje učinkovitosti obstoječih varnostnih ter protivirusne rešitve, da spremljajo dogaja- politik in postopkov. Organizacija mora redno nje v omrežju. Prav tako je ključnega pomena, pregledovati svoje varnostne strategije in jih da podjetje vzpostavi odzivni načrt, ki določa, prilagajati glede na nove grožnje ali spremem- kako bodo različni oddelki reagirali v primeru be v notranjem ter zunanjem okolju. Pri tem napada. Pomembna je tudi jasna koordina- je ključnega pomena, da se zbirajo povratne cija med vsemi enotami organizacije, ki so v informacije od vseh oddelkov znotraj organi- takšen odziv vključene, ta mora potekati po zacije. Tisti, ki delajo neposredno s podatki in vnaprej določeni poti in iz ene točke. Ta načrt sistemi, so pogosto najboljši vir informacij o vključuje naslednje korake: tem, kje so ranljivosti ter kako bi lahko izbolj- šali obstoječe procese. - prva reakcija na incident (prepoznavanje, izolacija), Z rednim testiranjem in ocenjevanjem se or- - analiza in ocena škode, njam, temveč tudi ohranja proaktivno držo ganizacija ne le izogne potencialnim grož- - omejitev nadaljnjih posledic (zapiranje pri upravljanju svoje kibernetske varnosti. To ranljivosti), je najboljši način, da ostane korak pred napa- dalci in hkrati ohrani zaupanje strank ter par- - obnova podatkov in sistemov, tnerjev - učinkovita komunikacija s strankami in de- 8. Priprava na obnovo po incidentu ležniki. Tudi z najboljšimi varnostnimi ukrepi se or- 7. Redno testiranje in ocenjevanje ganizacije soočajo z dejstvom, da varnostni V kibernetski varnosti ni nič bolj nevarnega kot incidenti lahko kljub vsemu še vedno nasto- občutek lažne varnosti. Tudi najbolj napredni pijo. Zato je ključnega pomena, da so podjetja varnostni sistemi in kontrole se lahko sčaso- pripravljena na obnovo po incidentu, saj lahko ma izkažejo za neučinkovite, še posebej, če hitro in učinkovito ukrepanje bistveno zmanj- jih organizacija ne testira ter ocenjuje redno. ša posledice za poslovanje. Proces obnove Grožnje se nenehno razvijajo, kar pomeni, da ne vključuje le tehnične plati, temveč mora se morajo varnostni ukrepi stalno prilagajati biti organizacija pripravljena tudi na pravne, novim izzivom. Zato je redno testiranje var- komunikacijske in poslovne izzive, ki jih inci- nostnih ukrepov ključnega pomena za zago- denti prinašajo. Obnova po incidentu je tesno tavljanje, da so še vedno ustrezni in učinkoviti povezana z neprekinjenim poslovanjem. Za več informacij o oceni vpliva na poslovanje in Vdorni (Penetracijski) testi so ena izmed naj- ukrepih za zagotavljanje neprekinjenega po- bolj uporabljenih metod za preverjanje var- slovanja si lahko ogledate poglavje 15: Napotki nosti. Zunanji strokovnjaki ali specializirane za pripravo ocene vpliva na poslovanje in ukre-ti ekipe znotraj organizacije simulirajo napade pov zagotavljanja neprekinjenega poslovanja. na sisteme, da bi odkrili morebitne ranljivosti. arnos Prvi korak v obnovi po incidentu je vzpostavitev Ti testi so izjemno dragoceni, saj omogočajo, e v natančnega načrta za obnovitev sistemov in da podjetje odkrije šibke točke v svojih siste- mih, preden jih odkrijejo dejanski napadalci. podatkov. Ta načrt mora zajemati pomembne Poleg tega vdorni (penetracijski) testi poma- časovne odzive za ponovno vzpostavitev delo- gajo oceniti, kako dobro delujejo odzivni načrti vanja prizadetih sistemov, postopek za obnav- in koliko so zaposleni pripravljeni na morebi- ljanje varnostnih kopij podatkov in aplikacij, očnik kibernetsk ponovni zagon sistemov ter preverjanje, ali so tne incidente. Prir bili sistemi po incidentu ustrezno očiščeni ter 74 zaščiteni pred nadaljnjimi napadi. Zato mora Viri: organizacija vzpostaviti redne varnostne kopi- je, ki se izvajajo samodejno in na več varno- - ENISA (December 2016): Technical Gui-stnih lokacijah, saj je obnova pogosto odvisna delines for the implementation of mini-od dostopa do neokrnjenih kopij podatkov. mum security measures for Digital Service Priprava na obnovo po incidentu vključuje tudi Providers. https://www.enisa.europa.eu/ razvoj kriznih načrtov za komunikacijo z za- publications/minimum-security-meas- poslenimi, strankami in javnostjo. V primeru ures-for-digital-service-providers/@@ večjega varnostnega incidenta, kot je izguba download/fullReport osebnih podatkov ali napad z izsiljevalsko - Čaleta, D. in drugi (2019) Strokovne podla-programsko opremo, je treba pravočasno in ge za ocenjevanje tveganj za delovanje kri-natančno obvestiti vse prizadete strani ter tudi tične infrastrukture, MORS-Ljubljana niciranje lahko še poveča škodo, saj lahko iz- - SIST ISO/IEC 27001:2023: Informacijska varnost, kibernetska varnost in varovan-pristojne državne organe. Neuspešno komu- guba zaupanja strank in poslovnih partnerjev je zasebnosti — Sistemi upravljanja in-traja dolgo po tem, ko je incident že tehnično formacijske varnosti — Zahteve (ISO/IEC rešen. 27001:2022) Pomemben del načrta za obnovo je tudi anali- - ISO/IEC 27002:2022: Information security, za incidenta. Organizacija mora po vsakem in- cybersecurity and privacy protection — In-cidentu izvesti temeljito preiskavo, da ugotovi, formation security controls dostop in kateri ukrepi so bili neučinkoviti. Ta - Urad Vlade RS za informacijsko varnost https://www.gov.si/drzavni-organi/vlad-kaj je šlo narobe, kako je napadalec pridobil analiza služi kot osnova za izboljšanje varno- ne-sluzbe/urad-vlade-za-informacij-stnih politik in postopkov, da bi preprečili po-sko-varnost/ novitev podobnih incidentov v prihodnosti. To je dinamičen proces, kjer se organizacija uči iz - Zakon o informacijski varnosti (ZInfV) svojih napak in prilagaja svojo strategijo kiber- (Uradni list RS, št. 30/18, 95/21, 130/22 – netske varnosti. ZEKom-2, 18/23 – ZDU-1O in 49/23): ht- tps://pisrs.si/pregledPredpisa?id=ZA- Priprava na obnovo po incidentu ni le tehnič- KO7707&utm_ no vprašanje, temveč tudi vprašanje celotne organizacijske pripravljenosti. Le podjetja, ki imajo vzpostavljen celovit in podroben načrt za obvladovanje kriznih situacij, lahko ohra- nijo stabilnost ter zmanjšajo vpliv varnostnih incidentov na svoje poslovanje. ti arnos e v očnik kibernetsk Prir 75 Poglavje 12 Napotki za izdelavo analize tveganj informacijske varnosti POVZETEK Izdelava analize tveganj informacijske varnosti je ključnega pomena za vzpostavitev učin-kovitega sistema varovanja informacijskih sredstev organizacije. Poglavje ponuja celovit pregled postopka, ki vključuje prepoznavanje, oceno in obvladovanje tveganj. Poudarjen je pomen metodološke doslednosti, sodelovanja različnih oddelkov ter usklajenosti z za-konodajnimi zahtevami in mednarodnimi standardi, kot je standard ISO 27005. Analiza tveganj služi kot temelj za učinkovito načrtovanje varnostnih ukrepov, hkrati pa omogoča prilagodljivost na hitro spreminjajoče se grožnje. Posebej izpostavljena je potreba po vklju-čevanju vodstva ter oblikovanju realističnih načrtov za obvladovanje tveganj, ki so usklajeni z razpoložljivimi viri. Ključne točke: • Priprava in načrtovanje • Identifikacija sredstev in groženj • Identifikacija ranljivosti in ocena vpliva ti • Ocena tveganj in resnosti (verjetnosti) arnos • Strategije upravljanja tveganj e v • Implementacija in spremljanje ukrepov • Prilagoditev zakonskim zahtevam • Uporaba mednarodnih standardov in metodologij očnik kibernetsk • Integracija analize tveganj v sistemu upravljanja varnosti informacij (SUVI) Prir in sistemu upravljanja neprekinjenega poslovanja (SUNP). 76 Izdelava analize tveganj informacijske var- Zavezanec analizo obvladovanja tveganj nosti je ključni korak za zagotovitev ustrezne pripravi tako, da: zaščite informacijskih sredstev organizacije. - navede metodologijo z opredelitvijo lestvic S spodnjimi napotki boste lažje izvedli celovit in atributov ocenjevanja, po kateri bo izve-postopek analize tveganj, ki vam bo poma- del analizo obvladovanja tveganj v skladu z gal prepoznati, oceniti in upravljati tveganja Uredbo, tveganj ima pomembno mesto tako v sistemu - izvede popis sredstev znotraj SUVI in do-v vašem informacijskem okolju. Ocenjevanje upravljanja varnosti informacij (SUVI), kakor loči njihove upravljavce oziroma odgovorne osebe za ta sredstva, tudi v sistemu upravljana neprekinjenega po-slovanja (SUNP). - prepozna možne grožnje za izgubo zaup- Na podlagi zakonskih zahtev nosti, celovitosti in razpoložljivosti sredstev 7 je treba izvesti iz prejšnje točke, analizo obvladovanja tveganj z oceno spre-jemljive ravni tveganj (v nadaljevanju: analiza - prepozna ranljivost ključnih informacijskih obvladovanja tveganj), ki mora zajemati naj- sredstev, ki bi jih identificirane grožnje lah-manj: ko prizadele, - navedbo uporabljene metodologije za iz- - oceni stopnjo vpliva uresničitve groženj vedbo analize obvladovanja tveganj, ki na zaupnost, celovitost in razpoložljivost mora biti primerljiva, verodostojna in po- ključnih informacijskih sredstev, novljiva v skladu s pravili stroke, - oceni primernost obstoječih ukrepov in - navedbo sredstev znotraj SUVI in uprav- stopnjo obvladovanja ugotovljenih tveganj ljavce teh sredstev oziroma odgovorne s temi ukrepi, osebe za ta sredstva, - ovrednoti ugotovljena tveganja glede na - navedbo možnih groženj tem sredstvom, verjetnost nastanka tveganj in obseg ne- - navedbo ranljivosti sredstev, ki bi jih grož- gativnih posledic ob uresničitvi tveganj na zagotavljanje storitev ter nje lahko prizadele, - navedbo vpliva uresničitve groženj na zau- - določi oceno sprejemljive ravni tveganja glede na vrednotenje ugotovljenih tveganj. pnost, celovitost in razpoložljivost sredstev zaradi opredeljenih ranljivosti, Zavezanec seznam svojih ključnih, krmilnih - oceno vpliva na opravljanje bistvenih stori- in nadzornih informacijskih sistemov pripravi tako, da: tev v primeru kršitve informacijske varnosti zaradi izgube zaupnosti, celovitosti ali raz- - na podlagi popisanih sredstev znotraj SUVI položljivosti, presodi, ali je zagotavljanje bistvenih sto- - oceno verjetnosti, da nastane kršitev infor- ritev odvisno od posameznega sredstva ti znotraj SUVI, in macijske varnosti, - ovrednotenje ravni tveganj, - na podlagi posameznih sredstev znotraj arnose v SUVI, od katerih je v skladu s prejšnjo ali- - določitev in obrazložitev sprejemljive ravni nejo odvisno zagotavljanje bistvenih stori- tveganj, tev, presodi, katero od teh sredstev je ključ- - navedbo ukrepov za odpravo ali zmanjša- no za delovanje bistvene storitve. nje tveganj nad sprejemljivo ravnjo. očnik kibernetsk Prir 7 Podrobneje glej Uredbo o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev, Ur. l. RS 8/23. 77 Zavezanec izvede analizo obvladovanja tve- - Določitev metodologije: Izberite in do- ganj ter določi ključne, krmilne in nadzorne kumentirajte metodologijo, ki jo bos- informacijske sisteme tako, da bodo rezultati te uporabili za analizo tveganj (npr. ISO teh postopkov dosledni, primerljivi ter vero- 27005). dostojni. 2. Identifikacija sredstev in groženj Zavezanec izvaja analizo obvladovanja tve- ganj in določa ključne, krmilne ter nadzorne - Identifikacija informacijskih sredstev: informacijske sisteme v rednih časovnih pres- Naredite popis vseh informacijskih sredstev, kot so podatki, strojna in pro- ledkih, ali kadar so predlagane, ali nastanejo gramska oprema, omrežja, aplikacije ter bistvene spremembe v okviru SUVI. podporna infrastruktura. Pomembno je razumevanje, da je za učinko- vitost analiziranja tveganj največkrat treba - Določitev lastnikov sredstev: Identifici- opraviti dve analizi ocenjevanja tveganj. Prvo rajte odgovorne osebe za vsako sredstvo. v okviru SUVI, kot je razloženo v zgornjih zah- - Identifikacija groženj: Zberite informaci- tevah zakonodajalca, kjer je fokus analize tve- je o možnih grožnjah, ki bi lahko vplivale ganj prvenstveno usmerjen v ključne krmilne na varnost vaših informacijskih sredstev in nadzorne informacijske sisteme, pri SUNP (npr. kibernetski napadi, naravne nesre- pa je analiza širše zasnovana in usmerjena če, notranje grožnje). predvsem v tiste bistvene procese v organiza- ciji, ki so nujni za celovito delovanje organiza- 3. Identifikacija ranljivosti in ocena vpliva cije ter je zaradi njihovega učinka na delovanje - Identifikacija ranljivosti: Preglejte var- organizacije tudi treba, da ves čas neprekinje- nostne kontrole in postopke ter določite no delujemo. potencialne ranljivosti, ki bi jih grožnje V nadaljevanju bomo podali nekaj dodatnih lahko izkoristile. pojasnil, ki jih lahko uporabite pri izvedbi pro- - Ocena vpliva: Določite, kako bi izkori- cesov analiziranja tveganj v vaših organizaci- ščena ranljivost vplivala na zaupnost, jah. Za pomoč se lahko oprete na določene celovitost in razpoložljivost vaših infor- standarde, ki v svojem obsegu opredeljujejo macijskih sredstev. Uporabite merila, kot korake za izvedbo analize tveganj. Posebej pa so finančne posledice, pravne posledice, bomo predstavili tudi določene modele in me- vpliv na poslovne operacije in ugled orga- tode, ki se uporabljajo na področju analizira- nizacije. nja tveganj. 4. Ocena tveganj Koraki za izdelavo analize tveganj informa- cijske varnosti - Ocena verjetnosti: Določite verjetnost, da se bo določena grožnja realizirala in 1. Priprava in načrtovanje izkoristila ranljivost. ti - Določitev obsega analize: Opredelite, - Ocena resnosti: Kombinirajte verjetnost arnos katere informacijske sisteme, podatke in in vpliv, da ocenite resnost vsakega tve-e v procese boste vključili v analizo. ganja. To lahko storite z uporabo matrike - Vzpostavitev ekipe za analizo tveganj: tveganj (npr. nizko, srednje, visoko tvega- nje). Sestavite multidisciplinarno ekipo, ki vključuje strokovnjake za informacijsko očnik kibernetsk varnost, IT, pravne zadeve, poslovne pro- Prir cese in druge relevantne oddelke. 78 5. Upravljanje tveganj kriteriji, in da jo je možno v vsakem trenutku - Določitev strategij za obvladovanje tve- ga aparata. ponoviti prek jasno določenega metodološke- ganj: Izberite ustrezne ukrepe za zmanj- šanje, sprejetje, prenos ali izogibanje tve- A. ISO 27005 - Smernice za upravljanje tve-ganjem. ganj informacijske varnosti - Izdelava načrta ukrepov: Dokumentiraj- ISO/IEC 27005 je mednarodni standard, ki nudi te ukrepe, odgovorne osebe, roke in vire, smernice za upravljanje tveganj informacijske potrebne za izvajanje izbranih strategij. varnosti. Namenjen je podpori zahtevam iz - Implementacija ukrepov: Uvedite izbra- cijam pri implementaciji sistema upravljanja standarda ISO/IEC 27001 in pomaga organiza- ne ukrepe za obvladovanje tveganj. varnosti informacij (ISMS). Ta standard opisuje 6. Spremljanje in pregledovanje proces upravljanja tveganj, ki omogoča orga- - Nadzor in spremljanje: Nenehno sprem- tveganja, povezana z varnostjo informacij. ljajte tveganja in učinkovitost uvedenih nizacijam, da prepoznajo, ocenijo in obvladajo ukrepov. Ključni koraki v procesu upravljanja tveganj po ISO 27005: - Redno pregledovanje: Periodično preg- ledujte in posodabljajte analizo tveganj, 1. Vzpostavitev konteksta zlasti ob pomembnih spremembah - Opredelitev obsega: Določite, katere v informacijskem okolju, procesih ali dele organizacije, poslovne procese, in-grožnjah. formacijska sredstva in lokacije bo obse- Priporočene metode in orodja: gala analiza tveganj. - - Metodologije: ISO 27005, NIST SP 800-30, Kontekst organizacije: Razumevanje no- OCTAVE. tranjega in zunanjega konteksta, vključno - Orodja: Risk Management Framework regulativami ter pričakovanji deležnikov. s poslovnimi cilji, zakonskimi zahtevami, (RMF), orodja za oceno tveganj (npr. FAIR, CRAMM). - Kriteriji tveganja: Opredelite kriterije za Pravilno izvedena analiza tveganj informacij- do tveganj in merili za sprejemanje tve-ocenjevanje tveganj, vključno s toleranco ske varnosti je temelj za učinkovito upravljanje ganj. varnostnih groženj in zaščito informacijskih 2. Identifikacija tveganj sredstev organizacije. S sistematičnim pristo- pom boste lahko prepoznali in ocenili tveganja - Identifikacija sredstev: Zberite informa-ter uvedli ustrezne ukrepe za njihovo obvla-cije o vseh informacijskih sredstvih, ki dovanje, kar bo prispevalo k večji odpornosti so v obsegu analize, vključno z lastniki vaše organizacije proti kibernetskim grožnjam sredstev. ti in drugim varnostnim incidentom. V nadaljevanju se oglejmo kratko predstavi- - Identifikacija groženj: Prepoznajte po- arnos tev določenih metodologij in orodij za izvedbo vaša sredstva (npr. kibernetski napadi, tencialne grožnje, ki lahko vplivajo na e v ocenjevanja tveganj. Pri analizi lahko uporab- naravne nesreče). ljate eno metodologijo ali pa, glede na speci-fičnost vaših organizacij, kombinacijo večjih - Identifikacija ranljivosti: Ugotovite ran-metodologij ali orodij. Pomembno je samo, ljivosti, ki jih lahko grožnje izkoristijo. očnik kibernetsk da je analiza izvedena z jasno postavljenimi Prir 79 - Identifikacija posledic: Določite možne stna tveganja, kar prispeva k večji odpornosti posledice realizacije groženj, vključno z proti kibernetskim grožnjam ter zagotavljanju vplivi na zaupnost, celovitost in razpolo- neprekinjenega poslovanja. žljivost informacij. B. Okvir za upravljanje tveganj (RMF) 3. Ocena tveganj Okvir za upravljanje tveganj (RMF) je struktu- - Analiza tveganj: Ocenite verjetnost in riran pristop za identifikacijo, oceno, obvla- vpliv posameznih tveganj. To lahko stori- dovanje in spremljanje tveganj v organizaciji. te z uporabo kvalitativnih, kvantitativnih RMF pomaga organizacijam pri sistematič-ali polkvalitativnih metod. nem obravnavanju tveganj, ki lahko vplivajo - Ocena tveganj: Določite stopnjo tveganja zakonodajo. na njihovo delovanje, varnost in skladnost z za vsako grožnjo glede na kombinacijo verjetnosti in vpliva. Ključni koraki RMF 4. Obvladovanje tveganj 1. Priprava in organizacija - Možnosti obvladovanja tveganj: Določite - Določitev ciljev: Jasno opredeliti cilje upravljanja tveganj, ki jih želi organizaci- možne ukrepe za zmanjšanje, prenos, ja doseči. sprejetje ali izogibanje tveganjem. - Izbira ukrepov: Izberite najprimernejše - Vzpostavitev ekipe: Oblikovati večfunk- cionalno ekipo za upravljanje tveganj, ki ukrepe za obvladovanje vsakega tveganja vključuje predstavnike iz različnih delov glede na kriterije tveganj in poslovne cilje. organizacije. - Načrt obvladovanja tveganj: Pripravite - Opredelitev obsega: Določiti obseg in načrt, ki vključuje izbrane ukrepe, roke meje procesa upravljanja tveganj. za izvedbo, odgovorne osebe in potreb- ne vire. 2. Identifikacija tveganj 5. Spremljanje in pregledovanje tveganj - Zbiranje informacij: Uporabiti različne - Nenehno spremljanje: Spremljajte tvega- vire za zbiranje podatkov o možnih tve- ganjih, kot so notranji pregledi, ankete, nja in učinkovitost uvedenih ukrepov. intervjuji in analize podatkov. - Redno pregledovanje: Periodično preg- - Prepoznavanje tveganj: Identificirati vsa ledujte in posodabljajte analizo tveganj možna tveganja, ki lahko vplivajo na do- glede na spremembe v informacijskem seganje ciljev organizacije. okolju, poslovnih procesih ali novih grožnjah. 3. Analiza tveganj ti - Poročanje o tveganjih: Poročajte vodstvu - Ocenjevanje verjetnosti in Vpliva: Oceni- in drugim relevantnim deležnikom o sta- ti verjetnost pojava vsakega tveganja in arnos nju tveganj ter učinkovitosti ukrepov. njegov potencialni vpliv na organizacijo. e v ISO/IEC 27005 zagotavlja strukturiran pristop - Razvrščanje tveganj: Razvrstiti tveganja k upravljanju tveganj informacijske varnosti, glede na njihovo resnost in pomembnost kar pomaga organizacijam pri zaščiti njihovih za organizacijo. informacijskih sredstev in izpolnjevanju zah- tev standarda ISO/IEC 27001. S pravilno im- 4. Ocena tveganj očnik kibernetsk plementacijo teh smernic lahko organizacije - Vrednotenje tveganj: Ugotoviti, katera Prir bolje prepoznajo, ocenijo in obvladajo varno- tveganja so sprejemljiva in katera zah- 80 tevajo ukrepanje. To vključuje primerjavo nju, ocenjevanju, obvladovanju in spremljanju ocenjenih tveganj z določenimi kriteriji tveganj pomaga organizacijam zaščititi svoje sprejemljivosti. cilje, izboljšati varnost ter zagotoviti skladnost z zakonodajo. 5. Obvladovanje tveganj - Razvoj strategij: Oblikovati strategije za C. ISO 31010 – Obvladovanje tveganj: Tehnike zmanjšanje, prenos, sprejemanje ali izo- ocenjevanja tveganj gibanje tveganjem. IEC 31010:2009 je mednarodni standard, ki - Izvajanje ukrepov: Izvesti načrtovane stra- Podpira širši okvir ISO 31000, ki se osredotoča ponuja smernice in orodja za oceno tveganj. tegije in ukrepe za obvladovanje tveganj. na načela in smernice za obvladovanje tve- 6. Spremljanje in pregled ganj. Standard IEC 31010 ponuja celovit pre- - Redni pregledi: Periodično pregledovati mljati tveganja in učinkovitost sprejetih tveganj znotraj organizacije. ukrepov. Glavni cilji- Nenehno spremljanje: Nenehno spre-biti za prepoznavanje, analizo in vrednotenje gled različnih tehnik, ki jih je mogoče upora- in posodabljati okvir za upravljanje tve- - Podpora ISO 31000: Zagotavljanje ganj glede na spremembe v notranjem podrobnih smernic o metodah ocenjeva-ter zunanjem okolju organizacije. nja tveganj kot dopolnilo širšemu okviru obvladovanja tveganj. 7. Komunikacija in poročanje - Obveščanje deležnikov: Redno obveščati sobnosti organizacij za sprejemanje in-- Izboljšanje odločanja: Izboljšanje spo- ključne deležnike o stanju tveganj in iz- formiranih odločitev s pomočjo razume-vedenih ukrepih. vanja in obvladovanja tveganj. - Dokumentacija: Vzdrževati ustrezno do- - Spodbujanje doslednosti: Standardizaci-kumentacijo o vseh korakih in odločitvah ja pristopa k ocenjevanju tveganj v različ-v procesu upravljanja tveganj. nih industrijah in sektorjih. Prednosti RMF Struktura IEC 31010:2009 - Strukturiran pristop: Zagotavlja sistema- 1. Uvod: Razloži namen, obseg in strukturo tičen in dosleden pristop k upravljanju standarda ter poudarja njegov odnos do tveganj. ISO 31000. - Izboljšana odločanja: Omogoča bolje in- 2. Koncepti ocenjevanja tveganj: Določa formirane odločitve glede obvladovanja ključne izraze in koncepte, povezane z oce-tveganj. njevanjem tveganj, kar zagotavlja skupno - Povečana odpornost: Prispeva k večji od- razumevanje. ti nim dogodkom. e v ke v procesu ocenjevanja tveganj, vključno pornosti organizacije proti nepričakova- 3. Proces ocenjevanja tveganj: Opisuje kora- arnos - Skladnost: Pomaga organizacijam pri z identifikacijo, analizo in vrednotenjem izpolnjevanju zakonskih in regulativnih tveganj. zahtev. 4. Tehnike ocenjevanja tveganj: Ponuja Okvir za upravljanje tveganj (RMF) je ključen podrobne opise različnih tehnik in orodij, očnik kibernetsk za učinkovito upravljanje tveganj v organiza- ki jih je mogoče uporabiti v različnih fazah Prir ciji. S strukturiranim pristopom k prepoznava- procesa ocenjevanja tveganj. 81 Proces ocenjevanja tveganj - Prednosti: Strukturirana in sistematična. 1. Identifikacija tveganj: - Slabosti: Časovno zahtevna in zahteva sodelovanje strokovnjakov. - Identificiranje potencialnih dogodkov, ki bi lahko vplivali na doseganje ciljev. 3. Kontrolni seznami: - Tehnike: Možganska nevihta, Delphi teh- - Uporablja vnaprej določene sezname po- nika, kontrolni seznami, HAZOP (Hazard tencialnih tveganj na podlagi preteklih and Operability Study / Študija nevarnos- izkušenj in industrijskih standardov. ti in delovanja). - Prednosti: Enostavna in hitra. 2. Analiza tveganj: - Slabosti: Morda ne zajame edinstvenih - Razumevanje narave identificiranih tve- ali novih tveganj. ganj in določanje njihovega potencialne- ga vpliva ter verjetnosti. 4. HAZOP (Hazard and operability study): - Tehnike: SWOT analiza (prednosti, sla- - Sistematična tehnika za prepoznavanje in ocenjevanje potencialnih nevarnosti v bosti, priložnosti, nevarnosti), FMEA (Fa- procesih. ilure Modes and Effects Analysis / Anali- za načinov odpovedi in učinkov), analiza - Prednosti: Temeljita in podrobna. kov. - Slabosti: Zahtevna glede virov. drevesa napak, analiza drevesa dogod- 3. Vrednotenje tveganj: 5. SWOT analiza: - Primerjava rezultatov analize tveganj z - Identificira notranje prednosti in slabosti, ter zunanje priložnosti in nevarnosti. merili tveganja, da se določi pomen tve- ganj. - Prednosti: Celovit pogled na strateški po- - Tehnike: Matrika tveganj, analiza stro- ložaj organizacije. škov in koristi, večkriterijska analiza od- - Slabosti: Lahko je subjektivna. ločanja. 6. FMEA (Failure Modes and Effects Tehnike za ocenjevanje tveganj Analysis): IEC 31010:2009 navaja številne tehnike, ki so - Analizira potencialne načine odpovedi in primerne za različne vrste tveganj in konte- njihove vplive na sisteme ali procese. kste. Nekatere ključne tehnike vključujejo: - Prednosti: Preventivni pristop. 1. Možganska nevihta: - Slabosti: Lahko je kompleksna in ti - Sodelovalna tehnika za ustvarjanje idej in podrobna. prepoznavanje tveganj. arnos 7. Analiza drevesa napak: e v - Prednosti: Spodbuja ustvarjalnost in raz- lične poglede. - Grafična tehnika za prepoznavanje osnovnih vzrokov odpovedi sistema. - Slabosti: Brez ustreznega vodenja lahko postane neosredotočena. - Prednosti: Vizualna in sistematična. očnik kibernetsk 2. Delphi tehnika: - Slabosti: Zahteva strokovno znanje za iz- Prir delavo drevesa napak. - Uporablja vrsto vprašalnikov za zbiranje mnenj strokovnjakov in doseganje so- glasja o tveganju. 82 8. Analiza drevesa dogodkov: - Vsebina: Vključuje številne tehnike, kot so - Ocenjuje izide začetnih dogodkov s po- SWOT analiza, analiza drevesa napak in možganska nevihta, Delphi tehnika, FMEA, močjo drevesnega diagrama. dogodkov itd. - Prednosti: Jasna vizualizacija zaporedja ISO 27005 dogodkov. - Slabosti: Lahko postane kompleksna z - Namen: Zagotavlja smernice za upravlja- nje tveganj informacijske varnosti. več vejami dogodkov. Upoštevanje pri implementaciji nost, podpira izvajanje ISO/IEC 27001.- Uporaba: Specifično za informacijsko var- - Kontekst in obseg: Izbira ustreznih tehnik - Vsebina: Poudarja identifikacijo, analizo, ocenjevanja tveganj mora upoštevati spe-vrednotenje in obravnavo tveganj informa-cifičen kontekst organizacije in obseg ob-cijske varnosti. vladovanja tveganj. Korelacija in dopolnjevanje - Strokovnost in viri: Učinkovito ocenjevanje tveganj zahteva zadostno strokovnost, vire 1. Okvir in pristop: in vključenost deležnikov. - IEC 31010:2009 ponuja širok spekter teh- - Nenehno izboljševanje: Ocenjevanje tve- nik, ki se lahko uporabijo v katerem koli ganj je stalen proces, organizacije pa naj kontekstu upravljanja tveganj. redno pregledajo in posodobijo svoje teh- nike ter prakse ocenjevanja tveganj. - ISO 27005 uporabi te tehnike v specifič- nem kontekstu informacijske varnosti, s IEC 31010:2009 je ključni standard za orga- poudarkom na zaščiti zaupnosti, celovi-nizacije, ki želijo izboljšati svoje procese oce- tosti in razpoložljivosti informacij. njevanja tveganj. Z zagotavljanjem celovitega nabora tehnik pomaga organizacijam siste- 2. Identifikacija tveganj: matično identificirati, analizirati in vrednotiti - ISO 27005 sledi strukturi ISO/IEC 27001 tveganja, kar podpira boljše odločanje ter ob- za identifikacijo groženj in ranljivosti. vladovanje tveganj. - IEC 31010:2009 ponuja različne metode, D. Korelacija med standardi IEC 31010:2009 kot so možganska nevihta in Delphi tehni-in ISO 27005 ka, ki se lahko uporabijo za identifikacijo Pregled tveganj v kontekstu informacijske varnos-ti, kar dopolnjuje pristop iz ISO 27005. IEC 31010:2009 in ISO 27005 sta dva po-3. Analiza tveganj: membna standarda na področju obvladovanja tveganj. Medtem ko IEC 31010:2009 zagota- - ISO 27005 predlaga analizo verjetnosti in tveganj je ISO 27005 specifično osredotočen arnos - IEC 31010:2009 ponuja orodja, kot so na upravljanje tveganj informacijske varnosti e v vlja smernice za različne tehnike ocenjevanja ti vpliva tveganj na informacijsko varnost. znotraj okvira ISO/IEC 27001. FMEA in analiza drevesa napak, ki se lah- ko uporabijo za podrobnejšo analizo teh IEC 31010:2009 tveganj. - Namen: Ponuja smernice za izbor in upora- 4. Vrednotenje tveganj: bo sistematičnih tehnik za oceno tveganj. očnik kibernetsk - Uporaba: Široka uporaba v različnih sek- - ISO 27005 poudarja primerjavo analizi- Prir ranih tveganj z merili za sprejemljivost torjih za oceno vseh vrst tveganj. tveganj. 83 - IEC 31010:2009 nudi tehnike, kot so cijam prepoznavanje, prednostno obravnavo SWOT analiza in večkriterijska analiza in upravljanje tveganj informacijske varnosti. odločanja, za vrednotenje tveganj ter OCTAVE je še posebej primeren za velike orga- pomoč pri odločanju. nizacije, vendar ga je mogoče prilagoditi tudi 5. Obravnava tveganj: za manjše entitete. - ISO 27005 ponuja strategije za obvlado- Ključne komponente OCTAVE vanje tveganj, kot so zmanjšanje, prenos, 1. Organizacijski pogled (Faza 1) sprejemanje ali izogibanje tveganjem. - IEC 31010:2009 daje širši nabor tehnik, ki nostne zahteve, povezane z njimi.- Cilj: Identificirati ključna sredstva in var- jih lahko uporabimo pri oblikovanju stra- tegij za obravnavo tveganj. - Dejavnosti: Sinergija med standardi - Identifikacija ključnih sredstev: Do- - Dopolnjevanje tehnik: ISO 27005 se zana- ključnega pomena za organizacijo. ločiti, katere informacije in sistemi so ša na smernice in tehnike iz IEC 31010:2009 za izvajanje svojih korakov ocenjevanja - Prepoznavanje groženj: Prepoznati tveganj. Kombinacija teh standardov omo- potencialne grožnje tem sredstvom iz goča organizacijam celovit in strukturiran notranjih in zunanjih virov. pristop k upravljanju tveganj informacijske - Določanje varnostnih zahtev: Ugotovi- varnosti. ti varnostne potrebe in pričakovanja za - vsako ključno sredstvo. Prilagodljivost in uporabnost: Uporaba ditev in izboljšanje procesa upravljanja tve-tehnik iz IEC 31010:2009 omogoča prilago- 2. Tehnološki pogled (Faza 2) ganj, opisanega v ISO 27005, glede na spe- - Cilj: Oceniti infrastrukturo in identificirati cifične potrebe ter kontekst organizacije. ranljivosti, ki bi lahko vplivale na ključna sredstva. - Izboljšanje zmogljivosti upravljanja tve- ganj: Integracija teh dveh standardov krepi - Dejavnosti: zmogljivost organizacije za prepoznavanje, tveganj na sistematičen ter celovit način. Narediti seznam ključnih komponent IT infrastrukture, ki podpirajo ključna analiziranje, vrednotenje in obvladovanje - Identifikacija ključnih komponent: Korelacija med IEC 31010:2009 in ISO 27005 sredstva. zagotavlja organizacijam robusten okvir za obvladovanje tveganj. IEC 31010:2009 ponuja - Ocenjevanje ranljivosti: Oceniti ran- ti širok spekter tehnik, ki jih ISO 27005 vključuje ljivosti teh komponent, vključno z ran- ljivostmi programske opreme, strojne v svoj specifični kontekst informacijske var- opreme in omrežja. nosti, kar omogoča organizacijam, da učin- arnos kovito prepoznajo in obvladujejo tveganja ter - Analiza tehnoloških tveganj: Ugotoviti e v zaščitijo svoje informacijske vire. potencialna tveganja, povezana z iden- E. Metodologija OCTAVE (Operativno kritična tificiranimi ranljivostmi. ocena groženj, sredstev in ranljivosti) 3. Strateški pogled (Faza 3) Metodologija OCTAVE je celovit okvir, zasno- - Cilj: Razviti načrt za zmanjševanje tve- očnik kibernetsk van za oceno in načrtovanje informacijske var- ganj in strategijo za obravnavo ugotovlje-Prir nosti na podlagi tveganj. Omogoča organiza- nih tveganj. 84 - Dejavnosti: - Dokumentacija ranljivosti: Zabeležiti - Dajanje prednosti tveganjem: Razvr- treba upoštevati njihovo resnost in po-vse ugotovljene ranljivosti, pri čemer je stiti ugotovljena tveganja glede na nji- tencialni vpliv. hov potencialni vpliv in verjetnost. 5. Analiza tveganj - Razvoj strategij za zmanjševanje tve- ganj: Ustvariti strategije za zmanjšanje - Kombinacija groženj in ranljivosti: Ana-ali upravljanje najvišjih tveganj. lizirati, kako lahko določene grožnje izko- - Načrt implementacije: Pripraviti načrt ključna sredstva. ristijo ugotovljene ranljivosti za vpliv na za izvajanje teh strategij, vključno z do- delitvijo odgovornosti in časovnimi roki. - Ocenjevanje vpliva in verjetnosti: Oce- Podrobni koraki metodologije ga scenarija tveganja. niti potencialni vpliv in verjetnost vsake-1. Priprava 6. Prednostna obravnava tveganj - Zbiranje ekipe: Oblikovati večfunkcional- - Razvrščanje tveganj: Dati prednost tve-no ekipo s predstavniki iz različnih delov ganjem glede na njihov ocenjeni vpliv in organizacije. verjetnost. - Določitev obsega: Jasno opredeliti obseg - Osredotočanje na najpomembnejša ocenjevanja, vključno s sredstvi, sistemi tveganja: Usmeriti pozornost in vire na in procesi, ki jih je treba oceniti. najpomembnejša tveganja. 2. Identifikacija in vrednotenje sredstev 7. Načrtovanje zmanjševanja tveganj - Inventar sredstev: Narediti podroben - Razvoj ukrepov za zmanjšanje: Obliko-popis vseh ključnih sredstev v opredelje-vati strategije za zmanjšanje ali upravlja-nem obsegu. nje prednostnih tveganj. To lahko vklju- - čuje uvedbo novih varnostnih kontrol, Vrednotenje sredstev: Oceniti vrednost vsakega sredstva glede na njegov pomen izboljšanje obstoječih ukrepov ali razvoj za delovanje in cilje organizacije. načrtov za nepredvidene dogodke. 3. Prepoznavanje groženj - Dodeljevanje odgovornosti: Dodeli- - Identifikacija virov groženj: Določiti po- zmanjšanje tveganj določenim posame-ti odgovornosti za izvajanje ukrepov za tencialne vire groženj, kot so kibernetski znikom ali ekipam. napadi, notranje grožnje, naravne nesre-- Ustvarjanje časovnega načrta: Vzposta-če itd. viti časovni načrt za izvajanje strategij - Značilnosti groženj: Opisati naravo vsa- zmanjševanja tveganj. ti ke grožnje, vključno z njenim potencial-8. Implementacija in spremljanje nim vplivom in verjetnostjo.arnos 4. Identifikacija ranljivosti - Izvajanje ukrepov za zmanjšanje tve- e v - Tehnične ocene: Uporabiti orodja in teh- zmanjšanje tveganj. nike, kot so skeniranje ranljivosti, pe-ganj: Izvesti načrtovane dejavnosti za netracijsko testiranje ter pregled kode za - Spremljanje učinkovitosti: Nenehno identifikacijo slabosti. spremljati učinkovitost izvedenih ukre- očnik kibernetsk pov in jih po potrebi prilagajati. Prir 85 - Pregled in posodabljanje: Periodično - Izračunavanje izgube: Izračunavanje pri- pregledovati oceno tveganj in strategi- čakovane letne izgube (ALE) na podlagi je zmanjševanja, da se zagotovi njihova ocenjene verjetnosti in vpliva. ustreznost ter učinkovitost. 2. CRAMM (CCTA Risk Analysis and Manage- Prednosti OCTAVE ment Method / Analiza tveganja in metoda upravljanja) - Celovit pristop: Upošteva tako organizacij- ske kot tehnološke perspektive. CRAMM je orodje za ocenjevanje tveganj, - Vključevanje deležnikov: Vključuje različ-nizacijam različnih velikosti in komple- varnostnih ukrepov. ksnosti.- Faza 1: Ocena vrednosti sredstev: Dolo-- Prilagodljivost: Lahko se prilagodi orga- varnostnih tveganj in določanju ustreznih ki vključuje sistematičen pristop k analizi čanje vrednosti informacijskih sredstev in ne dele organizacije, kar zagotavlja celovi- njihovih kritičnih značilnosti. to razumevanje tveganj in njihovih vplivov. - Faza 2: Identifikacija groženj in ranlji- - Osredotočenost na ključna sredstva: vosti: Identifikacija groženj in ranljivosti, ki Daje prednost prizadevanjem za zaščito lahko vplivajo na sredstva. sredstev, ki so najpomembnejša za pos- lanstvo in delovanje organizacije. - Faza 3: Analiza tveganj: Kvantitativna oce- na tveganj na podlagi identificiranih gro- Metodologija OCTAVE zagotavlja strukturiran ženj in ranljivosti ter določanje ustreznih pristop k prepoznavanju in upravljanju tveganj varnostnih ukrepov. mi, pomaga organizacijam razviti robustne omogoča organizacijam strukturiran in siste-matičen pristop k obvladovanju tveganj infor-varnostne strategije, ki ščitijo njihova ključna macijske varnosti. Orodja za oceno tveganj, sredstva in zagotavljajo dolgoročno operativ-ganizacijski kontekst s tehnološkimi ocena- RMF je ključni okvir za upravljanje tveganj, ki informacijske varnosti. S tem, ko združuje or- no odpornost. kot sta FAIR in CRAMM, ponujajo različne metodologije za kvantitativno ter kvalitativno F. Orodja za oceno tveganj analizo tveganj, kar pomaga organizacijam pri 1. FAIR metodologija za ocenjevanje tveganj sprejemanju informiranih odločitev glede var-nostnih ukrepov. informacijske varnosti (Factor Analysis of In- formation Risk) Zaključek FAIR je metodologija za ocenjevanje tveganj V omenjenem poglavju smo vam poskušali pri- informacijske varnosti, ki temelji na kvantita- kazati okvirne zakonske zahteve na področju tivnem pristopu. FAIR pomaga organizacijam ocenjevanja tveganj in jih podpreti z dodatni- razumeti, oceniti in meriti tveganja v smislu mi informacijami možnih metodologij ter oro-ti finančnih izgub. dij, ki jih lahko uporabite pri tem zahtevnem e v izvedbe ocenjevanja tveganj je v nadaljevanju ja informacijskih sredstev in njihovih ranlji- korakov zagotavljanja SUVI ter tudi SUNP od- arnos procesu. Od učinkovite in predvsem realistične - Identifikacija in klasifikacija: Identifikaci- vosti. visna uporabnost takšnih analiz in podatkov, - Ocena verjetnosti in vpliva: Kvantitativna ki so lahko pomembna podlaga za načrtova- ocena verjetnosti groženj in potencialnega nje investicij v organizaciji. Izpostaviti velja očnik kibernetsk vpliva na sredstva. učinkovito in realno načrtovanje potrebnih Prir 86 virov za ustrezno obvladovanje ter upravljanje - ISO 31000:2018: Risk management — Gui-z varnostnimi tveganji, in pomembnost vklju- delines postopku. - Čaleta, D. in drugi (2019) Strokovne podla-čenosti odgovornih oseb v organizaciji pri tem ge za ocenjevanje tveganj za delovanje kri- tične infrastrukture, MORS-Ljubljana). Viri: - Uredba o varnostni dokumentaciji in mi- - SIST ISO/IEC 27001:2023: Informacijska nimalnih varnostnih ukrepih poveza-nih subjektov: Uradni list RS, št. 118/23 : varnost, kibernetska varnost in varovan-https://pisrs.si/pregledPredpisa?id=U-je zasebnosti — Sistemi upravljanja in-RED8925&utm= formacijske varnosti — Zahteve (ISO/IEC 27001:2022)- Urad Vlade RS za informacijsko varnost- ISO/IEC 27002:2022: Information security, https://www.gov.si/drzavni-organi/vlad-cybersecurity and privacy protection — In-ne-sluzbe/urad-vlade-za-informacij-formation security controls sko-varnost/ - ISO/IEC 27005:2022: Information security, - Zakon o informacijski varnosti (ZInfV) cybersecurity and privacy protection — (Uradni list RS, št. 30/18 , 95/21 , 130/22 – Guidance on managing information secu-ZEKom-2, 18/23 – ZDU-1O in 49/23 ): ht-rity risks tps://pisrs.si/pregledPredpisa?id=ZA-- ISO 31010:2019 : Risk management — Risk KO7707&utm_ assessment techniques ti arnos e v očnik kibernetsk Prir 87 Poglavje 13 Napotki za pripravo ukrepov za obvladovanje tveganj POVZETEK Priprava ukrepov za obvladovanje tveganj je ključen proces za zagotavljanje varnosti in-formacijskih sistemov, podatkov in poslovnih procesov v organizaciji. Poglavje obravnava celovit pristop k identifikaciji, analizi in obvladovanju tveganj, s poudarkom na integraciji organizacijskih, človeških, fizičnih in tehnoloških kontrol. Te kontrole zagotavljajo temelje za razvoj učinkovitih varnostnih strategij, prilagojenih specifičnim potrebam organizacije. Poseben poudarek je namenjen vzpostavitvi organizacijskih kontrol, kot so jasne politi-ke, opredeljene odgovornosti in upravljanje dostopov, ki omogočajo strukturiran pristop k obvladovanju tveganj. Človeške kontrole so ključne za usposabljanje in ozaveščanje zapo-slenih, saj človeški dejavnik pogosto predstavlja največje tveganje. Fizične kontrole obrav-navajo zaščito kritičnih prostorov in opreme, medtem ko tehnološke kontrole pokrivajo tehnične vidike, kot so zaščita omrežij, šifriranje in obvladovanje ranljivosti. Ključne točke: • Organizacijske kontrole • Človeške kontrole ti • Fizične kontrole • Tehnološke kontrole arnos e v • Identifikacija tveganj • Odgovornosti in postopki • Preventivni ukrepi očnik kibernetsk • Odziv na incidente Prir • Učenje iz incidentov. 88 1. Uvod v obvladovanje tveganj - Upravljanje odgovornosti: Jasna opredeli- Za uspešno obvladovanje tveganj v organiza- da so varnostne politike ustrezno izvajane tev odgovornosti vodstva pri zagotavljanju, ciji je nujno vzpostaviti celovit sistem nadzora, in nadzorovane. ki zajema vse ključne kontrole, opisane v stan-dardu ISO/IEC 27002. Obvladovanje tveganj - Povezovanje z organi in interesnimi sku-vključuje identifikacijo, analizo in odziv na pinami: Vzpostavitev stikov z zunanjimi varnostna tveganja, ki lahko ogrozijo informa- organi in strokovnimi skupinami, ki lahko cijske sisteme, podatke ali poslovne procese nudijo podporo pri obvladovanju varno-organizacije. Da bi bilo obvladovanje tveganj stnih incidentov ali groženj. celovito in učinkovito, je treba uvesti različne veške, fizične ter tehnološke vidike informacij- ziranje informacij o potencialnih grožnjah za boljšo zaščito pred varnostnimi inciden-tipe kontrol, ki pokrivajo organizacijske, člo- - Obveščanje o grožnjah: Zbiranje in anali-ske varnosti. ti. V nadaljevanju so predstavljene glavne vrste kontrol, ki jih je treba vzpostaviti za celovi- - Varnost v projektih: Zagotavljanje, da se to obvladovanje tveganj v organizaciji, sku- varnostni vidiki vključijo že v fazi načrtova-nja projektov, zlasti pri uvajanju novih teh-paj z nekaterimi ključnimi ukrepi, ki določajo nologij ali sistemov. konkretne postopke znotraj teh kontrol. Na-bor kontrol, ključnih za posamezno organi- - Inventarizacija informacijskih sredstev: zacijo, pa mora določiti vsaka organizacija z Vzpostavitev natančnega inventarja vseh ozirom na svoje potrebe in ključne procese informacij in povezanih sredstev, ki so po-poslovanja. membna za delovanje organizacije. Organizacijske kontrole Človeške kontrole Organizacijske kontrole so osnova za vzpo- Človeške kontrole se osredotočajo na varno-stavitev učinkovitih politik in procesov, ki ure- stne ukrepe, ki vključujejo zaposlene in druge jajo informacijsko varnost na ravni celotne osebe, povezane z organizacijo. Vključujejo uk-organizacije. Te kontrole zagotavljajo jasne repe za usposabljanje, preverjanje in zagota-odgovornosti, postopke in so del standarda vljanje, da zaposleni delujejo skladno z varno-za upravljanje z informacijamiter tveganji. stnimi politikami. Ključne človeške kontrole so: Med ključnimi organizacijskimi kontrolami, ki jih določa standard ISO 27002, so (za podrob- - Preverjanje zaposlenih: Izvajanje prever- nejše poznavanje tematike, je treba pregledati janj preteklosti novih zaposlenih, da se zagotovi, da nimajo zgodovine, ki bi lahko celoten nabor kontrol v standardu): predstavljala varnostno tveganje.- Politike za informacijsko varnost: Uvedba - Pogoji zaposlitve: Zagotovitev, da so var-celovitih varnostnih politik, ki opredeljujejo nostne zahteve jasno vključene v pogodbe cilje in smernice za varovanje informacij v ti o zaposlitvi. organizaciji.arnos- Ozaveščanje in usposabljanje o varnosti: - Vloge in odgovornosti za informacijsko e v Redna usposabljanja in izobraževanja za-varnost: Določitev odgovornih oseb in od-poslenih glede varnostnih postopkov ter delkov za izvajanje varnostnih politik ter prepoznavanja varnostnih groženj. postopkov. - Razmejevanje nalog: Zagotavljanje, da so - Disciplinarni postopki: Vzpostavitev jas- očnik kibernetsk nih pravil glede disciplinskih ukrepov v pri- naloge, ki lahko vodijo do konfliktov inte-Prir meru kršenja varnostnih pravil. resov, razdeljene med različne osebe ali oddelke. 89 - Odgovornosti po prenehanju delovnega tehničnimi ranljivostmi in kibernetskimi grož- razmerja: Zagotovitev, da zaposleni po njami. Ključne tehnološke kontrole so: prenehanju delovnega razmerja nimajo več dostopa do občutljivih informacij in - Uporabniške naprave: Zagotavljanje var- sistemov. nosti vseh končnih uporabniških naprav, kot so prenosni računalniki, pametni tele- - Pogodbe o zaupnosti: Vsi zaposleni in foni in tablice. pogodbeniki morajo podpisati pogodbe o razkritje občutljivih informacij. upravljanje privilegiranih uporabniških ra- čunov, ki imajo večji dostop do sistemov. zaupnosti, da bi preprečili nepooblaščeno - Pravice privilegiranega dostopa: Ustrezno Fizične kontrole - Zaščita pred zlonamerno programsko Fizične kontrole se nanašajo na zaščito fizič- opremo: Vzpostavitev zaščite pred virusi, nih prostorov in opreme pred nepooblaščenim trojanskimi konji in drugo zlonamerno pro- dostopom, poškodbami ali uničenjem. Te kon- gramsko opremo. trole vključujejo ukrepe za omejitev fizičnega dostopa do kritičnih območij in zagotovitev, da - Upravljanje tehničnih ranljivosti: Redno so vsa informacijska sredstva ustrezno zašči- preverjanje in posodabljanje sistemov za odpravljanje ranljivosti. tena. Ključne fizične kontrole vključujejo: - Fizični varnostni perimetri: Vzpostavitev - Varnost omrežja: Uvedba varnostnih ukre-pov, kot so požarni zidovi in sistemi za za-varnostnih perimetrov okrog objektov in znavanje vdora, za zaščito omrežij pred zu-območij, ki vsebujejo občutljive informaci-nanjimi napadi. je ali opremo. - Nadzor dostopa v prostore: Omejevanje - Uporaba kriptografije: Zavarovanje obču-tljivih podatkov z uporabo kriptografskih dostopa do prostorov na podlagi identifi-metod, kot sta šifriranje in digitalni podpisi. kacijskih metod, kot so kartice za dostop, biometrija ipd. 2. Identifikacija tveganj - Zavarovanje pisarn, prostorov in objek- Proces identifikacije tveganj je osnova za tov: Fizično varovanje prostorov s ključav- vzpostavitev učinkovitega sistema obvlado- nicami, alarmnimi sistemi in drugimi var- vanja tveganj. Identifikacija tveganj zajema nostnimi ukrepi. prepoznavanje vseh možnih groženj, ki lahko - Varovanje pred fizičnimi in okoljskimi vplivajo na informacijske sisteme, procese in poslovanje organizacije. Ta proces se mora za-grožnjami: Ukrepi za zaščito pred nevar-četi že v fazi načrtovanja varnostnih politik, saj nostmi, kot so požari, poplave ali druge je učinkovita identifikacija tveganj ključna za naravne nesreče. ustrezno zaščito organizacijskih virov. Orga-ti - Politika čiste mize in zaslona: Zaposle- nizacije, ki zanemarjajo ta korak, se pogosto ni morajo zagotoviti, da so mize vedno soočajo z nepričakovanimi incidenti, katerih arnos pospravljene, in da so zasloni zaklenjeni, vpliv je lahko zelo negativen. e v ko niso v uporabi. Identifikacija tveganj se ne sme omejevati Tehnološke kontrole zgolj na tehnične vidike varnosti. Poleg teh- očnik kibernetsk zane z zaščito informacijskih sistemov, omre- treba upoštevati tudi človeški dejavnik, ki po- žij in podatkov. Te kontrole vključujejo tako gosto predstavlja največje tveganje. Zaposleni, Prir preventivne kot reaktivne ukrepe za zagotovi- ki niso dovolj ozaveščeni o varnostnih praksah Tehnološke kontrole zajemajo ukrepe, pove- opremi ali nezadostno zavarovani sistemi, je ničnih ranljivosti, kot so šibkosti v programski tev, da so informacijski sistemi zaščiteni pred 90 in kulturi, lahko nehote povzročijo varnostne ter ustrezen odziv na varnostne incidente. vrzeli, kar napadalcem omogoča lažji dostop Brez natančno določenih vlog in nalog lahko do informacijskih virov. Za podrobnejše in- pride do zamud pri ukrepanju, kar povečuje formacije o obvladovanju teh tveganj si lahko možnost škode. ogledate poglavja 13, 14 in 15. Organizacija mora začeti s pripravo natančne- Pri identifikaciji tveganj je ključno, da organi- ga načrta, ki opredeljuje odgovornosti za ključ-zacija vzpostavi učinkovit proces za oceno ver- ne naloge, kot so spremljanje tveganj, prijava jetnosti, s katero se lahko določeno tveganje incidentov, izvajanje zaščitnih ukrepov in po-materializira. Na primer, tveganje za kibernet- ročanje o napredku pri varovanju informacij-ski napad je v določeni industriji morda zelo skih virov. Ta načrt naj vključuje tudi postopke visoko, medtem ko je v drugih sektorjih bolj za redno preverjanje izvajanja varnostnih poli-verjetno, da bodo informacije ogrožene zaradi tik ter oceno uspešnosti ukrepov. dostopa do podatkov. Jasno opredeljene odgovornosti morajo zaje-notranjih napak ali neustreznega upravljanja mati vse ravni organizacije. Na strateški ravni Ključni koraki v procesu identifikacije tve- mora biti vodstvo odgovorno za sprejemanje ganj: ključnih odločitev glede upravljanja tveganj, - Identifikacija virov tveganj: Viri tveganj nostne ukrepe in odobritvijo strateških pobud. vključno z razporejanjem proračuna za var-lahko vključujejo zunanje grožnje (napa- Na operativni ravni pa morajo biti IT strokov-dalci, naravne nesreče) in notranje ranlji-njaki in drugi zaposleni, ki so neposredno vosti (napake v sistemih, človeške napake). vključeni v obvladovanje tveganj, zadolženi za - Ocenjevanje resnosti tveganj: Vsako iden- tehnične rešitve, kot so izvajanje popravkov, tificirano tveganje je treba oceniti glede na spremljanje sistemov ter izvajanje varnostnih njegovo verjetnost in morebitni vpliv na preverjanj. poslovanje. Postopki vzpostavitve odgovornosti vključu-- Sistematična analiza tveganj: Na podlagi jejo: ocene verjetnosti in vpliva organizacija do- - Vzpostavitev jasnih komunikacijskih poti: loči, katera tveganja so najpomembnejša Pomembno je, da vsi zaposleni vedo, kdo ter zahtevajo takojšnje ukrepanje. je odgovoren za kaj in kako komunicirati v Ena izmed največjih napak, ki jih lahko or- primeru incidentov. ganizacija naredi pri upravljanju tveganj, je - Redno preverjanje izvajanja postopkov: podcenjevanje določenih groženj, še posebno Organizacije morajo vzpostaviti sistem za tistih, ki na prvi pogled niso tako očitne. Zato nadzor izvajanja varnostnih politik, da za-je priporočljivo, da se v proces identifikacije gotovijo, da so postopki v skladu s predpisi vključijo strokovnjaki z različnih področij – od in/ali standardi. IT strokovnjakov do vodij poslovnih procesov. ti Sodelovanje različnih oddelkov in nivojev v or- - Prilagajanje postopkov glede na nove ganizaciji omogoča bolj celovito prepoznava- grožnje: Glede na razvoj tehnologij in no- arnos nje tveganj. vih varnostnih tveganj morajo organizaci- e v 3. Vzpostavitev odgovornosti in postopkov svoje postopke za obvladovanje tveganj. je redno prilagajati oziroma posodabljati Vzpostavitev jasnih odgovornosti in postopkov Tako vzpostavljeni postopki omogočajo hitro za obvladovanje tveganj je temelj učinkovito-odzivanje na morebitne varnostne incidente, očnik kibernetsk sti varnostnega sistema organizacije. Vodstvo zmanjšujejo tveganje napačnega upravljanja Prir mora jasno določiti odgovornosti posameznih in zagotavljajo večjo učinkovitost varnostnega oddelkov in zaposlenih, da bi zagotovili hiter sistema. 91 4. Načrtovanje ukrepov za obvladovanje tve- incidenti, saj to omogoča natančno analizo ganj in oceno tveganj ter načrtovanje ukrepov za Načrtovanje ukrepov za obvladovanje tveganj dnosti. Za več informacij si oglejte poglavje 23. preprečevanje podobnih dogodkov v priho- je ključnega pomena za uspešno obvladova- nje incidentov in zmanjšanje njihovega vpliva Proces beleženja vključuje zapisovanje vseh na organizacijo. To zahteva skrbno preučitev pomembnih informacij o incidentu, kot so vseh potencialnih tveganj, s katerimi se lahko datum in čas, vrsta incidenta, prizadeti siste- organizacija sooči, in pripravo načrta, ki pred- mi, vpletene osebe ter odziv organizacije. Po- videva odziv na vsak scenarij. drobno beleženje je bistveno ne le za notranje Proces načrtovanja se začne z oceno tveganj, deležnikom, kot so regulatorji ali stranke, ki so analize, temveč tudi za poročanje zunanjim ki jih je organizacija identificirala v prejšnjih lahko prizadete zaradi incidenta. fazah. Na podlagi te ocene mora organizacija razviti strategije, ki vključujejo tako preven- Osnovni elementi beleženja incidentov tivne ukrepe kot tudi načrte za odzivanje na vključujejo: incidente. Načrtovanje ukrepov vključuje tako cesne ukrepe. zabeležijo osnovni podatki o tem, kdaj je bil incident zaznan, katera informacijska tehnične rešitve kot tudi organizacijske in pro- - Identifikacija incidenta: V tem koraku se Preventivni ukrepi vključujejo vzpostavitev sredstva so bila prizadeta in kakšne so bile varnostnih kontrol, kot so omejevanje dosto- prve zaznane posledice. pa do kritičnih informacij, redno preverjanje zmanjšujejo verjetnost nastanka incidentov. mentirati, kakšni so bili prvi odzivi na inci- dent, kateri ukrepi so bili sprejeti in kdo je sistemov in vzpostavitev varnostnih politik, ki - Odziv in ukrepanje: Pomembno je doku- stopke za hitro zaznavanje, obvladovanje in bil odgovoren za ukrepanje. Načrti za odziv na incidente pa vključujejo po- obnavljanje po incidentih. - Ocena škode: Beleženje mora vključevati Načrtovanje mora vključevati tudi vzpostavi- oceno vpliva incidenta, vključno s finanč- nimi in operativnimi posledicami. tev postopkov za redno spremljanje in poso- dabljanje varnostnih politik. To pomeni, da - Popravni ukrepi: V zadnji fazi je treba do- se organizacija ne sme zadovoljiti s trenutno kumentirati, kakšni so bili popravni ukrepi, varnostno postavitvijo, ampak mora neneh- ki jih je organizacija sprejela, da bi prepre- no prilagajati svoje varnostne ukrepe glede čila prihodnje podobne dogodke. zaposlenih, ki morajo biti redno obveščeni o omogoča pravočasno obveščanje vseh ustrez-nih deležnikov. Notranje poročanje zagotavlja, spremembah v varnostnih politikah. da so vsi vpleteni oddelki obveščeni in prip-5. Beleženje in poročanje o incidentih kstu ima pomembno vlogo tudi izobraževanje Poročanje o incidentih je prav tako ključno, saj na nove grožnje in tehnologije. V tem konte-ti ravljeni na nadaljnje ukrepanje. Zunanje po- e v incidentov, kjer je treba obvestiti regulatorje, tih predstavlja ključen vidik uspešnega obvla- stranke ali partnerje. Poročanje mora biti na- dovanja tveganj. Varnostni incidenti se lahko arnos Beleženje in poročanje o varnostnih inciden- ročanje je običajno potrebno v primeru večjih zgodijo kadarkoli in lahko vključujejo širok tančno in podprto z vsemi ustreznimi podatki, saj lahko slabo poročanje povzroči nepotrebne spekter dogodkov, od manjših kršitev varnosti zaplete ali pravne posledice. do resnih napadov, ki lahko ogrozijo celotno očnik kibernetsk organizacijo. V tem kontekstu je pomembno, Vse to poudarja pomembnost vzpostavitve Prir da organizacija vzpostavi sistematičen pri- jasnih postopkov za beleženje in poročanje, stop k beleženju vseh dogodkov, povezanih z ki vključujejo tako tehnične kot organizacij-92 ske vidike. Le s skrbno dokumentacijo lahko obveščeni. To vključuje notranje ekipe, ki organizacija zagotoviti, da se bo iz preteklih so odgovorne za obvladovanje incidenta, incidentov kaj naučila in izboljšala svoje var- pa tudi zunanje partnerje, regulatorje in nostne ukrepe. stranke. 6. Odziv na varnostne incidente - Forenzična analiza: Po prvih odzivih je Odziv na varnostne incidente zahteva hitro, tovi vzrok incidenta. To vključuje pregled treba izvesti forenzično analizo, da se ugo- natančno in organizirano ukrepanje. Ključ log datotek, analizo prometa in preverjanje do uspešnega odziva je, da ima organizacija ranljivosti, ki so bile izkoriščene. vnaprej vzpostavljene jasne postopke in do-ločene odgovorne osebe, ki omogočajo ne- - Obnova in povrnitev sistemov: Po tem, ko moten potek aktivnosti, ko se incident zgodi. je incident zajezen in analiziran, je treba Varnostni incidenti so lahko zelo različni po vzpostaviti sistem nazaj v normalno de-svoji naravi – od majhnih notranjih kršitev do lovanje. To vključuje povrnitev podatkov velikih zunanjih napadov, kot so porazdeljena iz varnostnih kopij, ponovno konfiguracijo zavrnitev storitve (DDoS). napadi, izsiljevalski sistemov in preverjanje, da so vse ranlji-programi ali kraje podatkov. Ne glede na vrsto vosti odpravljene. organizacije hiter in učinkovit, saj lahko vsak Odziv na incidente ne vključuje samo tehnič-incidenta pa je ključnega pomena, da je odziv zamik poveča škodo organizaciji. nih ukrepov, temveč tudi koordinacijo med različnimi oddelki in/ali zunanjimi deležniki. Odziv se začne z zgodnjim odkrivanjem inci- Prav tako je pomembno, da organizacija po denta, ki je odvisno od sposobnosti organi- zaključku incidenta izvede notranjo oceno zacije za spremljanje svojih sistemov. Dobro svojih zmogljivosti za odzivanje, da ugotovi, ali vzpostavljen nadzorni sistem lahko hitro za- so bili postopki učinkoviti, in kje so potrebne zna nenavadne aktivnosti, kar omogoča, da izboljšave. organizacija hitro ukrepa in omeji širjenje ško- de. Pomembno je tudi, da se incidenti ocenijo 7. Učenje iz incidentov glede na njihov možen vpliv na sisteme in pro- Učenje iz varnostnih incidentov je proces, ki cese v organizaciji. Nekateri incidenti zahte- omogoča organizacijam, da na podlagi prete-vajo le manjše tehnične popravke, medtem ko klih izkušenj izboljšajo svoje varnostne politike so drugi resnejši in zahtevajo aktivacijo kriznih in postopke. Po vsakem varnostnem incidentu načrtov. bi morala organizacija opraviti temeljito anali- Ključni koraki v odzivu na varnostne inciden- zo dogajanja, da prepozna šibke točke v svojih sistemih in operativnih postopkih. Učenje iz te vključujejo: incidentov je ključnega pomena za izboljšanje - Hitro zaznavanje in izolacija: Ko je inci- pripravljenosti na prihodnje grožnje. vpliv. To lahko vključuje izklop prizadetih Organizacije, ki se učijo iz preteklih napak, dent zaznan, je ključno hitro omejiti njegov so bolje pripravljene na nove izzive in lahko ti čenih operacij. To pomeni, da po vsakem incidentu poteka e v podrobna analiza, ki zajema vse faze dogodka podatkov ali celo začasno prekinitev dolo-sistemov, omejitev dostopa do določenih hitreje prilagodijo svoje varnostne strategije. arnos - Komunikacija znotraj in zunaj organizaci- – od prvega zaznavanja do končne obnovitve je: V primeru resnejših incidentov je zlas- sistemov. Ta analiza omogoča prepoznavanje ti pomembno, da so vsi ključni deležniki vzorcev, ki lahko kažejo na ponavljajoče se na- očnik kibernetsk Prir 93 pake ali ranljivosti, ki jih je treba odpraviti. navljajo, če se organizacija ne uči iz preteklih čuje tudi izmenjavo znanja med oddelki znot- vsi deležniki vključeni v ta proces, in da se raj organizacije in/ali po potrebi s pogodbeni pridobljeno znanje deli ter uporablja za stal- izvajalci, ki so lahko tudi del odzivanja na inci- Poleg tega proces učenja iz incidentov vklju- pov ter postopkov. Zato je pomembno, da so napak in ne prilagodi svojih varnostnih ukre- dente. Tehnične ekipe, ki so neposredno vklju- nizaciji. no izboljševanje varnostnega sistema v orga- čene v obvladovanje incidentov, morajo svoje ugotovitve deliti z vodstvom in drugimi oddel- ki, da se zagotovi, da vsi razumejo vzroke ter posledice incidenta. Pomemben del tega pro- Viri: cesa je tudi posodabljanje varnostnih politik - Čaleta, D. in drugi (2019) Strokovne podla- na podlagi pridobljenih izkušenj. ge za ocenjevanje tveganj za delovanje kri- Učenje iz incidentov vključuje: tične infrastrukture, MORS-Ljubljana - Analizo vzrokov: Prepoznavanje tehnič- - ISO/IEC 27002:2022: Information security, nih in organizacijskih pomanjkljivosti, ki so cybersecurity and privacy protection — In- omogočile incident, ter oblikovanje pripo- formation security controls ročil za izboljšave. - Združenje bank Slovenije, Smernice upravl- - Pregled ukrepov: Ocena učinkovitosti janja tveganj (2022): https://www.zbs-giz. ukrepov, ki so bili sprejeti med incidentom, si/wp-content/uploads/2023/01/Smerni- in ugotavljanje, ali so bili postopki dovolj ceUpravljanjaTveganj_2022.pdf?utm hitri ter učinkoviti. - Zakon o informacijski varnosti (ZInfV) - Prilagajanje varnostnih politik: Na podla- (Uradni list RS, št. 30/18, 95/21, 130/22 – gi analize incidenta organizacija prilagodi ZEKom-2, 18/23 – ZDU-1O in 49/23): ht- svoje varnostne politike, da prepreči pono- tps://pisrs.si/pregledPredpisa?id=ZA- vitev podobnih dogodkov. KO7707&utm_ Na koncu je ključno, da se organizacija zave, da učenje iz incidentov ni enkraten dogodek, temveč stalna praksa. Incidenti se lahko po- ti arnos e v očnik kibernetsk Prir 94 Poglavje 14 Napotki za pripravo ocene vpliva na poslovanja in ukrepov zagotavljanja neprekinjenega poslovanja (Business Impact Analysis - BIA) POVZETEK Ocena vpliva na poslovanje (BIA) je osnova za vzpostavitev robustnega sistema zagotavlja- nja neprekinjenega poslovanja ter varnosti informacij. Poglavje obravnava metodološki pristop k analizi vplivov motenj na ključne poslovne procese, vključuje korake za identifi- kacijo kritičnih funkcij ter poudarja pomen načrtovanja časovnih okvirov in analize odvi- snosti. Proces vključuje sodelovanje ključnih deležnikov in upošteva najboljše prakse ter standard ISO 22301. Ključne točke: • Namen izdelave BIA • Priprava in načrtovanje • Zbiranje informacij • Identifikacija kritičnih funkcij ti • Analiza vplivov arnos • Vrednotenje časovnih okvirov e v • Analiza odvisnosti • Dokumentiranje rezultatov • Pregled in potrditev očnik kibernetsk • Razvoj načrta za neprekinjenost poslovanja. Prir 95 Izdelava ocene vpliva na poslovanje je eden proces določitve BIA in spremenite ali do- izmed najbolj ključnih korakov pri izgradnji polnite kakšne pomembne ugotovitve, ki celovitega in na realnih temeljih postavljene- se pokažejo v kasnejših fazah procesa. njenosti delovanja tistih ključnih procesov in dejansko pomaga izluščiti tiste bistvene procese ali sisteme, njihov vpliv ima naj- funkcij, ki so ključne za delovanje posamezne večji učinek na delovanje organizacije. organizacije. Čeprav je ta korak v domeni pro- ter predvsem zagotavljanja ustrezne nepreki- - Prioritizacija je ključen moment, ki nam ga sistema zagotavljanja varnosti informacij cesa sistema upravljanja neprekinjenosti po- V nadaljevanju si oglejmo nekaj najpomemb- slovanja (SUNP) je dejansko osnovni temelj za nejših korakov pri izdelavi ocene vpliva na po- celovito pripravo varnostne dokumentacije in slovanja (BIA): sistemskih ukrepov na področju zagotavljanja varnosti informacij. 1. Namen same izdelave BIA Bistvenega pomena, da znaš v organizaciji Metodologija izdelave BIA je ključna za pre-poznavanje in vrednotenje vpliva, ki ga imajo jasno opredeliti točno določene metodološke motnje na poslovne funkcije organizacije. BIA korake, bistvene procese, tehnologije in siste-omogoča razvoj učinkovitih strategij za nepre-me, katerih nedelovanje ima največji negativni kinjenost poslovanja in obnovo po motnjah. poslovni učinek na organizacijo. Tukaj je podrobno opisana metodologija za Pomembno, da je metodologija v naprej jasno izvedbo BIA. postavljena in so z njo seznanjeni vsi, ki bodo 2. Koraki pri Izvedbi BIA sodelovali pri procesu ocenjevanja vplivov na poslovanje organizacije. Za kvalitetno in real- 2.1 Priprava in načrtovanje no oceno mora biti v proces vključen zelo širok krog ključnih vodstvenih kadrov v organizaciji. - Določitev ciljev: Opredelite glavne cilje BIA, Največkrat je zelo priporočljivo, da posebej pri kot so prepoznavanje kritičnih poslovnih tem procesu pomagajo zunanji usposobljeni funkcij, ocena vpliva motenj in določitev strokovnjaki, ki so sposobni korigirati izvaja- prednostnih nalog za obnovo. nje celotnega procesa in v določenih primerih - Obseg BIA: Določite obseg BIA, vključno z neodvisno, jasneje pogledati na realnost izve-oddelki, procesi in sistemskimi viri, ki bodo denih analiz. Dejstvo je sicer, da strokovnjaki vključeni v analizo. znotraj organizacije najbolj podrobno poznajo - Sestava tima: Ustanovite tim za izvedbo svoje procese v organizacijah. Na drugi strani BIA, ki vključuje predstavnike vseh ključnih pa to lahko prinaša določene izzive s stališča poslovnih enot in strokovnjake za nepreki-nerealnosti ocen in favoriziranja svojega pro-njenost poslovanja. cesa, ki lahko prinese silosne pristope k oce- ti njevanju in s tega stališča izkrivljeno analizo. 2.2 Zbiranje informacij To lahko v nadaljevanju negativno vpliva na celotno izvedbo procesa ustreznega načrto- - Informacijska sredstva: Izvedite popis in- arnos vanja varnostnih ukrepov in potrebnih virov za formacijskih sredstev, s katerimi se izva- e v zagotovitev le tega. jajo procesi (strojna, programska oprema, Za konec naj poudarimo še dva zelo pomemb- se kategorizirajo po smiselnih sklopih (npr. podatkovne baze, drugi resursi). Sredstva na dejavnika: vse končne naprave uporabnikov brez ad- - Vse analize je treba ustrezno dokumenti- ministratorskega dostopa, mobilni telefoni očnik kibernetsk rati, kar omogoča, da se v vsakem trenutku uporabnikov …). Prir v nadaljnjih fazah še vedno lahko vrnete v 96 - Intervjuji: Izvedite strukturirane intervjuje z - Ciljni čas obnovitve (recovery time objecti- vodji poslovnih enot in ključnimi zaposle- ve - RTO): Določite RTO – časovni okvir, v nimi za pridobitev vpogleda v poslovne katerem je treba obnoviti funkcijo, da se procese ter njihovo kritičnost. prepreči nesprejemljiv vpliv na poslovanje.- Vprašalniki: Pripravite in distribuirajte - Ciljni čas za obnovo podatkov (recovery vprašalnike za zbiranje podatkov o poslov- point objective - RPO): Določite RPO – naj- nih funkcijah, vključno s potrebnimi viri ter večja količina podatkov, ki se lahko izgubi vplivi motenj. zaradi motnje. - Dokumentacija: Preglejte obstoječo doku- 2.6 Analiza odvisnosti mape in pretekli incidenti. - Notranje odvisnosti: Prepoznajte odvisno-mentacijo, kot so poslovni načrti, procesne sti med različnimi poslovnimi funkcijami 2.3 Identifikacija kritičnih poslovnih funkcij znotraj organizacije.- Seznam funkcij: Ustvarite izčrpen seznam - Zunanje odvisnosti: Prepoznajte odvisnosti vseh poslovnih funkcij in procesov znotraj od zunanjih dobaviteljev, partnerjev in sto- organizacije. ritev. - Kritičnost: Razvrstite funkcije glede na nji- 2.7 Dokumentiranje rezultatov pomembne so za doseganje poslovnih ci-- Poročilo BIA: Pripravite podrobno poročilo hovo kritičnost, pri čemer upoštevate, kako ljev. o BIA, ki vključuje vse zbrane podatke, oce-ne vplivov in časovne okvire za obnovo. 2.4 Analiza Vplivov - Vizualizacije: Ustvarite grafične prikaze, - Finančni vplivi: Ocenite finančne posledice kot so tabele, grafikoni in diagrami za po- motenj za vsako poslovno funkcijo, vključ- nazoritev rezultatov BIA. denarnimi kaznimi. 2.8 Pregled in potrditev no z izgubo prihodkov, dodatnimi stroški in - Operativni vplivi: Ocenite operativne vpli- - Notranji pregled: Izvedite notranji pregled poročila BIA s strani ključnih deležnikov in ve, kot so izguba produktivnosti, motnje v vodstva. dobavni verigi in zmanjšana kakovost sto- ritev. - Potrditev: Pridobite formalno potrditev BIA - Vplivi na ugled: Ocenite vpliv motenj na s strani vodstva organizacije. ugled organizacije, vključno z zaupanjem 2.9 Razvoj načrta za neprekinjenosti poslo- strank in skladnostjo z regulativnimi zahte- vanja (BCP) vami. - Strategije za obnovo: Na podlagi rezultatov - Maksimalni sprejemljivi čas neizpolnje- poslovnih funkcij. arnos vanja (maximum tolerable period of dis-2.5 Vrednotenje časovnih okvirov BIA razvijte strategije za obnovo kritičnih ti - Postopki: Pripravite podrobne postopke za e v truption - MTPD): Določite MTPD za vsako obnovo, vključno z viri in odgovornostmi. preteče, preden je delovanje funkcije ob- - Testiranje: Redno testirajte BCP za prever-kritično funkcijo – največji čas, ki lahko novljeno brez povzročanja nesprejemljive janje njegove učinkovitosti in prilagajanje škode. glede na spremembe v poslovnem okolju. očnik kibernetsk Prir 97 Izdelava BIA je bistven korak v procesu zago- Predstavljamo vam možen model vprašalnika, tavljanja neprekinjenosti poslovanja. Metodo- ki vas bo vodil skozi proces ocenjevanja posa- logija, ki vključuje pripravo in načrtovanje, zbi- meznih identificiranih procesov znotraj BIA. ranje informacij, identifikacijo kritičnih funkcij, Glede na poslovno dejavnost ali sektor vaše analizo vplivov, vrednotenje časovnih okvirov, organizacije se lahko posamezni deli vpra- analizo odvisnosti, dokumentiranje rezultatov, šalnika dopolnijo ali spremenijo, predvsem pregled ter potrditev in razvoj načrta za nepre- pri velikosti finančnih posledic, ki so značilne kinjenost poslovanja, omogoča organizacijam, za vašo dejavnost. Okvir pa vseeno služi kot da se učinkovito pripravijo na motnje ter hitro uporaben pripomoček pri učinkoviti in realni obnovijo ključne poslovne funkcije. izvedbi BIA. S to metodologijo lahko organizacije vzposta- vijo robusten okvir za oceno vpliva na poslova- nje in načrtovanje neprekinjenosti poslovanja v skladu z najboljšimi praksami ter standar- dom ISO 22301. Shema 8: Vprašalnik za pridobitev podatkov za oceno vplivov prekinitev na poslovanje (vir: ICS) VPRAŠALNIK ZA PRIDOBITEV PODATKOV ZA OCENO VPLIVOV PREKINITEV NA POSLOVANJE. Vprašalnik je namenjen zbiranju podatkov za kritične poslovne funkcije, ki podpirajo kritični poslovni proces. Poslovna funkcija: Kritični poslovni proces: Kontaktna oseba: Datum: Število zaposlenih v poslovni funkciji: SPLOŠNO Opis poslovne funkcije: Opredelite odvisnosti poslovne funkcije od drugih poslovnih procesov/funkcij podjetja, njihovih sto-ritev ali izdelkov. Kako je od funkcije odvisen kritični poslovni proces? Kateri drugi procesi/funkcije so ti še odvisni od funkcije? arnos e v Ocenite kolikšen je toleriran čas nedelovanja funkcije (čas, po preteku katerega se lahko pokažejo resne negativne posledice pri delovanju kritičnega poslovnega procesa). očnik kibernetsk Prir 98 Ali je možno blaženje posledic prekinitve funkcije z ročnimi ali alternativnimi postopki? Katerimi? Ali je vpeljan dokumentiran rezervni postopek? Ali v funkciji obstajajo točke ene napake, kjer je delovanje funkcije lahko prekinjeno z enim samim do- godkom (npr. odsotnost določenega zaposlenega, okvara dela opreme, nerazpoložljivost informacij)? Opišite. Navedite tudi pomembne podatke, ki obstajajo samo v eni kopiji. Opredelite čase največje obremenjenosti funkcije (tudi dnevna oz. tedenska nihanja), če obstajajo, oziroma kdaj funkcija ni v obratovanju. Ali bi bilo funkcijo možno izvajati s preusmeritvijo dela na druge oddelke organizacije? Katere? Katere zakonske, pogodbene in druge obveznosti mora poslovna funkcija izpolnjevati v določenih intervalih oz. rokih? Katera poročila poslovanja so potrebna glede na zakonodajo ali poslovanje? Ali imate s prekinitvijo ali grožnjo prekinitve poslovne funkcije že izkušnje? Kakšne? ČASOVNI VPLIV Vprašanje 1 dan 7 dni 14 dni 30 dni 1) Če bi prišlo do prekinitve poslovne funkcije za zgoraj navedeni čas, koliko bi potrebovali za okre- vanje poslovne funkcije? A. Ogromno, ti B. veliko, C. malo, arnose v D. neznatno.  osebja  opreme očnik kibernetsk  zalog Prir  računalniških zmogljivosti 99 1) Če bi prišlo do prekinitve poslovne funkci- je za navedeni čas, koliko bi bilo treba ob ponovni vzpostavitvi za odpravo zamud? A. Zamud ne bi bilo mogoče nadoknaditi, B. zelo veliko dela, C. malo dela, D. zamude se ne bi poznale. 2) Če bi prišlo do prekinitve poslovne funk- cije in bi izgubili podatke zadnjega poslo- vanja za navedeni čas, kako bi označili to izgubo? A. Katastrofalna izguba, B. zelo opazna izguba, C. majhna izguba, D. neznatna izguba. 3) Če bi prišlo do prekinitve poslovne funk- cije za navedeni čas, kako bi to vplivalo na kritični poslovni proces, ki ga funkcija podpira? A. Katastrofalen vpliv, B. zelo opazen vpliv, C. majhen vpliv, D. neznaten vpliv. 4) Če bi prišlo do prekinitve poslovne funk- cije za navedeni čas, kolikšno škodo bi povzročil izpad? A. Velika (nad 200.000 EUR), B. srednja (100.000 - 200.000 EUR), C. majhna (od 50.000 – 100.000 EUR), D. ni neposredne finančne škode. 5) Če bi prišlo do prekinitve poslovne funkci- je za navedeni čas, do kakšnih zakonskih ti ali pogodbenih kazni bi lahko prišlo? A. Velike (nad 10.000 EUR), e varnos A. srednje (1.000 - 10.000 EUR), B. majhne (do 1.000 EUR), C. ni pravnih posledic. očnik kibernetsk Viri: Prir - ISO 22301:2019: Security and resilience — Business continuity management systems — Requirements 100 Poglavje 15 Napotki za krizno upravljanje in pripravo obnovitvenih načrtov POVZETEK Krizno upravljanje in priprava obnovitvenih načrtov sta ključna procesa, ki omogočata pra- vočasno in usklajeno odzivanje na krizne situacije ter zmanjšanje vpliva na delovanje or- ganizacije. Smernice zajemajo vse ključne faze kriznega upravljanja, od priprave na možne krizne dogodke, prek hitrega in učinkovitega odzivanja, do postopne obnove normalnega delovanja. Poseben poudarek je na oblikovanju celovitih obnovitvenih načrtov, ki vklju- čujejo tako strateške kot operativne vidike. Integracija standardov ISO 22301 in ISO 27031 omogoča vzpostavitev strukturiranega okvira, ki združuje poslovne potrebe in tehnične zahteve, kar povečuje odpornost organizacije proti različnim vrstam groženj, od naravnih nesreč do kibernetskih napadov. Ključne točke: ti • Faze kriznega upravljanja arnos • Komunikacijski načrt e v • Vloge in odgovornosti • Načrtovanje obnovitvenih procesov • Testiranje in izboljšave očnik kibernetsk • Integracija standardov ISO 22301 in ISO 27031. Prir 101 Uvod NAPOTKI ZA KRIZNO UPRAVLJANJE Pričujoče poglavje prinaša pomembne in-Krizno upravljanje je proces priprave, odzi- formacije, vezane na razumevanje obsega vanja in obnavljanja po izrednih dogodkih, ki kriznega upravljanja in ključne korake, ki jih lahko vplivajo na delovanje organizacije. Učin- obsega ta pomembni proces za zagotavljanje kovito krizno upravljanje pomaga organizaci- neprekinjenosti delovanja organizacij v prime- jam zmanjšati vpliv kriz in hitreje obnoviti nor- ru kriz. V nadaljevanju podrobno predstavlja malno delovanje. ključne korake za pravilno pripravo oblik in procesov obnovitvenih načrtov, ki so pomemb- 1. Faze kriznega upravljanja ni za ukrepanje v času aktiviranja kriznega na- Priprava: tegrativni pristop med dvema pomembnima - Analiza tveganj: Identificirajte potencialne grožnje in ranljivosti, ki bi lahko povzročile črta. Na koncu pa podrobneje pojasnjuje in- standardoma ISO 22301 in ISO 27031, ki ureja- ta področje neprekinjena poslovanja in bi za- krizo v organizaciji. radi napačnega razumevanja pri uporabnikih - Načrtovanje: Razvijte krizne načrte, ki lahko prinesli določeno zmedo. Pomembno vključujejo postopke za odzivanje na raz- je zavedanje ustreznih integrativnih pristopov lične vrste kriz/incidentov, določite vloge in in upoštevanja posebnosti, ki jih predstavlja- odgovornosti ter vzpostavite komunikacij- jo vaše organizacije. Načrtovanje upravljanja ske strategije. kriznih dogodkov in načrtovanja ustreznega odzivanja je lahko učinkovito samo v primeru, - Usposabljanje in ozaveščanje: Redno da so bili izvedeni vsi predhodni koraki. V teh usposabljajte osebje o kriznih postopkih in pa ima ključno mesto ustrezna ocena učinkov povečajte njihovo ozaveščenost o potenci- na poslovanje (BIA) in ustrezna analiza tve- alnih grožnjah. ganj tako, da se res identificira tiste procese, Odzivanje: ki so bistveni za zagotavljanje neprekinjenega delovanja posamezne organizacije. - Aktiviranje kriznega načrta: Ob izbruhu kri- ze takoj aktivirajte krizni načrt in obvestite ključne deležnike. Zaposleni/vir Ekipa za odziv v stiski Krizno vodstvo Dogodek Zaznava Prva ocena Razglasitev krize Krizno vodenje Sprožitev NNP NE Relevantnost DA Ocenjevanje, Dogodek nima Dogodek (lahko) odločanje, vpliva na ima vpliv na planiranje poslovanje. poslovanje. Lažni alarm Komunikacija Druga ocena Okrevanje arnos Razred - 1 Dogodek (lahko) Razred - 2 Potreben ima vpliv na Dogodek je angažma poslovanje. Takojšnji odziv ni potreben. kriznega obvladan? NE Naredi analizo. ti NE Lani alarm. Relevantnost DA e v vodstva. Izboljšave procesov in NNP Analiza Razred? DA Razred - 2 Preklic krize Potreben je takojšnji odziv. NE Takolšnji odziv Potreben DA je angažma Analiza Naredimo analizo. kriznega Pripravimo poročilo. vodstva. Dogodek očnik kibernetsk obvladan? Prir Shema 9: Upravljanje kriznih dogodkov v sistemu zagotavljanja neprekinjenega poslovanja (vir: ICS) 102 - Vzpostavitev kriznega tima: Sestavite krizni Izboljšave: tim, ki bo koordiniral odzivanje na krizo. - Pregled načrtov: Na podlagi pridobljenih - Komunikacija: Zagotovite jasno in pravo- izkušenj pregledujte in posodobite krizne časno komunikacijo z notranjimi ter zuna- načrte. njimi deležniki. - Stalno usposabljanje: Nadaljujte z uspo- - Operativni ukrepi: Izvedite potrebne ukre- sabljanjem osebja in organiziranjem vaj za pe za zaščito ljudi, premoženja in informa- preverjanje pripravljenosti. cijskih virov. - Izboljšave procesov: Implementirajte ugo- Obnova: tovitve iz analiz in vaj v obstoječe postopke ter načrte. - Ocena škode: Ocenite obseg škode in dolo- čite prednostne naloge za obnovo. 2. Ključni elementi kriznega načrta- Obnovitveni ukrepi: Izvedite ukrepe za ob- Komunikacijski načrt novo kritičnih funkcij in sistemov. - Notranja komunikacija: Vzpostavite jasne - Analiza po krizi: Opravite analizo odzivanja komunikacijske linije znotraj organizacije. boljšanje. - Zunanja komunikacija: Razvijte strategije na krizo in identificirajte priložnosti za iz- za obveščanje javnosti, strank, dobaviteljev in drugih deležnikov. Vloga Zadolžitve Pooblastila Krizni - Vodi in koordinira delovanje kriznega vodstva. - Razglasitev krize vodja - S svojimi odločitvami zagotavlja, da se - Sprejem strateških odločitev glede odziva na bo lahko poslovanje podjetja uspešno krizo. nadaljevalo tudi v prihodnje. - Informira vodstvo podjetja o stanju krize. Koordina- - Zagotavlja ustrezen in učinkovit odziv ekip. - V nujnih primerih: Vodenje delovanje kriznega tor - Je osrednja koordinacijska točka za ekipe. vodstva. - Zagotavlja učinkovito komuniciranje med - Dajanje informacij ekipam. ekipami in kriznim vodstvom. - Analiziranje delovanja ekip in uvajanje dodatnih ukrepov. Informator - Zbira in beleži ključne informacije, potrebne - Upravljanje z informacijskimi viri. za vodenje krize. - Zagotavlja ažurne in točne informacije glede na trenutno stanje krize. - Skrbi za prikaz odnosov in informacij med ključnimi dogodki. - Zagotavlja, da so informacije ekipi na voljo v jasni in jedrnati obliki. Koordi- - Zagotavlja komuniciranje z javnostmi - Dajanje informacije za javnosti. ti nator za (zunanjimi in notranjimi).- Aktiviranje stikov z javnostmi. stike z - Izbira informacij za različne javnosti.arnos javnostmie v Logistik- Vzpostavi in upravlja krizni štab (storitve IT, - Zagotavljanje vseh potrebnih virov za krizni električna energija, ogrevanje in razsvetljava, štab in ekipe. oprema, pisalne potrebščine, ipd.).- Skrbi za dobro počutje ekip (pijača, hrana, ipd.). (npr. prav- strokovno znanje in tehnično podporo. ročja. očnik kibernetsk na služba, Specialisti - Na zahtevo kriznega vodstva zagotavljajo - Koordiniranje ekip s svojega ekspertnega pod-- Na svojem področju delujejo v skladu z razu- varovanje, mevanjem širše slike v zvezi s kriznim doga- Prir VZD) janjem. Shema 10: Krizno vodstvo in opis ključnih vlog ter pooblastil (vir: ICS) 103 - Medijska komunikacija: Pripravite izjave za ustreznosti teh načrtov. Z integracijo najbolj- medije in določite govorce za krizne situa- ših praks in standardov, kot sta ISO 22301 ter cije. ISO 27031, lahko organizacije zagotovijo, da so Vloge in odgovornosti jim omogoča hitrejše okrevanje in zmanjšanje pripravljene na različne krizne situacije, kar - Krizni tim: Določite člane kriznega tima in negativnih vplivov na poslovanje. njihove vloge. NAČRTOVANJE OBNOVE V PROCESIH - Vodstvo: Vzpostavite jasne odgovornosti za UPRAVLJANJA NEPREKINJENEGA POSLOVA- odločanje in usmerjanje med krizo. NJA (BCM) - Operativno osebje: Opredelite naloge ope- Načrtovanje obnove je ključna sestavina rativnega osebja za odzivanje in obnovo. upravljanja neprekinjenega poslovanja (BCM). Viri in oprema z delovanjem med in po motnji, s čimer se Zagotavlja, da organizacija lahko nadaljuje - Zmogljivosti: Identificirajte potrebne vire in zmanjša vpliv na njeno delovanje, ugled ter opremo za odzivanje na različne vrste kriz. deležnike. Ta razdelek razširja temeljne vidike načrtovanja obnove znotraj procesov BCM, s - Dostopnost: Zagotovite, da so viri in opre- poudarkom na pomembnosti strukturiranega ma dostopni ter pripravljeni za uporabo v in celovitega pristopa. vsakem trenutku. 1. Pomen načrtovanja obnove Evakuacijski načrt Načrtovanje obnove je pomembno za: - Evakuacijske poti: Določite evakuacijske poti in zbirna mesta. - Zmanjšanje izpadov: Zagotavljanje, da se ključne poslovne funkcije hitro obnovijo, - Usposabljanje: Redno izvajajte vaje za da se zmanjšajo operativne motnje. evakuacijo in preverjanje evakuacijskih po- stopkov. - Zaščito prihodkov: Zmanjšanje finančnih izgub z ohranjanjem ključnih operacij in 3. Vaje in testiranje storitev. - Redne vaje: Organizirajte redne krizne vaje, - Varovanje ugleda: Ohranitev zaupanja da preverite učinkovitost kriznih načrtov. strank in deležnikov z dokazovanjem od- - Simulacije: Izvajajte simulacije različnih pornosti. kriznih scenarijev za izboljšanje pripravlje- - Skladnost: Izpolnjevanje zakonskih, regu- nosti. lativnih in pogodbenih obveznosti v zvezi z - Ocena uspešnosti: Po vsaki vaji ocenite us- neprekinjenim poslovanjem ter obnovo po nesrečah. pešnost odzivanja in identificirajte prilož- ti nosti za izboljšanje. 2. Ključne sestavine načrtovanja obnove arnos Krizno upravljanje je bistvenega pomena za Analiza vpliva na poslovanje (BIA) e v zagotavljanje odpornosti organizacije na raz- lične vrste kriz. S pravilno pripravo, učinkovi- Temelj učinkovitega načrtovanja obnove je tim odzivanjem, hitro obnovo in nenehnimi iz- temeljita analiza vpliva na poslovanje (BIA). boljšavami lahko organizacije zmanjšajo vpliv Vključuje: očnik kibernetsk kriz ter zagotovijo kontinuiteto poslovanja. - Identifikacijo kritičnih funkcij: Določanje, Učinkovito krizno upravljanje zahteva skrb- katere poslovne funkcije so ključne za pre- Prir no načrtovanje, jasno določene odgovorno- živetje organizacije. sti, stalno usposabljanje in redno preverjanje 104 - Oceno vplivov: Vrednotenje možnega vpli- Komunikacijski načrt izgube, operativnega izpada in škode za Učinkovit komunikacijski načrt zagotavlja, da va motenj na te funkcije v smislu finančne ugled. so vsi deležniki obveščeni in usklajeni med motnjo. To vključuje: - Določanje ciljev časa obnove (RTO): Pos-tavljanje RTO-jev za določitev najdaljšega - Notranjo komunikacijo: Zagotavljanje, da sprejemljivega izpada za vsako kritično so zaposleni seznanjeni s svojimi vlogami in odgovornostmi med motnjo. funkcijo. - Cilje točke obnove (RPO): Določanje naj- - Zunanjo komunikacijo: Komuniciranje s strankami, dobavitelji, regulatorji in mediji večje dopustne izgube podatkov, merjeno za upravljanje pričakovanj ter ohranjanje v času. zaupanja. Ocena tveganja Testiranje in vzdrževanje poslovnih motenj, je ključnega pomena. To Redno testiranje in vzdrževanje obnovitvene-Razumevanje tveganj, ki lahko vodijo do vključuje: ga načrta je bistveno za zagotavljanje njegove učinkovitosti. To vključuje: - Identifikacijo groženj: Prepoznavanje po-tencialnih groženj, kot so naravne nesreče, - Redne vaje: Izvajanje rednih vaj in simula- kibernetski napadi, okvare opreme in člo- cij za testiranje obnovitvenega načrta ter prepoznavanje morebitnih pomanjkljivosti. veške napake. - Oceno ranljivosti: Vrednotenje ranljivosti - Pregledi načrta: Redni pregledi in posodo-bitve obnovitvenega načrta, da odražajo organizacije na te grožnje. spremembe v organizaciji, njenem delova-- Razvoj strategij za ublažitev: Ustvarjanje nju ter zunanjem okolju. teh groženj. - Učne lekcije: Vključevanje lekcij, pridoblje-strategij za zmanjšanje verjetnosti in vpliva nih iz testiranj in dejanskih motenj, v ob- Razvoj obnovitvenih strategij novitveni načrt za nenehno izboljševanje njegove učinkovitosti. Strategije obnove je treba prilagoditi specifič- nim potrebam organizacije in njenim kritičnim Usposabljanje in ozaveščanje funkcijam. Te strategije vključujejo: Zagotavljanje, da so vsi zaposleni usposoblje- - Preventivne ukrepe: Uvajanje ukrepov ni in seznanjeni z obnovitvenim načrtom, je za preprečevanje motenj, kot so redno ključnega pomena. To vključuje: in usposabljanje zaposlenih. - Usposabljanje zaposlenih: Redno usposa-vzdrževanje, robustni kibernetski protokoli bljanje zaposlenih, da razumejo svoje vlo- - Strategije ublažitve: Razvoj načrtov za ti ge v obnovitvenem procesu. zmanjšanje vpliva motenj, kot so diverzifi- arnos - Programi ozaveščanja: Izvajanje progra- kacija dobaviteljev, vzpostavitev alternativ-e v mov ozaveščanja za poudarjanje pomena nih delovnih ureditev in vzdrževanje redun- načrtovanja obnove in spodbujanje kulture dantnih sistemov. odpornosti. - Podrobni obnovitveni postopki: Izdelava podrobnih postopkov za obnovo vsake kri- očnik kibernetsk tične funkcije, vključno z razporeditvijo vi-Prir rov, dodelitvijo nalog in časovnicami. 105 Poslovno kritična funkcija Zabeleži se ime poslovno kritične funkcije oz. oddelka. Ciljni čas okrevanja Zabeleži se najdaljši sprejemljiv čas, v katerem mora biti izredni dogodek naslovljen in vsi relevantni kritični podprocesi ponovno vzpostavljeni. Aktivacija načrta Določi se funkcija in oseba, ki sproži aktivacijski načrt v primeru izrednega neprekinjenega poslovanja dogodka. TAKOJŠNJI ODZIV V STISKI Dogodek Zabeleži se kritični dogodek, ki se obvladuje. Vloga Opredeli se vloga (in ime posameznika), ki je odgovorna za izvedbo spodnjih korakov za takojšnji odziv v stiski. Določijo se posamezni koraki v določenem vrstnem redu, ki so potrebni za takojšnji odziv na dogodek, ter roki (reakcijski čas) v katerih morajo biti izpeljani. Koraki vsebujejo informacije o ključnih sredstvih, virih, informacijah, ki so potrebne za zmanjšanje posledic dogodka in takojšnji odziv za ponovno vzpostavitev relevantnih kritičnih Zadolžitve procesov. Koraki vsebujejo informacije o ključnih (notranjih in zunanjih) deležnikih, ki morajo biti obveščeni o dogodku in/ali odzivu ali pa so neposredno vpleteni v definirane korake (npr. drugi oddelki v podjetju, zunanji izvajalci, dobavitelji, mediji). Koraki vsebujejo navodila za dokumentiranje dogajanja in sprejetih odločitev. OKREVALNI POSTOPKI Dogodek Zabeleži se kritični dogodek, ki se obvladuje. Vloga Opredeli se vloga (in ime posameznika), ki je odgovorna za izvedbo spodnjih korakov za okrevanje. Določijo se posamezni koraki v določenem vrstnem redu, ki so potrebni za okrevanje oz. povrnitev v prvotno stanje, ter roki (reakcijski čas) v katerih morajo biti izpeljani. Koraki vsebujejo informacije o ključnih sredstvih, virih, informacijah, ki so potrebne za zmanjšanje posledic dogodka in povrnitev relevantnih kritičnih procesov v prvotno stanje. Zadolžitve Koraki vsebujejo informacije o ključnih (notranjih in zunanjih) deležnikih, ki morajo biti obveščeni o dogodku in/ali postopkih za okrevanje ali pa so neposredno vpleteni v definirane korake (npr. drugi oddelki, zunanji izvajalci, dobavitelji, mediji). Koraki vsebujejo navodila za dokumentiranje dogajanja in sprejetih odločitev. Shema 11: Vzorec odzivnih in okrevalnih postopkov v načrtu neprekinjenega poslovanja (vir: ICS) ti Razširjeni pristopi k načrtovanju obnove - AI in ML: Te tehnologije lahko analizirajo arnos Uporaba in vključevanje naprednih tehnologij nje vzorcev in napovedovanje potencialnih velike količine podatkov za prepoznava-e v ter inovativnih rešitev, kot so umetna inteli- motenj. genca (AI), strojno učenje (ML) in avtomatiza- cija, lahko znatno izboljša zmogljivosti načrto- - Avtomatizacija: Avtomatizacija nalog, kot vanja obnove: so varnostno kopiranje podatkov in spro- žanje obnovitvenih postopkov, zmanjšuje očnik kibernetsk čas izpada ter človeške napake. Prir 106 Sodelovanje z zunanjimi partnerji - Lekcije iz preteklih incidentov: Analiza pre- Sodelovanje z zunanjimi partnerji in dobavite- šav v postopkih obnove. teklih incidentov za prepoznavanje izbolj-lji je ključnega pomena za uspešno načrtova- nje obnove: Vključevanje ključnih deležnikov - Pogodbe o ravni storitev (SLA): Določa- Vključevanje ključnih deležnikov v proces na- nje SLA-jev z dobavitelji za zagotavljanje črtovanja obnove je bistvenega pomena za za- pravočasnega in zanesljivega odziva med gotavljanje celovite in učinkovite priprave: motnjami. - Deležniki: Identifikacija in vključevanje - Redna komunikacija: Vzpostavljanje re- vseh ključnih notranjih ter zunanjih delež- dnih komunikacijskih kanalov z dobavitelji nikov, kot so vodstvo, zaposleni, dobavitelji in partnerji za usklajevanje obnovitvenih in regulatorji. dejavnosti. - Redni sestanki: Organiziranje rednih Uporaba scenarijev in simulacij sestankov in delavnic z deležniki za uskla- jevanje ter izboljšanje načrtov obnove. Scenariji in simulacije so učinkovite metode za testiranje ter izboljšanje načrtov obnove: Učinkovito načrtovanje obnove je temelj - Simulacije na podlagi scenarijev: Izvajanje tančnim razumevanjem kritičnih funkcij or-upravljanja neprekinjenega poslovanja. Z na-simulacij na podlagi različnih scenarijev ganizacije, oceno tveganj, razvojem robustnih motenj za preverjanje pripravljenosti in obnovitvenih strategij in vzdrževanjem celovi-prilagodljivosti načrtov. tega komunikacijskega načrta lahko organi- Pridobitev podpore vodstva. Določitev obsega, oblike, ciljev in termina testiranja. Ugotovitev omejitev ob izvedbi. Ponovno ovrednotenje obsega, oblike, ciljev in termina glede na omejitve. Objava obsega, oblike, ciljev in termina testiranja. Določitev ekip/udeležencev testiranja. Določitev ekipe za razvoj scenarija. Razvoj scenosleda dogodkov v scenariju. Priprava sporočil, mini scenarijev in podatkov za preizkus. Priprava rekvizitov, pripomočkov, diagramov, slike. Razvoj orodij za pomoč pri izvedbi testiranja. Vzpostavitev nadzorne skupine testiranja in izbor ocenjevalcev. ti Obvestilo udeležencem o terminu, obsegu, namenu in omejitvah testiranja. arnos Obvestilo zaposlenim in (po potrebi) javnosti in medijem o vaji. e v Kritično ocenjevanje testiranja na podlagi povratnih informacij organizatorjev in udeležencev. Izdelava poročila, ovrednotenje (ugotavljanje pomanjkljivosti) in dokumentiranje izvedenega testiranja. Revizija načrtov, postopkov, sredstev, opreme in nadaljnje testiranje na podlagi zaključkov. očnik kibernetsk Prir Shema 12: Načrtovanje testiranja scenarijev na področju zagotavljanja neprekinjenega poslovanja (vir: ICS) 107 zacije zagotovijo svojo odpornost ob motnjah. ISO 27031 - Pripravljenost IKT za neprekinjeno Redno testiranje, vzdrževanje in usposabljanje poslovanje po motnji in s tem varujejo njeno delovanje, nje, implementacijo, delovanje in izboljševa-nje pripravljenosti IKT sistemov za zagota-ugled ter deležnike. Napredne tehnologije, so-vljanje neprekinjenega poslovanja. Standard delovanje z zunanjimi partnerji, uporaba sce-cije, zagotavljajo hitro ter učinkovito obnovo ISO 27031 zagotavlja smernice za načrtova-dodatno povečujejo pripravljenost organiza- narijev in simulacij ter vključevanje ključnih se osredotoča na vzpostavitev odpornosti IKT sistemov, testiranje obnovitvenih načrtov in deležnikov prispevajo k celovitemu in prilago-vzdrževanje pripravljenosti. dljivemu pristopu k načrtovanju obnove, kar omogoča organizacijam, da se uspešno spo- Integrativni Pristop (Skupni cilji in področja) padajo s sodobnimi izzivi ter grožnjami. Pogled na oba ključna standarda, ki ju dopol- INTEGRACIJA ISO STANDARDOV (INTEGRA-njuje še veliko dodatnih standardov, pa nam TIVNI PRISTOP STANDARDOV ISO 22301 IN poda osnovi pregled oz. usmeritev na proces ISO 27031) integracije. Oba standarda se osredotočata na Sledenje mednarodnim standardom, kot sta zagotavljanje neprekinjenega poslovanja in odpornosti na motnje. Njuna integracija omo-ISO 22301 za upravljanje neprekinjenega po-goča celovit pristop k obvladovanju tveganj, slovanja in ISO 27031 za pripravljenost IKT saj združuje procese za neprekinjeno poslova-za neprekinjeno poslovanje, lahko izboljša nje (ISO 22301) in pripravljenost IKT sistemov učinkovitost načrtovanja obnove. Ti standardi (ISO 27031). Organizacije se lahko certificirajo zagotavljajo okvir za vzpostavitev, izvajanje, zgolj po ISO 22301 in ISO 27001, ostali pripada-vzdrževanje in izboljšanje načrtov neprekinje-joči standardi so dodatne usmeritve ter poja-nega poslovanja. snila za področje upravljanja neprekinjenega V sodobnem poslovnem okolju je zagotavlja- poslovanja ali upravljanja področje IKT stori- nje neprekinjenega poslovanja in pripravlje- tev in sistemov. nosti informacijskih ter komunikacijskih teh- nologij (IKT) ključno za odpornost organizacij. Proces Integracije Standarda ISO 22301 in ISO 27031 ponujata A.1. Analiza Vplivov na Poslovanje (BIA) nega poslovanja ter pripravljenost IKT siste- - ISO 22301: Poudarja pomembnost BIA za celovite smernice za upravljanje neprekinje- mov. Skupaj ustvarjata integrativni pristop, ki identifikacijo kritičnih poslovnih funkcij pomaga organizacijam obvladovati tveganja, in njihovih zahtev za obnovitev. zmanjšati izpade in zagotavljati poslovno kon- - ISO 27031: Dopolnjuje BIA z osredoto- tinuiteto. čanjem na kritične IKT sisteme in infra- Pregled Standardov strukturo, ki podpira poslovne funkcije. ti A.2. Razvoj Strategij za neprekinjeno poslova- - ISO 22301 - Sistem upravljanja neprekinje- arnos nega poslovanja (BCMS) nje e v - ISO 22301: Vzpostavlja strategije za ne- - ISO 22301 je mednarodni standard, ki do- loča zahteve za vzpostavitev, implementa- prekinjeno poslovanje, vključno z obno- vitvenimi načrti in pripravljenostjo na iz- cijo, vzdrževanje in nenehno izboljševanje sistema upravljanja neprekinjenega po- redne dogodke. očnik kibernetsk slovanja (BCMS). Poudarja pomen analize - ISO 27031: Dopolnjuje te strategije z na- Prir vplivov na poslovanje (BIA), strategij za ne- črti za obnovitev IKT sistemov, vključno s prekinjeno poslovanje in pripravljenost na testiranjem in vzdrževanjem teh načrtov. izredne dogodke. 108 A.3. Implementacija in vzdrževanje - Odpornost: Krepi odpornost organizacije - ISO 22301: Usmerja implementacijo nih nesreč do kibernetskih napadov. proti različnim vrstam motenj, od narav- BCMS in zagotavlja stalno vzdrževanje pripravljenosti organizacije. Integracija standardov ISO 22301 in ISO 27031 - ISO 27031: Osredotoča se na implemen- gotavljanju neprekinjenega poslovanja in predstavlja učinkovit ter celovit pristop k za-tacijo načrtov za obnovitev IKT sistemov pripravljenosti IKT sistemov. Organizacije, ki in njihovo redno vzdrževanje, kar vklju-implementirajo ta integrativni pristop so bo-čuje usposabljanje zaposlenih ter redno lje pripravljene na obvladovanje tveganj, za- testiranje. gotavljanje odpornosti in hitro obnovitev po A.4. Testiranje in Izboljšave motnjah, kar je ključnega pomena za dolgo- - ISO 22301: Poudarja pomembnost re-predstavlja celovit okvir za vzpostavitev, im-ročni uspeh ter stabilnost. ISO 27031 namreč dnega testiranja načrtov za neprekinjeno plementacijo, vzdrževanje in izboljševanje poslovanje in nenehno izboljševanje na pripravljenosti IKT za neprekinjeno poslova-podlagi povratnih informacij. nje. Organizacije, ki sledijo tem smernicam, - ISO 27031: Zagotavlja smernice za testi- lahko zagotovijo, da njihovi IKT sistemi os- ranje obnovitvenih načrtov IKT sistemov tanejo operativni tudi v času motenj, s čimer in nenehno izboljševanje na podlagi re- podpirajo neprekinjeno poslovanje in poveču-zultatov testov ter analize incidentov. jejo odpornost proti različnim tveganjem ter grožnjam. A.5. Komunikacija in Ozaveščanje - ISO 22301: Usmerja komunikacijo z no- tranjimi in zunanjimi deležniki glede na- Viri: - ISO 27031: Dopolnjuje komunikacijske Business continuity management systems — Requirements strategije z vidika pripravljenosti IKT sis-črtov za neprekinjeno poslovanje. - ISO 22301:2019: Security and resilience — temov in vloge ključnih deležnikov pri za- - ISO/IEC 27031:2011: Information technolo-gotavljanju odpornosti. gy — Security techniques — Guidelines for information and communication technolo- A.6. Prednosti Integrativnega Pristopa gy readiness for business continuity - Celovitost: Združuje poslovne procese in - SIST ISO/IEC 27001:2023: Informacijska IKT pripravljenost za celovit pristop k ob- varnost, kibernetska varnost in varovan- prekinjenega poslovanja. formacijske varnosti — Zahteve (ISO/IEC 27001:2022) vladovanju tveganj ter zagotavljanju ne- je zasebnosti — Sistemi upravljanja in- - Učinkovitost: Omogoča učinkovitejše na- črtovanje, implementacijo in vzdrževanje ti strategij za neprekinjeno poslovanje ter arnos obnovitev IKT sistemov.e v - Skladnost: Povečuje skladnost z regula- tivnimi zahtevami in najboljšimi praksa- mi na področju neprekinjenega poslova- nja ter kibernetske varnosti. očnik kibernetsk Prir 109 Poglavje 16 Napotki za pripravo politike in postopkov za oceno učinkovitosti varnostnih ukrepov POVZETEK Priprava politike in postopkov za oceno učinkovitosti varnostnih ukrepov je ključna za za-gotavljanje prilagodljivega in proaktivnega sistema varovanja informacijskih virov. Smerni-ce zajemajo določitev ciljev, obsega in strukture politik, spremljanje učinkovitosti ter redne revizije za skladnost z aktualnimi predpisi in standardi. Poudarjen je pomen meril uspeš-nosti, informacijskih sistemov za spremljanje ter rednega izboljševanja ukrepov, da orga-nizacija ostaja odporna na nove grožnje. Ključne točke: ti • Določanje ciljev in obsega ocenjevanja • Struktura politike ocenjevanja varnostnih ukrepov arnos e v • Upravljanje tveganj in določitev meril za učinkovitost • Izvajanje postopkov ocenjevanja • Vloga informacijskega sistema za spremljanje in poročanje očnik kibernetsk • Redno spremljanje in izboljševanje politik Prir • Zagotavljanje skladnosti in revizija. 110 1. Uvod v ocenjevanje učinkovitosti varno- obsega ocenjevanja je prav tako temeljnega stnih ukrepov pomena in zahteva temeljito analizo vseh in- je ključnega pomena za zagotavljanje, da or- organizacije. V obseg morajo biti vključeni vsi ganizacija ustrezno ščiti svoje informacijske elementi, ki imajo potencialen vpliv na var-vire in občutljive podatke pred vedno večjimi nost, vključno z informacijskimi tehnologijami, Ocenjevanje učinkovitosti varnostnih ukrepov sov ter človeških virov, ki so kritični za varnost formacijskih sistemov, infrastrukture, proce- ter bolj kompleksnimi grožnjami. Varnostno fizično infrastrukturo, zaposlenimi, partner-okolje se nenehno spreminja, zato morajo ji in zunanjimi dobavitelji. Pravilno določeni biti varnostni ukrepi proaktivni, prilagodlji-cilji in obseg so temelj za uspešno izvedbo vi in vedno usklajeni s cilji organizacije. Pro-ocenjevanja, saj zagotavljajo, da so vključeni ces ocenjevanja učinkovitosti vključuje redne vsi bistveni vidiki varnosti, organizacija pa se preglede tehničnih, organizacijskih in človeš-lahko prilagaja spremembam v zakonodaji ali kih varnostnih ukrepov ter preverjanje, ali ti poslovnih procesih, ki lahko vplivajo na njene ukrepi še naprej ustrezno ščitijo pred aktualni-kritične varnostne potrebe. mi grožnjami, kot so zlonamerna programska oprema, napadi na omrežja in notranje varno- 3. Struktura in razvoj politike ocenjevanja stne grožnje. varnostnih ukrepov Uvedba učinkovitih postopkov ocenjevanja Politika ocenjevanja varnostnih ukrepov mora pomaga organizaciji zmanjšati tveganja, zlasti biti strukturirana in zasnovana tako, da omo-tista, povezana z iztekom veljavnosti obstoje- goča jasno definicijo odgovornosti, postopkov čih varnostnih kontrol, ki so postale zastarele ter smernic, ki se uporabljajo za oceno učin-ali neučinkovite. Ocena učinkovitosti tako pri- kovitosti. Vključevati mora smernice o me-speva k nenehnemu izboljševanju varnostne rilih uspešnosti in postopkih, ki so potrebni politike in postopkov ter podpira organizacijo za učinkovito ocenjevanje. Poleg tega mora pri oblikovanju strategij obvladovanja varno- politika opredeliti, kdo je odgovoren za spre-stnih tveganj. Kljub temu pa uspešno izvaja- mljanje učinkovitosti, kako se rezultati ocen nje ocenjevanja zahteva tudi podporo vodstva, analizirajo in kako se obravnavajo povratne saj je brez ustrezne podpore organizacija iz- informacije. Struktura politike mora biti dovolj postavljena večjim tveganjem in manj učinko- prilagodljiva, da omogoča prilagoditev glede vitim varnostnim procesom. Cilj je vzpostaviti na spremembe v varnostnem okolju. Politika proaktiven sistem, ki je prilagodljiv in zmožen ocenjevanja je pomembno orodje za zagota-zaščititi organizacijo pred razvojem novih gro- vljanje skladnosti s standardi in zakonoda-ženj ter ranljivostmi. jo, saj določa okvir, v katerem se izvajajo vse 2. Določanje ciljev in obsega ocenjevanja ti vodstvo organizacije, da zagotovi ustrezno aktivnosti ocenjevanja. Politiko mora odobri-Cilji ocenjevanja učinkovitosti varnostnih ukre- podporo in usklajenost z organizacijskimi cilji. pov so zasnovani na potrebah organizacije, pri Priporočljivo je, da se politika redno preverja čemer je pomembno, da se osredotočajo na in posodablja, da ostane skladna z najnovej- ti varovanje zaupnosti, integritete, avtentičnosti šimi standardi, zakonodajo ter poslovnimi po- arnos trebami organizacije. in razpoložljivosti podatkov. Ključna vprašanja e v pri določanju ciljev vključujejo opredelitev, kaj 4. Upravljanje tveganj in določitev meril za organizacija želi doseči z ocenjevanjem, in ka- učinkovitost tere specifične varnostne komponente je tre- ba oceniti. Na primer, organizacija lahko kot Upravljanje tveganj je ključno za vzpostavi-cilje določi zmanjšanje števila varnostnih in- tev meril učinkovitosti varnostnih ukrepov, očnik kibernetsk cidentov, povečanje ozaveščenosti zaposlenih saj organizacija s tem določi sprejemljivo ra- Prir ali izboljšanje odziva na incidente. Določitev ven tveganja in prilagodi varnostne kontrole. 111 Merila učinkovitosti morajo temeljiti na ključ- 6. Vloga informacijskega sistema za spre- nih kazalnikih uspešnosti (KPI), ki omogoča- mljanje in poročanje incidente, raven zaščite pred nepooblaščenim nje je ključno orodje za zbiranje, analiziranje ter spremljanje varnostnih incidentov in ak-dostopom, število zaznanih incidentov in us-tivnosti, povezanih z varnostnimi kontrolami. pešnost sanacije škode. merljivih podatkov, kot so hitrost odziva na Informacijski sistem za spremljanje in poroča-jo spremljanje varnostnih ukrepov na podlagi Sistem omogoča avtomatizirano spremljanje Kazalniki uspešnosti varnostnih ukrepov naj groženj in nepravilnosti, s čimer omogoča ta- bodo oblikovani na način, da omogočajo sis- kojšnjo zaznavo potencialnih varnostnih inci- tematično spremljanje ključnih varnostnih dentov ter hitro odzivanje nanje. Redna anali- vidikov organizacije in omogočajo primerjavo za podatkov, zbranih prek sistema, omogoča trenutne učinkovitosti z določeno ciljno ravnjo prepoznavanje vzorcev, ki kažejo na prisotnost varnosti. Merila uspešnosti prav tako omogo- groženj, kar olajša določitev potrebnih prila- čajo upravljavcem tveganj, da prepoznajo mo- goditev in izboljšav. Učinkovit informacijski rebitna področja za izboljšanje in po potrebi sistem omogoča tudi sprotno poročanje, kar prilagodijo vire ter načine izvajanja varnostnih vodstvu in odgovornim osebam zagotavlja ak- ukrepov. Tako lahko organizacija usmeri svoja tualen pregled nad stanjem varnosti. S tem sredstva v izboljšave, kjer so pomanjkljivosti se izboljša preglednost, vodstvu pa omogo- kritične in kjer se pojavljajo največja tveganja. či sprejemanje informiranih odločitev. Poleg 5. Izvajanje postopkov ocenjevanja varno- tacijo, ki so ključne za revizijske namene in tega sistem omogoča sledljivost in dokumen- stnih ukrepov za dokazovanje skladnosti z regulativnimi Pravilno izvajanje postopkov ocenjevanja zah- zahtevami. Vloga informacijskega sistema za teva predhodno določen načrt in opredelitev spremljanje in poročanje je torej osrednja pri vseh korakov, ki zagotavljajo, da so vsi varno- vzdrževanju visokega nivoja varnosti ter prila- stni ukrepi ustrezno pregledani. Vključevanje gajanju varnostnih ukrepov na podlagi aktu- zunanjih strokovnjakov ali avditorjev zagota- alnih podatkov. Pomembno pa je zagotoviti vlja objektivnost in nepristranskost ocenjeva- ustrezne kompetence za učinkovito upravlja- nja. Pomembno je, da ocenjevanje vključuje nje s takšnim orodjem, saj je človeški faktor tako tehnične zaščitne ukrepe (npr. požarne tukaj še vedno ključen. zidove, varnostno konfiguracijo sistemov) kot 7. Redno spremljanje in izboljševanje poli-tudi organizacijske ukrepe, kot so izobraže-tik ter postopkov vanja zaposlenih, postopki za odzivanje na incidente in pravila za ravnanje z občutljivimi Za vzdrževanje učinkovitih politik in postopkov informacijami. je nujno redno spremljanje njihove učinkovi- ti in v skladu s cilji politike ter obsegom ocenje- omogoča, da organizacija pravočasno prepoz- vanja. Postopki vključujejo zbiranje podatkov, na morebitne pomanjkljivosti ter priložnosti analiziranje rezultatov in izdelavo poročil z arnos Izvajanje ocenjevanja naj poteka sistematično standardi. Načrt za redne revizije in preglede tosti ter skladnosti z aktualnimi predpisi ali e v oceno učinkovitosti ukrepov. Na podlagi teh da se organizacija proaktivno odziva na nove za izboljšave. Redno spremljanje zagotavlja, ugotovitev se nato oblikujejo priporočila za varnostne izzive, pridobljene izkušnje pa se izboljšave, ki lahko vključujejo posodobitev uporabijo za nadaljnje izboljšanje obstoječih obstoječih varnostnih politik, zagotovitev do-politik in postopkov. datnih resursov ali uvedbo dodatnih ukrepov. očnik kibernetsk Redno ocenjevanje je ključno za zagotovitev, Vključevanje povratnih informacij od zaposle-Prir da so varnostni ukrepi vedno prilagojeni aktu- nih in drugih vključenih strani omogoča orga- alnim grožnjam. nizaciji natančno oceno, kako učinkovite so 112 trenutne varnostne politike ter prakse. Prila- Viri: vlja, da ostaja politika ustrezna ter prilagojena varnost, kibernetska varnost in varovan-je zasebnosti — Sistemi upravljanja in-trenutnim varnostnim zahtevam. Redne iz-formacijske varnosti — Zahteve (ISO/IEC boljšave politik in postopkov omogočajo, da cij in rezultatov preteklih ocenjevanj zagota- - SIST ISO/IEC 27001:2023: Informacijska goditev politike na podlagi povratnih informa- 27001:2022) organizacija ohranja visoko raven varnosti ter skladnost z regulativnimi zahtevami. - Evropska unija, Evropska agencija za ki- bernetsko varnost (ENISA): https://europe- 8. Zagotavljanje skladnosti in revizija an-union.europa.eu/institutions-law-bud- g e t / i n s t i t u t i o n s - a n d - b o d i e s / Zagotavljanje skladnosti je ključno za vzdrže- search-all-eu-institutions-and-bodies/eu- vanje ustreznosti varnostnih ukrepov, saj ropean-union-agency-cybersecurity-eni- omogoča, da se varnostne politike in postop- sa_sl?utm ki izvajajo v skladu z notranjimi ter zunanjimi zahtevami. Redne revizije pomagajo prepo- - Uredba o varnostni dokumentaciji in mi-znati pomanjkljivosti v trenutnih postopkih in nimalnih varnostnih ukrepih poveza- omogočajo organizaciji oceno, ali varnostni nih subjektov: Uradni list RS, št. 118/23: ukrepi še zadostujejo za doseganje ciljev. Not- https://pisrs.si/pregledPredpisa?id=U- ranje preglede dopolnjujejo neodvisne revizije, RED8925&utm= ki prinašajo dodatno objektivnost in zagotovi- - Urad Vlade RS za informacijsko varnost lo, da so postopki ustrezni. https://www.gov.si/drzavni-organi/vlad- Organizacija lahko sodeluje z neodvisnimi tre- ne-sluzbe/urad-vlade-za-informacij- tjimi osebami za izvedbo revizij in pregledov sko-varnost/ dnost z zakonodajnimi zahtevami. Pravilna (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23 ): ht-struktura revizijskih postopkov zagotavlja, da tps://pisrs.si/pregledPredpisa?id=ZA-so varnostni ukrepi vedno ustrezno preverjeni nemu zaupanju v učinkovitost politik ter skla- - Zakon o informacijski varnosti (ZInfV) varnostnih postopkov, kar prispeva k dodat- in posodobljeni glede na nove zahteve ali tve- KO7707&utm_ ganja. ti arnos e v očnik kibernetsk Prir 113 Poglavje 17 Napotki glede varnosti pri nabavi, razvoju, integraciji, vzdrževanju omrežnih in informacijskih sistemov ter odstranjevanju sistemov iz produkcije POVZETEK Poglavje obravnava ključne varnostne prakse pri celotnem življenjskem ciklu omrežnih in informacijskih sistemov. Poudarja pomen varnosti pri nabavi, integraciji, razvoju in vzdrže-vanju teh sistemov ter zagotavljanju ustrezne zaščite pri odstranjevanju iz produkcije. Smernice vključujejo določitev strogih varnostnih zahtev, preverjanje ponudnikov, vključe-vanje varnosti že v fazi načrtovanja, redne posodobitve, spremljanje sistemov in učinkovito upravljanje dostopov. Poseben poudarek je namenjen segmentaciji omrežij, ki povečuje varnost z ločevanjem sistemov glede na funkcionalnost in občutljivost podatkov. ti Ključne točke: arnos e v • Pridobivanje omrežnih in informacijskih sistemov • Razvoj sistemov z vgrajeno varnostjo (Security by Design) • Vzdrževanje in posodabljanje sistemov očnik kibernetsk • Upravljanje dostopov in avtorizacija Prir • Segmentacija omrežja za povečano varnost. 114 1. Pridobivanje omrežnih in informacijskih Ob pridobivanju novih sistemov je nujno jasno sistemov opredeliti varnostne zahteve ali standarde, ki ponudnikov, ki izpolnjujejo stroge varnostne znavanja nepooblaščenih sprememb v sistem-standarde. Ponudniki morajo imeti ustrezne skih datotekah), zagotavljanje razpoložljivosti certifikate, kot so družina standardov ISO/IEC (npr. podvojeni elementi). Specifikacije morajo 27001 ali NIST, ki potrjujejo njihovo zavezanost biti natančno določene in vključevati postopke k varnosti. Pomembno je tudi preveriti njiho-ravnanja v primeru zaznane ranljivosti ter od-vo zgodovino na področju odpravljanja ranlji-zivanje na varnostne incidente. Poleg tehničnih vosti in varnostnih incidentov ter njihove spo-zahtev je pomembno tudi, da so vpeljani ustre-sobnosti zagotavljanja rednih posodobitev in zni varnostni protokoli in politike, ki so skladni z popravkov. Sodelovanje s ponudnikom mora zakonodajo ter najboljšimi praksami. Ustrezno temov zahteva premišljeno izbiro, kjer sta var- upnosti (npr. uporaba šifriranja), zagotavljanje nost in zanesljivost ključnega pomena. Najprej avtentičnosti (npr. uporaba večfaktorske avten-je pomembno, da se osredotočimo na izbiro tikacije), zagotavljanje celovitosti (npr. prepo-Pridobivanje omrežnih in informacijskih sis- zahtevami so zahteve, kot je zagotavljanje za-jih mora sistem izpolnjevati. Med varnostnimi temeljiti na jasnih pogodbah, kjer so opre- upoštevanje varnostnih standardov in dobrih deljene njihove odgovornosti, vključno s tem, praks že v razvoju (npr. OWASP Application Se-kako bodo obravnavane morebitne varnostne curity Verification Standard - ASVS) zagotavlja, pomanjkljivosti in šibke točke. Ključni del teh da bo sistem odporen na potencialne grožnje, dogovorov je SLA (Service Level Agreement) ter da bo organizacija pripravljena na učinkovi-ali pogodba o ravni storitev, ki jasno dolo-to upravljanje varnostnih izzivov. ča pričakovanja med ponudnikom opreme in storitev ter naročnikom. SLA vključuje oprede- 2. Razvoj omrežnih in informacijskih sistemov žljivost storitev ter postopke v primeru motenj teva, da varnost ni nekaj, kar se doda na koncu, temveč je vgrajena v vsak korak razvoja. Zasno-ali incidentov. To zagotavlja hitro in učinkovito va sistema mora upoštevati načelo „Security by ukrepanje v primeru težav ter motivira ponu-dobave opreme in rezervnih delov, razpolo- Razvoj omrežnih in informacijskih sistemov zah-litev odzivnih časov za odpravo napak, glede dnika, da spoštuje dogovorjene standarde, kar Design“, kar pomeni, da se varnostne funkcije vgradijo že v začetni fazi načrtovanja. Vsak del je ključno za varnost in zanesljivost sistema. sistema, od aplikacij do omrežne infrastruktu-Pred uvedbo novega sistema je nujno opravi- re, mora biti zasnovan s poudarkom na zaščiti ti oceno vseh varnostnih tveganj in vplivov na pred potencialnimi grožnjami, kar se ugotovi z poslovanje organizacije, kar je ključen korak ustrezno analizo tveganj in rednim spremlja-za prepoznavanje možnih varnostnih groženj, njem poročil o zaznanih ranljivostih. Tak pristop ranljivosti ter vplivov na poslovanje in nemo- omogoča, da se ranljivosti (šibke točke) odkri-teno zagotavljanje storitev. Ocena mora biti jejo in odpravijo že v zgodnjih fazah, kar bistve-celovita in zajemati tako tehnične kot poslov- no zmanjša tveganje za morebitne napade po ne vidike, saj vsaka uvedba nove tehnologije ti uvedbi sistema v produkcijo. Pri mrežnih apli- neposredno vpliva na celotno varnost organi- kacijah, ki podpirajo delovanje bistvenih storitev arnos zacije. Sodelovanje strokovnjakov iz različnih je pomembno zagotoviti možnost preverjanja e v področij omogoča, da se tveganja pravilno teh aplikacij že v fazi razvoja. V tem okviru je prepoznajo, in da se pripravijo ustrezne stra- pomemben dostop do izvorne kode in doku-tegije za njihovo zmanjšanje. To je še posebej mentacija vseh sestavnih programskih delov ter pomembno, ker se s tem zagotovijo temelji za odvisnosti aplikacije z drugimi programi (kosov-varno delovanje sistema in se zmanjšajo mož- nica – Software Bill of Material), saj to omogoča očnik kibernetsk nosti za nepredvidene težave. celovit pregled in preverjanje varnosti aplikacij Prir 115 že v fazi razvoja. Še posebej je treba biti pozo- Pri razvoju sistemov mora torej biti varnost ren pri uporabi odprte kode, saj lahko vsebuje vseprisotna, skrbno integrirana v vsako fazo, zlonamerno kodo, stranska vrata ali ranljivosti, saj le tako lahko dosežemo visoko stopnjo ki niso odpravljene. zaščite in zanesljivosti, kar je ključno za us- pešno delovanje vsake sodobne organizacije. Ključni del razvoja je tudi natančno testiranje varnosti. Testiranje ni zgolj enkraten posto- 3. Vzdrževanje omrežnih in informacijskih pek, temveč kontinuiran proces, ki mora spre- sistemov so le nekateri od načinov, s katerimi se prever- mov je ključno za ohranjanje njihove varnos- ti ter operativnosti skozi celotno življenjsko ja odpornost sistema. Pomembno je, da teste dobo. Čeprav lahko kakovostna zasnova in ra- izvajajo izkušeni strokovnjaki, ki lahko iden- testi, simulacije napadov in ocene ranljivosti Vzdrževanje omrežnih in informacijskih siste-mljati razvoj skozi vse njegove faze. Varnostni tificirajo tudi manj očitne šibke točke in ran- zvoj zmanjšata število varnostnih težav, so re- dne vzdrževalne aktivnosti tiste, ki dolgoročno ljivosti. Testiranje ne sme biti omejeno le na zagotavljajo odpornost sistemov pred novimi tehnične komponente – preveriti je treba tudi grožnjami ter ranljivostmi. To vključuje redno procese, ki podpirajo delovanje sistema, kot so spremljanje ranljivosti (npr. prek objav proi- varnostni postopki, ki jih upoštevajo razvijalci zvajalca, spletnih forumov), izvajati preverjene in uporabniki. in redne posodobitve, stalen nadzor ter spre- Šifriranje podatkov je še en ključen element mljanje in pravilno izvajanje ter preverjanje pri razvoju varnega sistema. Vsi podatki, ki se varnostnih kopij. zagotavlja, da so informacije dostopne in ber- opreme so osnova za vzdrževanje varnosti. Proizvajalci programske opreme redno izda- ljive le pooblaščenim uporabnikom. Uporaba jo popravke, ki odpravljajo odkrite ranljivosti naprednih šifrirnih algoritmov, kot so AES in ni s sodobnim kriptografskim algoritmom, ki Redne posodobitve sistemov in programske shranjujejo ali prenašajo, morajo biti zaščite- RSA, zagotavlja visoko stopnjo varnosti, vendar in izboljšujejo delovanje sistema. Pomembno je, da so posodobitve predhodno preverjene je treba poskrbeti tudi za ustrezno upravljanje v testnem okolju, so načrtovane in izvedene s šifrirnimi ključi, saj neustrezno ravnanje lah- pravočasno, saj zamuda pri implementaci- ko ogrozi celoten sistem. Pomembno je, da so ji popravkov lahko pomeni odprta vrata za šifrirni mehanizmi učinkoviti in se ne upoča- kibernetske napade. Organizacije bi morale snjujejo kritični procesi, kar zahteva skrbno vzpostaviti avtomatizirane sisteme za posoda- načrtovanje ter integracijo šifriranja že v zače- bljanje, kadar je to mogoče, in izvajati redne tnih fazah razvoja. preglede za zagotovitev, da vsi elementi siste- Vključitev modernih rešitev za zaščito, kot so ma delujejo z najnovejšimi varnostnimi izbolj- sistemi za zaznavanje in preprečevanje vdorov šavami, vendar hkrati ne negativno vplivajo na (IDS/IPS), napredna avtentikacija ter tehno- druge povezane sisteme ter aplikacije. arnos elementa pri vzdrževanju varnosti. Sistem za varnost sistema. Takšne rešitve omogočajo e v spremljanje mora biti sposoben zaznati nena- proaktivno zaznavanje groženj in hitro odzi- vadne aktivnosti, kot so poskusi nepooblaš- ti logije strojnega učenja za prepoznavanje ne-običajnih vedenj v omrežju dodatno izboljšajo Nadzor in spremljanje omrežja sta ključna očnik kibernetsk ustvariti robustne sisteme, ki se lahko učinko- komunikacije z znanimi nevarnimi naslovi IP. Vpeljava rešitev, kot so SIEM (Security In- vito upirajo sodobnim kibernetskim grožnjam formation and Event Management) sistemi, in varujejo podatke ter procese znotraj orga- zaščitnih mehanizmov v fazi razvoja je možno čenega dostopa, nenadni skoki v prometu ali vanje na incidente. Z uvajanjem naprednih Prir omogoča združevanje in korelacijo podatkov nizacije. 116 iz različnih sistemov ter njihovo analizo v re- sta nujna za zaščito pred notranjimi ter zuna-alnem času, kar omogoča hitro prepoznavanje njimi grožnjami in zagotavljanjem, da obču-in odzivanje na varnostne incidente. Redno tljivi podatki ostanejo varni. pravočasne intervencije in preprečuje širjenje Sistemi za upravljanje identitet in dostopa (IAM) spremljanje varnostnih dogodkov omogoča potencialnih varnostnih incidentov. omogočajo centralizirano upravljanje uporab-niških pravic ter dostopov in zagotavljajo, da Varnostne kopije so temelj za varstvo podatkov imajo uporabniki dostop le do tistih informacij, in zagotavljanje neprekinjenega poslovanja v ki jih nujno potrebujejo za opravljanje svojega primeru varnostnih incidentov, kot so napadi dela. Z vzpostavitvijo pravil o najmanjših privi-z izsiljevalsko programsko opremo ali okvare legijih (princip least privilege) je mogoče zago-strojne opreme. Pri izdelavi varnostnih kopij je toviti, da uporabniki in sistemi delujejo z mini-treba upoštevati pravilo 3-2-1, ki priporoča, da malnimi potrebnimi dovoljenji, kar zmanjšuje imate vsaj tri kopije svojih podatkov, shranjene tveganje zlorabe. Ključno je tudi, da se dosto-na dveh različnih medijih, pri čemer je ena ko- pi redno preverjajo, posodabljajo ali ukinjajo, pija shranjena na lokaciji, ki je fizično ločena od zlasti ko uporabniki spremenijo svoje delovne primarne. To pomeni, da poleg glavne kopije na vloge ali zapustijo organizacijo. Implementa-delovnih strežnikih ali računalnikih obstajata še cija teh rešitev vključuje uporabo avtentikacije, dve dodatni kopiji, na primer ena na lokalnem avtorizacije in kontrole dostopa na osnovi vlog NAS strežniku in druga v oblaku ali na fizičnem (RBAC), ki omogočajo boljši nadzor ter sledlji-disku, ki se hrani na ločeni lokaciji. vost uporabniških aktivnosti. Pomembno je, da so varnostne kopije redno Pri varnosti gesel ne gre več zgolj za priporo-preizkušene, da se zagotovi njihova obnovlji- čanje dolgih in kompleksnih gesel, temveč za vost, saj so le tako uporabne v kriznih situa- celovito strategijo, ki vključuje večfaktorsko cijah. Poleg tega je smiselno uporabljati ši- avtentikacijo (MFA). Močna gesla so še vedno frirane kopije podatkov, da so zaščitene tudi pomembna, vendar sama po sebi ne zago-v primeru fizičnega dostopa nepooblaščenih tavljajo zadostne zaščite pred napadi, kot so oseb. Uvajanje avtomatiziranih postopkov za ribarjenje (phishing), napad z uporabo surove izdelavo kopij zagotavlja, da varnostne kopije sile (brute force) napadi ali kraja poverilnic. niso prepuščene človeški napaki, in da se po- Uvedba večfaktorske avtentikacije, ki združu-datki varno arhivirajo v rednih intervalih. je nekaj, kar uporabnik ve (geslo), nekaj, kar loga, temveč celostna aktivnost, ki zahteva so prstni odtis ali prepoznava obraza), znatno sodelovanje različnih oddelkov znotraj orga-povečuje stopnjo zaščite. MFA zmanjšuje tve-nizacije, z jasno določenimi postopki in odgo-ganje za nepooblaščen dostop, saj napadalcu Vzdrževanje sistemov ni zgolj tehnična na- ključ), in nekaj, kar je (biometrični podatki, kot ima (mobilni telefon ali generiran varnostni vornostmi. Pravilno vzdrževanje zagotavlja, da ni dovolj le ukrasti geslo, temveč mora prema-sistemi ostajajo varni in operativni, ter da lah-gati tudi druge varnostne ovire. ko organizacija hitro in učinkovito obnovi svoje ti delovanje v primeru nepredvidenih dogodkov. V okviru upravljanja dostopov je pomembno 4. Upravljanje dostopov in avtorizacija e v tudi redno spremljanje in beleženje uporabni- arnos ških dejavnosti, tako pri dostopu do sistema, Upravljanje dostopov in avtorizacija sta ključ- podatkov ali v omrežnem prometu. Beleženje in na stebra varnosti v omrežnih ter informacij- analiza prijav, poskusov prijav, sprememb pra- kdo lahko dostopa do katerih podatkov in sis- sistemov) ter drugih ključnih dogodkov omogo- očnik kibernetsk temov ter pod kakšnimi pogoji. Natančno na-skih sistemih, saj neposredno vplivata na to, vic dostopa (še posebej za dostop do ključnih črtovanje in implementacija teh mehanizmov čata hitro prepoznavanje sumljivih dejavnosti. Prir Sistemi morajo biti zasnovani tako, da ob ne- 117 običajnih poskusih prijave ali dostopa sprožijo - Zaupna cona: Vsebuje kritične sisteme in alarme in varnostne postopke, kar omogoča podatke, kot so baze podatkov s finančni- hitro ukrepanje. Vzpostavitev revizijskih sledi mi informacijami ali osebni podatki strank. (audit trails) je prav tako ključnega pomena, saj Dostop do te cone mora biti strogo omejen omogoča preglednost in zagotavlja, da so vsi in skrbno nadzorovan. iskave ob morebitnih varnostnih incidentih. Po vzpostavitvi varnostnih con je ključna upo- dostopi sledljivi ter pregledani, kar olajša pre- raba požarnih zidov, varnostnih pravil in dru- Skrbno načrtovano in izvedeno upravljanje gih kontrolnih mehanizmov za nadzor dosto- dostopov ter avtorizacije je torej bistvenega pa med segmenti. Požarni zidovi omogočajo pomena za varnost organizacije. Ne gre le za filtriranje prometa med conami na podlagi tehnične rešitve, temveč za stalno prizade- vnaprej določenih pravil, kar preprečuje ne- vanje za ohranjanje visokih varnostnih stan- pooblaščen dostop do občutljivih podatkov. dardov, prilagajanje novim grožnjam in za- Poleg požarnih zidov se lahko uporabljajo tudi gotavljanje, da varnostni postopki ustrezajo sistemi za zaznavanje in preprečevanje vdorov aktualnim potrebam ter tveganjem. (IDS/IPS), ki spremljajo promet med segmenti 5. Dobra segmentacija omrežja dejavnosti. Uporaba pravil za filtriranje pro- ter samodejno blokirajo potencialno nevarne Segmentacija omrežja je ena izmed najpo- meta zagotavlja, da lahko sistemi med seboj membnejših praks za zagotavljanje varnos- komunicirajo le v skladu z varnostnimi politi- ti v informacijskih sistemih. S segmentacijo kami organizacije. se omrežje razdeli na manjše, ločene dele, Strog nadzor prometa med segmenti je še en kar omogoča boljši nadzor nad prometom in pomemben varnostni ukrep. Manj kot je pove-zmanjšuje površino, ki jo lahko napadalci iz-zav med različnimi segmenti, manj možnosti koristijo. Dobro segmentirano omrežje ne le imajo napadalci za premikanje znotraj omrež-preprečuje širjenje morebitnih napadov, tem-ja v primeru vdora. To se doseže z omejeva-več tudi izboljšuje upravljanje z varnostjo in njem potrebnih komunikacij na minimum in povečuje odpornost sistema. z določitvijo specifičnih pravil, ki dovoljujejo Prvi korak k učinkoviti segmentaciji omrežja promet samo za specifične aplikacije ali sto- je razdelitev na varnostne cone. Te cone dolo- ritve. Na primer, dostop iz segmenta, kjer so čajo, kateri deli omrežja imajo dostop do do- uporabniške delovne postaje do zaupne cone ločenih podatkov in sistemov. Varnostne cone mora biti strogo nadzorovan, in običajno se so lahko razdeljene glede na občutljivost po- mora izvajati samo prek ustrezno avtoriziranih datkov (npr. javna, interna, zaupna) ali glede aplikacij ali namenskih delovnih postaj. na funkcionalnost sistemov (npr. razvojno, te- Za dodatno varnost je smiselno implemen- stno, produkcijsko okolje). Na primer: tirati tudi segmentacijo na nivoju mikrose- - Javna cona: Vsebuje strežnike, ki so dosto- gmentacije, kjer se omejitve dostopa določajo ti pni iz interneta, kot so spletni strežniki. To celo znotraj posameznih segmentov. Mikrose- arnos najstrožje nadzorne mehanizme. nad tem, kateri deli aplikacij lahko komuni-e v cirajo med seboj, kar dodatno zmanjša mož-je najbolj izpostavljena cona, ki zahteva gmentacija omogoča zelo podroben nadzor - Interna cona: Vsebuje sisteme, do katerih nosti za širjenje napadov. Treba se je zavedati, imajo dostop le zaposleni. Ta cona vključu- da zelo podrobna segmentacija zahteva večje je notranje storitve, kot so e-pošta in dato- napore pri upravljanju omrežja, vendar je var- očnik kibernetsk tečni strežniki. nost na drugi strani neprimerno višja. Za za- Prir 118 vezance, ki so pomembni za delovanje širše Viri: omrežij z požarnimi zidovi, kjer so jasno do- varnost, kibernetska varnost in varovan-je zasebnosti — Sistemi upravljanja in-ločene pravice za prehod oziroma dostop, bi-formacijske varnosti — Zahteve (ISO/IEC stveno povečuje varnost celotnega sistema. pri zagotavljanju varnosti omrežij. Ločenost - SIST ISO/IEC 27001:2023: Informacijska družbene skupnosti je segmentacija ključna 27001:2022) Dobra segmentacija omrežja tako ne le ome- - ISO/IEC 27002:2022: Information security, juje dostopa do kritičnih virov, temveč tudi cybersecurity and privacy protection — In-izboljšuje zaznavanje napadov in zmanjšuje formation security controls potencialne škode. To je ena izmed najbolj učinkovitih strategij za zaščito omrežij pred vedno bolj sofisticiranimi kibernetskimi grož- njami. ti arnos e v očnik kibernetsk Prir 119 Poglavje 18 Ključni nasveti upravljanja s kibernetskimi incidenti in preprečevanja izrabe prepoznanih tehničnih ranljivosti POVZETEK Učinkovito upravljanje kibernetskih incidentov in preprečevanje zlorabe tehničnih ranlji-vosti zahteva dobro pripravljenost, jasno določene odzivne procese ter preventivne uk-repe. Krizni načrti in organizacija odzivnih ekip omogočajo hitro ukrepanje ob incidentih, medtem ko redna usposabljanja in sodelovanje na vajah izboljšujejo odzivnost na grožnje. Preventivne aktivnosti, kot so redno posodabljanje sistemov, izvajanje vdornih testiranj ter segmentacija omrežij, zmanjšujejo možnosti za zlorabe. Ključnega pomena je tudi učin-kovito krizno komuniciranje z deležniki in pravočasno obveščanje pristojnih institucij, kar omogoča celovit pristop k obvladovanju kibernetskih groženj. Ključne točke: • Priprava kriznih načrtov in odzivnih procesov ti • Jasna organizacija in vloge odzivnih ekip • Usposabljanje in udeležba na vajah arnos e v • Redno posodabljanje in upravljanje varnostnih popravkov • Izvajanje vdornih testiranj in preverjanje varnostnih ranljivosti • Segmentacija omrežja in zaščita ključnih sistemov očnik kibernetsk • Krizno komuniciranje in obveščanje ključnih strank Prir • Povezovanje s CSIRT-i in drugimi institucijami. 120 Pripravljenost in krizni načrt kot temelj učin- Organizacija odziva: Reakcijski čas in vloge kovitega upravljanja kibernetskih incidentov odgovornih oseb pri nepredvidljivih inci-V današnjem digitalnem svetu, kjer se podjetja dentih in organizacije soočajo z nenehno prisotnostjo Pri upravljanju kibernetskih incidentov je iz-kibernetskih groženj, je učinkovito upravljanje jemno pomembna učinkovita organizacija kibernetskih incidentov ključnega pomena. odziva, saj je prav odzivni čas tisti, ki pogosto Ključ do uspešnega obvladovanja takšnih si- določi obseg škode in uspešnost ukrepanja. Ko tuacij se skriva v dobro sestavljenih načrtih se pojavi kibernetski incident, je reakcijski čas odzivanja na krize oziroma načrtih kriznega ključen za omejevanje posledic in ponovno upravljanja, ki opredeljujejo postopke, pristoj- vzpostavitev normalnega delovanja sistema. nosti in naloge pri odzivanju na kibernetske Zlasti je pomembno, da je ekipa, ki je odgo-incidente. Takšni načrti niso zgolj dokumenti; vorna za odziv na incidente, ustrezno usposo-so strateški vodniki, ki usmerjajo celotno or- bljena za hitro in pravilno ukrepanje tudi v pri-ganizacijo v času kriznih razmer. merih nepredvidljivih situacij, ki niso zapisane v odzivnih načrtih. Prvi in najpomembnejši korak pri upravljanju s kibernetskimi incidenti je vzpostavitev jas- Usposobljenost ekipe za ravnanje ob inciden-nih ter natančno določenih odzivnih načrtov. tih je ključna, saj se grožnje nenehno spremi-Ti načrti morajo vsebovati podrobna navodila njajo, zlonamerni akterji pa pogosto presene-o tem, kaj storiti ob pojavu kibernetskega in- tijo z novimi, še nepoznanimi metodami. Ne cidenta, kdo so ključne osebe, ki sodelujejo pri glede na to, kako dobro so načrti pripravljeni, reševanju situacije, in kako hitro ter učinkovito vedno obstajajo scenariji, ki so težko predvi-zagotoviti nadaljnje delovanje poslovnih pro- dljivi in zahtevajo hitro prilagajanje ter krea-cesov. Jasno določene vloge in odgovornosti tivno razmišljanje. Pri takšnih incidentih je so ključne; vsak član odzivne ekipe mora na- reakcijski čas še bolj ključnega pomena, saj tančno vedeti, kaj je njegova naloga ter kako mora ekipa hitro identificirati obseg incidenta, naj se odzove v primeru incidenta. Poseb- oceniti vpliv na druge informacijske sisteme in no pozornost je treba nameniti tudi določitvi storitve ter takoj začeti z izvajanjem ukrepov kontaktnih oseb, ki so odgovorne za vodenje za zajezitev incidenta. Usposobljenost članov in usmerjanje odzivnih ukrepov ter obveščanje ekipe je ključna, saj morajo biti sposobni hit-ključnih deležnikov v organizaciji. Vloga kon- ro oceniti situacijo in se odločiti za ustrezne taktne osebe je pomembna zlasti v kriznih si- ukrepe v zelo kratkem času. Za učinkovito tuacijah, saj je od njihove sposobnosti hitrega upravljanje incidentov je nujna jasna in dob-in učinkovitega odločanja odvisen uspeh ob- ro organizirana struktura odgovornosti znot-vladovanja incidenta. raj podjetja. Pomembno je, da je natančno biti vključene osebe ustrezno usposobljene so omrežja, strežniki ali aplikacije. Skrbništvo in redno izobražene o najnovejših kibernet- ti nad temi sistemi običajno opravljajo notranji skih grožnjah ter postopkih odzivanja. Redno zaposleni ali zunanji pogodbeni izvajalci, ki so Da bi bili odzivni načrti učinkoviti, morajo obvladovanje posameznih delov sistema, kot določeno, kdo je odgovoren za spremljanje in usposabljanje omogoča zaposlenim, da se arnos zadolženi za vzdrževanje teh informacijskih e v hitro in pravilno odzovejo na različne situacije, sredstev. Vloga operativnega centra (VOC) kar zmanjšuje morebitno škodo za organizaci- je pri tem specifična – VOC ni skrbnik infor- jo. Vse to prispeva k večji odpornosti sistema, macijskih sredstev, temveč je odgovoren za hitrejši vzpostavitvi delovanja po incidentu in nenehno spremljanje omrežnega prometa in zmanjšuje tveganje za resne posledice ob po- zaznavanje potencialnih varnostnih groženj. V očnik kibernetsk javu kibernetskega incidenta. primeru zaznane anomalije ali kibernetskega Prir napada VOC obvesti interno ekipo in takoj so- deluje pri usklajevanju odzivnih ukrepov. Tes- 121 na in usklajena komunikacija med VOC centri ali podatki so morda izgubljeni ali ogroženi, ter notranjimi zaposlenimi omogoča hitrejše obseg nedelovanja storitev, obseg prizadetih odločitve in zmanjšuje možnost napak, ki bi subjektov zaradi nedelovanja storitve, more- lahko še poslabšale situacijo. biten vpliv incidenta na druge dele organiza- ve kibernetskih incidentov je nujno, da je cije pomaga pri razumevanju narave in obsega vzpostavljen seznam oseb, ki so potrebne pri incidenta ter je temelj za nadaljnje odločanje upravljanju z incidenti in se zanje pripravi stal-o ukrepih za odpravljanje posledic, vključno z Zaradi nepredvidljive in kompleksne nara- čezmejen vpliv incidenta. Ta proces identifika- cije, morebiten vpliv na druge sektorje, ali celo na pripravljenost/dosegljivost. Ob tem morajo vzpostavitvijo in polnim delovanjem sistema biti komunikacijski kanali med notranjimi eki-po kibernetskem incidentu. pami in VOC centri vedno odprti ter učinkoviti, z namenom hitrega prenosa informacij. Po- Prvi korak v procesu identifikacije je natančna membno je tudi, da so vnaprej opredeljeni od- ocena, kateri deli sistema so napadeni in ali so zivni postopki, ki vključujejo seznam kontak- ogroženi kritični podatki. Pomembno je tudi tnih oseb, naloge in pristojnosti ter protokole hitro ugotoviti, ali incident vpliva na ključne komuniciranja. Slednje omogoča, da v prime- poslovne procese ali operacije, ki so bistvene ru incidenta vsi napori lahko takoj usmerijo v za nadaljnje delovanje podjetja in so bili iden- reševanje situacije. tificirani v okviru analize učinka poslovanja redno upravljanje incidentov, so v proces vklju- in avtentičnost podatkov v informacijskem čene še druge ključne skupine z natančno do- sistemu. S pravilno identifikacijo je mogoče ločenimi vlogami. Kontaktne osebe v vodstvu hitreje določiti, kateri deli sistema potrebujejo Poleg odzivne ekipe, ki je zadolžena za nepos- denta na zaupnost, celovitost, razpoložljivost (BIA). Pri tem je ključna tudi ocena vpliva inci- podjetja imajo nalogo spremljati širšo strategi- takojšnjo pozornost za odpravljanje težav. jo odziva in zagotavljati usklajenost ukrepov s poslovnimi cilji ter zakonodajnimi zahtevami. Ko so prizadeti deli sistema identificirani, je Odzivna skupina na taktični ravni, ki deluje ne- naslednji korak določitev prioritet pri odpra- posredno na terenu, izvaja operativne ukrepe za vljanju posledic. V tej fazi je ključna ocena, obvladovanje in omejevanje incidenta ter skrb- kateri procesi, prepoznani kot ključni v analizi no dokumentira vse ključne postopke. Vključen učinka poslovanja (BIA), so najbolj pomemb- je tudi VOC (operativni center), ki zaznava in ni za nemoteno poslovanje in morajo biti čim spremlja nenavadne aktivnosti ter prvi obvešča prej obnovljeni. Odpravljanje težav se običajno odzivno ekipo o morebitnih grožnjah, sodelu- usmeri na sisteme, ki so neposredno povezani je pri usklajevanju takojšnjih ukrepov in zago- z zagotavljanjem ključnih storitev, varnostjo tavlja dodatno podporo. Poleg teh skupin ima podatkov ali operacijami, katerih zaustavitev pomembno vlogo tudi ekipa za odnose z jav- bi imela največje posledice za podjetje. S pra- nostmi (PR), ki komunicira z zunanjimi delež- vilno določitvijo prioritet je mogoče učinkovi- niki, mediji in javnostjo ter usmerja objave, da teje porabiti omejene vire, kot so čas, tehnič-ti se ohrani ugled podjetja in vzpostavi zaupanje. na podpora in usposobljenost ekipe, da bi čim arnos prej obnovili najbolj kritične funkcije. Identifikacija in ocena vpliva incidenta: e v Poleg tehničnega odziva na incident je izje- Ključni koraki ter obveščanje vodstva očnik kibernetsk najpomembnejših korakov pri odzivanju, saj stva. Vodstvo podjetja mora biti natančno in omogoča hitro oceno vpliva na sisteme, pro-ažurno obveščeno o stanju sistema, prizadetih cese in storitve ter opredelitev nadaljnjih procesih ter posledicah incidenta. To vključuje Identifikacija kibernetskega incidenta je eden ščanje pristojnih odločevalcev, oziroma vod-mno pomembno tudi pravilno in hitro obve- 122 Prir ukrepov. Ko se pojavi incident, je ključno, da obveščanje o tem, kateri ključni poslovni pro-se čim prej ugotovi, kaj se je zgodilo, kateri cesi so začasno zaustavljeni, kakšen je vpliv na deli sistema so prizadeti, katere informacije operacije in kakšne posledice lahko pričakuje-jo v kratkoročnem ter dolgoročnem obdobju. kibernetske grožnje ter razvoj mednarodne-Hitro in jasno komuniciranje z vodstvom omo- ga sodelovanja in izmenjave znanja. goča, da se tudi sprejmejo strateške odločitve glede usmerjanja virov, notranjega ter zuna- 2. Igranje vlog – priprava na resnične do-njega komuniciranja in nadaljnjih korakov za godke: Ozaveščanje in usposabljanje: Vloga kiber- usposabljanja, kjer odgovorne osebe simu-lirajo konkretne kibernetske incidente in se okrevanje po incidentu. Igranje vlog je še ena pomembna metoda netskih vaj in hitrega prenosa informacij učijo, kako se nanje odzvati v praksi. Tako Ena izmed ključnih komponent učinkovitega se lahko preizkusijo v različnih scenarijih, upravljanja kibernetskih incidentov je nepre- od kraje podatkov, napadov z izsiljevalsko stano usposabljanje in udeležba na vajah s programsko opremo do vdorov v omrež-področja zagotavljanja kibernetske varnosti. ja. Take vaje povečajo samozavest ekip, Ni dovolj, da so odgovorne osebe pripravlje- saj niso le pripravljene na papirju, temveč ne samo teoretično – potrebna je praktična imajo tudi dejansko izkušnjo z odzivanjem izkušnja, ki jih usposobi za resnične razmere. na incident. To pomeni, da bodo ob more-Vaje, ki simulirajo realne incidente, so izjemno bitnem resničnem napadu delovali hitreje, pomembne za preizkušanje odzivnosti, izbolj- bolj usklajeno in učinkovito. šanje reakcijskega časa in usklajenosti celotne ekipe. Take vaje morajo potekati na vseh ni- 3. Ozaveščanje in usposabljanje vseh zapo-vojih: od internih vaj znotraj podjetja, sektor- slenih: skih vaj, ki vključujejo določeno industrijo, do Kibernetska varnost ni le odgovornost od-nacionalnih in mednarodnih vaj, ki zajemajo zivnih ekip. Ključnega pomena je, da so vsi širše sodelovanje z drugimi organizacijami ter zaposleni v podjetju ustrezno ozaveščeni in državami. usposobljeni. Vsak zaposleni je potencial- 1. Kibernetske vaje na različnih nivojih: na vstopna točka za napadalce, zato mora poznati osnovne postopke obveščanja in - Interni nivo: Simulacije znotraj podjetja so vedeti, koga kontaktirati v primeru zazna- ključne za preverjanje, kako se odzivna eki- ve nenavadnega dogodka. Izobraževanja pa in vsi zaposleni odzivajo na incident. Te morajo vključevati praktične primere, kot vaje omogočajo, da se preveri učinkovitost so prepoznavanje lažnih elektronskih spo- odzivnih načrtov, identificirajo morebitne ročil, pravilno ravnanje ob odkritju zlona- pomanjkljivosti in izboljšajo komunikacij- merne programske opreme in navodila za ski protokoli znotraj podjetja. varno ravnanje s podatki.- Sektorski nivo: Sodelovanje na sektorskih Zelo pomembno je tudi, da se zaposleni ne vajah, kot na primer v energetiki, financah bojijo priznati, če so storili napako, kot je na ali zdravstvu, omogoča podjetjem, da pre- primer klik na sumljivo povezavo ali prenos izkusijo svoje reakcije v širšem kontekstu zlonamerne datoteke. Ključna je hitrost pre- ti - Nacionalni nivo: Nacionalne vaje vključuje- obveščanje v takih situacijah prioriteta, in da jo sodelovanje z državnimi organi in drugimi prikrivanje incidenta lahko privede do veliko ustanovami, kar omogoča boljše razumeva-hujših posledic za celotno podjetje. Namen nje državnih odzivnih protokolov in krepitev preiskave kibernetskega incidenta je analiza nacionalne kibernetske odpornosti. očnik kibernetsk vzrokov in posledic incidenta ter s tem izbolj-grožnjam in tveganjem. arnos lahko vsaka sekunda odločilna pri zajezitvi e v škode. Zaposleni morajo vedeti, da je njihovo industrije, kjer so izpostavljeni specifičnim nosa informacij do odgovornih oseb, saj je - Mednarodni nivo: Mednarodne vaje združu- šanje varnostnih ukrepov in preprečevanje pri- Prir jejo organizacije in države z vsega sveta, kar hodnjih incidentov, ne pa iskanje krivca, kate- udeležencem omogoča vpogled v globalne rega napačni klik je povzročil incident. 123 Preventiva: Ukrepi za zmanjšanje posledic uporabo močnih gesel ter dvostopenjsko av- kibernetskih incidentov tentikacijo, ki dodatno varuje dostop do obču- prepoznanih tehničnih ranljivosti je ključno, kar pomeni, da ima vsak zaposleni dostop da podjetje izvaja celovite preventivne uk-samo do tistih podatkov in sistemov, ki jih pot-repe. Kibernetska varnost ni le odzivanje na rebuje za svoje delo. Da bi preprečili kibernetske napade in izrabo tudi z dobro urejenimi dostopnimi pravicami, tljivih podatkov. Uporaba gesel naj bo podprta incidente, temveč predvsem proaktivno de- lovanje, ki zmanjšuje možnosti za vdor ali 4. Varnostne politike in redno usposabljanje podjetje lahko implementira za izboljšanje Vzpostavitev jasnih varnostnih politik, ki dolo-zlorabo. Tukaj je nekaj ključnih korakov, ki jih svoje obrambne drže. čajo ravnanje z občutljivimi podatki, uporabo službenih naprav in dostopov do omrežij, je 1. Redno posodabljanje in upravljanje z var- ključna za zmanjševanje tveganj. Poleg tega nostnimi popravki (patch management) morajo zaposleni redno prejemati usposa- me je eden izmed najpomembnejših kora-Zaposleni morajo razumeti, kako pomembno kov pri preprečevanju kibernetskih napadov. je varnostno ravnanje pri vsakodnevnih nalo-Napadalci pogosto izkoriščajo ranljivosti v gah, in kako lahko s svojimi dejanji zmanjšajo Posodabljanje sistemov in programske opre- saj je človeški faktor pogosto najšibkejši člen. bljanja in posodobitve glede varnostnih praks, zastareli programski opremi, zato je nujno, da možnosti za napad. so sistemi redno posodobljeni z najnovejšimi varnostnimi popravki. Patch management, to- 5. Dodatni preventivni ukrepi rej sistematično uvajanje popravkov je ključ- nega pomena za zapiranje varnostnih vrzeli. - Šifriranje podatkov: Zavarovanje podatkov Ranljivosti, ki so odkrite v programski opremi, s šifriranjem zagotavlja, da so informacije zaščitene tudi v primeru, če so napadalci morajo biti čim prej odpravljene, saj lahko že uspeli pridobiti dostop. en nezaščiten element predstavlja vstopno 2. Redna izvajanja vdornih testiranj pomembnih podatkov zagotavljajo, da lah- ko podjetje hitro obnovi sisteme v primeru točko za napad. - Varnostne kopije: Redne varnostne kopije Vdorna testiranja, znana tudi kot penetracij- napada, kot so ransomware napadi. ski testi, so simulirani napadi na sisteme, ki pomagajo identificirati morebitne ranljivosti, - Nadzor omrežnega prometa: Uvedba na- preden jih napadalci lahko izkoristijo. Testi se prednih sistemov za nadzor omrežja lahko pomaga pri hitrem zaznavanju nenavadnih izvajajo z namenom, da se preveri odpornost aktivnosti, ki bi lahko kazale na kibernetski sistemov in odkrivanje šibkih točk v varnostni napad. infrastrukturi. Pomembno je, da se rezultati teh testiranj ne ustavijo le pri poročilih – odkri- - Uporaba dobrih antivirusnih programov: ti te ranljivosti morajo biti tudi dejansko odprav- Zmogljivi antivirusni programi so osnovna arnos ljene, saj le tako podjetje resnično izboljšuje obramba pred zlonamerno programsko e v svojo varnostno stanje. Več o pomenu vdornih opremo. Pomembno je izbrati rešitve, ki testiranj in podrobnostih izvedbe si lahko pre- vključujejo zaščito v realnem času in redno berete v poglavju 20. posodabljanje, da se ujamejo nove grožnje. 3. Menjava gesel in upravljanje z dostopi - Endpoint Detection and Response (EDR) Gesla so še vedno eden najpogostejših nači- sistemi: EDR rešitve omogočajo napre- 124 očnik kibernetsk dno zaznavanje in odzivanje na grožnje na nov zaščite sistemov, a tudi eden najpogoste- Prir končnih točkah (kot so računalniki, stre- je zlorabljenih elementov varnosti. Podjetje žniki ter mobilne naprave). Sproti sprem- mora vzpostaviti politike redne menjave gesel, ljajo dogajanje na končnih točkah, zazna- Kaj je vdorni test test? Primarni namen vdornega testiranja je najti vajo sumljive aktivnosti in omogočajo hitro sektorje, kot so zdravstvo, energetika, finance ukrepanje, kar pripomore k boljšemu nad- ali druge vitalne dejavnosti, je ključno, da so zoru nad dogajanjem v omrežju. stranke obveščene o morebitnih motnjah in - Segmentacija omrežja: Dobra segmenta- da stranke prilagodijo svoje delovanje in v čim vplivih na storitve. Hitro obveščanje omogoča, cija omrežja omogoča ločevanje pomemb-krajšem času vzpostavijo nadomestne rešitve, nih procesov in kritičnih sistemov v ločene kar je še posebej pomembno pri kriznih stori-segmente z omejenim dostopom. S tem se tvah, kjer je lahko vsak trenutek dragocen. zmanjšuje tveganje, da bi se napad ali zlo- namerna programska oprema hitro razši-Krizno komuniciranje z vsemi prizadetimi de- rila po celotnem omrežju. Kritični sistemi, ležniki je temelj učinkovitega upravljanja inci- kot so finančni ali proizvodni procesi, mo- dentov. V takih situacijah mora podjetje vzpo- rajo biti strogo ločeni in zaščiteni z doda- staviti jasne in odprte komunikacijske kanale, tnimi varnostnimi ukrepi. da zagotovi transparentnost ter pravočasne stveno zmanjša tveganje za kibernetske napa- va na stranke in načrtovane ukrepe za odpravo de in zlorabe, hkrati pa okrepi svojo odpornost težav. Dobra krizna komunikacija zmanjšuje na kibernetske grožnje. Ključ je v proaktivnem negotovost med prizadetimi in krepi zaupanje S temi preventivnimi ukrepi lahko podjetje bi- drobnosti o incidentu, temveč tudi oceno vpli-informacije. To ne vključuje le tehničnih po- delovanju, kjer se ranljivosti redno odkriva- v podjetje, saj stranke vidijo, da se incident ak-jo, rešujejo in preprečujejo, preden postanejo tivno obvladuje. resna grožnja. Obveščanje pristojnih institucij in ključnih komuniciranja in obveščanja ključnih strank, Več informacij o najboljših praksah kriznega strank ob kibernetskih incidentih zlasti v kriznih sektorjih, najdete v poglavju Ko pride do kibernetskega incidenta, je hitro 25, kjer so predstavljeni konkretni primeri in in pravilno obveščanje ključnega pomena za smernice za učinkovito obvladovanje takih si-omejevanje škode ter zagotavljanje varnosti. tuacij. Ena od najpomembnejših nalog je pravočas- no obveščanje pristojnih državnih in drugih ustreznih institucij za obravnavo kibernet- Viri: CSIRT-i v Sloveniji, med njimi SI-CERT (Slove- - ISO 22398:2013: Societal security — Gui-skih groženj, kot so nacionalni ter sektorski nian Computer Emergency Response Team). delines for exercises CSIRT-i delujejo kot osrednje točke za obrav- podjetjem nudijo podporo pri odzivanju na minimalnih varnostnih ukrepih poveza-nih subjektov: Uradni list RS, št. navo kibernetskih groženj in incidentov ter - Uredba o varnostni dokumentaciji in kibernetske napade. Pravočasno obveščanje 118/23: https://pisrs.si/pregledPredpisa?id=U-ustreznih CSIRT-ov omogoča, da se potrebni RED8925&utm= ti ukrepi sprejmejo hitreje, kar lahko pomaga pri omejevanju širjenja incidenta in zmanjšanju - Vlada RS, Nacionalni načrt odzivan- arnos ja na kibernetske incidente (NOKI, škode. Več podrobnosti o obveščanju CSIRT-ov e v 2022): https://www.gov.si/assets/vlad- in njihovih postopkih si lahko preberete v po- ne-sluzbe/URSIV/Datoteke/Dokumen- glavju 4. ti/2022-03-NOKI.pdf?utm Poleg obveščanja državnih institucij je izje- mno pomembno tudi, da podjetje takoj ob- očnik kibernetsk vesti svoje ključne stranke, še posebej tiste, Prir ki so neposredno odvisne od njihovih storitev. V primeru incidentov, ki vplivajo na kritične 125 Poglavje 19: Predstavitev korakov izvedbe vdornih testiranj POVZETEK Vdorni testi (penetracijsko testiranje) so nepogrešljiv del varnostnega načrta vsake or-ganizacije, ki želi oceniti in izboljšati odpornost svojih informacijskih sistemov proti ki-bernetskim grožnjam. Testiranje omogoča simulacijo metod in tehnik, ki jih uporabljajo zlonamerni akterji, da bi identificirali in izkoristili ranljivosti. Rezultati testiranja zagota-vljajo vpogled v varnostno stanje organizacije in ponujajo konkretne smernice za izbolj-šanje varnosti. Ključne točke: • Pomen vdornega testiranja za varnost informacijskih sistemov • Pogostost izvajanja vdornih testiranj • Oblike vdornih testov: zunanje, notranje, OT, aplikacije • Metodološki pristopi: Black box (testiranje brez poznavanja notranje strukture ali delovanja sistema), Grey box (testiranje z omejenim poznavanjem notranje strukture) in ti White box (Testiranje z natančnim poznavanjem notranje strukture in delovanja sistema) • Izbira ustreznega izvajalca testiranj in certifikati arnos e v • Določanje obsega testiranja • Priprava in kakovost poročil • Slabe prakse pri vdornem testiranju očnik kibernetsk • Socialni inženiring: vrste napadov in preprečevanje Prir • Dinamična usposabljanja za zaposlene. 126 ranje, je izvedba postopkov in metod, ki jih jam pomaga razumeti, kako zlahka bi lahko uporabljajo zlonamerni akterji, da bi odkrili zlonamerni napadalci ogrozili njihove sisteme. ranljivosti, ki bi jih lahko izkoristili. Gre za na-Penetracijski test, znan tudi kot vdorno testi- vo odpravo. Poleg tega testiranje organizaci-varnostne pomanjkljivosti in omogočiti njiho-pad na varnostne mehanizme sistemov, apli- vanju strategij kibernetske obrambe in zmanj-Vdorni testi so pomemben proces pri obliko- kacij ali omrežij, pri čemer se preverja, kako ševanju tveganj, saj organizacijam omogočajo bi se sistem odzval na dejanski napad. Vdor-realen vpogled v stanje njihove varnosti. no testiranje izvajajo izkušeni strokovnjaki za varnost, ki uporabljajo enake metode kot ki- Pomen vdornega testiranja za varnost infor-bernetski kriminalci, da ocenijo, kako varni so macijskih sistemov v organizaciji sistemi organizacije. Za izvajalce bistvenih storitev je kibernetska Vdorni test vključuje več ključnih faz: varnost ključnega pomena, saj je večina nji- - Zbiranje informacij: Cilj te faze je pridobiti informacijskih sistemov. Napadi na te sisteme hovih storitev neposredno odvisna od varnosti čim več podatkov o ciljnem sistemu, vključ- lahko povzročijo resne posledice, vključno z no z možnimi vstopnimi točkami, omrežno motnjami v delovanju, izgubo občutljivih po-topologijo, konfiguracijo storitev in drugimi datkov, finančnimi izgubami in resno škodo za relevantnimi informacijami. Zbiranje infor- ugled organizacije. macij lahko vključuje pasivne metode, kot je iskanje javno dostopnih informacij, in V praksi se pogosto srečujemo s scenariji, kjer aktivne metode, kot so skeniranje omrežij so varnostne pomanjkljivosti prisotne zara- ter storitev. di napačnih konfiguracij, zastarelih sistemov, - Identifikacija ranljivosti: S pomočjo spe- zadostnega nadzora nad aplikacijami. Vdor-neprimernih nastavitev pravic dostopa ali ne-cializiranih orodij in tehnik se identificirajo ni test omogoča pravočasno odkrivanje takih šibke točke, ki bi jih napadalci lahko izko-šibkosti, kar zmanjšuje možnosti za uspešen ristili za nepooblaščen dostop ali povzroči-napad in zagotavlja, da so sistemi organizacije tev škode. Pri tem so običajno uporabljeni varni ter skladni z zakonodajnimi zahtevami. tako avtomatizirani skenerji kot tudi ročno preverjanje, kar poveča natančnost identi- Pogostost izvajanja vdornih testov fikacije. Pogostost izvajanja vdornih testov je odvisna - Izkoriščanje ranljivosti: V tej fazi se izbra- od več dejavnikov, vključno s stopnjo tveganja, ne ranljivosti poskuša izkoristiti na varen pogostostjo sprememb v IT okolju in speci- način, da se simulira potencialni napad in fičnimi potrebami organizacije. Priporočljivo oceni, kakšne bi lahko bile posledice uspe- je, da organizacije izvajajo vdorne teste vsaj šnega vdora. Namen izkoriščanja je oceniti enkrat letno in ob vseh večjih spremembah, ko resnični vpliv ranljivosti na sistem in iden- se sistem posodablja, uvajajo nove aplikacije ti nalnosti lahko dostopa napadalec. arnos rezultatov testiranj se izvajajo popravki in po-e v novni testi, kar pomaga zagotoviti neprekinje- tificirati, do katerih podatkov ali funkcio- ali spreminjajo varnostne zahteve. Na podlagi - Ocena posledic in poročanje: Izvajalci no varnost. Prav tako se organizacije odločajo pripravijo podrobno poročilo, ki vključu-za periodična testiranja, ki omogočajo reden je vse faze testiranja, odkrite ranljivosti, vpogled v stanje sistemov. njihovo stopnjo tveganja in priporočila za izboljšanje varnosti. Kakovostno poročilo Poleg tega organizacije pogosto pripravijo le- očnik kibernetsk mora biti jasno, strukturirano in praktično tni ali večletni (dvo- ali triletni) načrt vdornih Prir uporabno, da naročniku omogoča učinko-testiranj, kar je usklajeno tudi s priporočili iz vito odpravljanje ranljivosti. točke 5.35 v Anexu A standarda ISO 27001. 127 Nekateri dodatni scenariji, ko je vdorno testi- 2. Notranje testiranje: Izvajanje napadov ranje priporočljivo, vključujejo: znotraj organizacije, kjer ima napadalec - Ob večjih posodobitvah: Ko se implemen- zlasti pomembna za odkrivanje ranljivosti, že dostop do omrežja. Ta vrsta testiranja je tirajo pomembne spremembe v omrežju, ki izhajajo iz napak v konfiguraciji, nezado- aplikacijah ali infrastrukturi. stnih pravic dostopa ali pomanjkljivih var- - Po varnostnih incidentih: Da se preveri, ali nostnih ukrepov znotraj organizacije. Not- so uvedeni popravki in ukrepi učinkoviti ter ranje testiranje pogosto izpostavi varnostne ali obstajajo dodatne ranljivosti, ki so bile pomanjkljivosti, ki bi lahko bile posledica prej spregledane. slabo urejenega upravljanja identitet, nep- - Pri spremembi poslovnih procesov: Če ščitenih občutljivih podatkov. nova poslovna funkcionalnost vključuje rimernih pravic dostopa ali neustrezno za- uporabo novih tehnologij, mobilnih aplika- 3. OT (Operational Technology) omrežja: cij ali oblačnih storitev je smiselno izvesti Ta testiranja se izvajajo na sistemih, ki so testiranje, da se preveri varnost teh novosti. ključni za operativne procese, kot so indu- strijski nadzorni sistemi, SCADA in druge - Pri uvajanju novih partnerstev ali pove- oblike industrijske avtomatizacije. Varnost povezave ne uvajajo dodatnih varnostnih nemotenega delovanja procesov, zato je tveganj. pomembno, da se preverijo ranljivosti, ki bi zav z zunanjimi sistemi: Da se preveri, ali teh sistemov je ključna za zagotavljanje Poleg rednih testiranj je priporočljivo izvesti lahko vplivale na operativno učinkovitost in vdorno testiranje po večjih spremembah v IT varnost. Testiranje OT omrežij zahteva po- infrastrukturi, kot so uvedba novih tehnologij, sebne pristope, saj se prepletajo s fizični- migracija na oblak ali sprememba omrežnih mi procesi, ki jih napaka lahko neposredno konfiguracij. Organizacije z visoko stopnjo iz- prizadene. dne agencije in ponudniki kritične infrastruk- identifikaciji varnostnih pomanjkljivosti ture, naj razmislijo o pogostejšem testiranju, postavljenosti, kot so finančne institucije, vla- 4. Pregled mobilnih aplikacij: Namenjeno v mobilnih aplikacijah, ki so dostopne na tudi večkrat letno. pametnih napravah. To vključuje pregled Oblike vdornih testov kode, preverjanje varnosti komunikacij med aplikacijo in strežnikom ter preverjanje Vdorno testiranje je prilagodljivo in se lahko zaščite podatkov v aplikaciji. Pomembno je izvaja na različne načine, odvisno od speci- preveriti, da aplikacije ne izpostavljajo ob- fičnih potreb organizacije. Spodaj so opisane čutljivih podatkov uporabnikov, kako učin- glavne oblike testiranj: kovito uporabljajo preverjanje poverilnic in ti 1. Zunanje testiranje: Osredotoča se na zu- šifriranje ter ali imajo zaščito pred povra- tnimi inženirskimi analizami. nanje komponente sistema, kot so spletni arnos storitve organizacije, ki so dostopne iz in- miznih aplikacij vključuje preverjanje ran-e v strežniki, požarni zidovi, VPN-ji in druge 5. Pregled aplikacij: Pregled spletnih in na- terneta. Cilj je odkriti ranljivosti, ki bi jih ljivosti, kot so vnos SQL kode (SQL injecti- lahko izkoristil napadalec izven organiza- on), napačno upravljanje sej, nepravilno cije. Testiranje običajno vključuje prever- preverjanje identitete uporabnikov in dru- janje odprtih vrat, napačno konfiguriranih ge pomanjkljivosti, ki bi lahko vodile do ne- očnik kibernetsk storitev, preverjanje stanja verzij program- pooblaščenega dostopa ali kraje podatkov. Prir ske opreme, preverjanje varnosti podat- Testiranje aplikacij je ključno za zagota- kovnih prenosov in drugih izpostavljenih vljanje varnosti aplikacij, saj izpostavi ran- ranljivosti. ljivosti, ki lahko nastanejo zaradi napak v 128 kodeksu ali napačne integracije varnostnih omrežja. Ta pristop omogoča najcelovitej- funkcij. šo analizo varnostnih pomanjkljivosti, saj 6. Pregled izvorne kode: Analiza izvorne napadov znotraj sistema. Gre za temeljit lahko ekipa preizkusi vse možne scenarije kode aplikacij vključuje najprej avtomati- pristop, ki omogoča odkrivanje tudi naj-zirano pregledovanje, s čimer je mogoče manjših napak v izvorni kodi ali sistemskih odkriti napake v programski kodi, ki lahko nastavitvah, ki bi sicer lahko ostale spre- predstavljajo varnostne ranljivosti. Gre za gledane. poglobljen proces, v katerem se nato upora- bljajo tudi metode ročnega preverjanja, da Izbira ustreznega izvajalca vdornih testiranj gotavlja visoko stopnjo varnosti, saj analiza nega pomena za uspeh in kakovost testira-nja. Pri izbiri je pomembno preveriti njihove poteka neposredno na ravni izvorne kode. izkušnje, reference in usposobljenost. Ključno Ta vrsta testiranja omogoča zgodnje odkri-stiranja morda ne bi zaznala. Ta pristop za- Izbira izvajalca za vdorno testiranje je ključ-se odkrijejo težave, ki jih avtomatizirana te- vanje in odpravljanje ranljivosti, še preden je, da izberete izvajalca, ki ima izkušnje s te-stiranjem v vaši industriji, razume specifične aplikacija doseže produkcijsko okolje. varnostne izzive in se ujema s sistemi, ki jih Metodološki pristopi k vdornemu testiranju želite testirati, saj morajo imeti temu ustrezne Vdorno testiranje se lahko izvaja na več nači- kovnjakov z različnimi znanji in certifikati, kot certifikate. Dober izvajalec bo imel ekipo stro- nov, odvisno od stopnje dostopa, ki ga imajo so Certified Ethical Hacker (CEH), Offensive ekipe do informacij o testiranem sistemu: Security Certified Professional (OSCP), Certi-1. Black Box Testing: Pri tej metodi se izvaja fied Information Systems Security Professio- napad, kjer napadalec nima nobenih infor- nal (CISSP), GIAC Penetration Tester (GPEN), macij o tarči. Ekipa deluje kot zunanji na- CompTIA PenTest+ ter Certified Information padalec, ki poskuša pridobiti dostop s po- Security Manager (CISM), ki nudijo vpogled v močjo javno dostopnih informacij in orodij. njihovo usposobljenost in uporabo priznanih Ta pristop omogoča preverjanje, kako ran- metod. Poleg certifikatov je pomembno tudi ljiv je sistem za napadalce brez vedenja o poznavanje vodil, kot je OWASP Top 10, ki sistemu in je še posebej učinkovit pri od- opredeljuje najpogostejša varnostna tveganja krivanju ranljivosti, ki so posledica napač- pri spletnem razvoju in je ključna referenca za nih konfiguracij ali nezadostno zaščitenih prepoznavanje ranljivosti v aplikacijah. zunanjih storitev. Poleg strokovnosti in tehničnega znanja je po-2. Grey Box Testing: Pri tej metodi ima te- membno preveriti tudi pristop izvajalca k iz- stirna ekipa delne informacije o sistemu, vedbi testiranja. Dober izvajalec bo zagotovil kot so uporabniški dostopi, dokumentaci- ročne preglede ranljivosti poleg avtomatizira- ja omrežij ali arhitektura sistema. S tem nih pregledov, saj je ročno testiranje ključno se poveča učinkovitost testiranja, saj eki- za odkrivanje kompleksnejših ranljivosti, ki jih ti pridobljenih informacij. Grey Box metoda membno je, da izvajalec upošteva specifične arnose v je optimalna kombinacija, saj omogoča te- pa lahko ciljno išče ranljivosti na podlagi avtomatizirana orodja morda ne zaznajo. Po- zahteve in omejitve organizacije ter ponudi stiranje z določenimi informacijami, hkra- prilagojeno rešitev. ti pa simulira napade z določeno stopnjo Treba je tudi preveriti kakovost poročil, ki jih notranjega dostopa, kot bi jih lahko izvedli izvajalec pripravlja. Poročila morajo biti jasna, zaposleni z omejenimi pravicami. strukturirana in vsebovati praktična priporoči- očnik kibernetsk 3. White Box Testing: Izvajalci imajo popoln la. Kakovost poročila je pogosto dober poka- Prir dostop do informacij o sistemu, vključno z zatelj strokovnosti in zanesljivosti izvajalca. izvorno kodo, konfiguracijami in topologijo 129 Določanje obsega testiranja ročnejše načrtovanje ter naložbe. Poročilo Pred začetkom testiranja je ključno jasno defi- služiti kot osnova za odločanje in načrtovanje mora biti več kot le tehnični dokument – mora nirati obseg testiranja, ki mora vključevati do- ukrepov za izboljšanje varnosti. ločitev ciljev, omejitev in vrst testiranj. Obseg testiranja mora biti usklajen s potrebami or- Slabe prakse pri vdornem testiranjih določitvijo natančnih parametrov, kot so obseg stveno zmanjšajo učinkovitost in zanesljivost ugotovitev, kar vodi v napačne varnostne uk-IP-naslovov (IP range), vrsta aplikacij ali speci-repe. Ena najpogostejših slabih praks je izva-fične komponente, ki jih želite preizkusiti, kar nasloviti. V praksi se obseg pogosto definira z Slabe prakse pri vdornem testiranjih lahko bi-ganizacije in specifičnimi tveganji, ki jih želite omogoča bolj ciljno usmerjeno testiranje. janje zgolj avtomatiziranih testiranj, brez roč- ne potrditve ranljivosti. Avtomatizirana orodja Pri določitvi obsega je pomembno tudi, da se pogosto zaznajo številne ranljivosti, a brez dogovorite o časovnem okviru, dovoljenjih za ročnega preverjanja ostanejo mnoge komple- dostop do sistemov in morebitnih omejitvah, ksnejše pomanjkljivosti neopažene, ali pa so kot so občutljivi podatki ali kritične kompo- zaznave napačne. Takšen pristop lahko daje nente sistema, pri čemer je treba poskrbeti, da lažen občutek varnosti, saj nekatere ranljivosti pregled ne povzroči izpada ali motenj v delo- zahtevajo bolj poglobljeno analizo, ki jo lahko vanju. Definiranje obsega je tudi priložnost, da zagotovi le usposobljen strokovnjak. poročanja, sledenja najdenim ranljivostim in Druga pogosta težava pri testiranju varnosti se organizacija pogovori o pričakovanjih glede načinu podajanja priporočil. je prevelik poudarek na številu odkritih ranlji- vosti namesto na njihovi kritičnosti in jasnosti Kvalitetna priprava obsega testiranja omogo- rešitev. Pogosto se namreč dogaja, da organi- ča, da izvajalec razume, kaj je treba testirati in zacije zmotno verjamejo, da obsežna poročila kakšne rezultate pričakujete. Tako se zmanj- z dolgim seznamom ranljivosti pomenijo te- šajo možnosti za nesporazume glede pričako- meljitejše testiranje. V praksi pa so kakovost vanj, obenem pa se zagotovi, da bo testiranje poročila, jasnost opisa ranljivosti in praktična osredotočeno na najbolj kritične vidike var- priporočila za njihovo odpravo tisto, kar de- nosti. jansko prinaša vrednost. Na primer, dolgo- Kakšna morajo biti poročila? lahko vodi do zanemarjanja ključnih, kritičnih trajno navajanje manj pomembnih ranljivosti Poročila o vdornem testiranju so ključni del pomanjkljivosti. ti procesa, saj zagotavljajo vpogled v najdene Pomanjkanje jasnih smernic za odpravljanje ranljivosti, ocenjujejo tveganja in predlaga-ranljivosti, nepregledna struktura poročila in jo ukrepe za izboljšanje varnosti. Kvalitetno površno obravnavanje ključnih ranljivosti lah-poročilo mora vključevati jasno in razumljivo ko zmanjšajo praktično uporabnost poročila predstavitev ugotovitev, oceno vpliva ranlji-za varnostne ekipe ter otežijo načrtovanje iz- vosti, podrobno razlago uporabljene meto- boljšav varnosti. dologije in konkretna priporočila za odpravo arnos pomanjkljivosti. Pomembno je, da organizacija od izvajalca e v zahteva jasno metodologijo, ki vključuje tako Poročila morajo biti prilagojena uporabnikom, avtomatizirane kot ročne preglede, jasna in ki bodo z njimi delali – od tehničnih ekip, ki uporabna poročila ter konkretna priporočila bodo odpravljale ranljivosti, do vodstva, ki za odpravo težav, razvrščena glede na kritič- mora razumeti širšo sliko varnostnih tveganj. nost. Izvajalci morajo biti sposobni zagotoviti očnik kibernetsk Pomembno je, da poročilo vključuje tudi jasno smiselne vpoglede in rešitve, ne zgolj generič- Prir razmejitev med ranljivostmi, ki jih je mogoče nih rezultatov. takoj popraviti, in tistimi, ki zahtevajo dolgo- 130 Socialni inženiring in usposabljanje formacije, pridobljene med predhodnim raz- pogosto uporablja kot metoda za pridobitev Na primer, sporočilo lahko simulira notranjo začetnih dostopov ali občutljivih informacij, komunikacijo med oddelki ali vsebuje infor-ki omogočajo nadaljnje preizkušanje varnosti Socialni inženiring se pri vdornih testiranjih bolj verodostojno in specifično za prejemnika. iskovanjem, da naredi e-poštno sporočilo čim sistemov. Predstavlja eno največjih groženj ki- zaposlenega. macije o aktualnih projektih, kar zmanjša sum bernetski varnosti, saj izkorišča človeški vidik, ki je pogosto najšibkejši člen v varnostni ve- SMS napadi (Smishing) so podobni phishing rigi. Pri socialnem inženiringu napadalci ma- napadom, vendar uporabljajo kratka sporo-nipulirajo z zaposlenimi, da pridobijo dostop čila SMS. V tem primeru napadalec pošlje do občutljivih informacij, omrežij ali fizičnih sporočilo, ki vsebuje zlonamerno povezavo ali prostorov. Učinkovitost socialnega inženiringa navodila za posredovanje osebnih podatkov. je odvisna od tega, kako dobro se napadalec Takšne napade je težje prepoznati, saj sporo-pripravi in prilagodi svoje tehnike specifičnim čila pogosto simulirajo komunikacijo od mo-značilnostim podjetja. Pomembno je, da izva- bilnih operaterjev, bank ali drugih ponudnikov jalci socialnega inženiringa opravijo temeljito storitev, ki redno komunicirajo prek SMS-jev. predhodno raziskavo, preden začnejo s testi- Prilagojena vsebina sporočil, ki vključuje spe-ranjem, saj s tem bistveno povečajo uspešnost cifične informacije o podjetju, močno poveča svojih napadov. uspešnost teh napadov, saj se zdi, da prihajajo iz zanesljivega vira. Ena od ključnih faz priprave je zbiranje infor- macij o podjetju, kot so njegovi poslovni pro- Lažni telefonski klici (Vishing) vključujejo cesi, organizacijska struktura, javno dostopne uporabo telefonije za pridobivanje občutljivih kontaktne informacije in morebitne specifične informacij, kot so gesla ali finančni podat-interne politike. S tem pristopom se lahko iz- ki. Napadalci se pogosto predstavljajo kot IT vajalec osredotoči na izdelavo bolj usmerjenih podpora, bančni uslužbenci ali drugi uradni napadov, kot so e-poštna sporočila ali SMS-ji, predstavniki, ki nujno potrebujejo dostop do ki so prilagojeni podjetju in njegovim zaposle- določenih informacij. Poleg zbiranja podatkov nim. Personalizacija sporočil, kot je uporaba lahko napadalec zahteva tudi dovoljenje za specifičnih terminov, imen projektov ali drugih vzpostavitev oddaljene povezave, na primer s podrobnosti, ki so značilne za podjetje, bistve- pomočjo RDP (Remote Desktop Protocol) seje, no poveča verjetnost, da bodo zaposleni na kar mu omogoča neposreden dostop do raču-takšna sporočila tudi odgovorili. Zelo splošna nalnika žrtve. Vishing napadi so še posebej in generična sporočila pogosto izzovejo sum, nevarni, ker se zanašajo na neposredno in-medtem ko se prilagojena sporočila zdijo legi- terakcijo z zaposlenimi, ki so lahko pod priti-timna ter so veliko bolj učinkovita. skom, da odgovarjajo na prošnje, saj napada- lec pogosto ustvari občutek nujnosti ali krize. Socialni inženiring vključuje različne tehnike, kot so e-poštni napadi (phishing), SMS sporo- Fizični vdori so še ena oblika socialnega inže- ti čila (smishing), lažni telefonski klici (vishing) niringa, kjer napadalec fizično vstopi v poslov-in fizični vdori. ne prostore organizacije, bodisi da dostopa do arnos E-poštni napadi (Phishing email) so ena naj- notranjih omrežij, občutljivih dokumentov ali e v napadalec pošlje e-pošto, ki na videz prihaja iz Napadalci se lahko predstavljajo kot dostav-zaupanja vrednega vira. Takšna sporočila po-ljavci, vzdrževalno osebje ali celo kot zaposle-gosto vsebujejo povezave do lažnih prijavnih očnik kibernetsk ni, da bi pridobili dostop do varovanih območij. pogostejših metod socialnega inženiringa, kjer beležnik tipkanja (keylogger) ali USB naprave. da fizično namesti zlonamerno opremo, kot je strani. Pri usmerjenih napadih, imenovanih Prir Testiranje fizičnih vdorov pomaga organizaci- tudi spear-phishing, napadalec uporablja in- jam oceniti, kako učinkoviti so njihovi fizični 131 varnostni ukrepi, kot so dostopne kontrole, zmagujejo tisti, ki znajo najbolje manipulirati varnostne kamere in ozaveščenost zaposlenih z informacijami in človeškim vedenjem. Or- o nevarnosti nepooblaščenega dostopa. ganizacije, ki razumejo pomembnost stalne- Za uspešno zaščito pred socialnim inženirin- varnostnih politik, imajo veliko boljšo mož- ga usposabljanja in dinamične prilagoditve gom pa zgolj tehnični varnostni ukrepi niso nost, da se učinkovito zaščitijo pred tovrstni-dovolj; ključnega pomena je tudi stalno uspo-mi napadi. sabljanje zaposlenih. Pomembno je, da se iz- vajajo redna predavanja in izobraževanja, ki obravnavajo različne tehnike socialnega inže- niringa ter načine, kako jih prepoznati in se jim Viri: izogniti. Vendar pa morajo biti ta izobraževa- - Marta Barceló, Pete Herzog (2010). nja dinamična in interaktivna, da zares priteg- OSSTMM 3 – The Open Source Security Te- nejo pozornost udeležencev ter jih spodbudijo sting Methodology Manual. https://www. k sodelovanju. Klasična predavanja brez inte- isecom.org/OSSTMM.3.pdf saj se pomembne informacije hitro pozabijo. - NACIONALNI NAČRT ODZIVANJA NA KI- rakcije pogosto ne dosežejo želenega učinka, BERNETSKE INCIDENTE: https://www.gov. Usposabljanja morajo aktivno vključevati za- si/assets/vladne-sluzbe/URSIV/Datoteke/ poslene z uporabo vprašanj, diskusij in prak- Dokumenti/2022-03-NOKI.pdf Dodatno vrednost lahko prinesejo platforme, - P. Vats, M. Mandot and A. Gosain, „A Com-tičnih primerov, ki simulirajo resnične napade. predavanji, s čimer se poslušalci spodbujajo k tion Testing & Its Applications,“ 2020 8th International Conference on Reliability, aktivnemu sodelovanju. Takšni kvizi pomaga- ki omogočajo sprotno izvajanje kvizov med prehensive Literature Review of Penetra- jo preveriti razumevanje in takojšnjo uporabo Infocom Technologies and Optimizati- on (Trends and Future Directions) (ICRI- naučenih vsebin, kar je ključnega pomena za TO), Noida, India, 2020, pp. 674-680, doi: utrjevanje znanja. Dinamična usposabljanja z 10.1109/ICRITO48877.2020.9197961. uporabo resničnih primerov in simulacij omo- gočajo zaposlenim, da se bolje seznanijo z na- - SIST ISO/IEC 27001:2023: Informacijska čini napadov, ter kako naj ustrezno reagirajo v varnost, kibernetska varnost in varovan- takšnih situacijah. je zasebnosti — Sistemi upravljanja in- formacijske varnosti — Zahteve (ISO/IEC V končni fazi socialni inženiring ni le tehnični 27001:2022) izziv, temveč predvsem psihološka igra, kjer ti arnos e v očnik kibernetsk Prir 132 Poglavje 20 Napotki pri izvajanju in upravljanju varnostnih kopij, vključno z dnevniškimi zapisi POVZETEK Učinkovito upravljanje varnostnih kopij je ključno za zaščito podatkov in zagotavljanje ne- motenega poslovanja. Pravilna izbira podatkov, določitev frekvence kopiranja ter uporaba primernih metod (popolne, diferencialne, inkrementalne kopije) zmanjšujejo tveganja za izgubo podatkov. Pomembna je geografska redundanca z lokalno in oddaljeno lokacijo hranjenja, pri čemer je treba upoštevati zakonodajne zahteve. Priprava dokumentacije in standardiziranih postopkov za arhiviranje ter redno testiranje obnovitve podatkov omogo- čata hitro in učinkovito ukrepanje ob incidentih. Beleženje dnevniških zapisov zagotavlja sledljivost ter omogoča hitro odkrivanje in odpravljanje težav. Ključne točke: • Izbira kritičnih podatkov za varnostne kopije • Dnevno, tedensko in mesečno kopiranje glede na naravo podatkov • Popolne, diferencialne in inkrementalne varnostne kopije • Lokalna hramba in oblačne storitve z geografsko redundanco ti • Preverjanje celovitosti kopij s kontrolnimi vsotami in integracijskimi testi arnos • Standardizirani postopki za arhiviranje in obnovitev podatkov e v • Protokoli za različne scenarije, kot so kibernetski napadi ali popolne okvare • Testiranje postopkov obnovitve, vključujoč simulacije okvar • Beleženje dnevniških zapisov: status, napake in spremembe v podatkih očnik kibernetsk • Skladnost z zakonodajo (npr. Zakon o varstvu osebnih podatkov) pri shranjevanju kopij. Prir 133 1. Izbira podatkov za varnostne kopije biti strogo izbrane z upoštevanjem zakono- nega pomena, da pravilno izberemo podat- venije, oziroma če dovoljuje zakonodaja znot- ke, ki jih želimo arhivirati. Vsaka organizacija, raj EU, s posebnim poudarkom na geografski še posebej tista, ki upravlja kritične storitve, Ko govorimo o varnostnih kopijah, je bistve- nadomestnih lokacijah znotraj Republike Slo- daje. Pomembno je, da se podatki hranijo na ločenosti. mora skrbno določiti, kateri podatki so ključ- ni za nemoteno delovanje in katere bi lahko 2. Perioda varnostnega kopiranja podatkov, prometni ali lokacijski podatki, baze nju učinkovitega sistema varnostnih kopij je določitev frekvence, s katero se bodo podatki strank, konfiguracije sistemov, dnevniški zapi-varnostno kopirali. Perioda varnostnega kopi-si, podatki o zaposlenih, intelektualna lastni-kot so finančne evidence, vse vrste osebnih Ena izmed ključnih odločitev pri vzpostavlja-obnovili brez večjih posledic. Kritični podatki, na, pa tudi operativne informacije so navadno ranja mora temeljiti na več dejavnikih, kot so narava podatkov, pogostost njihovega spremi-na vrhu seznama za varnostne kopije. njanja in pomembnost za poslovanje. V praksi Pri izbiri podatkov za varnostno kopiranje je se najpogosteje uporabljajo dnevne, tedenske treba upoštevati tudi stopnjo občutljivosti in mesečne periodičnosti. podatkov in njihovo pravno regulacijo. Za iz- vajalce kritičnih storitev je zlasti pomembno Dnevno, tedensko, mesečno varnostno kopi- zagotoviti celovitost in razpoložljivost teh po- ranje datkov, saj so lahko motnje usodne za poslo- - Dnevno varnostno kopiranje je najpogo- vanje. Varnostne kopije morajo zato vključe- steje uporabljena oblika, zlasti v okoljih, vati vse podatke, potrebne za hitri povratek v kjer se podatki pogosto spreminjajo. To je normalno delovanje ob morebitnih izpadih ali smiselna izbira v organizacijah, kjer so po- incidentih. Prav tako pa je treba poskrbeti, da datki izjemno dinamični, kot so finančne so varnostno kopirani podatki pravilno zašči- institucije, kjer se transakcije izvajajo ne- teni pred nepooblaščenim dostopom. prestano. Ko se odločamo, katere podatke bomo var- - Tedensko varnostno kopiranje lahko za- nostno kopirali, je smiselno vzpostaviti jas- dostuje za manj dinamična okolja, kjer po- no politiko varnostnega kopiranja. Ta politika datki ne doživljajo toliko sprememb dnev- določa kriterije, na podlagi katerih se določijo no. Tedenske kopije omogočajo zmanjšanje pomembni podatki za varnostno kopiranje. obremenitev omrežja in prostora za shra- Kriteriji so lahko različni in temeljijo na naravi njevanje, vendar še vedno zagotavljajo re- podatkov, njihovi pomembnosti za poslovanje lativno hitro obnovitev. ter stopnji občutljivosti. Pogosto se uporabi- jo kategorije, kot so „visoko kritični podatki,“ - Mesečno varnostno kopiranje se uporab- ti shranjevanje podatkov, ki se ne spreminja- membni podatki.“ Tako je možno optimizirati jo pogosto, a so kljub temu pomembni za porabo virov za varnostno kopiranje in zagoto- „podatki srednje pomembnosti“ in „manj po- lja predvsem za arhivske namene ali za arnos dolgoročno hrambo. To je koristno zlasti viti, da se največji poudarek namenja podat- e v za dokumentacijo in zgodovinske zapise. kom, ki so ključni za delovanje. Za izvajalce kritičnih storitev, kjer je vsaka mi- Določanje ustrezne frekvence glede na nara- nuta nedelovanja lahko draga, je bistveno, da vo podatkov politika varnostnega kopiranja omogoča hitro Izbor frekvence varnostnega kopiranja mora očnik kibernetsk in zanesljivo obnovitev podatkov. V tem konte- temeljiti na natančni oceni pomembnosti Prir kstu je treba tudi zagotoviti, da so varnostne podatkov. Bolj kot so podatki kritični za po- kopije shranjene na več lokacijah, ki morajo slovanje in pogosteje kot se spreminjajo, bolj 134 pogoste morajo biti varnostne kopije. Tukaj je nijo na ciljno lokacijo. Prednost popolnih var-smiselno izdelati analizo tveganja, ki upošte- nostnih kopij je preprosta in zanesljiva obnova va verjetnost izgube podatkov in posledice za podatkov, saj vsebujejo celoten nabor infor-poslovanje v primeru izgube. macij. Pomanjkljivost pa je, da popolne kopije Kriteriji za določanje frekvence: dolge časovne okvire za izvedbo, zlasti v oko-zahtevajo veliko prostora za shranjevanje in - Ali se podatki spreminjajo dnevno, te- ljih z velikimi količinami podatkov. densko ali mesečno? Ključne značilnosti popolnih varnostnih ko-- Kakšne so zahteve za hitro obnovitev po- pij: datkov? - Celoten nabor podatkov se shrani na - Kako pogosto so potrebni varnostni pregle- enkrat. di in preizkušanje kopij? - Omogoča najhitrejšo obnovo v primeru in-Samodejno ali ročno varnostno kopiranje cidenta. Samodejno varnostno kopiranje je danes - Zahteva večjo količino prostora za shranje-standard v večini organizacij, saj omogoča za- vanje. nesljivost in manjšo možnost človeških napak. Diferencialne varnostne kopije Samodejni postopki so programirani tako, da se izvedejo v vnaprej določenih intervalih, brez Diferencialna varnostna kopija zajame samo potrebe po ročnih posegih. To je uporabno tiste datoteke, ki so bile spremenjene od zad-zlasti za velike sisteme, kjer je ročno varnostno nje popolne varnostne kopije. To omogoča kopiranje neizvedljivo ali preveč zamudno. zmanjšanje prostora, potrebnega za shranje- stno kopiranje še vedno pride v poštev. Na pri- cialnih kopij je še vedno relativno hitra, saj mer, pri občasnem kopiranju specifičnih po-zahteva le zadnjo popolno varnostno kopijo in datkovnih zbirk ali arhivov, kjer avtomatizacija zadnjo diferencialno kopijo. V določenih primerih pa lahko ročno varno- temveč samo spremembe. Obnova iz diferen-vanje, saj kopije ne vključujejo vseh podatkov, ni potrebna. Poleg tega je lahko ročni nadzor koristen pri izdelavi kopij pred pomembnimi Diferencialne varnostne kopije so primerne za sistemskimi spremembami ali nadgradnjami. okolja, kjer spremembe niso pogoste, vendar 3. Načini in tehnologije varnostnega kopiranja stnih kopij. še vedno zahtevajo stalno nadgradnjo varno- Pri načrtovanju varnostnih kopij je pomembno Inkrementalne varnostne kopije izbrati primeren način kopiranja, ki bo zago-tavljal tako varnost kot učinkovitost pri shra- Inkrementalna varnostna kopija shranju-njevanju podatkov. Tehnologije varnostnega je samo tiste podatke, ki so bili spremenjeni kopiranja so zasnovane z namenom optimiza- od zadnje varnostne kopije – bodisi popolne, cije porabe prostora, časa in sistemskih virov. diferencialne ali inkrementalne. To je naju- ti Najpogostejši načini varnostnega kopiranja so činkovitejši način kopiranja, ko gre za porabo arnos popolne, diferencialne in inkrementalne var- prostora in čas kopiranja, vendar pa ima naj-e v nostne kopije, pri čemer ima vsak od teh nači- večje pomanjkljivosti pri obnovi. Obnovitev nov svoje prednosti ter omejitve. iz inkrementalnih kopij zahteva dostop do Popolne (celovite) varnostne kopije povzroči daljši čas obnovitve in večjo zaplete-vseh prejšnjih inkrementalnih kopij, kar lahko Popolna varnostna kopija pomeni, da se ce- nost postopka. očnik kibernetsk loten sistem ali podatkovni niz kopira v celoti. Prir Vse datoteke, mape in baze podatkov se shra- 135 Prednosti in slabosti inkrementalnih kopij: grožnjami. Lokacije se lahko razlikujejo glede - Minimalna poraba prostora. bo podatkov, pri čemer vsaka možnost ponuja na to, ali gre za lokalno ali oddaljeno hram- - Najhitrejša izdelava varnostnih kopij. svoje prednosti in slabosti. - Daljša in kompleksnejša obnova podatkov. Lokalne varnostne kopije Varnostno kopiranje v oblak ali lokalno shra- Lokalne varnostne kopije se shranjujejo na fi- njevanje zičnih napravah, ki so nameščene neposredno Sodobne rešitve za varnostno kopiranje se v goča hitrejši dostop do podatkov, kar je zlasti veliki meri naslanjajo na varnostno kopiranje znotraj infrastrukture organizacije. To omo- redundanco podatkov. Kopiranje v oblaku po- ki želijo imeti popoln nadzor nad fizično var- nuja skalabilnost in fleksibilnost, saj omogo- nostjo svojih podatkov, saj ni odvisna od tretjih ča shranjevanje velikih količin podatkov brez strank. v oblaku, ki omogoča geografsko ločenost in kalna hramba je tudi koristna za organizacije, pomembno pri obnovi v nujnih primerih. Lo- potrebe po fizičnih strežnikih na lokaciji. Po- membno je poudariti, da morajo biti podatki, Vendar pa lokalne varnostne kopije predsta- zlasti za izvajalce kritičnih storitev, shranjeni vljajo tveganje, če se uporabljajo kot edina na nadomestnih lokacijah znotraj Republike oblika shranjevanja podatkov. V primeru večje Slovenije oz. če dovoljuje zakonodaja znotraj katastrofe, kot so požar, poplava ali kibernet- EU. Izogibanje shranjevanju podatkov zunaj ski napad, lahko pride do izgube tako primar- EU je ključnega pomena zaradi varnostnih in nih podatkov kot tudi lokalnih varnostnih kopij. pravnih tveganj. Za nekatere podatke je že v Zato se pogosto priporoča uporaba kombina- predpisih določeno, kjer se smejo in kje se ne cije lokalnih in oddaljenih kopij. smejo obdelovati ali hraniti (Zakon o varstvu Oddaljene varnostne kopije osebnih podatkov (Ur.l.RS, še. 163/22) npr. v 23. členu določa posebne kategorije podatkov, Oddaljene varnostne kopije predstavljajo dru- ki se ne smejo hraniti izven ozemlja Republi- go plast zaščite, saj se shranjujejo na loka- ke Slovenije, kar velja tudi za varnostne ko- cijah, ki so geografsko ločene od primarnih pije teh podatkov). Pred odločitvijo, kje boste sistemov. To zmanjšuje tveganje, da bi bile hranili varnostne kopije, se zato prepričajte, varnostne kopije uničene skupaj s primarnimi ali za vrsto podatkov, ki jih obdelujete, veljajo podatki v primeru lokalnih nesreč. Oddaljena kakšna posebna pravila ali zahteve. hramba je lahko izvedena preko oblačnih sto- Lokalno shranjevanje pa še vedno ostaja po- daljene strežnike. ritev ali s fizičnim prenosom podatkov na od- membno v številnih organizacijah, kjer se upo- rablja za hitrejši dostop do podatkov in krajše Pomembno je, da se pri oddaljenih kopijah čase obnovitve. Pri tem načinu je pomembno upošteva zakonodaja o hrambi podatkov, zlasti ti poskrbeti, da so podatki zaščiteni in da obsta- pri občutljivih informacijah. Za izvajalce kritič- ja ustrezen sistem za nadzor ter preverjanje nih storitev je nujno, da so podatki shranjeni v arnos celovitosti varnostnih kopij. skladu s predpisi, s poudarkom na varnosti in e v zasebnosti. Zbiranje in shranjevanje podatkov 4. Lokacija arhiviranja varnostnih kopij na lokacijah izven EU lahko privede do resnih Lokacija arhiviranja varnostnih kopij je eden pravnih zapletov ter povečanja tveganj. očnik kibernetsk najpomembnejših dejavnikov, ki vpliva na var- Izbira med lastnim podatkovnim centrom in nost in zanesljivost shranjenih podatkov. Izbi- oblačnimi storitvami ra prave lokacije za hrambo varnostnih kopij Prir mora temeljiti na več kriterijih, kot so dosto- Odločitev med shranjevanjem podatkov v pnost, geografska ločenost, pravna skladnost lastnem podatkovnem centru ali uporabo ob- ter zaščita pred fizičnimi in kibernetskimi lačnih storitev je odvisna od več dejavnikov, kot 136 so stroški, zmogljivosti in nadzor nad podatki. 5. Preverjanje celovitosti in kakovosti varno-Lastni podatkovni centri omogočajo večji nad- stnih kopij čito, vendar so lahko dragi za vzdrževanje ter Vzpostavitev varnostnih kopij je le prvi korak v zor nad varnostnimi postopki in fizično zaš-upravljanje, zlasti za manjše organizacije. zagotavljanju zaščite podatkov. Da bi bile var-nostne kopije dejansko uporabne in zaneslji-Oblačne storitve ponujajo prilagodljivost in ve, je ključnega pomena redno preverjanje nji-skalabilnost, saj omogočajo hitro povečevanje hove celovitosti ter kakovosti. Brez preverjanja prostora za shranjevanje brez potrebe po več- in testiranja lahko kopije vsebujejo napake ali jih kapitalskih naložbah. Prednost oblačnega manjkajoče podatke, kar lahko povzroči resne varnostnega kopiranja je tudi, da zagotavlja težave, ko je potrebna obnova. geografsko ločenost in redundanco brez pot- rebe po dodatni fizični infrastrukturi. Vendar Pomen rednega preverjanja varnostnih kopij pa je pri oblačnih rešitvah ključnega pomena Redno preverjanje varnostnih kopij je bistve-izbrati ponudnika, ki shranjuje podatke znot- nega pomena, saj lahko le tako zagotovimo, raj EU in zagotavlja skladnost s slovensko ter da so podatki pravilno shranjeni in dostopni evropsko zakonodajo o varstvu podatkov. Pri za obnovo. Če se varnostne kopije ne prever-izbiri ponudnikov oblačnih storitev je potrebno jajo sistematično, obstaja nevarnost, da bi bile upoštevati tudi vrsto in občutljivost podatkov, poškodovane, nepopolne ali celo nedosegljive ki se bodo shranjevala pri ponudniku, zako- v kritičnih trenutkih. Pogostost preverjanja je nodajna tveganja povezana z lastništvom ali odvisna od narave podatkov in sistema kopi-matično državo ponudnika, zmožnostjo pre- ranja, vendar se na splošno priporoča, da se hoda k drugemu ponudniku, raven zrelosti preverjanje izvaja vsaj tedensko ali mesečno, ponudnika pri zagotavljanju varnosti storitev odvisno od frekvence varnostnega kopiranja. mi varnostnimi standardi ter certifikacijskimi Preverjanje celovitosti podatkov ne vključuje (npr. izkazuje skladnost z evropsko priznani-shemami). samo tehničnega pregleda, ampak tudi analizo ali so varnostne kopije v skladu s poslovnimi in Geografska redundanca in zunanje lokacije zakonskimi zahtevami. Podjetja, ki upravljajo z Geografska redundanca pomeni, da so varno- občutljivimi podatki, morajo upoštevati pravne zahteve glede varnosti, skladnosti in shranje-stne kopije shranjene na več lokacijah, ki so vanja podatkov, zlasti izvajalci kritičnih storitev. geografsko ločene. To je ključnega pomena za zagotavljanje kontinuitete poslovanja v prime- Orodja in metode za preverjanje celovitosti ru naravnih nesreč, okvar strojne opreme ali podatkov biti izbrane tako, da zmanjšujejo tveganje iz- Za preverjanje celovitosti varnostnih kopij obstajajo različna orodja in metode, ki so za-drugih motenj. Redundantne lokacije morajo teve. pake ter zagotovijo, da so varnostne kopije ti popolne. Med najbolj uporabljena orodja spa-Izvajalci kritičnih storitev morajo biti posebej dajo integracijski testi, ki preverjajo, ali so po-arnos pozorni na lokacijo shranjevanja varnostnih števati varnostne standarde in zakonske zah- snovana tako, da prepoznajo morebitne na-gube podatkov, pri tem pa je pomembno upo- datki pravilno preneseni in shranjeni, ter orod- e v kopij. Redundantna hramba podatkov mora ja za preverjanje kontrolnih vsot (hashing), ki biti organizirana znotraj EU, saj to zagotavlja omogočajo natančno prepoznavo sprememb v večjo pravno zaščito in skladnost z zakonoda- podatkih. lahko predstavlja dodatna tveganja, zato se Kontrolne vsote so koristne zlasti za zagotovi- očnik kibernetsk tev, da se datoteke niso spremenile ali poško- jo. Hranjenje podatkov na lokacijah izven EU takšne prakse običajno odsvetujejo. Prir dovale med procesom varnostnega kopiranja. S primerjanjem izvornih in varnostno kopira- 137 nih datotek lahko sistem zazna tudi najmanj- - Q.6: Mobilne naprave morajo podpirati lo- še spremembe, kar omogoča hitro ukrepanje čevanje med zasebno in poslovno uporabo v primeru težav. naprave prek varnih programskih zabojni- kov. Orodja za preverjanje celovitosti vključujejo: - Ciklično preverjanje redundance - CRC zaščitene pred krajo, kadar niso v uporabi. - Q.7: Mobilne naprave morajo biti fizično (Cyclic Redundancy Check), ki zazna napa- ke pri prenosu podatkov. - Q.8: Upoštevati je treba dvofaktorsko av- tentikacijo za dostop do mobilnih naprav. - Integracijski testi, ki preverjajo, ali je sis- tem v celoti usklajen s pričakovanim sta- - Q.9: Osebni podatki, shranjeni na mobilni njem varnostnih kopij. napravi (kot del obdelave podatkov organi- zacije), morajo biti šifrirani. (ENISA, 2016) - Digitalni podpisi in certifikati, ki zagota- vljajo, da podatki niso bili spremenjeni in Preizkušanje obnovljivosti varnostnih kopij da izvirajo od zaupanja vrednega vira. Preizkušanje obnovljivosti je prav tako ključen Mobilne in prenosne naprave del zagotavljanja kakovosti varnostnih kopij. nabor storitev, ki jih ponuja upravljavec po- stopek njihove obnovitve. Taki testi ne le pre- datkov, vendar povečajo tveganje za krajo ter verjajo tehnično delovanje varnostnih kopij, nenamerno izgubo podatkov. V primeru mo- temveč tudi usposobljenost osebja in učin- Mobilne in prenosne naprave lahko razširijo simulirajo izgubo podatkov in preizkusijo po-Organizacije morajo redno izvajati teste, ki bilnih naprav, kot so pametni telefoni ali ta- kovitost procesov, ki so vzpostavljeni za hitro blice, jih uporabniki morda uporabljajo tudi obnovo. v osebne namene, zato je potrebna posebna previdnost pri zagotavljanju, da poslovni po- 6. Priprava dokumentacije in postopkov ar- datki niso ogroženi. Pomembno je upoštevati hiviranja naslednja pravila: Učinkovito izvajanje varnostnih kopij ne vklju- - Q.1: Postopki za upravljanje mobilnih in čuje zgolj tehničnega postopka kopiranja po- prenosnih naprav morajo biti definirani ter datkov, temveč tudi pripravo natančne doku-dokumentirani z jasnimi pravili za njihovo mentacije in jasnih postopkov, ki opredeljujejo pravilno uporabo. arhiviranje ter obnavljanje podatkov. Organi- - Q.2: Mobilne naprave, ki jim je dovoljen imeti jasno opredeljene procese in protokole, zacije, zlasti izvajalci kritičnih storitev, morajo dostop do informacijskega sistema, mora- ki omogočajo hitro ter zanesljivo odzivanje jo biti predhodno registrirane in predhod- na morebitne incidente ali katastrofe. Dobra no avtorizirane. dokumentacija zagotavlja, da so vsi postopki - Q.3: Mobilne naprave morajo biti predmet jasni, hitro izvedljivi, ponovljivi in ustrezno pri-ti enake ravni postopkov nadzora dostopa lagojeni specifičnim potrebam organizacije. arnos (do sistema obdelave podatkov) kot ostala Pomen natančne dokumentacije terminalska oprema. e v Natančna dokumentacija o varnostnih kopijah - Q.4: Vloge in odgovornosti v zvezi z upravlja-je ključnega pomena za zagotavljanje skla-njem mobilnih in prenosnih naprav morajo dnosti postopkov in hitre ter učinkovite obnove biti jasno opredeljene. podatkov v primeru okvar ali izgube podatkov. očnik kibernetsk Dokumentacija mora vsebovati natančne po- - Q.5: Organizacija mora biti sposobna od- Prir datke o tem, katere vrste podatkov se kopirajo, daljeno izbrisati osebne podatke (v zvezi z obdelavo podatkov) na mobilni napravi, ki kako pogosto se varnostne kopije izvajajo, kam je bila kompromitirana. se kopije shranjujejo in kako dolgo se hranijo. 138 Vse informacije o postopkih varnostnega ko- vsakem izmed teh scenarijev, pri čemer je po-piranja morajo biti dostopne vsem ključnim membno, da so protokoli oblikovani tako, da deležnikom, ki sodelujejo pri upravljanju IT in- zagotavljajo hiter odziv in zmanjšanje izpadov. frastrukture. Dokumentacija mora vključevati tudi podrobnosti o orodjih, programski opremi Primeri scenarijev, za katere je treba pripra-in strojni opremi, ki se uporabljajo za varno- viti protokole: stne kopije, in kontaktne informacije za vse - Delna okvara: Postopki za obnovo posa-ključne osebe, ki so odgovorne za nadzorova- meznih podatkov ali manjših delov siste-nje ter vzdrževanje sistema varnostnih kopij. ma. Standardni postopki za arhiviranje in obno- - Popolna okvara sistema ali uničenje po- Vzpostavitev standardnih postopkov za arhivi- tema iz varnostnih kopij, vključno z nado-mestnimi lokacijami. ranje in obnovitev podatkov je eden ključnih vitev datkov: Protokoli za obnovo celotnega sis-vidikov uspešnega upravljanja varnostnih ko- - Kibernetski napad: Načrti za hitro izola-pij. Standardizirani postopki omogočajo eno- cijo okuženih sistemov in varno obnovitev ten pristop k shranjevanju podatkov in s tem podatkov iz nepoškodovanih kopij. obnovi podatkov. Sistematično oblikovani protokoli omogočajo zmanjšujejo možnosti za napake ali izpade pri hitrejše in učinkovitejše reakcije na nepredvi- Takšni postopki vključujejo: dene dogodke ter pripomorejo k zmanjšanju - Natančen urnik arhiviranja, ki določa fre- škode in čimprejšnji vzpostavitvi normalnega delovanja. kvenco in čas izvajanja varnostnih kopij. - Navodila za obravnavo napak pri varno- 7. Postopki za obnovitev podatkov iz varno-stnih kopij stnih kopijah, vključno s protokoli za od- pravljanje težav. Eden najpomembnejših korakov pri upravlja- - Jasna navodila za obnavljanje podatkov, nju varnostnih kopij je oblikovanje jasnih in učinkovitih postopkov za obnovitev podatkov. ki morajo biti dovolj podrobna, da omogo-Organizacije se morajo zavedati, da so varno-čajo obnovo podatkov v različnih scenari-stne kopije koristne le, če so podatki zlahka in jih, od manjših okvar do popolnega izpada. hitro obnovljivi. Postopki za obnovitev morajo Poleg tega morajo biti vsi postopki redno po- biti zato skrbno načrtovani in redno testirani, sodobljeni in prilagojeni spremembam v IT in- da se zagotovi, da bodo v primeru nujnih situ-frastrukturi ali zakonskih zahtevah. Standar- acij zanesljivi ter dostopni. dizacija zagotavlja tudi skladnost s predpisi in olajšuje izvajanje varnostnih pregledov ter Načrtovanje obnovitve revizij. Načrtovanje postopka za obnovitev podatkov Ustvarjanje protokolov za različne scenarije je več kot zgolj tehnična operacija – gre za ti celovit postopek, ki vključuje jasna navodi- (npr. katastrofalna okvara)arnos la, dodeljevanje odgovornosti in opredelitev e v V pripravo dokumentacije spada tudi razvoj ključnih virov. Pomembno je, da vsak korak v podrobnih protokolov za različne scenari- postopku obnovitve temelji na specifičnih pot-je, kot so delni izpadi sistemov, okvare stroj- rebah organizacije, kot so kritičnost podatkov ne opreme, katastrofalna okvara, kibernetski in tveganja, ki jih prinaša morebitna izguba in drugi napadi, ki bi lahko povzročili izgubo teh podatkov. očnik kibernetsk celotnih podatkovnih sistemov. Organizacija Prir Pri načrtovanju obnovitve je treba upoštevati: mora pripraviti načrt za obnovitev podatkov v 139 - Vrste podatkov, ki jih je treba obnoviti: Časovni okvirji za obnovitev v nujnih primerih podatki imajo najvišjo prioriteto in morajo V nujnih primerih je čas ključni dejavnik, Načrti za obnovitev morajo določati, kateri biti obnovljeni najprej. saj lahko izguba dostopa do podatkov hitro povzroči resne motnje v poslovanju. Zato mo- - Lokacije varnostnih kopij: Redundantne rajo biti časovni okvirji za obnovitev natančno lokacije in dostopnost do teh podatkov sta opredeljeni in prilagojeni glede na kritičnost ključni za hitro obnovo. podatkov. Pri tem se pogosto uporabljajo kon- - Viri za obnovitev: Vključno z IT osebjem, very Point Objective) in RTO – Ciljni čas okre-cepti RPO – Točka obnovitve sistemov (Reco- programsko opremo in strojno opremo, ki vanja (Recovery Time Objective), ki določata, je potrebna za obnovitev podatkov. koliko podatkov se lahko izgubi brez hujših Načrt mora vključevati tudi različne scenarije, posledic ter koliko časa lahko traja obnova, od delnih okvar do popolnih izpadov, saj bodo preden pride do motenj v poslovanju. potrebni različni pristopi glede na obseg izgu- Časovni okvirji za obnovitev morajo vključe- be podatkov. vati: Testiranje obnovitvenih postopkov - Kratkoročne cilje: Na primer obnovitev Obnova podatkov mora biti redno testirana, da ključnih poslovnih podatkov v nekaj urah se zagotovi, da vsi procesi delujejo pravilno in ali manj. da lahko osebje hitro ter učinkovito izvede ob- - Dolgoročne cilje: Kot je popolna obnova novitev, kadar je to potrebno. Testiranje omo- vseh sistemov, ki lahko traja več dni ali celo goča odkrivanje morebitnih napak v postopku, tednov, odvisno od obsega izpada. kot so manjkajoče kopije, poškodovani podatki ali neskladnost z najnovejšimi spremembami - Vloge in odgovornosti: Kdo je odgovoren v IT sistemih. za določene korake v procesu obnovitve in kako poteka komunikacija med oddelki. Priporočljivo je izvajati testiranja v različnih scenarijih, ki simulirajo različne vrste okvar, Določen in testiran časovni okvir za obnovitev kot so delni izpadi strojne opreme, izgube je bistven za učinkovito ter pravočasno reše- omrežne povezave ali kibernetski napadi. vanje v kriznih situacijah, kar omogoča orga- Takšna testiranja omogočajo organizacijam, nizacijam, da zmanjšajo izgube in se čim prej da ocenijo čas in vire, ki so potrebni za uspeš- vrnejo k normalnemu delovanju. no obnovitev podatkov, ter prilagodijo postop- ke, če se odkrijejo pomanjkljivosti. 8. Beleženje dnevniških zapisov (logiranje) pri varnostnem kopiranju čuje: Beleženje in redno pregledovanje dnevniških Testiranje obnovitvenih postopkov naj vklju- zapisov pri izvajanju varnostnih kopij je po- ti - Redne simulacije okvar: Te simulacije po- memben vidik spremljanja učinkovitosti in za- magajo preizkusiti učinkovitost sistema in nesljivosti postopkov varnostnega kopiranja. arnos usposobljenost osebja. Dnevniški zapisi omogočajo pregled nad tem, e v kdaj so bile varnostne kopije izvedene, ali so - Preizkus dostopa do podatkov: Preverja- bile uspešne in ali je prišlo do morebitnih na- nje, ali so varnostne kopije dejansko do- pak med postopkom kopiranja. segljive in v ustreznem stanju za obnovo. Pomen dnevniških zapisov očnik kibernetsk - Pregledovanje napak in izboljšav: Anali- za rezultatov testiranj, da se ugotovijo po- Dnevniški zapisi zagotavljajo sledljivost vseh Prir manjkljivosti in predlagajo izboljšave. dejanj, povezanih z varnostnimi kopijami. Čeprav niso v središču pozornosti pri vsako- 140 dnevnih aktivnostih, so ključni, ko gre za od- V primeru težav z varnostnimi kopijami so pravljanje težav ali preverjanje skladnosti z dnevniki nepogrešljivi pri ugotavljanju vzrokov internimi politikami ali zakonskimi predpisi. V za napake. Na primer, če pride do prekinitve primeru neuspelih varnostnih kopij ali napak, omrežja med postopkom varnostnega kopira-ki se pojavijo med postopkom, omogočajo na- nja ali če varnostna kopija ni bila dokončana tančno analizo in ugotavljanje vzrokov, kar po- zaradi pomanjkanja prostora, dnevniški zapisi sledično vodi do hitrejše odprave težav. jasno prikažejo, kdaj in zakaj je prišlo do teža- Katera dejanja je treba beležiti? tveganje za izgubo podatkov. ve. To omogoča hitro ukrepanje in zmanjšuje Med varnostnim kopiranjem je smiselno bele- Vendar pa je pomembno, da se dnevniki ne žiti naslednje podatke: hranijo predolgo, saj lahko postanejo preob-- Čas začetka in konca varnostnega kopi- sežni in težko obvladljivi. Organizacije bi mo- ranja: Ti podatki omogočajo pregled nad rale imeti jasno politiko, ki določa, kako dolgo tem, kdaj je bil postopek sprožen in koliko se dnevniki hranijo in kdo ima dostop do njih, časa je trajal. da se zagotovi ustrezna zaščita informacij.- Status varnostnih kopij: Ali so bile kopije uspešno ustvarjene ali je prišlo do napak Viri: med procesom. - Spremembe v podatkovnih zbirkah: Be- security of personal data processing: - ENISA (2016) Guidelines for SMEs on the leženje tega, kateri podatki so bili kopirani https://www.enisa.europa.eu/publicati-ali spremenjeni je pomembno za celovit ons/guidelines-for-smes-on-the-security-pregled nad tem, ali je bilo kopiranje po--of-personal-data-processing/@@down- polno. load/fullReport - Opozorila in napake: Vsakršna opozorila - ENISA 12 Steps to securing your business: ali napake, ki se pojavijo med postopkom https://www.enisa.europa.eu/publicati-varnostnega kopiranja so ključna za pravo-ons/cybersecurity-guide-for-smes/@@ časno ukrepanje. download/fullReport- Uporaba dnevnikov za diagnostiko težav pri varnostnem kopiranju ti arnos e v očnik kibernetsk Prir 141 Poglavje 21 Predstavitev ključnih storitev varnostno operativnih centrov POVZETEK Varnostno operativni centri (SOC) so ključni za zagotavljanje kibernetske varnosti orga-nizacij, saj omogočajo neprekinjeno spremljanje, zaznavanje in odzivanje na grožnje ter proaktivno obvladovanje ranljivosti. SOC vključuje storitve, kot so zbiranje obveščevalnih podatkov o grožnjah, upravljanje ranljivosti, izvajanje varnostnih politik in ozaveščanje uporabnikov. Pri izbiri ponudnika SOC-a je treba upoštevati strokovnost ekipe, hitrost odzi-vanja, tehnološko opremljenost in skladnost z zakonodajo EU. Zunanji SOC prinaša pred-nosti, kot so znižanje stroškov, dostop do vrhunske tehnologije in izboljšanje kibernetske odpornosti podjetja. Ključne točke: • Spremljanje varnostnih dogodkov v realnem času (SIEM in avtomatizacija) • Zaznavanje anomalij in prepoznavanje groženj • Upravljanje varnostnih incidentov (zajezitev, sanacija in obnova) • Zbiranje obveščevalnih podatkov o grožnjah (OSINT in komercialni viri) ti • Redno skeniranje ranljivosti in upravljanje varnostnih popravkov • Razvoj in spremljanje skladnosti varnostnih politik arnos e v • Usposabljanje uporabnikov in simulacije napadov ribarjenja (phising) • Izboljšanje kibernetske odpornosti z vajami in simulacijami • Stalno svetovanje in prilagojeno poročanje naročnikom očnik kibernetsk • Skladnost z zakonodajnimi zahtevami in varnostnimi standardi (ISO 27001, NIST) Prir • Izogibanje ponudnikom SOC izven EU zaradi pravnih tveganj. 142 1. Pomen varnostno operativnih centrov godki, temveč tudi zagotovi, da je pripravljena (SOC) v sodobnem poslovanju na hiter in usklajen odziv v primeru morebi- tnega incidenta. Varnostno operativni centri (SOC) so v dana- šnjem poslovnem okolju postali nepogrešljiv 2. Ključne storitve varnostno operativnih element učinkovitega upravljanja kibernetskih centrov aktivna varnostna strategija ključnega pome- grešljiv element v obrambnem sistemu or-ganizacije, ki se osredotoča na uporabo ljudi, na za zaščito podatkov in kritičnih sistemov. procesov in tehnologije za neprekinjeno spre-SOC omogoča organizacijam neprekinjeno nih napadov podjetja prepoznavajo, da je pro- Varnostno operativni center (SOC) je nepo-groženj. Glede na naraščajoče število digital- spremljanje varnostnih dogodkov, s čimer po- mljanje ter izboljševanje varnostnega stanja. Hkrati preprečuje, odkriva, analizira in se od-maga pravočasno zaznati in preprečiti poten-ziva na kibernetske incidente. Naloge SOC-a cialne napade. lahko razdelimo na več ključnih področij: Vloga SOC-a se je skozi čas iz pasivnega spre- mljanja varnostnih dogodkov razvila v pro- 2.1 Spremljanje in zaznavanje aktivno analizo tveganj in groženj. Tako da- Neprekinjeno spremljanje nes SOC ne deluje več zgolj kot opazovalec, temveč postane aktivni igralec v kibernetski - Spremljanje v realnem času: SOC uporab- varnosti, ki skozi analitične postopke neneh- lja sisteme za upravljanje varnostnih infor-macij in dogodkov (SIEM) ter druga orodja no izboljšuje obrambne zmogljivosti podjetja. za spremljanje omrežij, sistemov in podat-Podjetja se zavedajo, da je stalna prisotnost kov organizacije ter zaznavanje varnostnih usposobljenih strokovnjakov SOC-a neprecen-groženj v realnem času. ljiva za prepoznavanje nevarnosti, ki jih lahko Vloga kibernetske varnosti pri zaščiti po- in prioritetno obravnava varnostna opo-zorila, ki jih generirajo različna varnostna sicer spregledajo. - Upravljanje opozoril: Ekipa SOC-a upravlja slovnih procesov orodja, da zagotovi pravočasen pregled ter Kibernetska varnost danes ni več zgolj teh- odziv na morebitne grožnje. nična nuja, temveč poslovna funkcija, ki ima neposreden vpliv na kontinuiteto poslovanja Zaznavanje groženj in ugled podjetja. Nevarnosti, kot so vdori v in- - Zaznavanje anomalij: Prepoznavanje ne-formacijske sisteme, kraja podatkov ali sabo- navadnih vzorcev ali vedenj, ki lahko kaže-taža procesov, lahko resno ogrozijo delovanje jo na varnostno grožnjo ali kompromis. organizacij. V tem kontekstu SOC igra ključno vlogo, saj zagotavlja, da so poslovni procesi - Signature-based detection (prepoznava- Sodobni poslovni procesi so globoko integri- uporabljajo specifični vzorci, ki so bili prej arnos rani z digitalno infrastrukturo, kar pomeni, da identificirani.e v je varnost teh sistemov neposredno povezana - Vedenjska analiza: Uvajanje tehnik za s stabilnostjo in uspešnostjo podjetja. Preki-analizo vedenja z namenom zaznave gro-nitev poslovnih procesov zaradi kibernetskih ženj, ki temeljijo na odklonih od običajne-čimi se grožnjami. določenih podpisov za zaznavanje znanih ti groženj, kjer se za prepoznavanje groženj ves čas zaščiteni pred nenehno spreminjajo- nje na podlagi podpisov): Uporaba vnaprej izgube, pa tudi nepopravljivo škodo ugledu ga delovanja. očnik kibernetsk napadov lahko povzroči ogromne finančne podjetja. Z vzpostavitvijo učinkovitega SOC-a Prir se organizacija ne le zaščiti pred takšnimi do- 143 2.2 Odziv na incidente 2.4 Upravljanje ranljivosti Raziskovanje incidentov Ocenjevanje ranljivosti - Upravljanje opozoril: Prvotna triaža var- - Skeniranje: Redno izvajanje skeniranja nostnih opozoril za določitev njihove ve- ranljivosti za prepoznavanje varnostnih ljavnosti in resnosti. slabosti v sistemih in omrežjih organizaci- je. - Analiza vzrokov: Raziskovanje in analiza varnostnih incidentov za določitev njihove- - Ocena tveganja: Ocenjevanje tveganja, po- ga izvora, vpliva ter osnovnega vzroka. vezanega z ugotovljenimi ranljivostmi, na Koordinacija odziva vpliva. podlagi njihove resnosti in morebitnega - Upravljanje incidentov: Razvoj in izvedba Upravljanje popravkov načrtov za odzivanje na incidente, ki vklju- čujejo zajezitev, odstranitev in obnovitvene - Načrtovanje sanacije: Razvoj in izvajanje ukrepe. načrtov za sanacijo ugotovljenih ranljivosti. - Komunikacija: Koordinacija komunikacije - Izvajanje popravkov: Pravočasna izvedba z relevantnimi deležniki med in po inciden- popravkov in posodobitev za zmanjšanje tu, vključno z internimi ekipami ter zuna- tveganja. njimi partnerji. 2.5 Varnostne politike in skladnost 2.3 Obveščanje o grožnjah Razvoj politik Zbiranje obveščevalnih podatkov o grožnjah - Varnostne politike: Razvoj in vzdrževa- - Odprti viri informacij (Open source in- nje varnostnih politik ter postopkov, ki so telligence-OSINT): Zbiranje podatkov o usklajeni z industrijskimi standardi in za- grožnjah iz javno dostopnih virov. konskimi zahtevami. - Komercialni viri groženj: Naročanje na - Nadzor skladnosti: Spremljanje skladnosti komercialne vire informacij o grožnjah za z varnostnimi politikami in zakonskimi pridobivanje ažurnih informacij o novih predpisi za zagotavljanje upoštevanja zah- grožnjah. tev. - Izmenjava in sodelovanje: Sodelovanje Revizije in poročanje v skupnostih za izmenjavo obveščevalnih ve informacij s partnerji v industriji. stnih revizij za oceno učinkovitosti varno- stnih ukrepov in prepoznavanje področij za podatkov o grožnjah z namenom izmenja- - Varnostne revizije: Redno izvajanje varno- Analiza groženj izboljšave. ti - Kontekstualna analiza: Analiza obvešče- - Poročanje: Priprava in distribucija rednih arnos valnih podatkov o grožnjah za razumeva- varnostnih poročil za vodstvo ter druge e v nje konteksta in morebitnega vpliva na or- deležnike, ki poudarjajo ključne kazalnike, ganizacijo. incidente in trende. - Iskanje groženj: Proaktivno iskanje skritih 2.6 Ozaveščanje o varnosti in usposa- groženj, ki bi lahko ušle običajnim meha- bljanje očnik kibernetsk nizmom zaznavanja. Usposabljanje uporabnikov Prir 144 - Programi ozaveščanja: Razvoj in izvajanje - Upravljanje tretjih ponudnikov: Upravlja- programov ozaveščanja o varnosti za izo- nje odnosov s tretjimi ponudniki varno- braževanje zaposlenih o najboljših varno- stnih storitev kot zagotovilo, da ustrezajo stnih praksah ter grožnjah. varnostnim standardom organizacije. - Simulacije phishing (ribarjenje) napadov: SOC je ključni del kibernetske strategije orga- Izvajanje simulacij phishing napadov za nizacije, zadolžen za spremljanje, zaznavanje, preverjanje in izboljšanje sposobnosti za- odzivanje in ublažitev varnostnih groženj. S poslenih pri prepoznavanju ter odzivanju celovitim pristopom, ki vključuje neprekinjeno na takšne napade. spremljanje, odzivanje na incidente, zbiranje Razvoj spretnosti gotavljanje skladnosti, avtomatizacijo ter so-in analizo groženj, upravljanje ranljivosti, za- - Nadaljnje izobraževanje: Omogočanje delovanje, SOC zagotavlja robustno in prilago- stalnega usposabljanja in strokovnega dljivo varnostno stanje organizacije. razvoja za zaposlene v SOC-u, za namen 3. Kaj naročniki lahko pričakujejo? kontinuirane seznanitve z najnovejšimi varnostnimi tehnologijami in grožnjami. Prilagoditev storitev glede na poslovne pot- rebe 2.7 Avtomatizacija Orkestracija, avtomatizacija in odzivanje nostno operativnih centrov (SOC) je sposob-Ena izmed najpomembnejših prednosti var- na varnostne dogodke (SOAR) nost prilagoditve storitev specifičnim potre- - Avtomatizacija: Uvajanje orodij za avto- bam podjetja. Nobeno podjetje ni enako kot matizacijo ponavljajočih se nalog in izbolj- drugo, in tudi kibernetske grožnje se razlikuje- šanje odzivnih časov. jo glede na vrsto dejavnosti, infrastrukturo ter - Scenariji odziva: Razvoj avtomatiziranih SOC ponuja storitve, ki so oblikovane po meri scenarijev odziva za pogoste incidente, kar občutljivost podatkov, ki jih podjetje upravlja. zagotavlja dosledno in učinkovito obvlado- potrebujejo osnovno varnostno zaščito, do ve-vsakega naročnika – od majhnih podjetij, ki vanje dogodkov. likih korporacij, ki zahtevajo napredne rešitve 2.8 Sodelovanje in koordinacija za nadzor in obrambo. Koordinacija med oddelki Prilagoditev storitev zajema vse, od specifič- nih politik nadzora, integracije z obstoječimi - Medsektorske ekipe: Tesno sodelovanje z sistemi, do uvedbe specializiranih orodij in drugimi oddelki (IT, pravni, kadrovski idr.) rešitev. SOC omogoča, da podjetje izbere tis- za zagotavljanje usklajenega pristopa k te storitve, ki najbolj ustrezajo njihovim ope- varnosti. rativnim in varnostnim potrebam, s čimer se - Ekipe za odzivanje na incidente: Vzposta- zagotavlja optimizacija varnostnih ukrepov ter učinkovitost obrambe. Ta prilagodljivost je ti vitev in vzdrževanje ekip za odzivanje na zlasti pomembna v sektorjih, kot so finance, incidente, ki vključujejo predstavnike raz-arnos zdravstvo ali trgovina, kjer so zahteve glede ličnih oddelkov, da se omogoči celovito ob-e v varnosti izjemno visoke. vladovanje incidentov. Zunanji partnerji Stalno svetovanje in poročanje - Sodelovanje z organi pregona: Koordi-SOC ne deluje zgolj kot pasivni opazovalec, temveč kot aktiven partner v kibernetski var-nacija z organi pregona pri incidentih, ki očnik kibernetsk nosti podjetja. Stalno svetovanje naročnikom vključujejo kriminalne dejavnosti.Prir je eden ključnih stebrov uspešnega delovanja 145 SOC-a. To vključuje redna srečanja in posve- odziv na incidente, zmanjšanje ranljivosti ter tovanja, kjer se skupaj pregledujejo trenutne vzpostavitev robustnih varnostnih sistemov, ki varnostne politike, incidenti, zaznane grožnje lahko prenesejo vse večje pritiske kibernetskih in izboljšave varnostnih praks. napadov. Poleg tega SOC naročnikom zagotavlja redna SOC sodeluje z naročnikom pri razvijanju in poročila, ki vsebujejo analize o varnostnih do- testiranju varnostnih scenarijev, simuliranju godkih, ranljivostih in splošnem stanju var- napadov ter izvajanju vaj za obvladovanje in- nosti znotraj podjetja. Ta poročila ne le pripo- cidentov, kar omogoča boljšo pripravljenost morejo k boljšemu razumevanju kibernetske ekipe na realne napade. V praksi to pomeni, varnosti, temveč omogočajo tudi pripravo da podjetje postaja vse bolj odporno na na- ustreznih ukrepov za prihodnost. Poročila so pade, saj ima ustrezno infrastrukturo, procese običajno prilagojena glede na potrebe naroč- in ekipo, ki lahko hitro ter učinkovito ukrepa. nika – lahko so bolj tehnična, namenjena IT Izboljšana kibernetska odpornost je temelj oddelku, ali pa bolj strateška, namenjena viš- dolgoročnega poslovnega uspeha v digital- jemu vodstvu podjetja. nem svetu, kjer je varnost podatkov ena izmed najpomembnejših poslovnih prioritet. Skladnost z zakonodajnimi in varnostnimi standardi 4. Na kaj biti pozoren pri izbiri SOC? Varnostno operativni centri igrajo tudi po- Strokovnost in izkušnje ekipe stnimi standardi. Na področjih, kot so zdra- je strokovnost ekipe ključni dejavnik, ki ga mo- rate upoštevati. Učinkovitost SOC-a je namreč vstvo, finance ali telekomunikacije, so podjetja neposredno povezana s kompetentnostjo in zavezana strogi zakonodaji. SOC skrbi, da so podjetja z zakonodajnimi predpisi in varno- Ko izbirate varnostno operativni center (SOC), membno vlogo pri zagotavljanju skladnosti vse storitve in ukrepi skladni s temi predpisi, izkušnjami varnostnih strokovnjakov, ki nadzi-rajo ter upravljajo vašo varnostno infrastruk-kar podjetju zagotavlja mirno poslovanje brez turo. Pomembno je preveriti, ali ima ekipa skrbi glede pravnih posledic. ustrezno tehnično usposobljenost, certifikate SOC nenehno spremlja spremembe v zakono- na področju kibernetske varnosti (kot so CISSP, daji in svetuje podjetjem, kako se prilagoditi CEH, CISM) in dolgoletne izkušnje pri delu z novim zahtevam. Poleg tega so varnostne re- različnimi podjetji ter sektorji. tavlja, da so sistemi zaščiteni skladno z naj- vladuje varnostne incidente, temveč je tudi bolj pripravljena na sodelovanje pri dolgoroč- boljšimi praksami. Skladnost ni zgolj formal- nem strateškem svetovanju. Pri izbiri SOC-a nost, ampak ključni del kibernetske varnosti, standardi, kot so ISO 27001 in NIST, kar zago- Izkušena ekipa ne samo bolje zaznava in ob- šitve, ki jih uvaja SOC, v skladu z industrijskimi ti saj pomaga podjetjem pri vzdrževanju ugleda je priporočljivo tudi preveriti, kako pogosto se njihovi strokovnjaki udeležujejo izobraže-in zaupanja strank. vanj in nadgrajujejo svoje znanje o najnovej- arnos so ves čas v koraku z najnovejšimi trendi, so e v Eden izmed glavnih ciljev varnostno operativ- ključni za uspešno zaščito vaših sistemov. Izboljšanje kibernetske odpornosti podjetja ših grožnjah ter tehnologijah. Strokovnjaki, ki nega centra je izboljšanje celotne kibernetske odpornosti podjetja. SOC ne deluje zgolj re- Zmožnost hitrega odzivanja in učinkovitost aktivno – s tem, ko ščiti pred trenutnimi grož- storitev očnik kibernetsk Hitrost odzivanja je eden najpomembnejših podjetju krepiti svojo varnostno infrastrukturo njami – ampak tudi proaktivno, saj pomaga Prir dejavnikov pri oceni kakovosti SOC-a. Varno- in se pripravljati na prihodnje napade. Kiber- stni incidenti se lahko zgodijo nepričakovano, netska odpornost vključuje več vidikov: hitrejši 146 in ko pride do napada, je vsaka sekunda ključ- Tehnološka opremljenost in podpora lahko občutno zmanjša škodo, ki bi jo napad nologijami, ki omogočajo učinkovit nadzor in zaščito pred kibernetskimi grožnjami. Pri iz-lahko povzročil. biri SOC-a preverite, ali uporabljajo sodobne postopke za hitro zaznavanje in odzivanje, SOC mora biti opremljen z naprednimi teh-nega pomena. SOC, ki ima dobro uveljavljene Upoštevajte: varnostne rešitve, kot so sistemi za upravlja- - Kako hitro SOC zazna sumljive dejavnosti. napredna orodja za odkrivanje groženj (Threat nje varnostnih informacij in dogodkov (SIEM), - Kako hitro se ekipa lahko aktivira in ukrepa Intelligence), rešitve za analitiko velikih po- po zaznavi incidenta. datkov ter avtomatizirana orodja za odziv na incidente. - Kakšen je časovni okvir za popolno sanaci- jo napada. - Dobra tehnološka opremljenost SOC-a po- meni: SOC mora imeti tudi postopek za obvladova- nje več incidentov hkrati, saj se lahko pod- - Uporabo orodij, ki so prilagojena vašim po-jetja soočajo z več napadi iz različnih smeri. slovnim potrebam. Pomembno je tudi, da SOC nenehno optimi- - Sposobnost integracije z vašimi obstoječi-zira svoje odzivne zmogljivosti in uporablja mi sistemi in rešitvami. avtomatizirana orodja, ki omogočajo hitrejše obravnavanje groženj. - Uporabo napredne umetne inteligence in Transparentnost in razpoložljivost poročil pleksnih groženj. strojnega učenja za prepoznavanje kom- Transparentnost je temelj zaupanja med na- SOC mora poleg tega nuditi neprekinjeno teh-ročnikom in SOC-om. Pri izbiri ponudnika SO-nično podporo, ki vam je na voljo, kadarkoli jo C-a je nujno, da je naročniku omogočen jasen potrebujete. Hitrost in kakovost tehnične pod-vpogled v vse aktivnosti, ki jih SOC izvaja za pore sta ključni, zlasti, kadar se soočate s kri-zaščito podjetja. To vključuje redno poročanje tičnimi incidenti. Pred izbiro SOC-a preverite, o stanju varnosti, obvladovanju incidentov, ali ponujajo podporo 24/7 in ali imajo dobro analizah ranljivosti in vseh preventivnih ukre-razvite komunikacijske kanale, prek katerih pih, ki jih SOC uvaja. lahko hitro pridobite pomoč ter odgovore na Kakovost poročil je prav tako pomembna kot svoja vprašanja. njihova frekvenca. Dobra poročila niso zgolj 5. Prednosti sodelovanja z zunanjim SOC tehnični zapisi, ampak jasno prikazujejo glav-ne ugotovitve, nevarnosti in priporočila za iz- Strokovnost brez dodatnih stroškov zaposlo-boljšanje varnostne strategije. Poročila mora- vanja natančne podatke, do vodstvene ekipe, ki pot- njim varnostno operativnim centrom (SOC) je ti dostop do visoko usposobljenih strokovnjakov rebuje bolj strateške vpoglede.arnos brez potrebe po internem zaposlovanju doda-e v v podjetju – od tehničnega osebja, ki potrebuje Ena največjih prednosti sodelovanja z zuna-jo biti prilagojena različnim ciljnim skupinam Pri izbiri SOC-a preverite, kako pogosto ponu- tnega osebja. Gradnja lastnega SOC-a zahteva jajo poročila in ali so ta prilagojena vašim spe- najem številnih specializiranih strokovnjakov, cifičnim potrebam. Dober SOC bo omogočil ne od varnostnih analitikov, forenzikov, do stro-samo redna poročila, temveč tudi dostop do kovnjakov za odzivanje na incidente, kar lahko podatkov v realnem času prek posebnih nad- predstavlja veliko finančno breme za podjetje. očnik kibernetsk zornih plošč (dashboardov), kjer lahko sprem- Zunanji SOC pa podjetju omogoča takojšnji Prir ljate ključne varnostne kazalnike. dostop do celotne ekipe izkušenih strokov- 147 njakov, ki imajo potrebno znanje, certifikate različnim vrstam groženj in napadov, kar jim in izkušnje za obvladovanje vseh varnostnih omogoča hitrejše prepoznavanje novih taktik izzivov. napadalcev ter učinkovito prilagajanje varno- stnih ukrepov. Podjetje se tako izogne stroškom zaposlova- nja, usposabljanja in nenehnega nadgrajeva- SOC-i vlagajo v napredno tehnologijo, avtoma- nja znanja svojih zaposlenih. Namesto tega tizacijo in umetno inteligenco, kar omogoča lahko zunanji SOC nemoteno zagotovi vse boljše zaznavanje ter preprečevanje napadov. potrebne storitve, kar organizacijam omogo- Pri tem so zunanje ekipe ves čas na tekočem ča, da se osredotočijo na svoje osnovne po- z najnovejšimi varnostnimi trendi in grožnja- slovne dejavnosti, medtem ko strokovnjaki mi, zaradi česar lahko hitro prilagodijo svoje skrbijo za kibernetsko varnost. Ta model je storitve, kar pa podjetju omogoča, da ostaja zlasti privlačen za manjša in srednje velika pred napadalci. Stalna nadgradnja tehnolo- podjetja, ki nimajo resursov za vzdrževanje gij in storitev pri zunanjem SOC-u zagotavlja, celovite varnostne ekipe, a vseeno potrebuje- da naročniki prejemajo vrhunsko zaščito brez jo visoko raven zaščite. potrebe po dodatnih investicijah. Zmanjšanje stroškov lastne infrastrukture Poleg tehnološke nadgradnje pa zunanji SOC samo vprašanje človeških virov, temveč tudi kompleksnejših varnostnih vprašanj, saj se velikih investicij v tehnologijo ter infrastruktu-nenehno izobražujejo in certificirajo v skladu ro. Zunanji SOC odpravi potrebo po investici-Vzpostavitev in vzdrževanje lastnega SOC-a ni kovnjaki so usposobljeni za reševanje naj-ponuja tudi nadgradnjo znanja. Njihovi stro- jah v lastne varnostne sisteme, kot so draga vanje z zunanjim SOC-om tako zagotavlja, da z najnovejšimi standardi v industriji. Sodelo- orodja za upravljanje varnostnih informacij so vaši sistemi vedno zaščiteni z najboljšimi (SIEM), sistemi za nadzor omrežja in drugi praksami in tehnologijami, ki so na voljo. specializirani varnostni mehanizmi. Poleg začetnih stroškov vzpostavitve lastne 6. Sklep varnostne infrastrukture je tu tudi stalni stro- Pomen dolgoročne kibernetske odpornosti za storitve, ki jih dejansko potrebuje, brez do- nje iz digitalnega prostora nenehno razvijajo, postaja kibernetska odpornost podjetij eden datnih skritih stroškov. Poleg tega se izognejo izmed ključnih dejavnikov njihovega dolgo- mov. Z zunanjim SOC-om podjetje plača zgolj V sodobnem poslovnem svetu, kjer se grož-šek vzdrževanja in posodabljanja teh siste- da podjetja znižajo svoje operativne stroške in (SOC) igrajo ključno vlogo pri vzpostavitvi in ohranjanju te odpornosti, saj omogočajo stal-se hkrati izognejo obremenitvi z visokimi inve-no spremljanje ter zaščito pred vse komple-sticijami v tehnologijo, ki hitro zastara. in nadgradnjami. Ta prilagodljivost omogoča, ročnega uspeha. Varnostno operativni centri stroškom, povezanim z amortizacijo opreme ksnejšimi kibernetskimi napadi. Ni več dovolj ti Nenehna nadgradnja storitev in tehnologij zgolj reaktivno ukrepanje – podjetja, ki želi- arnos V kibernetski varnosti je ključnega pomena, da strank, morajo postati proaktivna v svoji ob-jo ohraniti svojo konkurenčnost in zaupanje e v se sistemi in procesi nenehno posodabljajo, saj rambi. se grožnje razvijajo z neverjetno hitrostjo. Zu- nanji SOC ponuja stalno izboljševanje storitev Dolgoročna kibernetska odpornost vključu- in tehnologij, saj je njegova naloga, da zago- je zmožnost hitrega okrevanja po varnostnih tovi najsodobnejše varnostne rešitve za svoje incidentih, a hkrati tudi stalno prilagajanje in očnik kibernetsk naročnike. Ker zunanje varnostne ekipe sode- nadgrajevanje varnostnih ukrepov. To pomeni, Prir lujejo z različnimi naročniki, so izpostavljene da podjetja potrebujejo SOC, ki ne zagotavlja 148 zgolj trenutne zaščite, temveč nenehno izbolj- standardi varstva osebnih podatkov. SOC, ki je šuje in prilagaja varnostne rešitve na podlagi podvržen zakonodaji izven EU, lahko izposta-aktualnih groženj. Zmožnost hitrega prepo- vi podjetje tveganjem, povezanim z dostopom znavanja napadov, učinkovito odzivanje in do podatkov s strani tujih državnih institu-izboljšanje sistemov po vsakem incidentu so cij ali drugačno obravnavo varnostnih praks. temelji, na katerih gradimo dolgoročno kiber- Zato je ključnega pomena, da podjetja izbere-netsko odpornost. jo SOC, ki deluje v skladu s predpisi in standar- Izbira pravega ponudnika SOC-a kot ključ za varstva podatkov. di Evropske unije ter zagotavlja visoko raven varnost poslovanja odločitev, ki lahko odločilno vpliva na varnost stabilnosti poslovanja. Partnerstvo s strokov-poslovanja podjetja. Pomembno je, da pod-no usposobljenim in zaupanja vrednim SOC-jetja izberejo SOC, ki razume njihove speci--om je temelj dolgoročne varnosti podjetja, Izbira pravega ponudnika SOC-a je strateška pomemben korak k zagotavljanju varnosti in Na koncu je izbira pravega ponudnika SOC-a fične varnostne potrebe, ima izkušeno ekipo saj zagotavlja, da so vaši sistemi zaščiteni strokovnjakov ter uporablja najsodobnejše pred vedno bolj naprednimi grožnjami v digi-tehnologije. Zunanja ekipa mora biti sposob-talnem svetu. na nuditi hitro in učinkovito podporo, hkrati pa zagotoviti visoko raven transparentnosti pri svojem delu. Učinkovit SOC-a ni zgolj po- nudnik storitev, ampak partner, ki aktivno so- Viri: deluje pri oblikovanju varnostne strategije in - ENISA (2020): How to set up CSIRT and izboljševanju kibernetske odpornosti. SOC (https://www.enisa.europa.eu/publi- Pri izbiri ponudnika SOC-a je treba biti pozo- cations/how-to-set-up-csirt-and-soc) ren tudi na geografsko lokacijo in upravljanje - SIST ISO/IEC 27001:2023: Informacijska centra. SOC, ki je v celoti ali deloma v upravlja- varnost, kibernetska varnost in varovan- Evropske unije, lahko predstavlja določena formacijske varnosti — Zahteve (ISO/IEC 27001:2022) nju izven Republike Slovenije ali celo izven je zasebnosti — Sistemi upravljanja in-tveganja. Evropska zakonodaja, kot je GDPR, zahteva strogo zaščito podatkov, pri čemer je pomembno, da je SOC skladno z evropskimi ti arnos e v očnik kibernetsk Prir 149 Poglavje 22 Predstavitev aktualnih pristopov in orodij za spremljanje informacijskih sistemov v organizacijah, zaznavanje poskusov vdorov ter preprečevanje kibernetskih incidentov POVZETEK Besedilo obravnava sodobne pristope in orodja za spremljanje informacijskih sistemov, zaznavanje poskusov vdorov in preprečevanje kibernetskih incidentov. Izpostavlja pomen neprekinjenega spremljanja sistemov s pomočjo naprednih tehnologij, kot so sistemi za odkrivanje (IDS) in preprečevanje vdorov (IPS), rešitve za upravljanje varnostnih dogodkov (SIEM) ter analitika na osnovi umetne inteligence. Obravnava tudi vlogo varnostno ope-rativnih centrov (SOC), odzivnih ekip za incidente (CSIRT) ter pomen rednih varnostnih pregledov in izobraževanja zaposlenih za zmanjšanje tveganj. Ključne točke: • Uporaba sistemov za odkrivanje in preprečevanje vdorov (IDS/IPS) • Napredna analiza podatkov z umetno inteligenco in strojno učenje • Implementacija rešitev za upravljanje informacij o varnostnih dogodkih (SIEM) ti • Vloga varnostno operativnih centrov (SOC) • Ključna naloga odzivnih ekip za hitro ukrepanje ob incidentih (CSIRT) arnos e v • Izvajanje rednih varnostnih pregledov in vdornih testiranj • Uporaba avtomatizacije za proaktivno zaznavanje groženj • Usposabljanje zaposlenih za prepoznavanje socialnega inženiringa očnik kibernetsk • Vključevanje naprednih tehnologij v celovito varnostno infrastrukturo Prir • Preprečevanje kibernetskih incidentov s kombinacijo tehnoloških in človeških virov. 150 1. Pomen nadzora in varnosti v sodobnih in- usposobljenimi varnostnimi strokovnjaki. Vla-formacijskih sistemih ganje v to področje je dolgoročna naložba, ki V današnjem digitalno usmerjenem svetu so ne učinkovitosti in zaščito pred vse bolj zaple-organizacijam omogoča vzdrževanje operativ-informacijski sistemi hrbtenica vsake sodob- tenimi grožnjami. ne organizacije. Varnost teh sistemov je zato ključna za zaščito občutljivih podatkov, inte- 2. Pristopi k spremljanju informacijskih sis-lektualne lastnine in poslovnih operacij. Po- temov sistemih predstavlja potencialno nevarnost za Spremljanje informacijskih sistemov v orga-membno je razumeti, da vsaka ranljivost v teh delovanje podjetja, kar lahko privede do mo- nizacijah je ključno za proaktivno zaznavanje groženj in zaščito pred kibernetskimi napadi. tenj, finančne škode in izgube ugleda. Različni pristopi in orodja omogočajo različne Sodobne organizacije se soočajo z naraščajočo nivoje nadzora, od preprostega spremljanja, kompleksnostjo kibernetskih groženj, ki pos- do naprednega odkrivanja ter preprečevanja tajajo vse bolj izpopolnjene in težje zaznavne. groženj. Z naraščajočim obsegom in sofistici-Kibernetski kriminalci uporabljajo napredne ranostjo kibernetskih groženj postaja uporaba tehnike, kot so socialni inženiring, napadi ri- teh tehnologij nujna. barjenja in zlonamerna programska oprema, ki lahko zlahka zaobidejo osnovne varnostne Sistem za odkrivanje vdorov (IDS) ukrepe. Nenehno spreminjajoči se kraji, načini Sistem za odkrivanje vdorov (IDS) je eno izmed in vektorji kibernetskih groženj zato zahtevajo osnovnih orodij za zaznavanje kibernetskih od podjetij, da vlagajo v prilagodljive ter na- groženj. IDS deluje kot pasivni nadzornik, ki predne varnostne rešitve. analizira omrežni promet in sistemske aktiv- Nadzor in spremljanje informacijskih siste- nosti, pri čemer išče vzorce ali nepravilnosti, ki bi lahko nakazovali na potencialni poskus mov postajata vse bolj nujna, saj omogočata vdora. IDS sistemi uporabljajo vnaprej dolo-proaktivno zaznavanje anomalij ter hitro odzi-čene vzorce (signaturne sisteme) ali analizo vanje na sumljive aktivnosti. Zgodnje odkriva-obnašanja za zaznavanje sumljivih aktivnosti. nje varnostnih incidentov lahko prepreči večje Njihova glavna prednost je možnost zazna-kibernetske katastrofe. Investicije v varnostne vanja neznanih napadov na podlagi nena-rešitve, kot so sistemi za odkrivanje vdorov vadnega vedenja, vendar pa zaradi pasivnega (IDS), sistemi za upravljanje varnostnih do-pristopa ne preprečijo napada – zaznajo ga in godkov (SIEM) in napredna orodja za analizo sprožijo opozorilo. podatkov, postajajo prednostna naloga. Med ključne izzive, s katerimi se organizacije Sistem za preprečevanje vdorov (IPS) soočajo pri zagotavljanju kibernetske varnosti, Sistem za preprečevanje vdorov (IPS) je nasled- Mnoge organizacije se soočajo z vrzeljo v zna- zaznava sumljive aktivnosti, temveč tudi aktiv- ti nju in veščinah, ki so potrebne za upravljanje sodi tudi pomanjkanje usposobljenega kadra. nji korak v evoluciji varnostnih rešitev, saj ne le no ukrepa. IPS sistemi delujejo v realnem času ter spremljanje informacijskih sistemov. Poleg in so zasnovani tako, da preprečijo potencialne arnos tega se morajo podjetja spopadati z nenehno napade, še preden ti dosežejo ciljno infrastruk- e v spreminjajočimi se predpisi in standardi var- turo. To dosežejo z blokiranjem prometa, ki ga nosti, ki jih je treba dosledno upoštevati. prepoznajo kot grožnjo, ali s preusmeritvijo na Za uspešno varovanje informacijskih siste- varne poti. Pomembno je, da IPS sistemi de-lujejo brez večjih vplivov na delovanje omrež-mov morajo organizacije prepoznati potrebo ja, saj lahko preveč agresivni varnostni ukrepi očnik kibernetsk po vzpostavitvi robustnih varnostnih strategij, vplivajo na normalne poslovne procese. Učin-Prir ki združujejo napredne tehnologije z dobro 151 kovit IPS sistem zato zagotavlja ravnovesje Sistemi za spremljanje omrežij so namenje- med zaščito in operativno učinkovitostjo. ni analizi omrežnih tokov v realnem času in Napredna analiza podatkov denja, ki bi lahko nakazovalo na poskus vdora. omogočajo prepoznavanje nenavadnega ve- Napredna analiza podatkov postaja ena ključ- Delujejo kot osrednji mehanizem za nadzor nih komponent v kibernetski varnosti. Upora- podatkovnih tokov med napravami znotraj ba umetne inteligence (AI) in strojnega učenja omrežja, s ciljem zaznati odstopanja od obi- (ML) omogoča odkrivanje vzorcev napadov, ki čajnih vzorcev. Ena izmed ključnih prednosti jih klasični sistemi morda ne bi zaznali. AI in teh sistemov je njihova sposobnost prepozna- ML lahko analizirata velike količine podatkov vanja nepravilnosti, kot so nenavadno veliki v realnem času in prepoznata subtilne nepra- podatkovni tokovi ali poskusi dostopa do stre- vilnosti, ki bi lahko nakazovale na potencialne žnikov, kar so lahko zgodnji znaki kibernet- grožnje. Sposobnost teh sistemov, da se učijo skega napada. Ti sistemi uporabljajo različne iz zgodovinskih podatkov in prilagajajo novim pristope, vključno z analizo vedenjskih in pro- napadom, omogoča napredno zaščito, saj se metnih vzorcev, ki omogočajo odkrivanje su- kibernetski napadi nenehno razvijajo. mljivih aktivnosti. Ker nadzor omrežja poteka Varnostno operativni centri (SOC) jo na odstopanja v prometu in vedenju. neprekinjeno, lahko organizacije hitro reagira- Za nekatere organizacije so lastni varnostno SIEM (Security Information and Event Mana-operativni centri (SOC) nepogrešljivi del ki-gement) rešitve predstavljajo ključni del kiber-bernetske zaščite. SOC centri so namenjeni netske infrastrukture za zbiranje in centralizi-24-urnemu nadzoru nad informacijskimi sis-rano analizo varnostnih dogodkov v realnem temi in omogočajo hitro odzivanje na varno-času. Te rešitve združujejo podatke iz različ-stne incidente. Strokovnjaki, ki delajo v teh nih virov znotraj organizacije, kot so omrežne centrih, uporabljajo različna orodja in tehnike naprave, strežniki in aplikacije, kar omogoča za spremljanje omrežij, strežnikov ter aplikacij celovit pregled nad stanjem varnosti. SIEM re-in zaznavanje sumljivih aktivnosti. SOC center šitve omogočajo napredno analizo dogodkov, je pogosto tudi ključna točka za koordinacijo pri čemer uporabljajo algoritme za prepozna-odzivov na incidente in za izdelavo poročil o vanje morebitnih varnostnih incidentov ali varnostnih dogodkih, kar omogoča stalno iz-nepravilnosti, ki bi lahko nakazovale na grož-boljševanje varnostnih politik organizacije. njo. Pomembno je tudi, da omogočajo hitrejše Z uporabo kombinacije teh pristopov lahko or- in učinkovitejše odzivanje na incidente, saj so ganizacije vzpostavijo robustno varnostno in- vse informacije združene na enem mestu. vanje kot aktivno preprečevanje kibernetskih podatke iz različnih naprav, aplikacij, stre- frastrukturo, ki omogoča tako zgodnje zazna- - Zbiranje podatkov: SIEM rešitve zbirajo incidentov. žnikov in omrežnih elementov, kar omogo- ti 3. Tehnologije za zaznavanje poskusov vdorov ča široko sliko varnostnega dogajanja. Zaznavanje poskusov vdorov v informacijske - Analiza podatkov: Orodja nato uporabijo arnos napredne algoritme za analizo teh podat- sisteme je osrednji element kibernetske var- e v kov in zaznavanje morebitnih groženj ali nosti, saj omogoča zgodnje prepoznavanje odstopanj, ki nakazujejo na varnostne in- groženj in hitro ukrepanje. Sodobne organiza- cidente. cije uporabljajo številna orodja, ki omogoča- očnik kibernetsk v realnem času, kar je ključno za učinkovito nosti SIEM rešitev je njihova sposobnost preprečevanje večjih kibernetskih incidentov. jo napredno spremljanje omrežij in dogodkov - Centralizacija in odziv: Ena glavnih pred-Prir združevanja vseh varnostnih podatkov na 152 enem mestu, kar omogoča hitrejše in bolj izkoristijo. Vdorni testi, znani tudi kot etično učinkovito odzivanje na incidente. hekanje, omogočajo simulacijo resničnih na- Varnostna programska oprema, kot so anti- vanju šibkih točk, še preden jih napadalci od-padov na sistem in tako pomagajo pri odkri-virusni programi, požarni zidovi in orodja za krijejo sami. zaznavanje zlonamerne programske opreme, prav tako igrajo ključno vlogo pri zaščiti pred Odzivne ekipe za incidente, poznane kot kibernetskimi grožnjami. Antivirusni progra- CSIRT (Computer Security Incident Response mi so zasnovani za prepoznavanje in odstra- Teams), so posebej usposobljene ekipe, ka-njevanje znanih vrst zlonamerne programske terih glavna naloga je hitro in učinkovito od-opreme, pri čemer redno posodabljajo svoje zivanje na kibernetske incidente. CSIRT ekipe baze podatkov z novimi grožnjami, da zago- igrajo ključno vlogo pri omejevanju škode, ki jo tovijo ustrezno zaščito. Požarni zidovi delu- lahko povzroči varnostni dogodek, kot je vdor jejo kot prva obrambna linija med notranjim ali napad. Njihova naloga ni le reševanje ta-omrežjem in zunanjimi viri, saj nadzorujejo kojšnjih posledic, temveč tudi analiza inciden-ter filtrirajo promet, preprečujejo pa dostop ta, da bi se iz njega naučili in izboljšali prihod-sumljivim povezavam. Programska oprema za nje preventivne ukrepe. Ključnega pomena je, zaznavanje zlonamerne programske opreme da imajo te ekipe jasno določene postopke je ključna za prepoznavanje in odstranjevanje in orodja, s katerimi lahko ukrepajo hitro ter groženj, kot so virusi, črvi, trojanski konji ter učinkovito, saj lahko vsak trenutek zamude druge vrste škodljive programske opreme. prinese večjo škodo. Kombinacija teh tehnologij omogoča organi- Izobraževanje zaposlenih je še ena pomemb-zacijam vzpostavitev učinkovite zaščite pred na komponenta pri preprečevanju kibernet-kibernetskimi grožnjami. Pomembno je, da se skih incidentov. Zaposleni predstavljajo prvo te rešitve integrirajo v celovit varnostni sistem, obrambno linijo pred številnimi oblikami ki-ki vključuje tako napredno zaznavanje kot od- bernetskih napadov, zlasti pred tistimi, ki zivanje na potencialne incidente, kar omogo- vključujejo socialni inženiring, ribarjenje ali ča zaščito pred vedno bolj zapletenimi napadi. manipulacijo znotraj podjetja. Zato je ključno, 4. Preprečevanje kibernetskih incidentov sumljivih dejavnosti, kot so nenavadne e-po-da so redno usposobljeni za prepoznavanje Preprečevanje kibernetskih incidentov je ena šte ali poskusi dostopa do zaupnih informacij. ključnih strategij, ki zagotavlja varnost infor- Usposabljanje naj vključuje simulacije napa-macijskih sistemov. Organizacije, ki si prizade- dov, redne tečaje ter opomnike o najboljših vajo vzpostaviti robusten obrambni sistem, se praksah pri uporabi gesel, varni uporabi in-morajo zavedati, da je aktivno preprečevanje terneta in prepoznavanju zlonamernih dejav-groženj enako pomembno kot odzivanje na- nosti. S tem organizacije zmanjšajo tveganje nje. To vključuje tako tehnološke rešitve kot človeške napake, ki pogosto predstavlja naj-tudi procese in človeške vire. šibkejši člen v verigi kibernetske varnosti. ti znavanje in odpravljanje potencialnih ranlji- celovit pristop, ki združuje tehnične varnostne arnose v vosti v informacijskih sistemih. Organizacije Redne varnostne ocene so bistvene za prepo- Preprečevanje kibernetskih incidentov zahteva rešitve, proaktivne preglede in usposobljeno morajo izvajati redne varnostne preglede in osebje. Uspešna strategija temelji na kombi-vdorne teste, da bi preverile, kako odporni so naciji tehnologij, ki omogočajo stalno spre- Takšne ocene zagotavljajo, da so organizaci- so ustrezno pripravljeni na prepoznavanje in očnik kibernetsk je v koraku z najnovejšimi grožnjami in ran-njihovi sistemi proti morebitnim napadom. mljanje in preprečevanje, ter človeških virov, ki ljivostmi, ki jih lahko kibernetski napadalci preprečevanje groženj. Prir 153 Viri: - ENISA (December 2016): A good practice guide of using taxonomies in incident pre- vention and detection. https://www.enisa. europa.eu/publications/using-taxonomi- es-in-incident-prevention-detection - ENISA (December 2016): Technical Guide- lines for the implementation of minimum security measures for Digital Service Provi- ders. https://www.enisa.europa.eu/publi- cations/minimum-security-measures-for- -digital-service-providers/@@download/ fullReport ti arnos e v očnik kibernetsk Prir 154 Poglavje 23 Poudarki in predlogi ter obvezni elementi pri sklepanju pogodb z zunanjimi izvajalci POVZETEK Pogodbe z zunanjimi izvajalci so temelj učinkovitega sodelovanja med organizacijami in izvajalci. Ključno je natančno opredeliti obseg storitev, časovne okvirje, kakovostne stan- darde, finančne pogoje, varovanje zaupnih informacij ter določiti odgovornosti in postopke za reševanje sporov. Poseben poudarek je na zagotavljanju skladnosti z zakonodajo (npr. GDPR) ter določitvi pravic intelektualne lastnine. Jasno opredeljene določbe zmanjšujejo tveganja in omogočajo uspešno dolgoročno sodelovanje. Ključne točke: • Natančna določitev obsega storitev • Časovni okvirji in ključni mejniki • Standardi kakovosti in postopki nadzora • Finančni pogoji in plačilni roki ti • Varovanje zaupnih informacij in osebnih podatkov arnos • Pravice do intelektualne lastnine e v • Odgovornosti strank in zavarovanja • Postopki za reševanje sporov • Skladnost z GDPR in drugimi predpisi očnik kibernetsk • Protikorupcijske klavzule. Prir 155 Pogodbe z zunanjimi izvajalci so ključni del dodatne zahteve naročnika, ki lahko vplivajo na poslovnih sodelovanj, saj opredeljujejo po- obseg dela. V pogodbi mora biti natančno do- goje in obveznosti obeh strank. Besedilo se ločeno, kako se bodo te spremembe obravna- osredotoča na ključne poudarke in obvezne vale in kakšni so postopki za usklajevanje spre- elemente, ki jih je treba upoštevati pri skle- memb obsega dela, bodisi z aneksi k pogodbi panju takih pogodb. Med najpomembnejšimi bodisi z internimi dogovori med strankami. določanje ustreznih standardov kakovosti, fi- metode za spremljanje in nadzor nad izvaja- njem storitev. To lahko vključuje postopke po- nančni pogoji ter varovanje zaupnih informacij ročanja, redna srečanja za pregled napredka ritev, jasni časovni okvirji in ključni mejniki, Poleg tega mora pogodba vključevati jasne elementi so natančna določitev obsega sto- obravnava odgovornosti strank, zahteve glede ali vnaprej dogovorjene revizijske točke, kjer in intelektualne lastnine. Poleg tega besedilo zavarovanj in postopke za reševanje morebi- naročnik preveri, ali izvajalec izpolnjuje priča- kovanja. tnih sporov, s čimer pomaga zagotavljati us- pešno sodelovanje ter zmanjševati tveganja 2. Časovni okvirji in mejniki med naročnikom in izvajalcem. Časovni okvirji in mejniki so osrednji del vsake 1. Določitev obsega storitev pogodbe, ki določajo dinamiko izvajanja pro- Določitev obsega storitev je kritičen element jekta. Natančno določeni časovni roki zagota-vljajo, da tako naročnik kot izvajalec delujeta pogodbe z zunanjim izvajalcem, saj oprede-usklajeno in v skladu s pričakovanji. Pogodba ljuje, kaj točno se pričakuje od izvajalca, v ka-mora vsebovati jasne določbe o začetku in kšnem obsegu in v kakšnem časovnem okviru. zaključku vsakega posameznega koraka ali Pogosto se dogaja, da je ta del premalo na-faze projekta ter definirati ključne mejnike, na tančno opredeljen, kar lahko privede do ne-podlagi katerih se bo ocenjevalo napredovanje jasnosti, slabe izvedbe projekta in nesoglasij projekta. med naročnikom ter izvajalcem. Da bi se izog- nili takim težavam, mora pogodba vključevati Določitev mejnika v pogodbi pomeni opredeli- zelo podroben opis nalog, ki jih bo izvajalec tev pomembnih točk v času izvajanja projekta, opravljal, skupaj z jasno določitvijo mejnika ko mora izvajalec predstaviti določene dosežke začetka in konca posameznih aktivnosti. ali zaključene faze dela. Ti mejniki omogočajo Pri določanju obsega storitev je pomembno, naročniku, da preveri, ali izvajalec dela napre-duje v skladu s pričakovanji, in ali je kakovost da obe strani natančno opredelita pričakova-opravljenih del na ustrezni ravni. Mejniki prav nja glede izvedbe del. Naročnik mora zagoto-tako pomagajo strukturirati projekt na manjše viti, da so v pogodbi vključene vse specifične dele, kar omogoča boljše upravljanje časa in naloge in funkcionalnosti, ki jih potrebuje, virov, tako za naročnika kot za izvajalca. medtem ko izvajalec prispeva svojo strokov- nost pri oblikovanju izvedljivih rešitev. Obseg Pogodba mora vsebovati tudi določila za ti mora biti dokumentiran na način, da ni dvou- obvladovanje zamud, ki lahko nastanejo iz arnos in kaj ni, kar ščiti obe strani pred prihodnjimi sprememba obsega dela ali nepričakovane e v nesporazumi. V pogodbi naj bo določeno tudi, mnosti glede tega, kaj je vključeno v pogodbo različnih razlogov, kot so tehnične težave, okoliščine, kot so naravne nesreče ali pan- pod kakšnimi pogoji in v kakšnem obsegu (če demije. Pri zamudah je nujno, da pogodba sploh) sme izvajalec za izvedbo posameznih določa, kako se bodo te obravnavale, kakšne sklopov pogodbe najeti podizvajalca. so pravne posledice in kakšni so postopki za očnik kibernetsk prilagoditev časovnih rokov. Možno je vključiti Pomemben element je tudi določitev prilago- tudi določbe o finančnih sankcijah za primer, Prir dljivosti obsega. Pogosto se med izvajanjem da izvajalec ne doseže dogovorjenih rokov. projektov pojavijo nepredvidene okoliščine ali 156 Prav tako je priporočljivo vključiti določila o Poleg tega je pomembno, da so v pogodbo tem, kako bo nadomestilo prilagojeno, če pri- vključene določbe, ki omogočajo prilagoditev de do pospešenega izvajanja del, zlasti, če standardov kakovosti glede na spremembe izvajalec uspe zaključiti določen projekt pred obsega projekta ali tehnološke napredke, ki rokom. S tem se spodbuja pozitivna dinamika lahko vplivajo na izvedbo storitev. S tem se izvajanja in motivacija za hitrejše zaključke, ne omogoča fleksibilnost pri prilagajanju kako-da bi to vplivalo na kakovost storitev. vostnih zahtev, ki sledijo hitremu razvoju na področju storitev ali tehnologij. Če je del pogodbe tudi nadaljnje vzdrževanje, je treba v pogodbi določiti tudi časovne okvirje iz- 4. Finančni pogoji in plačilni roki in dosegljivost oziroma odzivnost izvajalca. Finančni pogoji in plačilni roki so eden izmed vedbe morebitnih nadgradenj, odprave napak ključnih elementov vsake pogodbe, saj nepos- 3. Kakovost in standardi redno vplivajo na uspešno izvedbo storitev ter vajalec, je ena izmed ključnih determinant pogoji zmanjšujejo tveganje za nepričakovane uspešnosti projekta. Natančno določeni stan-stroške ali finančne težave, ki bi lahko nastale dardi kakovosti v pogodbi zagotavljajo, da sto-zaradi nesoglasij glede plačil. Kakovost storitev, ki jih zagotavlja zunanji iz- Pregledni in natančno opredeljeni finančni zaščito interesov tako naročnika kot izvajalca. ritve izpolnjujejo pričakovanja naročnika in so v skladu z industrijskimi normami ali posebni- Pogodba mora natančno določiti skupno ceno mi specifikacijami projekta. V kolikor standar- storitev, ki jih bo izvajalec zagotovil, ter način di niso jasno opredeljeni, obstaja tveganje, da obračunavanja teh storitev. Najpogosteje se bo izvedba del odstopala od pričakovanj, kar uporabljajo različni modeli obračunavanja, lahko privede do konfliktov med naročnikom kot so fiksna cena, plačilo po dejanskih urah in izvajalcem. ali plačilo po doseženih rezultatih (npr. fazni V pogodbo je treba vključiti jasne zahteve gle- upoštevati obseg in naravo storitev ter možne mejniki). Pri izbiri primernega modela je treba de kakovosti, pri čemer je priporočljivo upo- spremembe, ki bi lahko vplivale na finančno števati tako splošne industrijske standarde kot strukturo. tudi specifične zahteve naročnika, ki se lahko nanašajo na tehnične parametre, funkcio- V pogodbo je treba vključiti tudi določbe o po-nalnost, zmogljivost ali uporabnost končne- gojih in rokih plačila, ki jasno določajo, kdaj in ga izdelka. V določenih primerih je smiselno pod kakšnimi pogoji bo izvajalec prejel plačilo. uporabiti referenčne standarde ali certifikate Natančno določeni plačilni roki omogočajo iz-kakovosti, ki so priznani na področju specifič- vajalcu načrtovanje finančnih sredstev in za-nih storitev (na primer ISO standardi ali drugi gotavljajo stabilno izvajanje storitev. Prav tako strokovni normativi). je pomembno opredeliti morebitne dodatne za spremljanje kakovosti in redna preverjanja, ti obsega del, zahteve po dodatnih storitvah ali ki omogočajo sprotno zaznavanje morebitnih prilagoditvah.arnos napak ali neskladnosti z določenimi standar-e v Ključno je tudi, da pogodba vključuje postopke kot so na primer nepredvidene spremembe stroške, ki se lahko pojavijo med projektom, di. Taka preverjanja so lahko v obliki revizij, Poleg tega mora pogodba določati tudi me-testiranj, ali vmesnih poročil, kjer izvajalec hanizme za obravnavanje zamud pri plačilih. predstavi dosežke in rezultate dela. Določiti Vključiti je treba določila o zamudnih obres-je treba tudi postopke za odpravljanje napak tih ali drugih finančnih sankcijah, ki izvajalca ali popravke, kjer se določi, v kakšnem roku zaščitijo pred morebitnimi finančnimi tveganji očnik kibernetsk mora izvajalec popraviti morebitne napake in v primeru neplačila s strani naročnika. Smi-Prir kakšne so sankcije za neizpolnjevanje dogo- selno je vključiti tudi določbe o vmesnih pla- vorjenih standardov. čilih, zlasti pri daljših projektih, kjer se lahko 157 izvajalec srečuje z večjimi stroški še pred zak- pisov. Če se v okviru pogodbe obdelujejo oseb- ljučkom projekta. ni podatki, veljajo za izvajalca in morebitne 5. Varovanje zaupnih informacij in intelektu- Pogodba mora v tem primeru vsebovati tudi podizvajalce enaki kriteriji, kot za naročnika. alna lastnina določila, ki izvajalca oz. morebitne podizvajal- Sodelovanje z zunanjimi izvajalci pogosto ce zavezujejo k tem enakim kriterijem. vključuje izmenjavo zaupnih informacij, ki Prav tako je treba jasno opredeliti, komu pri-lahko vključujejo poslovne skrivnosti, strate-pada intelektualna lastnina, ustvarjena v okvi-ške podatke ali tehnične specifikacije. Pogod-ru sodelovanja. V določenih primerih je lah-ba mora zato vsebovati zelo natančna določila ko intelektualna lastnina, kot so programska glede varovanja zaupnih informacij, s čimer se oprema, tehnične rešitve ali inovacije, ključ-zagotavlja, da bo izvajalec ustrezno ravnal z na konkurenčna prednost naročnika, zato občutljivimi podatki naročnika. mora pogodba jasno določiti, kdo ima pravico Poleg tega je ključno, da pogodbe vključujejo do uporabe teh inovacij. Lahko se določi, da določbo, ki zagotavlja, da so zunanji izvajal- pravice pripadajo naročniku, izvajalec pa ima ci ustrezno usposobljeni in ozaveščeni glede omejeno licenco za njihovo uporabo v obdobju vprašanj kibernetske varnosti. Tako je nujno trajanja pogodbe. zagotovilo, da imajo tretje stranke dostop do 6. Odgovornosti in zavarovanje potrebnega znanja o varnostnih vprašanjih, kar pomaga preprečevati morebitne grožnje Določitev odgovornosti med naročnikom in in neskladnosti z varnostnimi standardi. To izvajalcem je pomemben del pogodbe, saj vključuje redno usposabljanje izvajalcev in zagotavlja jasno razumevanje, kdo nosi od- preverjanje njihove skladnosti z varnostnimi govornost za določene naloge, stroške ali praksami. morebitne težave, ki se lahko pojavijo med finirajo, katere informacije veljajo za zaupne, jasno določene odgovornosti lahko vodijo do kako bo izvajalec z njimi ravnal, kdo bo imel pravnih sporov ali nepričakovanih stroškov za dostop do teh informacij in kakšni so ukrepi za katerokoli stranko. Pogodba mora vsebovati določbe, ki jasno de- opredeliti odgovornosti vsake stranke, saj ne- izvajanjem storitev. Pogodba mora natančno njihovo zaščito. Prav tako je treba določiti ob- dobje, v katerem bo izvajalec dolžan varovati Odgovornosti vključujejo tako finančno kot zaupne podatke, ter določiti morebitne sank- tudi pravno odgovornost za morebitne napa- cije za kršitev teh določil. Vključitev klavzule o ke, neskladnosti z dogovorjenimi standardi zaupnosti lahko dodatno zaščiti interese na- ali škodo, povzročeno med izvajanjem sto- ročnika, zlasti v primerih, ko je treba izvajal- ritev. Natančno določen obseg odgovornosti cu omogočiti dostop do poslovnih skrivnosti. zmanjšuje tveganje za pravne spore in omo- Če je mogoče, v pogodbo vključite tudi pravila goča strankam, da razumejo, katera tveganja oziroma postopke v primeru morebitnega raz- morajo upravljati. Poleg tega mora pogodba ti kritja zaupnih informacij in roke, v katerih je vključevati določbe, ki omejujejo odgovor-arnos treba obveščati o morebitnem razkritju zau- nost posamezne stranke v primerih, kjer je e v pnih informacij. to mogoče (npr. zavarovanja odgovornosti). Če pogodba obsega obdelavo podatkov, je določenega sklopa najame podizvajalca, naj Če pogodba dopušča, da izvajalec za izvedbo očnik kibernetsk treba z njo zagotoviti, da so izvajalci (in tudi pogodba vsebuje tudi odgovornosti za more-morebitni podizvajalci) zavezani k enakim bitne podizvajalce. standardom varovanja podatkov ter zaupnih Prir informacij, kot veljajo za naročnika. To vklju- Poleg tega je zelo priporočljivo, da pogodba čuje npr. čezmejno hrambo ali obdelavo, roke vključuje zahteve po ustreznem zavarovanju, hrambe in logiranje oz. vodenje dnevnikov za- ki ga mora izvajalec imeti, da bi zaščitil na- 158 ročnika pred morebitnimi finančnimi posledi- 1. Nejasno opredeljen obseg storitev: Ena cami napak, nesreč ali drugih nepredvidenih izmed najpogostejših napak je pomanjklji-dogodkov. Zavarovanja, kot so splošno odgo- vo ali nejasno opredeljen obseg storitev, vornostno zavarovanje, zavarovanje za napake kar pogosto privede do nesporazumov med in izpustitve ter druge vrste, zagotavljajo, da strankami. Pomembno je, da pogodba jas-bo izvajalec finančno zmožen pokriti morebi- no določa, kaj je zajeto v obsegu storitev in tne odškodninske zahtevke. kaj ni, da se preprečijo poznejša nesoglas- ja. 7. Reševanje sporov Tudi pri najboljših pogodbah se lahko pojavijo 2. Neustrezno spremljanje izvajalcev: V šte- jalcem. Pogodba mora zato vsebovati jasno storitev zunanjih izvajalcev. Pomembno je, določene mehanizme za reševanje sporov, ki da so vzpostavljeni mehanizmi za sprotno omogočajo hitrejše, cenejše in učinkovitejše preverjanje, kot so redni pregledi, poročila nesoglasja ali spori med naročnikom in izva- ga nadzora nad napredkom in kakovostjo vilnih primerih naročniki ne izvajajo redne- reševanje sporov, preden ti prerastejo v dolgo- in nadzorne točke, ki omogočajo spremlja-trajne sodne postopke. nje skladnosti s pogodbo. Običajno pogodbe vključujejo postopke media- 3. Nevarnost odtekanja ključnih podatkov: cije ali arbitraže, ki omogočajo hitro rešitev ne-Ena izmed največjih nevarnosti pri sode-soglasij z vpletenostjo nevtralne tretje osebe. lovanju z zunanjimi izvajalci je tveganje Mediacija ponuja možnost neformalnega re-odtekanja ključnih podatkov podjetja. Zu-ševanja sporov, kjer stranke dosežejo dogovor nanji izvajalci pogosto pridobijo dostop s pomočjo posrednika. Arbitraža je bolj forma-do občutljivih informacij, kot so poslovne liziran proces, kjer stranke soglašajo, da bodo skrivnosti, tehnične specifikacije, podatki o spor rešile pred arbitrom, katerega odločitev je strankah ali finančne informacije. Če izva-zavezujoča. Ena izmed prednosti arbitraže je jalec nima vzpostavljenih ustreznih varno-hitrost in zaupnost postopka v primerjavi z dol-stnih ukrepov, obstaja resna grožnja, da bi gotrajnimi ter javnimi sodnimi postopki. lahko prišlo do nepooblaščenega dostopa Poleg tega mora pogodba določati, katera ju- ali zlorabe teh podatkov. risdikcija bo pristojna za reševanje sporov in 4. Pomanjkanje dogovora o intelektualni katero pravo se bo uporabljalo. To je zlasti po-lastnini: Nejasna ali nepopolna določi-membno pri mednarodnih pogodbah, kjer se la o pravicah intelektualne lastnine lahko lahko pojavijo pravna vprašanja glede pristoj-povzročijo pravne spore glede lastništva nosti in uporabe različnih pravnih sistemov. inovacij, rešitev ali programske opreme, Natančno določeni postopki za reševanje spo-ustvarjene v okviru projekta. Zato je nujno, rov zmanjšujejo tveganje za dolgotrajne prav-da so te določbe jasno opredeljene. ne postopke in omogočajo obema stranema, da se osredotočita na uspešno izvajanje po- 5. Nepravočasna plačila in finančna godbe. ti neskladja: Težave z zamudami pri plači- Pogoste napake pri sodelovanju z zunanjimi lih ali nejasnimi finančnimi dogovori so arnos izvajalci pogosta ovira pri uspešnem sodelovanju. e v Pomembno je, da so plačilni pogoji jas- Kljub skrbno pripravljenim pogodbam in do- no opredeljeni, in da so v primeru zamud ločenim varnostnim ukrepom se v praksi še predvidene sankcije. vedno pojavljajo nekatere pogoste napake, ki 6. Neurejeni postopki za prekinitev sode-lahko negativno vplivajo na sodelovanje z zu- očnik kibernetsk lovanja: Pogodbe pogosto ne vsebujejo nanjimi izvajalci. Naročniki morajo biti pozor-Prir ustreznih določil o tem, kako bo potekala ni na naslednje: prekinitev sodelovanja ali prenos storitev 159 nazaj k naročniku. Ta vidik je ključen, da let po izteku pogodbenega razmerja, izključno se zagotovi, da občutljivi podatki ostanejo na ozemlju RS. slovanje naročnika. Izvajalec se s to pogodbo zaveže, da bo vse zaščiteni, in da prekinitev ne vpliva na po- podatke, dejstva in listine naročnikov, s kate- Naročniki, ki se izognejo tem pogostim napa- rimi se bo seznanil v zvezi z izvedbo dela po kam, bodo bolj uspešno obvladovali tveganja tej pogodbi, skrbno varoval in jih ne bo razkril in vzpostavili trdne temelje za dolgoročno so- tretji osebi ali uporabil v svojo korist, ne v času delovanje z zunanjimi izvajalci. trajanja te pogodbe, niti kadarkoli po njenem Kot pomemben del sporazumov med naroč-mu zaposlene. Za morebitne kršitve je izvaja-prenehanju. Izvajalec z zavezo seznani pri nje- nikom in izvajalcem mora biti vključena tudi lec odškodninsko odgovoren. naslednja vsebina: PROTIKORUPCIJSKA KLAVZULA – NIČNOST GDPR podatkov, pogodbeni stranki soglašata, da godba ali pri izvajanju te pogodbe kdo v imenu morebitnih osebnih podatkov ne bosta upo-ali na račun druge pogodbene stranke, pred-rabljali v nasprotju z določili tega zakona. Po-stavniku ali posredniku naročnika ali druge-Skladno z zakonom, ki ureja varstvo osebnih ročila, na podlagi katerega je podpisana ta po-V primeru, da se ugotovi, da je pri izvedbi na- godbeni stranki bosta tudi zagotavljali pogoje ga organa ali organizacije iz javnega sektorja in ukrepe za zagotovitev varstva osebnih po-obljubil, ponudil ali dal kakšno nedovoljeno datkov ter preprečevali morebitne zlorabe, v korist za pridobitev tega posla ali za skleni-smislu določil navedenega zakona. tev tega posla pod ugodnejšimi pogoji ali za Pogodbene stranke se zavezujejo, da bodo ves opustitev dolžnega nadzora nad izvajanjem čas strogo varovale kot poslovno skrivnost vse pogodbenih obveznosti ali za drugo ravnanje podatke in informacije v zvezi z delom ter po- ali pridobitev nedovoljene koristi predstavniku slovanjem pogodbenih strank, ki jih bodo na organa, posredniku organa ali organizacija iz kakršenkoli način pridobile pri delu oziroma javnega sektorja, drugi pogodbeni stranki ali v zvezi z delom po tej pogodbi. Pogodbene njenemu predstavniku, zastopniku, posredni- stranke se zavezujejo, da bodo ves čas varo- ku, je ta pogodba nična. ti vale tudi osebne podatke pridobljene pri delu Naročnik bo v primeru ugotovitve o domnevnem oziroma v zvezi z delom po tej pogodbi v skla-obstoju dejanskega stanja iz prvega odstavka du z nacionalno zakonodajo, ki ureja varstvo tega člena ali obvestila Komisije za prepreče-osebnih podatkov in v skladu z Uredbo (EU) vanje korupcije ali drugih organov, glede nje-2016/679 Evropskega parlamenta in Sveta z govega domnevnega nastanka, pričel z ugotav-dne 27. aprila 2016 o varstvu posameznikov pri ljanjem pogojev ničnosti pogodbe iz prejšnjega obdelavi osebnih podatkov in o prostem pre-odstavka tega člena oziroma z drugimi ukrepi v toku takih podatkov ter o razveljavitvi Direktive skladu s predpisi Republike Slovenije. 95/46/ES (Splošna uredba o varstvu podatkov – GDPR). arnos e v Pogodbene stranke bodo seznanile zaposlene Viri: očnik kibernetsk pogodbe z določilom 7. člena GDPR in pridobile lines for the implementation of minimum security measures for Digital Service Provi- njihovo privolitev za obdelavo njihovih osebnih ders. https://www.enisa.europa.eu/publi- podatkov za namen izvajanja te pogodbe. benih strank, ki bodo sodelovali pri izvajanju te - ENISA (December 2016): Technical Guide-navedene v tej pogodbi in druge kadre pogod- Prir cations/minimum-security-measures-for- Naročnik bo osebne podatke obdeloval za čas -digital-service-providers/@@download/ trajanja pogodbe in jih bo hranil še deset (10) fullReport 160 Poglavje 24 Ključni nasveti za krizno komuniciranje POVZETEK Predstavljeni so ključni vidiki uspešnega kriznega komuniciranja, ki vključujejo pripravo kriznega načrta, hitro in usklajeno komuniciranje ter transparentnost in prilagodljivost. Organizacija mora proaktivno obravnavati krizne situacije z jasnimi sporočili, uporabo več kanalov in učinkovitim upravljanjem negativnih odzivov. Pomembno je tudi stalno spre- mljanje odzivov ter prilagajanje strategij glede na razvoj situacije, kar pomaga pri ohranja- nju zaupanja deležnikov in omejevanju škode. Ključne točke: • Krizni komunikacijski načrt • Identifikacija možnih kriz • Pristojne osebe in odgovornosti • Hitro in dosledno komuniciranje ti • Uporaba več komunikacijskih kanalov arnos • Transparentnost in jasnost sporočil e v • Upravljanje negativnih odzivov • Redno obveščanje deležnikov • Spremljanje in prilagajanje strategij očnik kibernetsk • Ohranjanje zaupanja deležnikov. Prir 161 1. Pripravite krizni komunikacijski načrt no, da se določi, kdo bo vodil krizno komuni- Vsaka organizacija se lahko kadarkoli znajde v dostopna in pripravljena sprejemati odločitve ciranje, saj mora biti odgovorna oseba hitro krizni situaciji, ki zahteva hitro, premišljeno in pod pritiskom. usklajeno komuniciranje. Krizni komunikacij- ski načrt je bistven za zagotovitev, da bodo vsi Poleg glavne osebe, ki bo komunicirala z me- procesi komuniciranja potekali brez zastojev diji in javnostjo, je treba določiti tudi druge in napak. Ta načrt mora biti natančno struk- podporne vloge – od oseb, ki bodo zbirale po- turiran in dostopen vsem ključnim osebam datke in spremljale odzive javnosti, do tehnič- znotraj organizacije. Vključevati mora jasne ne podpore, ki bo zagotavljala, da bodo vsi ko- protokole za možno krizo – od tega, kdo je munikacijski kanali delovali brezhibno. Jasno odgovoren za določene naloge, do tega, kako določene odgovornosti bodo omogočile, da se in kdaj se posamezne informacije posredujejo bo vsak član ekipe osredotočil na svojo nalo- javnosti. go, kar bo povečalo učinkovitost in zmanjšalo verjetnost napak. V okviru kriznega načrta je nujno, da organi- zacija predhodno preuči vse možne scenarije 2. Prvi odziv ob krizi ukrepanje. Dobra priprava zmanjša tveganje strani in na koga bo situacija vplivala. Preden se obvesti javnost, se vedno obvesti zaposlene napačnih informacij in omogoča takojšnje in vpletene strani. Preučiti je treba vsa zna-usklajeno delovanje med ključnimi oddelki. njimi grožnjami ter določi postopke za hitro Ko nastopi kriza, se najprej določi vse vpletene kriznih situacij, vključno z notranjimi in zuna- Tako bo v primeru krize organizacija imela na na dejstva in predvideti njihove posledice. Na podlagi tega organizacija določi tri ključna voljo jasno začrtan načrt ukrepanja, ki ga lah-sporočila za javnost. Vsako ključno sporočilo ko nemudoma uporabi. naj bo ena misel. 1.1 Identifikacija možnih kriz 3. Komunicirajte hitro in dosledno vključuje analizo notranjih ranljivosti, kot so ganizacije, ki se ne odzovejo hitro in odloč-no, tvegajo, da bodo informacije, resnične ali tehnične napake ali notranji konflikti, pa tudi napačne, prišle v javnost, preden bodo same zunanje grožnje, kot so naravne nesreče, go-prepoznati vzroke za morebitno krizo. To V krizni situaciji je čas ključnega pomena. Or-Preden pride do krizne situacije, je pomembno spodarski vzroki ali negativna medijska poro- sploh lahko podale svoj uradni odziv. Prvi vtis, ki ga javnost dobi, pogosto oblikuje nadaljnje čanja. Identifikacija teh scenarijev ni enkraten razumevanje situacije, zato je pomembno, proces – treba je nenehno spremljati in poso- da organizacija deluje hitro in zbrano. Po- dabljati ugotovitve na podlagi novih informacij membno je tudi, da so vsa sporočila dosledna, in sprememb v okolju. Sistematičen pristop k ne glede na komunikacijski kanal. identifikaciji kriz omogoča oblikovanje speci- ti fičnih odgovorov za vsak scenarij, kar poveča Ko se zgodi kriza, morajo biti informacije po- pripravljenost organizacije in zmanjša tvega- sredovane čim hitreje, vendar brez žrtvovanja arnos nje improviziranih, nepremišljenih odločitev, natančnosti. Prvi odzivi naj bodo kratki, jedr-e v ko se kriza dejansko zgodi. Organizacija, ki je nati in naj se osredotočajo na dejstva – kaj se sposobna prepoznati zgodnje znake krize, bo je zgodilo, kdo je prizadet, kaj se bo naredilo, bolj proaktivna pri ukrepanju, kar bo zmanjša- da se situacija reši. Čeprav popolne informa- lo posledice. cije morda še niso na voljo, mora organizacija očnik kibernetsk 1.2 Določanje pristojnih oseb vzpostaviti zaupanje z zagotavljanjem, da bo javnost sproti obveščena o nadaljnjih korakih. Prir Krizno komuniciranje zahteva jasne vloge in odgovornosti. Pri oblikovanju načrta je ključ- 162 3.1 Uporaba več kanalov stavke, s ključnimi sporočili, ki bi jih organi- teva uporabo več komunikacijskih kanalov, da lo svoje ekipe. Ob negativnem vprašanju naj v se informacije hitro in učinkovito razširijo med izjavi ne ponovi negativnih fraz, ampak poda vse ključne deležnike. Družbeni mediji, sple-V sodobnem svetu krizno komuniciranje zah- počasi, prijazno in v vsebino naj vključi pohva-zacija rada posredovala javnosti. Govori naj komunikacija z zaposlenimi so le nekateri od da lahko nanj oseba poda pozitiven odgovor. kanalov, ki jih mora organizacija uporabiti za Intervjuje in izjave je priporočljivo snemati za hitro ter natančno posredovanje informacij. arhiv. tna stran, tradicionalni mediji in neposredna dobro v mislih preoblikovati v takšno obliko, pozitivno vsebino. Novinarjevo vprašanje si je Prav tako je nujno, da je ton komuniciranja 3.3 Doslednost v sporočilih prilagojen vsakemu kanalu posebej. Na druž-benih omrežjih, kjer odzivi potekajo v realnem Ko govorimo o kriznem komuniciranju, je do-času, je treba odgovarjati hitreje in bolj ne- slednost ključnega pomena. Vsako sporočilo, posredno, medtem ko so uradne izjave za me- ne glede na to, ali gre za interno ali eksterno dije pogosto bolj strukturirane ter formalne. komunikacijo, mora biti usklajeno z glavni-Večkanalni pristop omogoča, da organizacija mi cilji organizacije in strategijo za reševanje doseže širše občinstvo in s tem zmanjša tve- krize. Neskladja v sporočilih lahko povzročijo ganje širjenja napačnih informacij ali govoric. zmedo in škodijo ugledu organizacije. 3.2 Jasnost komuniciranja Zato je pomembno, da so vsi vpleteni v krizno mislih je treba imeti, komu je sporočilo name- tega sporočila ne spreminjajo brez odobritve njeno. Če je namenjeno širši javnosti, je treba vodje kriznega komuniciranja. Organizacije, ki strokovne izraze in postopke ustrezno poime-ohranjajo doslednost v svojih sporočilih, bodo Vsebina sporočil naj bo razumljiva in kratka. V čilu, ki ga želi organizacija posredovati, in da komuniciranje obveščeni o osrednjem sporo-novati ter opisati na preprost in razumljiv način. bolje nadzorovale situacijo in se izognile na-Kadar organizacija daje ustno izjavo, naj bo daljnjim zapletom. oseba mirna in spoštljiva. Oblikuje naj cele KRIZNO VODSTVO Krizni vodja informacije 5 Strateške vodstvu o 4 Odločitve glede odziva stanju krize, sprejetih Informacije za odločitvah in krizno vodstvo ukrepih. Koordinator 3 Opretativne Izjave in informacije Informacije 6 vodstvu o za javnost obvestila sprejetih Koordinator za javnost odločitvah in 7 Informator za stike z 8 9 planiranih javnostmi Potrditev informacij za ukrepih. zunanjo in notranjo javnost ti Zunanje in Informacije o javnosti notranje dogodku ter arnos 2 delovanju ekip e v Specialisti (vodje oddelkov oz. procesov) in procesov KRIZNA EKIPA 1 Informacije o dogodku ter delovanju ekip in procesov Eksperti (tehnologi, izmenovodje, ...) očnik kibernetsk Prir Shema 13: Tok informacij v kriznem vodstvu (vir: ICS) 163 4. Poudarite transparentnost nih sprememb, je pomembno, da organizacija meljna za ohranjanje zaupanja med vsemi de- ne tiho, lahko pomanjkanje informacij sproži ležniki – naj bodo to zaposleni, stranke, par- špekulacije, ki bi lahko še dodatno poslabšale tnerji ali širša javnost. V situacijah, ko je stres Transparentnost v krizni komunikaciji je te- krizo aktivno obvladuje. Če organizacija osta- vzpostavi vzorec obveščanja in tako pokaže, da situacijo. na vrhuncu, sta odprta in iskrena komunikaci- ja ključna faktorja za ohranitev integritete ter 4. Bodite pripravljeni na negativne odzive vornega in profesionalnega pristopa k obvla- gibni. Zaposleni, stranke, mediji in širša jav- nost lahko izrazijo svoje nezadovoljstvo, jezo dovanju razmer. Vendar pa je transparentnost ali frustracijo, zlasti, če se počutijo zapostav- več kot le preprost dostop do informacij. Gre težave ali krize ni znak šibkosti, temveč odgo- V kriznih situacijah so negativni odzivi neizo- verodostojnosti organizacije. Javno priznanje za zavezanost k pravočasnemu, natančnemu ljene ali slabo obveščene. Organizacije morajo biti pripravljene na obvladovanje teh odzivov in popolnemu obveščanju javnosti o dogajanju na način, ki pomirja in ponovno vzpostavlja ter ukrepih, ki jih organizacija izvaja za obvla-zaupanje. Pripravljenost na negativne odzive dovanje krize. Čeprav morda v začetnih fazah pomeni imeti jasno strategijo, kako se bo or-krize ni na voljo vseh podrobnosti, morajo or-ganizacija soočila s kritikami in jih upravljala v ganizacije sporočiti, kaj vedo, kaj ne vedo in realnem času. kaj nameravajo narediti v prihodnje, da bodo zagotovile rešitev situacije. Negativni odzivi lahko prihajajo z različnih 3.1 Sprejemanje odgovornosti strani – od objav na socialnih omrežjih, do uradnih novinarskih poročil. Ključno je, da or- Sprejemanje odgovornosti je pogosto eden ganizacija te odzive obravnava neposredno, najtežjih, a hkrati najpomembnejših vidikov brez odlašanja in ne ignorira težav ali poskuša krizne komunikacije. Organizacija, ki jasno in utišati kritik. Tak pristop bi lahko še bolj pos- brez ovinkarjenja prizna svoje napake ali od- labšal situacijo in povzročil dolgoročne po- govornost za situacijo, bo pridobila večje za- škodbe ugleda. upanje javnosti, kot tista, ki poskuša krivdo prevaliti drugam ali se izgovarjati. 4.1 Upravljanje s komentarji in kritikami ti Pomembno je poudariti, da sprejemanje od- Prva in najpomembnejša stvar pri obravna- vanju negativnih komentarjev je priznavanje govornosti ne pomeni priznanja poraza. Na- težave. Organizacije, ki kritike poskušajo pre- sprotno, gre za pokazatelja močne vodstvene zreti ali jih obravnavajo z defenzivnim tonom, strukture, ki se zaveda svojih obveznosti do se pogosto znajdejo v še večjih težavah. Pri- strank in družbe. Poleg tega je organizacija, znanje, da je kriza prizadela ljudi in da imajo ki prevzame odgovornost, bolj pripravljena na pravico izraziti svoje mnenje, je prvi korak k ukrepanje in odpravo težav, kar vodi do hitrej- pomiritvi situacije. še rešitve krize. arnos 3.2 Redno obveščanje Ko gre za neposredne komentarje – naj gre za družbene medije, e-pošto ali druge oblike e v Rednost obveščanja je ključna za prepreče- javnih odzivov – mora organizacija imeti jas- vanje širjenja govoric in napačnih informacij, no strategijo za obvladovanje teh komunikacij. ki lahko dodatno poslabšajo krizo. Z jasno Pomembno je, da se odzivate hitro, vendar s določenimi časovnimi okviri za posodablja- premišljenostjo, da sporočilo ne bo zvenelo nje informacij, organizacija ohranja nadzor neiskreno ali avtomatizirano. Vsak odgovor očnik kibernetsk nad dogajanjem in zmanjšuje negotovost mora pokazati, da organizacija razume pomi-Prir med deležniki. Zaposleni in javnost morajo sleke in jih jemlje resno. vedeti, kdaj lahko pričakujejo nove informa- cije. Tudi če v določenem trenutku ni bistve- 164 4.2 Ohranjanje mirnosti in profesionalnosti Analitična orodja, ki omogočajo vpogled v raz- organizacija ohranja mirnost in profesionalen niste opazili. Če se negativni odzivi začnejo ton, tudi če so komentarji ostri ali čustveni. kopičiti ali se pojavijo napačne informacije, je Pomembno je, da zaposleni, ki so odgovorni Pri odzivanju na negativne odzive je nujno, da znavanju morebitnih težav, ki jih morda sprva položenje javnosti, lahko pomagajo pri prepo-za komunikacijo, ostanejo osredotočeni na re- pa in prilagodi svojo strategijo za komunicira-pomembno, da organizacija nemudoma ukre-ševanje težave in ne na čustveni odziv. Profe- nje, da prepreči širjenje napačnih podatkov. sionalen in miren pristop pripomore k zmanj-šanju napetosti ter prepreči, da bi se situacija 5.2 Prilagoditve strategije še dodatno zaostrila. Ko spremljate odzive, je pomembno, da ste Tudi v primerih, ko so kritike neupravičene ali pripravljeni prilagoditi svojo strategijo, če ugo-preveč čustvene, se mora organizacija izogiba- tovite, da vaše trenutne metode ne delujejo. ti defenzivnemu ali napadalnemu tonu. Zmer- To morda pomeni spremembo načina, kako nost in objektivnost bosta pomagala ohranjati sporočate informacije ali pa preusmeritev po-ugled podjetja in pokazala, da organizacija si- zornosti na bolj kritična področja, ki so bila tuacijo obvladuje na zrel ter odgovoren način. sprva spregledana. 5. Spremljajte odzive in prilagajajte strategijo Prilagoditve strategije ne smejo biti le reak- lagajanja izjemno pomembna. Načrti in stra- ustrezno posredovane določenim deležnikom, tegije, pripravljeni vnaprej, so ključni, vendar je smiselno nemudoma izboljšati komunika-je dinamika vsake krize nepredvidljiva. Raz-cijo in pojasniti nesporazume. Organizacije, ki V kriznih situacijah je sposobnost hitrega pri- ugotovite, da določene informacije niso bile tivne, ampak tudi proaktivne. Na primer, če mere se lahko spremenijo v trenutku, zato se hitro in učinkovito prilagajajo, lahko omili-mora organizacija nenehno spremljati odzive jo vpliv krize ter sčasoma celo pridobijo ugled in biti pripravljena prilagoditi svojo komunika-kot prilagodljive in odzivne entitete. cijsko strategijo, če ugotovi, da ne dosega že-lenih rezultatov. Spremljanje odzivov vključuje Na koncu je uspešno krizno komuniciranje od-aktivno opazovanje vseh kanalov, na katerih visno od zmožnosti hitrega odziva, vendar tudi se odvija komunikacija – to vključuje družbene od pripravljenosti, da se sproti učimo in izbolj-medije, spletne strani, forume, tradicionalne šujemo. Z vztrajnim spremljanjem odzivov in medije in tudi neposredne povratne informa- sprotnim prilagajanjem strategije bo organi-cije zaposlenih ter strank. Nenehno ocenjeva- zacija ostala korak pred krizo ter omejila njen nje odzivov vam omogoča, da razumete, kako negativen vpliv. javnost doživlja vaša sporočila, in hkrati pre- poznate morebitne šibke točke v vaši komu- nikaciji. KLJUČNI KORAKI 5.1 Analiza odzivov v realnem času 1. Pripravite krizni komunikacijski načrt ti V kriznih trenutkih je analiza odzivov javnosti - Identifikacija možnih kriz. arnos v realnem času neprecenljiva. Organizacija e v mora biti sposobna hitro obdelati podatke, ki - Določanje pristojnih oseb; kdo bo vodil prihajajo iz različnih virov, in ugotoviti, kako se krizno komuniciranje in podporne vloge odziva javnost. Z uporabo orodij za spremlja- (zbiranje podatkov, spremljanje odziva nje medijev in družbenih omrežij lahko hit- javnosti, tehnična podpora). ro zaznate trende ter prepoznate morebitna očnik kibernetsk - Zajeti ključne korake.Prir vprašanja, ki zahtevajo takojšnjo pozornost. 165 2. Ko nastopi krizna situacija - ustna izjava: govorec miren in prijazen 2. Določiti vpletene strani -> na koga bo - težavo dobro priznati in sprejeti odgovor- situacija vplivala. nost, ampak se osredotočiti na rešitve, 3. Preučitev dejstev -> posledice. 1. Aktiviranje pristojnih oseb. vsebino,-> podati ključna sporočila ter pozitivno 4. Obveščanje zaposlenih. strani in javnosti.- redno obveščanje zaposlenih, vpletenih 5. Obveščanje vpletenih strani. 6. Tri ključna sporočila za javnost. 4. Negativni odzivi 7. Prvi odziv hiter in dosleden – primerna komunikacija; stavki kratki, jedrnati in - Priznati težavo ali izziv. osredotočeni na dejstva – kaj se je zgo- - Podati obrazložitev. - Brez branjenja - izogibati defenzivnemu dilo, kdo je prizadet, kaj se bo naredilo, ali napadalnemu tonu. da se situacija reši. 8. Spremljanje odziva in prilagajanje stra- - Mirnost in profesionalnost.- Osredotočenost na reševanje težave. tegije.- Zmernost in objektivnost. 3. Komuniciranje Uporaba več kanalov: Viri: - - ENISA (AVGUST 2016): Strategies for In- - neposredna komunikacija z zaposlenimi, - družbeni mediji, operation. https://www.enisa.europa.eu/ publications/strategies-for-incident-re- - spletna stran, sponse-and-cyber-crisis-cooperation/@@ - tradicionalni mediji. stranmi, cident Response and Cyber Crisis Co- ustaljena komunikacija s vpletenimi download/fullReport Jasno komuniciranje: - ISO 22301:2019: Security and resilience — - odprta in iskrena komunikacija, Business continuity management systems - razumljiva, dosledna in kratka sporočila, — Requirements- strokovne izraze in postopke ustrezno poimenovati ter poenostaviti, ti arnos e v očnik kibernetsk Prir 166 Poglavje 25 Napotki za varovanje podatkov - osebnih in drugih občutljivih podatkov POVZETEK Poglavje obravnava ključne vidike varovanja osebnih in občutljivih podatkov, vključno z zagotavljanjem skladnosti z zakonodajo, kot je GDPR, in najboljšimi praksami za tehnično ter fizično zaščito podatkov. Poudarjen je pomen ozaveščanja zaposlenih, prepoznava- nja socialnega inženiringa ter priprave odzivnega načrta za primere incidentov. Namen je ponuditi celovite smernice za zaščito podatkov, ki pripomorejo k zmanjšanju tveganj ter preprečevanju zlorab in kršitev varnosti. Ključne točke: • Pravni okvir in skladnost z zakonodajo • GDPR in nacionalni predpisi • Zaupnost, celovitost in razpoložljivost podatkov • Tehnični ukrepi: šifriranje, nadzor dostopa, revizije ti • Fizična zaščita podatkov arnos • Ozaveščanje in usposabljanje zaposlenih e v • Prepoznavanje socialnega inženiringa • Odzivni načrt za varnostne incidente • Poročanje o kršitvah varnosti očnik kibernetsk • Redne analize in posodobitve ukrepov. Prir 167 1. Uvod nit in pregleden način. Poleg tega določa, da staja varovanje osebnih in drugih občutljivih jetja pa morajo vzpostaviti ustrezne tehnične podatkov ena ključnih odgovornosti tako za ter organizacijske ukrepe za varstvo teh po-podjetja kot posameznike. Z vse večjo količino V današnjem digitalno prepletenem svetu po- nepooblaščenim dostopom in uporabo, pod- morajo biti vsi osebni podatki zavarovani pred podatkov, ki se zbirajo in obdelujejo, raste tudi konodaje, kot je GDPR, lahko vodijo do visokih datkov. Pomembno je poudariti, da kršitve za- tveganje za zlorabe, nepooblaščene dostope glob, izgube zaupanja strank in resnih pravnih ter kršitve zasebnosti. Osebni podatki, kot so posledic. ime, naslov, kontaktni podatki, zdravstveni zapisi in finančne informacije, predstavljajo Poleg GDPR so lahko pomembni tudi nacio- neprecenljivo vrednost, ne samo za posame- nalni zakoni o varstvu osebnih podatkov, ki jih znika, temveč tudi za organizacije, ki te podat- je treba upoštevati, saj ti pogosto dopolnjujejo ke upravljajo. ali še natančneje določajo zahteve za speci- ge občutljive informacije, ki lahko vključujejo spremljati zakonodajne spremembe in zago-poslovne skrivnosti, intelektualno lastnino, tavljati skladnost z vsemi predpisi, ki vplivajo finančne podatke ali transakcije, podatke o na njihovo dejavnost. V Sloveniji velja ZVOP-2, Poleg osebnih podatkov obstajajo tudi dru- javni sektor. Organizacije morajo zato redno fična področja, kot so zdravstveni, finančni ali strankah ali celo strateške načrte organizacij. ki dopolnjuje GDPR in se obvezno uporablja Zloraba takih informacij lahko vodi do finanč-skupaj z njo. ne škode, izgube zaupanja strank in celo prav- nih posledic. Zato je ključnega pomena, da Med druge občutljive podatke štejemo tudi vsaka organizacija vzpostavi robustne varno- podatke, ki jih opredeljujejo drugi predpisi: stne politike, ki ščitijo podatke pred grožnjami. - poslovna skrivnost na podlagi Zakona o V tem dokumentu so predstavljeni ključni poslovni skrivnosti, napotki za učinkovito varovanje podatkov, ki - tajni podatek na podlagi Zakona o tajnih vključujejo pravni okvir, tehnične in fizične podatkih, varnostne ukrepe ter pomen ozaveščanja za- - zaupne informacije na podlagi Zakona o poslenih. Namen besedila je zagotoviti jasna bančništvu. zmanjšanju tveganj ter zaščiti podatkov pred Pri varovanju občutljivih podatkov je prav tako in uporabna navodila, ki bodo pripomogla k morebitnimi zlorabami. pomembno upoštevati zahteve, povezane z dolžnostmi obveščanja ob kršitvah podatkov. 2. Pravni okvir in skladnost z zakonodajo V primeru kršitve je podjetje dolžno o tem ti zgolj etična dolžnost, temveč tudi pravna ob- Skladnost z zakonodajo in transparentnost v veznost, ki izhaja iz različnih zakonodajnih komunikaciji ob takšnih dogodkih sta ključni okvirov. Eden najpomembnejših zakonov na za ohranitev zaupanja strank ter omejitev po- Varovanje osebnih in občutljivih podatkov ni posameznike, katerih podatki so bili prizadeti. obvestiti pristojne organe, in če je treba, tudi arnos področju varstva osebnih podatkov v Evrop- tencialne škode. ski uniji je Splošna uredba o varstvu podatkov e v (GDPR). Uredba določa pravila in obveznosti 3. Ključna načela varstva podatkov očnik kibernetsk EU. Njena glavna načela vključujejo pregle- vih podatkov morajo organizacije spoštovati osnovna načela, ki zagotavljajo zaupnost, ce- dnost, zakonitost, varnost in omejevanje na- lovitost ter razpoložljivost podatkov. Ta načela mena obdelave podatkov. lujejo ali hranijo osebne podatke državljanov Za učinkovito varovanje osebnih in občutlji-za podjetja ter organizacije, ki zbirajo, obde- Prir so temeljni stebri vsake varnostne strategije GDPR zahteva, da podjetja zagotovijo, da se in pomagajo preprečevati nepooblaščene do- osebni podatki obdelujejo na pravičen, zako- stope, izgubo podatkov ter druge grožnje, po- 168 vezane s kibernetskimi napadi in notranjimi ukrepi vključujejo šifriranje podatkov, vzposta-napakami. vitev sistemov za nadzor dostopa, redne var- - Zaupnost podatkov pomeni, da so osebni za zaznavanje ter preprečevanje vdorov. nostne preglede in uporabo naprednih orodij in občutljivi podatki dostopni samo tistim, ki so za to pooblaščeni. Organizacije mora- - Šifriranje podatkov je eden izmed na- jo vzpostaviti politike dostopa, ki temeljijo josnovnejših, a hkrati najučinkovitejših na principu najmanjših pravic, kar pomeni, ukrepov za varovanje podatkov. Z njim se da zaposleni dostopajo le do tistih podat- podatki kodirajo na način, da so nečitlji- kov, ki jih potrebujejo za svoje delo. Zaup- vi za nepooblaščene osebe. Šifriranje je nost se zagotavlja tudi s šifriranjem podat- ključnega pomena tako pri prenosu po- kov, tako med prenosom kot v mirovanju, datkov (na primer med dvema strežniko- kar preprečuje nepooblaščenim osebam ma ali med uporabnikom in aplikacijo) kot branje podatkov tudi v primeru njihovega tudi v mirovanju, ko so podatki shranjeni prestrezanja. na diskih ali v oblačnih okoljih. Z uporabo - Celovitost podatkov zagotavlja, da se po- močnih šifrirnih algoritmov lahko podjetja datki nepooblaščeno ne spreminjajo. To znatno zmanjšajo tveganje za krajo ali zlo- načelo je ključno za preprečevanje napak, rabo podatkov, tudi če pride do njihovega ki bi lahko povzročile izgubo pomembnih prestrezanja ali izgube naprav. informacij ali poškodovale podatke. Re- dne varnostne kopije, digitalni podpisi in - Dostopni kontrolni sistemi: nadzor dosto- - Razpoložljivost podatkov pomeni, da so mehanizmi za preverjanje integritete po- pa je temelj varovanja občutljivih podatkov. Organizacije morajo zagotoviti, da imajo datkov so ključni ukrepi, ki pomagajo pri do podatkov dostop samo tiste osebe, ki to zagotavljanju, da so podatki točni, popolni potrebujejo za opravljanje svojega dela. To ter veljavni skozi celoten cikel njihove ob-vključuje uporabo mehanizmov za prever-delave. Del celovitosti je tudi neovrgljivost janje identitete, kot so dvofaktorska avten-(ang. non-repudiation), ki zagotavlja, da je tikacija (2FA), ter vzpostavitev jasnih pravil podatek res prišel od osebe, ki se predsta-za dodeljevanje in odvzemanje dostopnih vlja za naslovnika. pravic. Sistem za nadzor dostopa bi moral biti zasnovan na principu najmanjših privi-podatki dostopni in uporabni za pooblaš-legijev, kar pomeni, da ima vsak uporabnik čene uporabnike, kadar je to treba. Učinko-dostop samo do tistih podatkov, ki so nuj-vito varovanje podatkov vključuje tudi zaš-no potrebni za opravljanje njegove naloge. čito pred izgubo zaradi tehničnih napak, naravnih nesreč ali kibernetskih napadov, - Redne varnostne revizije in ocene tvega- ki lahko preprečijo dostop do podatkov. nja: tehnični ukrepi morajo biti redno pre- Tukaj pridejo v poštev varnostne kopije, ro- verjani in prilagajani glede na nove grožnje bustni sistemi za obnovo podatkov in re- ter tehnološke spremembe. Redne var- dundantni strežniki, ki zagotavljajo, da so nostne revizije omogočajo organizacijam, ti podatki na voljo tudi v primeru okvare ali da odkrijejo morebitne ranljivosti v svojih napada. sistemih, prepoznajo neustrezne prakse in arnos 4. Ukrepi za tehnično zaščito podatkov implementirajo izboljšave. Ocene tveganja e v so prav tako bistven del tega procesa, saj Tehnični ukrepi za zaščito podatkov so ključ- pomagajo določiti, kateri podatki so naj-nega pomena za preprečevanje nepooblaš- bolj kritični za poslovanje in katere grožnje čenega dostopa, zlorab in izgube podatkov. so najbolj verjetne ter jih je treba obravna- očnik kibernetsk Organizacije morajo implementirati celovit vati prednostno.Prir nabor varnostnih ukrepov, ki zagotavljajo zau-pnost, celovitost in razpoložljivost podatkov. Ti 169 5. Fizična zaščita občutljivih podatkov bolj napredni tehnološki in fizični ukrepi lahko na tudi fizična zaščita podatkov, saj lahko do nega ravnanja z občutljivimi podatki. Ozave-uhajanja podatkov pride tudi zaradi fizičnih ščanje zaposlenih o potencialnih nevarnostih vdorov ali neustrezno varovanih prostorov in Poleg tehničnih ukrepov je enako pomemb- volj ozaveščeni in usposobljeni glede pravil- postanejo neučinkoviti, če zaposleni niso do- naprav. Učinkovita fizična varnost vključuje zato nujen del vsake varnostne strategije. in najboljših praksah za varovanje podatkov je tako zaščito strojne opreme kot tudi ustrezno ravnanje z dokumentacijo, ki vsebuje občutlji- Redna in ciljno usmerjena usposabljanja za- ve podatke. Organizacije morajo zagotoviti, da poslenih so ključnega pomena za vzdrževanje so vse fizične naprave, ki hranijo ali obdeluje- visoke stopnje varnosti. Zaposleni morajo biti jo podatke, ustrezno varovane, dostop do teh obveščeni o trenutnih grožnjah, kot so phi- naprav pa omejen le na pooblaščene osebe. shing napadi, socialni inženiring in zlonamer- mora vključevati omejen dostop do tehnične- jena vlogam zaposlenih znotraj organizacije ga osebja s preverjanjem identitete, uporabo – na primer, tehnično osebje potrebuje bolj nadzornih sistemov, kot so kamere in varno- poglobljeno tehnično znanje, medtem ko so stne ključavnice, ter omejevanje fizičnega do- splošni zaposleni lahko bolj osredotočeni na stopa do strežnikov. Hkrati je treba zagotoviti, prepoznavanje in preprečevanje socialnega da so prostori primerno zaščiteni pred narav- inženiringa. Socialni inženiring je ena najpo- nimi nesrečami, kot so poplave, požari ali pot- gostejših tehnik, s katero hekerji manipulira- resi, z vzpostavitvijo varnostnih mehanizmov, jo z ljudmi, da pridobijo dostop do občutljivih kot so protipožarne zaščite in redundantne podatkov. Ta oblika napada se pogosto začne digitalne infrastrukture vsake organizacije, saj občutljivimi podatki, vključno z varnim shra-shranjujejo ključne podatke in omogočajo nji-njevanjem, deljenjem in uničevanjem teh hovo obdelavo. Fizična zaščita teh prostorov podatkov. Usposabljanja naj bodo prilago-Strežniške sobe in podatkovni centri so srce da razumejo pomen pravilnega ravnanja z na programska oprema. Poleg tega je nujno, električne napajalne rešitve. z na videz nedolžnim e-poštnim sporočilom Čeprav večina občutljivih podatkov danes ali telefonskim klicem, ki od zaposlenega zah- obstaja v digitalni obliki, pa so tiskani doku- teva razkritje zaupnih informacij ali dostop do menti še vedno pomemben del vsakodnev-notranjih sistemov. Organizacije morajo zato nega poslovanja, zlasti v nekaterih panogah, svoje zaposlene naučiti, kako prepoznati zna- kot so bančništvo, zdravstvo in pravne storitve. ke socialnega inženiringa, kot so nenavadne Zaupni dokumenti morajo biti shranjeni v za- prošnje za informacije, pritiski po hitrem ukre- klenjenih omarah ali trezorjih, ki so dostopni panju ali sumljive povezave v e-poštnih sporo- le pooblaščenim osebam. Organizacije mora- čilih. Ključno je, da imajo zaposleni jasna na- jo vzpostaviti politiko ravnanja s tiskano doku- vodila, kam se obrniti v primeru, ko prejmejo mentacijo, ki vključuje pravilno označevanje sumljivo zahtevo. ti zaupnih dokumentov, varno shranjevanje in Napadalci se v fazi poizvedovanja poslužuje-redno uničevanje zastarelih ali nepotrebnih jo tudi informacij iz odprtih virov (ang. OSINT, arnos dokumentov z uporabo uničevalcev papirja, open source intelligence), zato je ključnega e v ki zagotavljajo, da dokumenti ne morejo biti pomena tudi ozaveščanje o podatkih in in-obnovljeni. formacijah, ki jih posameznik sam (vede ali 6. Ozaveščanje zaposlenih in usposabljanje nevede) deli na družabnih omrežjih, na dru- očnik kibernetsk Eden najpogosteje spregledanih vidikov varo- spletu nasploh. gih podobnih spletnih platformah oziroma na Prir vanja podatkov je človeški dejavnik. Tudi naj- 170 7. Incidenti in odzivni načrt pripravi ustrezno poročilo za pristojne nad- podatkov se včasih zgodi, da pride do varno- kar zahteva transparentno in natančno komu-stnih incidentov. Učinkovit odziv na incident je nikacijo o tem, kakšne podatke so pridobili ključnega pomena za omejevanje škode, hitro Kljub najboljšim prizadevanjem za varovanje o kršitvi obvestiti tudi prizadete posameznike, zorne organe. V nekaterih primerih bo treba poslovanje ter zaupanje strank. Zato je bistve- vanju incidenta je pomembno opraviti podrob-no, da imajo organizacije pripravljen in jasno no analizo vzrokov, ki so pripeljali do kršitve. S določen odzivni načrt, ki ga redno preizkušajo tem organizacija pridobi vpogled v morebitne obnovitev sistemov in zmanjšanje posledic za ukrepi za zaščito prizadetih oseb. Po obvlado-nepooblaščeni subjekti ter kakšni so možni ter posodabljajo. ranljivosti v svojih varnostnih postopkih in sis-Odzivni načrt za varnostne incidente mora za- temih. Na podlagi teh ugotovitev je mogoče jemati jasne postopke za ravnanje v primeru sprejeti izboljšave, ki vključujejo dodatne teh-kršitve varnosti podatkov. Pomembno je, da nične in organizacijske ukrepe za preprečeva-so določene odgovorne osebe in timi, ki bodo nje podobnih incidentov v prihodnosti. Redno vodili odziv na incident, ter da so vzpostavljeni testiranje in nadgrajevanje odzivnega načrta jasni protokoli za obveščanje ključnih deležni- je ključno za učinkovito obvladovanje prihod-kov, vključno z vodstvom, tehničnimi ekipami njih incidentov. in pravnimi strokovnjaki. Načrt mora vključe- vati postopke za takojšnjo omejitev škode, kot je izolacija prizadetih sistemov, onemogoča- Viri: da so vsi zaposleni seznanjeni s tem, kako naj on the security of personal data processing. https://www.enisa.europa.eu/publicati-poročajo o morebitnih varnostnih incidentih in ons/guidelines-for-smes-on-the-security-kakšni koraki sledijo, če opazijo sumljivo de-zavarovanje podatkov. Hkrati je pomembno, - ENISA (Januar 2017) : Guidelines for SMEs nje dostopa nepooblaščenim uporabnikom in javnost. -of-personal-data-processing V skladu z zakonodajo, kot je GDPR, so orga- - ENISA (Januar 2018): Handbook on Secu-rity of Personal Data Processing. https:// nizacije dolžne poročati o kršitvah osebnih www.enisa.europa.eu/publications/han-podatkov v roku 72 ur po tem, ko so kršitev dbook-on-security-of-personal-data-pro-zaznale, če gre za kršitev, ki lahko predstavlja cessing tveganje za pravice in svoboščine posamezni- kov. Zato je nujno, da organizacija hitro iden- - Informacijski pooblaščenec RS: https:// tificira, katere podatke je incident prizadel, in www.ip-rs.si/ ti arnos e v očnik kibernetsk Prir 171 Poglavje 26 Napotki za upravljanje in hrambo dnevniških zapisov POVZETEK Besedilo poudarja pomen pravilnega upravljanja in hrambe dnevniških zapisov, ki so ključ-ni za varnost, skladnost z zakonodajo in uporabo pri forenzičnih preiskavah. Predstavljene so najboljše prakse za beleženje, analizo, varno hrambo, arhiviranje in uničenje dnevnikov. Poseben poudarek je na skladnosti z zakonodajo in standardi, kot je ISO 27001, ter zagota-vljanju varnosti podatkov in vzpostavljanju zaupanja med deležniki. Ključne točke: • Dnevniški zapisi • Forenzične preiskave • Beleženje in analiza dogodkov ti • Centralizirano upravljanje dnevnikov • Varna hramba in šifriranje arnos e v • Geografska lokacija hrambe • Arhiviranje in uničenje podatkov • Skladnost z zakonodajo (ZInfV, GDPR) očnik kibernetsk • Standard ISO 27001 Prir • Zaupanje in varnost podatkov. 172 1. Uvod v dnevniške zapise Poleg forenzičnih namenov pa dnevniški za- varnostnega sistema, saj zagotavljajo sle- dnevnike v realnem času, lahko hitro zaznajo di dogodkov in aktivnosti, ki potekajo znotraj nepravilnosti, kot so povečano število napak, informacijskih sistemov. Ti zapisi niso zgolj Dnevniški zapisi so nepogrešljiv element lovanja sistema. Organizacije, ki spremljajo pisi omogočajo tudi sprotno spremljanje de- jo ključni vir informacij za analizo in oceno ve. Varnostne ekipe se pogosto zanašajo na te varnostnih tveganj, forenzične preiskave ter podatke, da identificirajo potencialne grožnje, odpravljanje napak v sistemih. Bistveno je preden te prerastejo v večje incidente. tehnični dnevnik aktivnosti; predstavlja- sistemske napake, ki lahko vodijo v večje teža-poskusi dostopa do občutljivih podatkov ali razumeti, da dnevniki niso zgolj za notranjo uporabo tehničnih ekip. Njihova pomembnost Nenazadnje je hramba in analiza dnevniških se odraža tudi pri izpolnjevanju zakonodajnih zapisov tesno povezana z zakonodajnimi ter zahtev in zagotavljanju skladnosti s standardi. regulativnimi zahtevami. Organizacije, ki de-Organizacije, ki ne upravljajo pravilno z dnev- lujejo v sektorjih, kot so finance, zdravstvo ali niki, tvegajo izgubo dragocenih informacij, ki energetika, morajo pogosto dokazovati skla-bi lahko bile ključne za reševanje incidentov dnost z zakonodajo in varnostnimi standardi, ali dokazovanje skladnosti z zakonodajo. Po- kot je ISO 27001. Dnevniki so lahko dokaz, da leg tega so pravilno vzdrževani dnevniki osno- so bili varnostni protokoli ustrezno izvajani, da va za vzpostavitev zaupanja med poslovnimi ni bilo nepooblaščenih dostopov do podatkov, partnerji in strankami. in da je bil sistem ves čas ustrezno zaščiten. V tem kontekstu postaja jasno, da učinkovito težave in visoke kazni. Pomanjkanje teh zapisov lahko vodi v pravne upravljanje dnevniških zapisov zahteva strate- ški pristop. Ne gre zgolj za tehnično beleženje 3. Najboljše prakse za upravljanje dnev-dogodkov, temveč za vzpostavitev postopkov, niških zapisov datkov ter njihovo pravočasno analizo. Upravljanje dnevniških zapisov ni samo teh-ki zagotavljajo varno in zanesljivo hrambo po- nična naloga, temveč zahteva skrbno načrto- 2. Zakaj so dnevniški zapisi pomembni? vanje in implementacijo ustreznih postopkov. Pomen dnevniških zapisov daleč presega zgolj zagotoviti, da so dnevniki koristni, varni in do-Tukaj so nekatera ključna priporočila, kako tehnično vlogo beleženja dogodkov. Njiho- stopni, ko jih potrebujete. va vrednost se izraža v več različnih vidikih, ki vplivajo na celovito varnost, zanesljivost in - Redna analiza dnevniških zapisov: Za skladnost z zakonodajo v organizacijah. zagotovitev varnosti je priporočljivo, da godkov za potrebe forenzičnih analiz. Brez vzpostavijo avtomatizirane procese, ki v re-dnevniških zapisov bi bila preiskava more-alnem času analizirajo dnevnike in sproži-bitnih varnostnih incidentov precej otežena, ti jo alarm v primeru sumljivih aktivnosti. Tak Prvi ključni razlog je zagotavljanje sledi do- redno analizirajo. Organizacije lahko se dnevniki ne zgolj beležijo, temveč tudi saj ne bi bilo mogoče natančno rekonstruirati pristop omogoča hitro odzivanje na more- arnos dogajanja v informacijskem sistemu. Tako v bitne grožnje.e v primeru vdorov, zlonamernih aktivnosti ali celo tehničnih napak lahko dnevniki razkrije- - Samodejno beleženje pomembnih do-jo natančne korake, ki so vodili do incidenta. godkov: Sistemi naj bodo konfigurirani V primeru zlonamernih napadov so tovrstni tako, da samodejno beležijo pomembne podatki ključni za ugotavljanje načina dosto- dogodke, kot so prijave, poskusi dostopa, očnik kibernetsk pa, obsega škode in potencialnih slabosti v napake sistema in spremembe konfigura-Prir sistemu. cij. Ročno beleženje je nepraktično in ne- 173 zanesljivo, zato je nujno, da se ti procesi do njih pa omejiti na pooblaščene osebe. Šifri-avtomatizirajo. ranje dnevniških zapisov je ena od najboljših - Centralizirano zbiranje zapisov: V velikih sistem ti podatki ostanejo varni. praks, ki zagotavlja, da tudi v primeru vdora v organizacijah, kjer obstajajo številni sis- temi in platforme, je priporočljivo zbirati Geografska lokacija hrambe Centralizacija olajša pregled nad celotno prav tako pomembna. Priporočljivo je, da se dnevniki hranijo v zanesljivih in varnih podat-infrastrukturo in omogoča hitrejše zazna-kovnih centrih, pri čemer je zlasti pomemb-vanje anomalij. nem sistemu za upravljanje dnevnikov. Geografska lokacija, kjer se hranijo dnevniki je dnevnike iz različnih virov v centralizira- na redundantnost – hranjenje dnevniških za- Za učinkovito upravljanje dnevniških zapisov pisov na več lokacijah zagotavlja, da podatki je torej pomembno upoštevati načela avtoma- ne bodo izgubljeni v primeru naravnih nesreč tizacije, centralizacije in rednega spremljanja. ali drugih nepredvidenih dogodkov. V skladu Le tako lahko zagotovite, da bodo dnevniki s 17. členom Zakona o informacijski varnosti uporabni tako za operativne kot za forenzične (ZInfV) je zahtevano, da se ohranjanje dnev- potrebe. niških zapisov zagotovi na ozemlju Republike 4. Hramba dnevniških zapisov skladnosti z zakonskimi določili. Slovenije, kar dodatno pripomore k varnosti in Hramba dnevniških zapisov je ključni element 5. Pravilno arhiviranje in uničenje dnevniških upravljanja, saj morajo biti ti podatki varno zapisov shranjeni za določeno časovno obdobje, od- visno od zakonodajnih in operativnih zahtev Za dolgoročno varnost je izjemno pomembno, posamezne organizacije. Pravilna hramba ni da organizacije vzpostavijo jasne postopke za samo vprašanje varnosti, temveč tudi vpraša- arhiviranje in uničenje dnevniških zapisov. Na- nje skladnosti z zakonodajo. pačno upravljanje lahko vodi do nepotrebnih Trajanje hrambe regulativnimi zahtevami ali celo vdori, če po- tveganj, kot so izguba podatkov, neskladnost z Pri določanju obdobja hrambe dnevniških datki niso ustrezno zaščiteni. zapisov je treba upoštevati naravo podatkov, Arhiviranje pravne zahteve in potrebe podjetja. Na pri- mer, finančne institucije so pogosto dolžne Ko dnevniki niso več potrebni za vsakodnev- hraniti dnevnike za daljša obdobja, v nekaterih no spremljanje, jih je treba pravilno arhivira- primerih celo več let, medtem ko lahko dru- ti. Arhiviranje je postopek premika dnevniških ge industrije zahtevajo krajše obdobje hram- zapisov iz aktivne uporabe v varno shrambo. be. Ključno je, da se vsakodnevno upravljanje Organizacije bi morale vzpostaviti jasne smer- podatkov prilagodi specifičnim potrebam, saj nice, ki določajo, kateri zapisi bodo arhivirani, ti lahko pretirano dolga hramba dnevnikov brez za koliko časa in na kakšen način bodo ti po- pravega razloga privede do nepotrebnih stro- datki dostopni. Pri tem je treba paziti, da so arnos škov in preobremenitve sistemov. arhivirani dnevniki zaščiteni pred nepoobla- e v ščenim dostopom in shranjeni na varnih ter Varna hramba zanesljivih lokacijah, da preprečimo izgubo Zagotavljanje varnosti pri hrambi dnevnikov podatkov. očnik kibernetsk je ključnega pomena. Dnevniki pogosto vse- Poleg tega mora biti dostop do arhiviranih bujejo občutljive podatke, kot so informacije o dnevnikov omejen na pooblaščeno osebje. prijavah uporabnikov, dostopih do sistemov in Vsak dostop bi moral biti zabeležen, da se za- Prir napakah. Zato je treba te podatke shranjevati gotovi sledljivost in preglednost. To je zlasti na zanesljivih in varovanih lokacijah, dostop pomembno v primerih, ko se dnevniki upora- 174 bljajo kot dokazno gradivo pri pravnih postop- Uporaba standardov, kot je ISO 27001 kih ali forenzičnih preiskavah. Poleg skladnosti z zakonodajo morajo organi- Postopki uničenja zacije slediti tudi varnostnim standardom, kot treba varno uničiti. Pomembno je, da postopek sov. Ta standard zahteva, da se vzpostavijo in uničenja sledi ustaljenim varnostnim protoko-dokumentirajo postopki za upravljanje dnev-lom, in da se zagotovi, da uničenje podatkov niških zapisov, kar vključuje natančno opre-Ko dnevniki presežejo obdobje hrambe, jih je k upravljanju informacij in varnostnih proce-je ISO 27001, ki določa sistematičen pristop poteka nepopravljivo, brez možnosti kasnejše delitev, kako ter kje se dnevniki hranijo, kdo obnove. To vključuje uničenje varnostnih kopij ima dostop do njih, in kako se obdelujejo ter in arhivov. uničujejo. Uničenje dnevniških zapisov se mora izvaja- Skladnost z ISO 27001 pomaga organizacijam ti v skladu z zakonodajnimi zahtevami, zlasti tudi pri vzpostavljanju zaupanja med stranka-tistimi, ki so povezane z varovanjem osebnih mi in poslovnimi partnerji, saj zagotavlja, da podatkov. Na primer, organizacije, ki hranijo so varnostni ukrepi na najvišji ravni. To je zlasti osebne podatke, morajo biti zlasti pozorne pomembno v kritičnih sektorjih, kjer je varnost na to, da se podatki uničijo v skladu s pra-podatkov ključnega pomena. vili o varstvu podatkov, kot jih določa GDPR. Nepravilno uničenje ali pozabljeno uničenje starih dnevnikov lahko privede do varnostnih incidentov ali pravnih posledic, zato je ta po- Viri: stopek kritičen za vsako organizacijo. - ENISA (December 2016): Technical Guide- 6. Skladnost z zakonodajo in varnostnimi lines for the implementation of minimum security measures for Digital Service Provi-standardi ders. https://www.enisa.europa.eu/publi- Skladnost z zakonodajo in varnostnimi stan- cations/minimum-security-measures-for- dardi je eden izmed najpomembnejših vidikov -digital-service-providers upravljanja dnevniških zapisov, saj imajo or- - SIST ISO/IEC 27001:2023: Informacijska ganizacije dolžnost, da zaščitijo občutljive po-varnost, kibernetska varnost in varovan-datke in preprečijo zlorabe. Varnostni standar-je zasebnosti — Sistemi upravljanja in-di, kot je ISO 27001, postavljajo jasna pravila, formacijske varnosti — Zahteve (ISO/IEC kako je treba ravnati z dnevniki, da bi se za-27001:2022) gotovila ustrezna varnost in zaščita podatkov.- ISO/IEC 27002:2022: Information security, cybersecurity and privacy protection — In-formation security controls ti arnos e v očnik kibernetsk Prir 175 Poglavje 27 Napotki glede fizičnega varovanja prostorov POVZETEK Besedilo obravnava ključne elemente učinkovitega fizičnega varovanja prostorov, kot so analiza tveganj, določitev varnostnih ciljev in politik, nadzor dostopa, video nadzor, fizične pregrade ter požarna varnost. Poseben poudarek je na uporabi tehničnih rešitev, kot so elektronski sistemi za nadzor dostopa in skladnosti z zakonodajo ter standardi, kot je ISO/ IEC 27002. Cilj je zagotoviti celovito zaščito premoženja, zaposlenih in informacijskih virov. Ključne točke: • Fizično varovanje prostorov • Analiza tveganj in ocena groženj • Varnostni cilji in politike ti • Nadzor dostopa (biometrija, elektronske kartice) • Video nadzor (strategija, zakonodaja) arnos e v • Fizične pregrade (ograje, varovana vrata) • Požarna varnost (sistemi za zaznavanje dima, evakuacija) • Skladnost z zakonodajo in standardi (ISO/IEC 27002) očnik kibernetsk • Tehnični sistemi in integracija Prir • Usposabljanje zaposlenih. 176 Fizična varnost prostorov je ključni vidik vsa- 2. Določitev varnostnih ciljev in politik čen dostop in naravne nesreče. V sodobnih tev varnostnih ciljev in politik, ki organizaciji omogočajo usmerjanje naporov na ustrezna podjetjih, kjer so občutljivi podatki in ključna področja. Varnostni cilji morajo biti jasno zičnimi grožnjami, kot so kraje, nepooblaš- Po zaključku analize tveganj sledi določi-ke organizacije, saj varuje pred različnimi fi- nemotenega delovanja in s tem skladnosti s učinkovito spremlja njihova implementacija in uspešnost. Določitev teh ciljev je odvisna od sistemom zagotavljanja neprekinjenega delo-specifičnih potreb organizacije in ugotovitev vanja . ne varnosti bistvenega pomena za ohranjanje definirani, konkretni in merljivi, da se lahko oprema glavni, je zagotavljanje ustrezne fizič- analize tveganj. standardu ISO/IEC 27002, ki ponuja smernice Glavni varnostni cilji lahko vključujejo: Fizična varnost je dobro opredeljena tudi v za zaščito prostorov, infrastrukture in infor- - Varovanje zaposlenih in premoženja orga-macijskih sistemov. Skladnost s temi smerni- nizacije zaradi vseh fizičnih vplivov (požar, cami zagotavlja celovit pristop k zmanjšanju potres, poplave ter ostalo). tveganj ter zaščiti ključnih virov. - Preprečevanje nepooblaščenega dostopa 1. Analiza tveganj in ocena groženj do varovanih območij. Učinkovito fizično varovanje prostorov se ved- - Zmanjševanje tveganj, povezanih z notra-no začne z natančno analizo tveganj in oceno njimi grožnjami (zaposleni, pogodbeni iz-groženj. Ta korak organizacijam omogoča ra- vajalci). ogrozile varnost objektov, sredstev in zaposle- - Zaščita vitalnih sredstev, kot so podatki in pomemba infrastruktura. zumevanje potencialnih nevarnosti, ki bi lahko nih. Pomembno je, da se ta analiza izvaja re- dno, saj se grožnje nenehno spreminjajo – od Na podlagi teh ciljev je treba vzpostaviti var-novih tehnik vlomov do naravnih nesreč, kot nostne politike, ki služijo kot okvir za vede-so poplave in potresi, ki lahko ogrozijo delova- nje zaposlenih, obiskovalcev in varnostnega nje prostorov. osebja. Politike morajo pokrivati širok spekter fične značilnosti objekta in okolja. Na primer, pi do ravnanja v izrednih situacijah. Ključno je tudi, da so te politike žive in prilagodljive, saj v urbanih okoljih so pogostejša tveganja, po-Pri analizi tveganj je treba upoštevati speci- varnostnih področij – od upravljanja z dosto- oddaljenih območjih lahko večje nevarnosti in tehnološkimi rešitvami se morajo varnostne politike stalno posodabljati, kar zahteva tes-povezane z dostopnostjo in odzivnostjo na in-vezana s kriminalom, medtem ko so v bolj varnost ni statičen proces. Z novimi grožnjami cidente. Poleg tega je ključno, da se identifi- no sodelovanje med varnostnim vodstvom ter preostalimi oddelki v podjetju. cirajo kritične točke ranljivosti, kot so vhodi, izhodi, skladišča, IT-sobe in parkirišča, ki po- 3. Nadzor dostopa ti gosto predstavljajo cilje napadov. Nadzor dostopa predstavlja temeljni element arnos Po končani analizi je priporočljivo pripraviti fizičnega varovanja, saj omogoča učinkovito e v poročilo, ki vsebuje predloge za izboljšave ter omejevanje gibanja oseb znotraj določenih prednostno lestvico ukrepov. To omogoča jas-območij. V sodobnem okolju obstajajo številne no sliko o tem, kje so potrebne največje na-tehnologije za nadzor dostopa, ki omogočajo ložbe v varnost, in pomaga določiti odgovor-visoko raven prilagodljivosti in varnosti. Upo-nosti v podjetju. Ocena groženj je tudi temelj raba elektronskih sistemov, kot so pametne očnik kibernetsk za oblikovanje kasnejših varnostnih politik in kartice ali biometrični sistemi, omogoča ne Prir ciljev, ki jih je treba postaviti znotraj organi-le preprečevanje nepooblaščenega dostopa, zacije. 177 temveč tudi natančno sledenje, kdo in kdaj je odvračalno sredstvo, vendar se z razvojem vstopil v določen prostor. tehnologij zdaj uporabljajo kot aktivno orod- Ključne tehnologije za nadzor dostopa vklju- dejavnosti. Pomembno je, da so kamere na- je za sledenje, odkrivanje in analizo sumljivih čujejo: meščene na strateških točkah – vhodi in iz- - Elektronske kartice in bralniki: Omogoča- hodi, hodniki, parkirišča ter skladišča, kjer je jo enostavno in varno upravljanje z dostopi. tveganje za incidente največje. Te kartice so pogosto opremljene s funkci- Pri implementaciji video nadzora je treba upo- jo beleženja vstopov, kar omogoča natan- števati več dejavnikov: čen nadzor nad gibanjem oseb. Navedeni sistemi morajo biti ustrezno certificirani, - Kakovost posnetkov: Kamere z visoko lo-elektronske kartice pa morajo omogočati čljivostjo omogočajo prepoznavo oseb in ustrezno šifriranje, ki ga ni mogoče zlora- podrobnosti, kar je ključno pri preiskovanju biti oz. spreminjati s strani nepooblaščenih incidentov. oseb. - Shranjevanje posnetkov: Posnetke je tre- - Biometrični sistemi: Prepoznava prstnih ba hraniti varno in v skladu z zakonodajo. odtisov, obrazov ali šarenice ponuja visoko Pri tem je pomembno, da so ti šifrirani in raven zaščite, saj je biometrične podatke dostopni le pooblaščenim osebam. izredno težko ponarediti. Za uvedbo teh sistemov je treba predhodno izvesti te- - Integracija s senzorji gibanja in alarmi: meljito DPIA (oceno učinkov na varovanje Napredni sistemi video nadzora so poveza- ni s senzorji, ki ob zaznavanju nenavadnih osebnih podatkov) in pridobiti ustrezno gibanj sprožijo takojšnje ukrepe. Takšni mnenje Informacijskega pooblaščenca. sistemi omogočajo hitrejšo zaznavo poten- - PIN-kodni sistemi: Čeprav so manj varni cialnih groženj. v primerjavi z biometričnimi sistemi, so še vedno učinkoviti, zlasti če so PIN kode re- - Oddaljen nadzor: Z modernimi tehnolo- dno posodobljene. gijami lahko varnostno osebje spremlja posnetke v realnem času prek oddaljene- Nadzor dostopa ni le tehnološki izziv, temveč ga dostopa, kar omogoča hiter odziv tudi v zahteva tudi jasno definirane protokole za primeru, ko so osebno odsotni. okoliščinah, mora biti jasno dokumentirano. nento, ki jo organizacije ne smejo zanema-riti. Pomembno je, da se video nadzor izvaja Redno je treba izvajati tudi preglede sistema, skladno z lokalno zakonodajo o zasebnosti, da se zagotovi brezhibno delovanje in posoda-ima dostop do katerih območij in v kakšnih Video nadzor ima tudi svojo pravno kompo-upravljanje dostopa. Na primer določitev, kdo ti bljanje dostopov skladno s kadrovskimi spre- kar vključuje pravilno obveščanje zaposlenih in obiskovalcev o obstoju kamer ter primerno membami. upravljanje posnetkov. Organizacija mora gle- Načrtovanje in izvedbo vgraditve omenjenih de na oceno ogroženosti zagotoviti varnostno arnos sredstev tehničnega varovanja lahko izvajajo kopiranje podatkov video nadzornega sistema e v le za to ustrezno usposobljene ter licencirane in pristope kontrole. Varnostne kopije se pot- organizacije, ki imajo ustrezno licenco na pod- rebuje za rekonstrukcijo dogodkov in jih je tre- lagi zakona o zasebnem varovanju. ba hraniti na ustrezni sekundarni lokaciji ter 4. Video nadzor in tehnični sistemi ranje teh. primerno urediti prenosno povezavo oz. kopi- očnik kibernetsk Video nadzor predstavlja ključno orodje za za- Signali vseh tehničnih sredstev morajo biti Prir gotavljanje fizične varnosti v vsakem objektu. ustrezno po varnih povezavah speljani v ustre-Kamere so v preteklosti služile predvsem kot zne varnostno-nadzorne centre, kjer se na 178 podlagi sprejetih signalov tudi izvede ustrezna Požarna varnost znave nepooblaščenega gibanja. Požarna varnost je eden izmed ključnih vidi-intervencija na mestu sprožitve signala ali za- kov fizičnega varovanja prostorov, saj lahko 5. Fizične pregrade in zaščitni elementi požari povzročijo nepopravljivo škodo na pre- be pred nepooblaščenim vstopom v varovane za požarno varnost je treba upoštevati tako prostore. Te pregrade so zasnovane tako, da preventivne kot odzivne ukrepe, ki zmanjšuje-otežijo ali preprečijo dostop do zaščitenih ob-jo tveganje za nastanek požara in omogočajo Fizične pregrade predstavljajo prvi sloj obram- življenja. Pri oblikovanju učinkovitega načrta moženju, infrastrukturi in ogrozijo človeška močij, bodisi skozi fizične ovire bodisi s tehnič- hitro ukrepanje v primeru požarnega inciden-nimi sistemi, ki preprečujejo dostop. Kvalitetno ta. zasnovan sistem fizičnega varovanja se začne že pri urejanju dostopa v samo organizacijo. Preventivni ukrepi vstopno točko v organizaciji. Največkrat se že katerih cilj je zmanjšanje možnosti za nasta-nek izrednih dogodkov v prostorih. Med ključ-po prvem stiku, ki se začne s fizičnim dosto-ne preventivne ukrepe spadajo: pom na recepciji organizacije, da zaključiti cepcijo, ki predstavlja prvo in zelo pomembno Preprečevanje požara vključuje vrsto ukrepov, To pomeni ustrezno varovano in zaščiteno re-kakšno pozornost organizacija namenja pro- - Namestitev protipožarnih sistemov: To cesom varovanja. vključuje avtomatske gasilne sisteme, kot Najpogostejše fizične pregrade vključujejo: so brizgalniki (sprinklerji), ki se sprožijo ob zaznavi visokih temperatur. Sem vklju-- Ograje in zidove: Zaščita zunanjih obodov čujemo tudi ustrezno postavitev požarnih je temeljni del varovanja. Ograje mora- central, ki morajo biti pravilno povezane, jo biti dovolj visoke in trdne, da odvračajo da se prek njih posreduje signal na za to morebitne vlomilce. Pomembno je tudi, da ustrezne odzivne službe ali centre (možno se ti objekti redno vzdržujejo. je, da so ti signali vezani na Varnostno ope- - Varovana vrata in okna: Posebna varno- omenjene objekte ali direktno na pristojne rativne centre varnostnih služb, ki varujejo stna vrata in okna, opremljena z ojačanim lokalne gasilske enote). steklom ali rešetkami, predstavljajo dodat- no oviro pred fizičnim vdorom. Poleg tega - Sistem za zaznavanje dima: Detektorji lahko uporaba varnostnih ključavnic ali ko- dima so ključni za zgodnje odkrivanje po- dnih sistemov še dodatno poveča zaščito. žara in aktiviranje alarmov, ki omogočajo pravočasno evakuacijo. - Senzorji in alarmi: Ti tehnični sistemi do- polnjujejo fizične pregrade in so ključni za - Požarne lopute, povezave s prezračeva- zaznavo poskusov vdora. Senzorji gibanja, njem objektov. Pri načrtovanju fizičnih pregrad je pomembno, alarmi na oknih in vratih ter tlačne plošče ti - Varnostno shranjevanje nevarnih snovi: omogočajo zgodnje opozarjanje na sumlji- Materiali, ki lahko povzročijo požar, morajo ve dejavnosti.arnos biti ustrezno shranjeni v ognjevarnih pro-e v storih. da niso zasnovane le kot pasivne ovire, temveč so del širšega varnostnega sistema, ki vklju- - Redno vzdrževanje električnih napeljav: čuje tudi tehnologije za zaznavanje in odziv. Nepravilno vzdrževane ali poškodovane električne napeljave so pogost vzrok za po-Fizične pregrade morajo biti usklajene s po- očnik kibernetsk žare, zato je redno pregledovanje nujno. trebami objekta, da ne ovirajo normalnega Prir delovnega procesa, vendar še vedno zagota-vljajo visoko stopnjo zaščite. 179 Poleg preventivnih ukrepov, ki so vezani na - Namestitev gasilnih aparatov: Na strate- zgoraj navedene aktivnosti je treba izvajati ških točkah v objektu morajo biti namešče- tudi druge fizične preventivne ukrepe, ki so ni gasilni aparati, ki so primerni za različne povezani z usposabljanjem osebja za različne vrste požarov (električni, kemični, itd.). situacije, kot na primer za situacije v glavnih pisarnah ob možnih tveganjih bioagensov ali Vzdrževanje požarne varnosti drugih kemičnih substanc in podobnih situa- Redni pregledi in vzdrževanje protipožarnih cij. Za to mora biti del teh aktivnosti povezan sistemov so nujni za zagotavljanje njihove tudi z delom ustreznih postopkov v sklopu zaš- brezhibnosti. Priporočljivo je, da se izvajajo čite in reševanja ter upoštevanih zahtev ured- periodični preizkusi delovanja vseh sistemov be o zaščitnih sredstvih za zaposlene in nji- za zaznavanje dima, brizgalnikov ter gasil- hovo usposabljanje za uporabo teh zaščitnih nih aparatov. Poleg tega je pomembno, da se sredstev. Omenjeni ukrepi niso omejeni samo vzpostavi natančen načrt za izvajanje požar- na biološke ali kemijske sestavine, temveč so nih vaj in usposabljanj, da bodo vsi zaposleni sem vključeni tudi postopki v primeru najave ter obiskovalci seznanjeni s pravilnim ravna- bombne grožnje in odzivi vseh potrebnih v or- njem v primeru požara. ganizaciji na omenjena tveganja. Evakuacija in odziv Viri: kuacija ključna za varnost oseb v objektu. Po- - SIST ISO/IEC 27001:2023: Informacijska varnost, kibernetska varnost in varovan- V primeru požara je hitra in organizirana eva- membno je, da so evakuacijski načrti jasno je zasebnosti — Sistemi upravljanja in- prikazani in redno preizkušeni. Ti načrti mo- formacijske varnosti — Zahteve (ISO/IEC rajo vključevati: 27001:2022) - Jasno označene evakuacijske poti: Izhodi - ISO/IEC 27002:2022: Information security, v sili morajo biti vedno dostopni, ustrezno cybersecurity and privacy protection — In- označeni in redno preverjani. formation security controls - Izobraževanje zaposlenih: Zaposlene je treba redno izobraževati o postopkih eva- kuacije in uporabi gasilnih aparatov. ti arnos e v očnik kibernetsk Prir 180 Poglavje 28 Napotki za pripravo javnih naročil POVZETEK Besedilo obravnava ključne korake in varnostne usmeritve za pripravo javnih naročil, s po- udarkom na zakonodajnih zahtevah, varovanju dobavne verige ter zagotavljanju skladnosti z varnostnimi standardi in predpisi. Poudarjen je pomen natančne opredelitve potreb, iz- bire zanesljivih ponudnikov, zaščite občutljivih informacij ter učinkovitega spremljanja in nadzora nad izvajanjem pogodbenih obveznosti. Ključne točke: • Javno naročanje (ZJN-3, ZJNPOV) • Opredelitev potreb in ciljev naročila • Zahteve za ponudnike (reference, standardi, ISO 27001, ISO 28000) • Varovanje dobavne verige (ocena tveganj, pogodbeni mehanizmi) ti • Postopek priprave in izvajanja naročila (ocene, razpis, ocenjevanje ponudb) arnos • Skladnost s predpisi (GDPR, standard ISO 27002, standard ISO 22301) e v • Varovanje informacij in nadzor dostopa • Upravni in tehnični nadzor nad izvajalci • Pogodbene klavzule (zaupnost, pravica do revizije, protikorupcijska določila) očnik kibernetsk • Zaključevanje razmerja z izvajalcem (uničenje podatkov, prenos pravic). Prir 181 Zaradi zahtevnosti poslovnega okolja je danes potrebni za zaščito bistvenih interesov njene praktično nemogoče, da organizacija izvaja vse varnosti. posegati po storitvah zunanjih izvajalcev, ki na za zagotavljanje poštenega, preglednega in učinkovitega postopka, ki omogoča izbiro jih organizacija na podlagi ustreznih postop-najprimernejšega ponudnika za specifične kov angažira za izvedbo določenih strokovnih je treba za zagotavljanje celovitosti poslovanja Priprava javnih naročil je ključnega pome-potrebne procese z lastnimi viri. To pomeni, da aktivnosti ali dobavo potrebne tehnologije. Na potrebe organizacije. Spodnji napotki vključu-jejo osnovne korake za pripravo javnih naročil, področju informacijske varnosti in pomanj-s poudarkom na varovanju dobavne verige ter kanja ustreznega kadrovskega potenciala je zahteve za ponudnike. najemanje zunanjih izvajalcev zelo pogosta stalnica. V pričujočem poglavju bomo podali 1. Opredelitev potreb in ciljev javnega naročila razumevanje korakov naročanja storitev in Pred pripravo razpisa je treba natančno opre-deliti cilje, obseg in specifične zahteve javnega nekaj osnovnih napotil, ki so pomembne za leg tega pa bomo podali bistvene varnostne naročila. Vključimo sledeče: blaga po postopkih javnega naročanja. Po- usmeritve, ki jih je treba smiselno upoštevati - Opredelitev predmeta naročila: Oprede- pri izbiri, sklepanju sporazumov, nadzoru nad lite podrobno vrsto blaga, storitev ali del, zunanjimi izvajalci in zagotavljanju sodelova- ki so predmet javnega naročila, ter njihov nja, ki bo zagotovil, da so ključne informacije namen. lastne organizacije ustrezno obvladovane. - Tehnične specifikacije: Zberite in določite Zavedati se moramo, da je javno naročanje vse tehnične zahteve ter standarde, ki jih treba izvajati na podlagi Zakona o javnem na- mora izpolnjevati predmet naročila (npr. ročanju (ZJN-3). Vendar je treba pri tem upora- skladnost z ISO standardi). biti pravo mero previdnosti, katere informacije se odkrivajo v fazi izvedbe naročila. Zakonska - Kriteriji za izbiro: Na podlagi specifičnih podlaga določa več možnosti kot so dvofa- potreb določite objektivne kriterije za oce- zni postopek in ostalo, kjer se najprej preveri njevanje ponudb, kot so kakovost, cena, ustrezne prijavitelje in šele za tem odpre pot- čas dostave, tehnična podpora, trajnost rebne informacije za oddajo naročila. V teh ipd. primerih vendarle govorimo o ključnih orga- 2. Zahteve za ponudnike nizacijah v Republiki Sloveniji, ki zagotavljajo izvajanje bistvenih storitev in so informacije o Zagotoviti moramo skladnost ponudnika z njihovih informacijskih sistemih smatrane kot zahtevami iz vsakokratno veljavnega zakona s zelo pomembne. Seveda zakonodaja za po-področja javnega naročanju in jasno opredeliti sebne primere dopušča tudi možnost uporabe tudi zahteve za sodelovanje, saj le tako jamči- dodatnih specifičnih predpisov kot so Zakon mo, da so izbrani ponudniki zanesljivi ter spo-ti o javnem naročanju na področju obrambe in sobni izpolniti zahteve naročila: arnos varnosti (ZJNPOV), kjer so postopki za izvedbo - Izkušnje in reference: Zahtevajte, da po- naročil izvedeni po posebnih korakih, ki zago- nudniki dokažejo svoje izkušnje z relevan- e v tavljajo dodatno varnost informacij. Tako ZJ- tnimi referencami, ki potrjujejo njihovo NPOV kot ZJN-3 omogočata tudi izjemo javne- usposobljenost in uspešno izvedbo podob- ga naročanja na podlagi 346. člena Pogodbe nih projektov. o delovanju EU ( PDEU ), pri čemer so države očnik kibernetsk članice upravičene zavarovati informacije, za - Finančna stabilnost: Preverite finančno katere država meni, da bi bilo njihovo razkritje stabilnost ponudnikov, saj je to pomembno Prir v nasprotju z bistvenimi interesi njene varnos- za zmanjšanje tveganja v dobavni verigi. ti in/ali sprejeti ukrepe, za katere meni, da so 182 - Certifikati in standardi: Zahtevajte veljav- - Ocena vrednosti: Izbira vrste postopka ne certifikate, ki izkazujejo skladnost po- javnega naročanja je odvisna od ocene nudnikov s standardi, kot so ISO 9001 (ka- vrednosti, ki se pripravi v skladu z meto- kovosti), ISO 27001 (informacijska varnost) dologijo, predvideno v veljavni zakonodaji in ISO 22301 (kontinuiteta poslovanja). s področja javnega naročanja.- Kadrovska usposobljenost: Zahtevajte - Izogibanje drobljenju javnih naročil: Dro- podatke o ključnem osebju, ki bo zadolže- bljenje lahko nastopi, kadar posamezne no za izvedbo projekta, in dokazila o njiho- storitve ali predmeti dobave niso nepos- vih kvalifikacijah ter izkušnjah. redno med seboj povezani, sodijo pa med 3. Varovanje dobavne verige strokovno neutemeljena delitev naročila, isto vrsto dobav ali storitev. Poljubna ali Varovanje dobavne verige postaja ključno po- s katerio bi se dosegla umetna razdelitev dročje pri javnih naročilih, saj zagotavlja var- (drobljenje) z namenom izogibanja se upo-nost, kakovost in odpornost storitev ter izdel- rabi pravil javnega naročanja, ni skladna s kov v celotnem življenjskem ciklu. Pomembni cilji in polnim učinkom zakonodaje na po-koraki vključujejo: dročju javnega naročanja, tako na evropski kot tudi nacionalni ravni. - Ocenjevanje dobaviteljev: Izvedite oceno dobaviteljev glede njihovih ukrepov za za- - Priprava razpisa: Razpis pripravite na gotavljanje varnosti storitev ali izdelkov, ki podlagi zgoraj navedenih zahtev in smer- vam jih dobavljajo, zlasti to velja pri obču- nic ter ga objavite na ustreznih platformah tljivih področjih (npr. IT infrastruktura, ob- za javna naročila. čutljivi podatki). - Predložitev ponudb: Določite jasne roke in - Politika obvladovanja tveganj: Zahtevajte pogoje za predložitev ponudb ter poskrbite od ponudnikov, da predložijo svoje politike za način, ki omogoča transparentno zbira- za obvladovanje tveganj v dobavni verigi, nje ponudb. vključno z načrti za kontinuiteto poslova- - Ocenjevanje ponudb: Pripravite postopek nja v primeru motenj. ocenjevanja ponudb na podlagi vnaprej - Pogodbeni mehanizmi: V pogodbe vključi- določenih kriterijev in po potrebi uporabi- te klavzule, ki omogočajo redno ocenjeva- te metodologijo ponderiranja. Vključi naj nje skladnosti z varnostnimi standardi do- se tudi oceno tveganj za dobavno verigo in bavne verige, in določite sankcije v primeru zanesljivost ponudnikov. neskladnosti. - Dodelitev naročila: Izberite najboljšega - Pregled dostopa do informacij: Določite ponudnika v skladu z ocenjenimi kriteriji, ukrepe za nadzor dostopa do občutljivih z njim sklenite pogodbo in poskrbite za re- informacij v dobavni verigi. Zahtevajte, da dno spremljanje njegovega delovanja. 4. Postopek priprave in izvajanja javnega ponudniki zagotovijo ustrezne varnostne ti 5. Spremljanje in nadzor pogodbe postopke in omejitve dostopa.arnos Za uspešno izvajanje javnega naročila je tre-e v ba vzpostaviti mehanizme za spremljanje in naročila nadzor: Za zagotovitev popolne preglednosti in skla- - Redno poročanje: Zahtevajte redna poro-dne izvedbe celotnega procesa je priporočljivo čila ponudnikov o napredku in skladnosti z slediti naslednjim korakom: očnik kibernetsk določili pogodbe.Prir 183 - Obvladovanje sprememb: Zagotovite, da pov, ki jih dobavitelj izvaja za zagotavljanje so vsi pomembni vidiki pogodbe zabele- celovitosti svojih informacij in procesiranja ženi in redno posodobljeni glede na spre- informacij ter s tem varnosti informacij or- membe v dobavni verigi. ganizacije; - Ocena uspešnosti dobavne verige: Na - določitev informacij, IKT storitev in fizič- koncu projekta izvedite analizo uspešnosti ne infrastrukture organizacije, do katerih dobavne verige in ugotovite, ali so bili do- imajo dobavitelji lahko dostop, možnost seženi vsi cilji glede varnosti, kakovosti ter nadzora, upravljanja ali uporabe; vam lahko nudi standard ISO 28000:2022. - določitev vrst komponent IKT infrastruktu- pravočasnosti dobave. Določeno pomoč re in storitev, ki jih zagotavljajo dobavitelji 6. Pomen skladnosti s predpisi in standardi ter lahko vplivajo na zaupnost, celovitost in razpoložljivost informacij organizacije; Skladnost s predpisi in standardi, kot so Za- kon o javnem naročanju, GDPR ter standardi - ocenjevanje in upravljanje tveganj infor- ISO (skupina 27000 in skupina 28000), je bi- macijske varnosti, povezanih z: verite skladnost z aktualnimi zakonodajnimi gih povezanih sredstev s strani dobavite- ljev, vključno s tveganji, ki lahko izhajajo zahtevami in vključite ustrezne smernice ter iz morebitnega zlonamernega ravnanja klavzule v razpisno dokumentacijo. Ta meto- postopka. Pred pripravo javnega naročila pre- - uporabo informacij organizacije in dru- stvena za zagotavljanje zakonitega in varnega dološki okvir za pripravo javnih naročil omo- osebja dobavitelja; goča učinkovito izvajanje postopkov in zagota- - okvarami ali ranljivostmi izdelkov (vključ- vlja varnost ter zanesljivost dobavne verige, s no s programsko opremo in njenimi pod- čimer organizacija izboljša varnost svojih pro- komponentami), ali storitvami, ki jih za- jektov in poslovanja. gotavljajo dobavitelji; V nadaljevanju je podanih nekaj bistvenih zah- - nadzorom skladnosti z uveljavljenimi tev, ki jih predvideva standard ISO 27002:2022 zahtevami informacijske varnosti za posa- (5.20) in jih je možno aplicirati na kateriko- mezne vrste dobaviteljev in tipe dostopa, li postopek naročanja določenih storitev ali vključno s pregledi tretjih strani ter valida- opreme pri zunanjih izvajalcih: cijo izdelkov; - identifikacija in dokumentiranje vrst doba- - omiljevanjem neskladnosti dobavitelja, ne viteljev (npr. storitve IKT, logistika, komu- glede na to, ali je bila ta odkrita skozi nad- nalne storitve, finančne storitve, kompo- zor ali z drugimi sredstvi; na zaupnost, celovitost in razpoložljivost - upravljanje z incidenti in nepredvidenimi dogodki, povezanimi z izdelki in storitva-nente IKT infrastrukture), ki lahko vplivajo informacij organizacije; ti mi dobaviteljev, vključno z odgovornostmi - vzpostavitev načina za ocenjevanje in izbi- tako organizacije kot dobaviteljev; e v - odpornost, in če je potrebno, ukrepi za macij, izdelkov ter storitev (npr. z analizo arnos ro dobaviteljev glede na občutljivost infor- - ocenjevanje in izbira izdelkov ali storitev trga, referencami strank, pregledom doku- okrevanje ter nepredvidene situacije, ki za- gotavljajo razpoložljivost informacij doba- mentacije, ocenami na lokaciji, certifikati); vitelja in procesiranja informacij ter s tem razpoložljivost informacij organizacije; očnik kibernetsk dobavitelja, ki imajo ustrezne varnostne ukrepe za varovanje informacij, ter pregled - zavedanje in usposabljanje osebja organi- Prir zacije, ki sodeluje z osebjem dobavitelja, teh ukrepov; pozornost namenite zlasti glede ustreznih pravil sodelovanja, speci- natančnosti in popolnosti varnostnih ukre- 184 fičnih politik, procesov in postopkov ter ve- - usklajevanje med lastnim klasifikacijskim denja, odvisno od vrste dobavitelja in ravni sistemom organizacije in klasifikacijskim dostopa dobavitelja do sistemov ter infor- sistemom dobavitelja; macij organizacije; - pravne, zakonske, regulativne in pogodbe- - upravljanje potrebnega prenosa informa- ne zahteve, vključno z varstvom podatkov, cij, drugih povezanih sredstev in vsega, kar ravnanjem z osebnimi podatki, pravicami je potrebno spremeniti, ter zagotavljanje, intelektualne lastnine ter avtorskimi pravi- da se varnost informacij ohranja skozi ce- cami in opis, kako se bo zagotovilo, da so ti lotno obdobje prenosa; pogoji izpolnjeni; - zahteve za zagotavljanje varnega zaključka - obveznost vsake pogodbene stranke, da razmerja z dobaviteljem, vključno z: uvede dogovorjen sklop kontrol, vključno z - odprava pravic dostopa; ti, spremljanjem, poročanjem in revizijo ter nadzorom dostopa, pregledom uspešnos- - ravnanje z informacijami; skladnost obveznosti dobavitelja z infor- - določitev lastništva intelektualne lastni- zacije; macijskimi varnostnimi zahtevami organi- ne, razvite med sodelovanjem; - prenosljivost informacij v primeru spre- macijami in drugimi povezanimi sredstvi, - pravila sprejemljivega ravnanja z infor- membe dobavitelja ali notranjega obvla- vključno z nepotrebnim ravnanjem, če je dovanja; to treba; - upravljanje z dokumentacijo; - postopki ali pogoji za avtorizacijo in od- - vrnitev sredstev; stranitev avtorizacije za uporabo informa- cij ter drugih povezanih sredstev organiza- - varno uničenje informacij in drugih pove- cije s strani osebja dobavitelja (npr. prek zanih sredstev; izrecnega seznama osebja dobavitelja, po- - trajne zahteve po zaupnosti; oblaščenega za uporabo informacij in dru- gih povezanih sredstev organizacije); - nivo varnosti osebja in fizične varnosti, ki se pričakuje od osebja ter objektov dobavi- - zahteve glede varnosti informacij v zvezi z telja. IKT infrastrukturo dobavitelja; zlasti mini- malne zahteve glede varnosti informacij za Pogodbe z dobavitelji bi morale biti vzpostav- vsako vrsto informacij in vrsto dostopa, ki ljene in dokumentirane, da se zagotovi jasno naj služijo kot osnova za posamezne po-razumevanje med organizacijo ter dobavite- godbe z dobavitelji, odvisno od poslovnih ljem glede obveznosti obeh strank za izpolnje- potreb in kriterijev tveganja organizacije; (ISO 27002:2004 – 5.21). - odškodnine in odpravljanje posledic za ne- ti vanje ustreznih zahtev informacijske varnosti Naslednji pogoji se lahko upoštevajo za vklju- arnos - zahteve in postopki za upravljanje inciden- čitev v pogodbe, da zadostijo ugotovljenim izpolnitev zahtev s strani izvajalca; tov (zlasti obveščanje ter sodelovanje med e v zahtevam informacijske varnosti: odpravljanjem incidentov); - opis informacij, ki jih je treba zagotoviti ali dostopati, ter metode zagotavljanja ali do- - zahteve za usposabljanje in zavedanje o specifičnih postopkih ter zahtevah infor- - klasifikacija informacij v skladu s klasifika-stopa do teh informacij; očnik kibernetsk macijske varnosti (npr. za odzivanje na in-Prir cidente, postopke avtorizacije); cijskim sistemom organizacije; 185 - relevantne določbe za podizvajalce, vključ- - kontrole prenosa informacij za zaščito in- no s kontrolami, ki jih je treba uvesti, kot formacij med fizičnim ali logičnim preno- so dogovor o uporabi poddobaviteljev (npr. som; stim kot dobavitelj, zahteva po seznamu - določbe o prenehanju obveznosti ob za-zahteva, da so podvrženi istim obvezno- poddobaviteljev in obveščanje pred vsako ključku pogodbe, vključno z upravljanjem evidenc, vrnitvijo sredstev, varnim uni- spremembo); čevanjem informacij in drugih povezanih - relevantni kontaktni podatki, vključno s sredstev ter kakršnimikoli trajnimi obve- kontaktnim osebjem za vprašanja infor- znostmi glede zaupnosti; macijske varnosti; - zagotavljanje metode za varno uničenje - morebitne zahteve za preverjanje ozadja, informacij organizacije, ki jih hrani doba- kjer je to pravno dovoljeno, za osebje do- vitelj, takoj, ko te informacije niso več pot- bavitelja, vključno z odgovornostmi za iz- rebne; če preverjanje ni bilo zaključeno ali če re- - zagotavljanje podpore pri predaji drugim vajanje preverjanja in postopki obveščanja, zultati vzbudijo dvome ali skrb; dobaviteljem ali sami organizaciji ob za- ključku pogodbe; - dokazi in mehanizmi zagotavljanja tretjih strank za ustrezne zahteve informacijske - varstvo osebnih podatkov, če je to primer- varnosti, povezane s procesi dobavitelja, no; ter neodvisno poročilo o učinkovitosti kon- - protikorupcijska klavzula in primeri nično- trol; sti pogodbe. - pravica do revizije procesov in kontrol do- Ukrepi se smiselno uporabljajo glede na veli- bavitelja v zvezi s pogodbo; kost organizacij in specifike naročila storitev - obveznost dobavitelja, da periodično ter opreme. Pri izvedbi naslanjanja na zunanje izvajalce je treba najprej uporabljati pristop predloži poročilo o učinkovitosti kontrol dobrega gospodarja, ki bo zagotovil, da boste in dogovor o pravočasnem odpravljanju poskrbeli za varnost ključnih informacij o va-ustreznih vprašanj, ki so bila navedena v ših ključnih procesih in infrastrukturi. poročilu; - postopki za reševanje napak in konfliktov; - zagotavljanje varnostnih kopij, usklajenih z Viri: potrebami organizacije (glede na frekven- - SIST ISO/IEC 27001:2023: Informacijska co, vrsto in lokacijo shranjevanja); varnost, kibernetska varnost in varovan- je zasebnosti — Sistemi upravljanja in- - zagotavljanje dostopnosti alternativnega formacijske varnosti — Zahteve (ISO/IEC ti objekta (tj. lokacije za obnovo po katastro- 27001:2022) arnos fi), ki ni izpostavljen enakim grožnjam kot - ISO 28000:2022: Security and resilience — primarni objekt, ter upoštevanje rezervnih Security management systems — Require- e v kontrol (alternativne kontrole) v primeru ments neuspeha primarnih kontrol; - ISO/IEC 27002:2022: Information security, - vzpostavitev postopka za upravljanje spre- cybersecurity and privacy protection — In- memb, ki zagotavlja pravočasno obvešča- formation security controls očnik kibernetsk nje organizacije in možnost, da organizaci- - ISO 22301:2019: Security and resilience — ja ne sprejme sprememb; Prir Business continuity management systems — Requirements- fizične varnostne kontrole, ki so primerne glede na klasifikacijo informacij; 186 ti arnos e v očnik kibernetsk Prir 187 REPUBLIKA SLOVENIJA URAD VLADE REPUBLIKE SLOVENIJE ZA INFORMACIJSKO VARNOST ~4 ~