Rešitve za simuliranje vdorov in napadov za redno preverjanje stanja lastne kibernetske zaščite, ki jih organizacije na razvitih trgih izkoriščajo že vrsto let, se v Sloveniji uveljavljajo počasi. V podjetju CREAPLUS ugotavljajo, da odlašanje uvajanja rešitev BAS povzroča predvsem človeški faktor. Ideja o namernem simuliranju kibernetskih napadov za identifikacijo ranljivosti v varnostnih ukrepih lahko ustvari nelagodje, še posebej, če obstaja skrb, da bi simulacije lahko razkrile ranljivosti ali pomanjkljivosti v obstoječi varnostni infrastrukturi.
»Rešitve BAS, kot je recimo Picus, so cenovno dosegljive vsem izvajalcem bistvenih in pomembnih dejavnosti, ki jih je v Sloveniji glede na zahteve direktive NIS 2 blizu tisoč. Poleg tega lahko delovanje teh rešitev preizkusijo brezplačno, pri čemer smo jim recimo na voljo za pripravo popolnoma prilagojenega in anonimnega pilotnega projekta,« je dejal Mitja Trampuž, direktor podjetja CREAPLUS.
Kot ocenjuje Trampuž, razlog za počasno uvajanje niso cena in tehnološki izzivi, ampak nezaupanje s strani odgovornih za kibernetsko varnost. »Možno je, da na zavračanje uporabe tovrstnih storitev vpliva strah pred odkrivanjem napak ali dejanskih ranljivosti, ki se jih mogoče niti ne zavedajo ali pa jih še niso uspeli pokrpati.«
"Rešitve BAS, kot je recimo Picus, so cenovno dosegljive vsem izvajalcem bistvenih in pomembnih dejavnosti, ki jih je v Sloveniji glede na zahteve direktive NIS 2 blizu tisoč."
Najpogostejši razlogi za zavračanje simulacij vdorov in napadov
Temeljni namen orodij BAS je pomoč pri izboljšanju varnostne drže in posledično proaktivno zmanjševanje tveganj. Vendar odgovornim za informatiko ter kibernetsko varnost dostikrat vzbujajo nelagodje in v njih vidijo celo grožnjo.
Oglejmo si nekaj najpogostejših izzivov:
- Odkritje ranljivosti lahko pomeni potencialno tveganje za ugled CISO in njegovo ekipe. Lahko, da se v primeru razkritja pomanjkljivosti bojijo posledic pri deležnikih, strankah ali regulatornih organih.
- Strah za pozicijo ali delovno mesto. Simulacija lahko odkrije ranljivosti, ki bi lahko odražale nestrokovno ali nevestno delo, kar bi morda posledično vplivalo na zagotovilo delovnega mesta ali karierno napredovanje posameznega kibernetskega varnostnika.
- Zanikanje težav in prevelika samozavest. Nekatere organizacije so morda preveč prepričane v učinkovitost svojih trenutnih varnostnih ukrepov in zanikajo tveganja. Prepričanje »nam se to ne more zgoditi« ali prevelika samozavest v obstoječih obrambnih mehanizmih lahko privedeta do odpora pri uvajanju orodij.
- Pomanjkanje varnostne kulture. Uvajanje orodij, ki bi lahko razkrila pomanjkljivosti in ponudila izboljšave, v nekaterih organizacijah lahko zavira pomanjkanje močne varnostne kulture, pri čemer se raje išče krivce kot pa da bi se osredotočala na nenehne izboljšave.
Že dobra praksa narekuje redno preverjanje in nenehno izboljševanje stanja kibernetske varnosti.
Uporabo bodo pospešile spremembe v varnostni kulturi in zakonodaji
Za preprečevanje strahu pred odkrivanjem napak je pomembno, da organizacije spodbujajo kulturo, ki ceni nenehno izboljševanje, učenje iz incidentov in daje prednost proaktivnim varnostnim ukrepom.
»Ta kulturni premik lahko prispeva k bolj odporni in prilagodljivi kibernetski strategiji. Poleg tega poudarjanje pozitivnih vidikov orodij BAS, kot je denimo njihova vloga pri identifikaciji in obravnavi ranljivosti, preden jih zlonamerni akterji izkoristijo, lahko pomaga omiliti večino teh skrbi," je še dejal Trampuž.
Že dobra praksa narekuje redno preverjanje in nenehno izboljševanje stanja kibernetske varnosti. V slednje bo številna podjetja in organizacije primorala regulativa NIS 2 in pa tudi DORA, bodisi kot izvajalce bistvenih in pomembnih dejavnosti, kot ponudnike finančnih storitev bodisi kot zgolj dobavitelje tovrstnim zavezancem. Slovenski vodje informatike, kibernetske varnosti pa tudi menedžerji na najvišji ravni bodo morali prav zaradi zakonodajnih zahtev poskrbeti za proaktivne vpoglede v varnostni položaj organizacije. Uvedba rešitve BAS tako ne bo odvisna samo od strokovnosti, zavzetosti in odgovornosti posvečenih kibernetski varnosti, ampak bo postala eno standardnih in temeljnih gradnikov kibernetske odpornosti.
