Kibernetski napadi v zadnjih letih povzročajo škodo brez primere, kar je v nasprotju z velikimi prizadevanji in vloženimi sredstvi na področju raziskav in razvoja. Z digitalizacijo, ki danes že preoblikuje različne panoge, lahko izboljšamo delovanje na področju kibernetske varnosti. Ob tem pa uporabimo strategijo, ki jo uporabljajo športne ekipe.
Narava kibernetskih napadov se je spremenila v količini in kakovosti
Leto 2017 je bilo prelomno na področju kibernetske varnosti. Številni znani napadi so pridobili medijsko pozornost ter podkrepili dejstvo, da so danes spletni napadi realnost. Pogled na finančno razsežnost v letu 2017 pove vse: ocenjena škoda zaradi kibernetskih napadov znaša več kot 500 milijard evrov. Vendar pa bi bila ocena dejanske škode, vključujoč vrednosti izgube ugleda, ki so jo povzročili Wannacry, NonPetya ali kršitev Equifaxa, še precej višja.
Ne gre le za večjo pogostost napadov, temveč ti dobivajo drugačno naravo. To je posledica dveh temeljnih sprememb: (1) naraščajoče povezljivosti naprav zunaj tradicionalnih IT-omrežij, ki se imenujejo internet stvari (IoT), in (2) profesionalizacije napadov. Dejavniki groženj in tveganj se množijo na novem ekosistemu, ki jih ustvarjajo izkoriščanja in vdori.
Tradicionalni pristopi ne dajejo ustreznih rešitev
Medtem ko se s kibernetskimi napadi ukvarjajo najboljši strokovnjaki v različnih organizacijah, se škoda zaradi kibernetskih napadov samo povečuje, dosegla pa je tudi industrijo. In čeprav se vodstva podjetij čedalje bolj zavedajo, da postaja kibernetska varnost strateška naloga, odgovorov na učinkovito reševanje še vedno nimamo: kako lahko preprečimo naraščajočo grožnjo? Kako moramo spremeniti naše procese? Kaj je treba spremeniti z vidika kulture organizacije? Katere tehnologije lahko pomagajo pri zagotavljanju večje varnosti? Kako zagotoviti ustrezno stopnjo zaupanja? Odgovore na ta vprašanja moramo najti na politični, zasebni, pa tudi družbeni ravni.
Različni akterji na tem področju že več let ali celo desetletij raziskujejo, a iskanje odgovorov je še vedno izziv. Še vedno manjka učinkovit recept – kaj šele priročnik – za kibernetsko varnost na področju industrije.
Glavno vprašanje pa ostaja: kakšne so zahteve in priporočila, ki nam lahko pomagajo zagotoviti našo digitalno prihodnost?
Potreben je razmislek za zagotavljanje kibernetske varnosti
Kibernetski napadi so se spremenili tako v količini kot kakovosti, zato menim, da moramo odgovoriti podobno. Ne le v količini (na primer ure, vložene v reševanje, strokovnjaki, vpleteni v raziskovanje), temveč tudi pri kakovosti. Prvo in najpomembnejše je, da si moramo izmenjati izkušnje zunaj okvirov organizacije ... Medtem ko meje v kibernetskem svetu izginjajo, mi še vedno delujemo v okvirih lastne organizacije. Sodelovanje zunaj lastnih meja pa je kompleksno in ponuja izzive; pa vendar bo treba preseči organizacijsko kulturo in notranjo naravnanost ter pravni okvir, čeprav ta ni bil zgrajen in ustvarjen za to.
Če delimo skupno poslanstvo, to je zagotavljanje varne digitalne poti, imamo priložnost, da poiščemo skupni jezik in izvedljive rešitve. To je na primer storilo 16 vodilnih korporacij, ki so s sodelovanjem na operativni ravni presegle nevarnost izmenjave podatkov. Z Listino zaupanja so se se podjetja zavezala k spoštovanju 10 načel o kibernetski varnosti. Za isto mizo so pripeljala motivirano, spretno in vztrajno ekipo in svoje najboljše strokovnjake. Njihova naloga je, da odgovorijo na najzahtevnejša vprašanja na področju kibernetske varnosti.
Kibernetska varnost mora biti ekipni šport
Tako kot v ekipnih športih moramo tudi na področju kibnernetske varnosti oblikovati posebno skupino oziroma ekipo. Morda je naloga zahtevna, a vredno je poskusiti – ne nazadnje prav športne ekipe dokazujejo, da je ena plus ena lahko več kot samo dve, in nas ob tem spominjajo, da za dobro ekipo potrebujete različne spretnosti in osebnosti: ekipa lažje pridobi navdušence in privržence, sodelovanje pa je lahko preprosto bolj zabavno!
Kai Hermsen je vodja poslovne strategije kibernetske varnosti v družbi Siemens in globalni koordinator Listine zaupanja.
