Webinar: ZInfV-1 v praksi

Zakon o informacijski varnosti (ZInfV-1) je v veljavi že od 19. junija letos, kar pomeni, da organizacije skladnosti z njim ne morejo več prestavljati na poznejši čas. Čeprav se morda še vedno zdi, da gre za »teoretično« ali »birokratsko« zadevo, je realnost povsem drugačna: kibernetska tveganja in varnostni incidenti so postali del vsakdana, in to ne le za velike korporacije, temveč prav posebej za mala in srednja podjetja.

V zadnjih dveh letih se je število resnih varnostnih incidentov izkazalo za bistveno večje, kot bi si kdo predstavljal. Ta trend kaže, da ni dovolj zgolj izpolnjevanje zakonskih obveznosti – temveč je treba aktivno zaščititi poslovanje in podatke, preden pride do incidenta, ki lahko ogrozi poslovanje, ugled ali celo obstoj podjetja.

ZInfV-1 sicer ne določa eksplicitnih orodij, temveč postavlja zahteve, ki morajo biti izpolnjene v praksi. To pa je ravno tisto, kar marsikatero organizacijo zmede: zakon govori o rezultatih, ne pa o natančnih tehnologijah. Zato je razumeti, kaj te zahteve pomenijo v vsakdanji informacijski praksi in kako jih uresničiti s premišljenimi in stroškovno učinkovitimi rešitvami, ključnega pomena.

Z drugimi besedami: ZInfV-1 ni več tema prihodnosti — je tema, s katero se morate ukvarjati danes, če želite zaščititi svoje poslovanje pred vse bolj sofisticiranimi grožnjami in hkrati izpolniti zakonske zahteve brez nepotrebnih stroškov in negotovosti.

Zakaj zakon ne pove, katera orodja potrebujete

ZInfV-1 določa zahteve glede informacijske varnosti, vendar ne navaja konkretnih tehnologij ali rešitev, ki jih je treba implementirati. To pomeni, da organizacije same presojajo, katera orodja so primerna za izpolnitev zahtev, kot so zaznavanje incidentov, upravljanje privilegiranih dostopov in analiza logov. Prav ta svoboda pa je pogosto problematična, še posebej za mala in srednja podjetja, ki nimajo lastnega IT-oddelka ali izkušenih strokovnjakov za kibernetsko varnost.

Brez jasnih smernic se lahko zgodi, da podjetja previdno izberejo napačna ali preveč osnovna orodja, ki tehnično ne pokrivajo vseh kritičnih točk ali jih ne morejo upravljati učinkovito. Na drugi strani obstaja tveganje prevelikega vlaganja v drage rešitve, ki presegajo realne potrebe podjetja in finančne zmožnosti.

Zato moramo razumeti, katere rešitve zakon posredno zahteva. Dalibor je izpostavil štiri ključne člene ZInfV-1 – 22., 24., 34. in 62. člen – ki se nanašajo na nadzor, zaznavo in odziv na varnostne incidente. Analiza teh členov je razkrila vsaj 15 vrst orodij, ki se v praksi uporabljajo za zaščito informacijskih sistemov. Ker jih je preveč za neposredno implementacijo v manjših podjetjih, je priporočljivo izbrati optimalno kombinacijo osnovnih rešitev, ki pokrivajo največja tveganja in hkrati omogočajo skladnost z zakonom.

Katere tehnične zahteve se v praksi skrivajo v ZinfV-1

Čeprav ZInfV-1 ne navaja konkretnih orodij, zakon v praksi implicira številne tehnične ukrepe, ki jih mora organizacija izpolniti za zaščito svojih informacijskih sistemov. Ključne zahteve se nanašajo na zbiranje in analizo logov, zaznavanje in odziv na incidente ter upravljanje dostopov in privilegiranih uporabnikov. 

To vključuje uporabo SIEM-sistemov za centralizirano obdelavo revizijskih zapisov, EDR-/XDR-rešitev za zaščito končnih naprav, NDR-orodij za nadzor omrežja ter IAM- in PAM-rešitev za varno upravljanje uporabnikov in privilegijev.

Dodatno zakon zahteva redno preverjanje ranljivosti infrastrukture, implementacijo strategij backup in disaster recovery, zaščito mobilnih naprav ter nadzor nad varnostjo dobaviteljev in zunanjih partnerjev. Čeprav so te zahteve tehnične narave, jih zakon opisuje posredno, zato morajo organizacije same presoditi, katera orodja in procesi so optimalni za njihovo okolje. Pravilna implementacija teh ukrepov zagotavlja tako skladnost z ZInfV-1 kot dejansko zaščito pred kibernetskimi napadi.

Zakaj antivirus ni več dovolj

Klasični antivirusni programi temeljijo predvsem na prepoznavanju znanih vzorcev napadov, kar v sodobnem okolju ne zadošča več. Današnji napadi so pogosto ciljno usmerjeni, prilagojeni posamezni organizaciji in ustvarjeni z uporabo umetne inteligence, zato jih antivirus ne prepozna kot grožnjo. Poleg tega zaposleni ne delajo več izključno na eni napravi ali v enem omrežju – uporabljajo oblak, mobilne naprave in javna omrežja, v katerih antivirus nima pravega vpogleda. 

Zato ZInfV-1 v praksi zahteva naprednejše pristope, kot so EDR- in XDR-rešitve, ki omogočajo zaznavanje, analizo in odziv na grožnje v realnem času ter bistveno višjo raven zaščite celotnega okolja.

Minimalni nabor ukrepov za realno varnost in skladnost

Za izpolnjevanje zahtev ZInfV-1 in hkrati učinkovito zaščito poslovanja ni treba uvajati vseh naprednih varnostnih orodij, ki jih uporabljajo največje organizacije. Ključno je, da podjetje uvede osnovni, a celovit nabor ukrepov, ki pokriva najpogostejša in najbolj tvegana področja. 

Med te sodijo:

• EDR- ali XDR-zaščita na vseh končnih napravah in strežnikih, 
• centralizirana hramba in analiza logov (po možnosti s SIEM-rešitvijo), ter 
• upravljanje identitet in dostopov z večfaktorsko avtentikacijo in nadzorom privilegiranih uporabnikov.

Poleg tega so nujni:

• redno izvajanje varnostnih kopij, 
• osnovno upravljanje ranljivosti in popravkov ter 
• nadzor nad dostopi zunanjih izvajalcev. 

Takšen pristop omogoča skladnost z zakonodajo, hkrati pa bistveno zmanjša tveganje za varnostne incidente. Pomembno je, da so izbrane rešitve prilagojene velikosti in zmožnostim organizacije ter po potrebi upravljane s strani zunanjega partnerja, ki zagotavlja strokovni nadzor in odziv.

Zakaj je najem varnostnih storitev pogosto najboljša odločitev

Vzpostavitev celostne kibernetske varnosti z lastnimi orodji in kadrom je za večino organizacij finančno in organizacijsko zelo zahtevna. Število varnostnih rešitev je veliko, njihovo učinkovito upravljanje pa zahteva specializirano znanje in stalno prisotnost. Že samo spremljanje, nadgradnje in odzivanje na incidente lahko hitro presežejo zmožnosti manjših IT-ekip ali posameznikov.

Najem varnostnih storitev omogoča, da organizacija dostopa do preverjenih tehnologij, izkušenih strokovnjakov in neprekinjenega nadzora brez visokih začetnih investicij. Namesto nakupa dragih orodij in zaposlovanja dodatnega kadra podjetje plačuje predvidljiv mesečni strošek, hkrati pa dobi 24/7 spremljanje, odziv na incidente in strokovno podporo.
Kot je Dalibor poudaril na webinarju, tudi najnaprednejše orodje ne prinaša vrednosti brez ustreznega upravljanja. V praksi je zato pogosto učinkoviteje najeti zmerno drage rešitve, ki jih upravlja izkušen varnostni partner, kot pa vlagati v najdražje tehnologije brez ustreznih notranjih virov.

ZInfV-1 ni zgolj zakonska obveznost, temveč priložnost, da organizacije okrepijo svojo odpornost proti vedno pogostejšim kibernetskim grožnjam. Pravilno izbrani in sorazmerno uvedeni tehnični ukrepi ne pomenijo stroška brez dodane vrednosti, temveč naložbo v stabilno in neprekinjeno poslovanje. 

Izkušnje iz prakse kažejo, da so prav manjše in srednje organizacije najpogostejša tarča napadov, zato je pravočasna zaščita ključna. S premišljenim pristopom, osredotočenim na realna tveganja, in ob podpori izkušenih strokovnjakov je mogoče hkrati zagotoviti skladnost z ZInfV-1 in dolgoročno varnost poslovanja – brez nepotrebnih zapletov in pretiranih stroškov.