Pri informacijski varnosti je treba dobro vedeti, kaj varujemo in kakšna je vrednost teh sredstev, intervju z Borisom Vardjanom, vodjo Varnostnega foruma IT

Oktober velja za mesec kibernetske varnosti. Ob tej priložnosti smo se pogovarjali z Borisom Vardjanom, ki vrsto let uspešno vodi Varnostni forum IT pri Združenju bank Slovenije. Na letošnji Infosek konferenci je prejel tudi priznanje in nagrado Varnostni inženir leta 2021.

Kariero ste začeli leta 1986, ko ste se zaposlili v Ljubljanski banki, kjer ste ostali kar 22 let. Delali ste na področju e-bančništva in projektnega vodenja. Katerih tehnoloških dosežkov in implementacij takrat sodobnih e-bančnih poti se iz tistega časa najbolj spomnite?

Če se vrnemo še malo nazaj pred čas e-bančništva, je bila največja revolucija začetek uporabe interneta v Sloveniji. Za prve začetke bi lahko šteli dosežek Instituta Jožef Stefan, ki se je leta 1991 prek povezave z Amsterdamom (prek precej starega protokola x.25) povezal v internet.

Naslednji večji korak je postavitev prvih slovenskih strežnikov svetovnega spleta (World Wide Web – WWW), ki ga zdaj pogovorno radi imenujemo kar internet. Eden prvih strežnikov, ki so vsebovali tudi seznam vseh spletnih strežnikov, to je bil MatKurja, je bil vzpostavljen leta 1993.

E-bančništvo se je v Sloveniji pojavilo konec devetdesetih let. Zaradi takrat še razvijajoče se internetne infrastrukture so prve rešitve elektronskega bančništva (poleg dostopa prek interneta) uporabljale tudi alternativne poti (npr. videotex, klicni dostop neposredno do banke). Prvo spletno banko je postavila SKB banka leta 1997, hitro so ji sledile druge slovenske banke.

Naslednji večji mejnik je bil razvoj pametnih telefonov, najprej na platformi Symbian (Nokia, Ericsson) in kasneje na platformah iOS (iPhone) in Android (HTC Dream), ki je omogočil razcvet »pravega« mobilnega bančništva kot ga poznamo danes. Predhodne tehnologije so namreč uporabljale funkcionalno omejene tehnološke rešitve (WAP, SMS toolkit) ter manj praktične uporabniške vmesnike, ki niso omogočali prodora mobilnega bančništva.

Razvoj se tukaj ni ustavil, saj mobilno bančništvo glede uporabnosti vse bolj prevzema primat nad spletnim bančništvom, vse več pa je tudi uporabe mobilnih denarnic. To je nekako logična posledica življenjskega stila, ki ga imamo danes. Stranke želijo imeti dostopne storitve kjerkoli in kadarkoli, banke pa smo tu zato, da potrebe naših strank zadovoljujemo v čim večji meri.

Naslednji večji mejnik je bil razvoj pametnih telefonov, najprej na platformi Symbian (Nokia, Ericsson) in kasneje na platformah iOS (iPhone) in Android (HTC Dream), ki je omogočil razcvet »pravega« mobilnega bančništva kot ga poznamo danes. Predhodne tehnologije so namreč uporabljale funkcionalno omejene tehnološke rešitve (WAP, SMS toolkit) ter manj praktične uporabniške vmesnike, ki niso omogočali prodora mobilnega bančništva.

Razvoj se tukaj ni ustavil, saj mobilno bančništvo glede uporabnosti vse bolj prevzema primat nad spletnim bančništvom, vse več pa je tudi uporabe mobilnih denarnic. To je nekako logična posledica življenjskega stila, ki ga imamo danes. Stranke želijo imeti dostopne storitve kjerkoli in kadarkoli, banke pa smo tu zato, da potrebe naših strank zadovoljujemo v čim večji meri.

 

Kako pa se je od takrat spremenilo okolje na področju informacijske varnosti?

Spremembe na področju informacijske varnosti so bile v tem času ogromne, saj so morale slediti razvoju tehnologije.

Razvoj se je dogajal v dveh povezanih, vendar samostojnih vejah: pri upravljanju informacijske varnosti in pri razvoju tehničnih rešitev informacijske varnosti.

Pri upravljanju informacijske varnosti je zelo pomembna vzpostavitev funkcije managerja informacijske varnosti (CISO – Chief Information Security Officer), ki so jo banke najprej uvajale opcijsko, s spremembo zakonodaje pa je postala obvezna. Pomembna je tudi vzpostavitev politike informacijske varnosti, ki večinoma temelji na splošno sprejetih standardih dobre prakse (ISO/IEC 27001/27002, PCI DSS, NIST, CIS), ob tem pa še zagotavljanje stalnega izobraževanja zaposlenih. Vse to so ukrepi, ki se nam zdaj zdijo samoumevni, vendar včasih niso bili.

Tehnična varnost se je postopno izboljševala vzporedno s povečevanjem uporabe interneta. Prvi začetki interneta so namreč temeljili na povezljivosti in ne na varnosti. Morda je glavna razlika v razumevanju premik od koncepta »utrdbe«, ki jo varujemo pred zunanjostjo s požarnimi napravami, h konceptu ničelnega zaupanja (»zero trust«), tudi zaradi vse večje mobilnosti. Tudi napadalci svoje tehnike nenehno izboljšujejo, zato je potreben ustrezen odziv na nivoju storitev, omrežnih naprav in odjemalcev.

 

Kaj je na področju informacijske varnosti konstanta in kako slediti sodobnim trendom, ko večkrat slišimo, da so t. i. hekerji vedno korak pred nami?

Pri informacijski varnosti je treba dobro vedeti, kaj varujemo in kakšna je vrednost teh sredstev oz. kakšna škoda bi nastala, če bi prišlo do okrnjenja zaupnosti, celovitosti ali razpoložljivosti teh sredstev.

Da bi to ugotovili, potrebujemo popis teh sredstev in analizo tveganja. Iz analize tveganja potem lahko ocenimo, katere ukrepe je treba izvesti za zmanjšanje teh tveganj in koliko finančnih sredstev je smiselno nameniti za ukrepe.

Pri oceni moramo upoštevati možne scenarije, zabeležene dogodke operativnega tveganja s področja informacijske varnosti (incidente), ugotovljene ranljivosti, informacije iz okolja in druge relevantne informacije.

Uvedba oblačnih storitev npr. zahteva uvedbo dvo- ali večfaktorskega overjanja, saj v nasprotnem primeru kaj hitro lahko postanemo tarča zvabljanja (phishing).

 

Je na trgu dovolj orodij za zgodnje odkrivanje poskusov napadov?

Na trgu je veliko orodij, ki omogočajo različna odrivanja poskusov napadov, pa tudi odkrivanja dejanskih napadov. To so orodja na mrežnem nivoju ali pa na napravi uporabnika, ki na podlagi nenavadnega dogajanja zabeležijo določen dogodek ali sprožijo alarm.

Take dogodke je smiselno združevati in povezovati na namenski napravi za upravljanje varnostnih informacij in dogodkov (SIEM – Security Information and Event Management). Ločevanje teh dogodkov, tako da ne spregledamo pomembnih dogodkov (False negative) in da znamo upravljati dogodke, ki ne pomenijo varnostnih težav (False positive), je zahtevna naloga.

Informacije o tovrstnih dogodkih je smiselno izmenjevati, sploh če so napadi povezani (npr. geografsko ali panožno). Eden od sistemov za izmenjavo informacij o teh dogodkih je sistem MISP (Malware Information Sharing Platform), ki ga želimo uporabljati tudi v okviru bank članic Združenja bank Slovenije.

 

Zdaj ste kot CISO zaposleni v Novi Kreditni banki Maribor. Kateri so največji varnostni izzivi, s katerimi se finančni sektor spopada ta trenutek?

Od groženj, ki nas v zadnjem času najpogosteje spremljajo, bi izpostavil napade zvabljanja (phishing) na zaposlene v bankah in bančne stranke, različne prevare (ljubezenske prevare, direktorske prevare, vdor v poslovno komunikacijo) ter grožnja porazdeljenega napada s ciljem ohromitve storitev (DDoS).

Veliko dela na področju informacijske varnosti zahteva tudi prilagajanje zakonodaji, regulativi ter ugotovitvam, ki jih ob pregledih bank zabeležijo regulatorji in nadzorniki.

Velik izziv je tudi zagotavljanje varnosti ob izvajanju sprememb informacijskih sistemov, ki so nujna posledica razvoja banke.

 

Iz zadnjega poročila SI-CERT izhaja, da se je v lanskem letu povečalo število phishing napadov, ki so bili usmerjeni na zaposlene v podjetjih, institucijah … Ste se tudi v vaši banki srečali s takimi napadi? Kako izobražujete in ozaveščate svoje zaposlene?

Ocenjujem, da se ne samo banke, temveč tudi druga podjetja dnevno srečujejo s phishing napadi.

Poleg tehničnih rešitev, ki morajo zagotavljati zaznavo sporočil, alarmiranje in tudi brisanje oz. blokiranje takšnih sporočil, je zadnja obramba zaposleni.

Za krepitev te obrambe je potrebno redno ozaveščanje oz. izobraževanje zaposlenih, preverjanje ozaveščenosti z lažnimi phishing napadi ter merjenje in spremljanje rezultatov. Idealno je, da se takšno preverjanje izvaja stalno (npr. mesečno ali kvartalno) ter spremlja napredek pri ozaveščenosti zaposlenih.

 

Kaj oz. kdo je najpogosteje najšibkejši člen, ko pride do poskusa različnih informacijskih prevar?

Najšibkejši člen pri informacijski varnosti je vedno človek, to je zaposleni v banki ali bančna stranka.

 

Kako skrbite za ozaveščanje svojih strank na področju pravilne rabe elektronskih naprav in aplikacij? Imate možnost, da strankam glede tega posvetite dovolj časa?

Za ozaveščenost v bankah skrbimo prek različnih kanalov s katerimi stranke ozaveščamo o pravilni rabi elektronskih poti: od informacij na spletnem portalu, prek sporočil v elektronski in mobilni banki, pisnih sporočil, medijev, neposredno s pogovorom s stranko … Za komunikacijo s strankami si moramo vedno vzeti dovolj časa, saj z ozaveščanjem strank zmanjšujemo tveganja, ki nastajajo ob uporabi elektronskih poti.

 

Ste tudi zelo aktiven član delovne skupine za kibernetsko varnost, ki deluje v okviru Evropske bančne federacije. O čem poteka razprava v tem trenutku in kako ocenjujete moč ter vpliv tega strokovnega delovnega telesa?

V tem trenutku se največ energije vlaga v usklajevanje dveh dokumentov Evropske unije, ki urejata kibernetsko varnost. Na prvem mestu je priprava druge različice direktive NIS o varnosti omrežij in informacij (Directive on security of network and information systems), ki je bila v prvi različici podlaga za slovenski Zakon o informacijski varnosti (ZInfV). Drugi pomembni akt je Uredba o digitalni operativni odpornosti za finančni sektor (Digital operational resilience act).

Preostale pomembne aktivnosti so povezane z Evropsko agencijo za informacijsko varnost ENISA, informiranjem o kibernetskih grožnjah, ki jih sporoča Europol, izmenjavo informacij o informacijskih varnostnih grožnjah med članicami ter drugim evropskim aktivnostim na področju informacijske varnosti.

Sodelovanje v tem telesu omogoča Združenju bank Slovenije vpogled v delovanje evropskih organizacij na področju informacijske varnosti in možnost aktivnega sodelovanja pri pripravi evropske zakonodaje.

 

Pri Združenju bank Slovenije vrsto let uspešno vodite Varnostni forum IT. O čem poteka razprava ta trenutek?

Kot rečeno je Varnostni forum v prvi vrsti platforma za izmenjavo informacij in izkušenj o različnih oblikah prevar, stališč glede razvoja bančnih informacijskih tehnologij ter za spremljavo povezane zakonodaje in standardov. Mislim, da smo pri medbančni izmenjavi tovrstnih informacij dokaj uspešni in da se na tem področju uspešno povezujemo tudi z ostalimi relevantnimi domačimi in tujimi institucijami v EU. Posebno pozornost posvečamo tudi okrepljenemu sodelovanju v regiji, saj so regijske informacije o poskusih informacijskih prevar pravzaprav med najpomembnejšimi. Konkretna naloga, ki jo izvajamo v tem trenutku, pa je, kot že omenjeno, prizadevanje za vzpostavitev platforme MISP v bankah in hranilnicah.

 

In, ne nazadnje, na letošnji konferenci Infosek, ki velja za največji dogodek v Sloveniji na področju informacijske varnosti, ste prejeli nagrado varnostni inženir leta 2021. Jo dojemate kot pohvalo za preteklo uspešno delovanje ali jo doživljate kot zavezo za še bolj uspešno prihodnost? Kaj vam pomeni?

Priznanje mi veliko pomeni, saj kaže na zaupanje v moje delo, pa tudi v delo Varnostnega foruma pri Združenju bank Slovenije. Takšno priznanje pa je predvsem izziv za naprej, torej zaveza za doseganje enakih ali še boljših rezultatov tudi v prihodnje.

 

Kakšen nasvet bi glede na svoje bogate izkušnje dali mladim, ki prihajajo na položaj CISO?

Pomembno se je naučiti poslovne komunikacije, predvsem poslušanja in aktivnega spraševanja sogovornika. Uspešna poslovna komunikacija je namreč najpomembnejši dejavnik za uspešno opravljanje te funkcije.

Ne gre brez stalnega izobraževanja, predvsem na področju informatike, informacijske/kibernetske varnosti, razumevanja bančnega poslovanja in poslovnih procesov, saj se to področje resnično bliskovito spreminja.

Zelo pomembo je tudi sprejeti dejstvo, da mora biti funkcija informacijske varnosti usmerjena v zagotavljanje varnega izvajanja poslovnih funkcij banke, ne pa v njihovo oviranje.

Pri grožnjah oz. tveganjih je treba razumeti, da vseh tveganj ni mogoče odpraviti, se pa lahko zmanjšajo in je zato zelo pomembno, da se z oceno tveganja ustrezno ovrednotijo, da lahko nato vodstvo sprejme ustrezne odločitve.

Za uspešno delo pa je treba skrbeti tudi zunaj službe, predvsem z aktivnostmi, ki omogočajo telesno in umsko osvežitev (šport, knjige …).

 

Pogovarjala se je Aleksandra Žibrat.