Oglejte si videointervju in preverite, kako odvisnost od tehnologije vpliva na poslovanje in varnost podjetij:
Poslovna okolja se danes spopadajo z »nevidnimi« tveganji. Ker podatki, digitalna infrastruktura in programske rešitve tvorijo jedro delovanja podjetij, vprašanje nadzora nad tehnologijo dobiva čisto novo težo. Organizacije so vse bolj vpete v globalne ekosisteme ponudnikov, oblačnih storitev in varnostnih rešitev, kar prinaša hitrost in učinkovitost, hkrati pa odpira tudi kompleksna vprašanja odgovornosti, varnosti in odvisnosti. Kibernetski napadi so vse pogostejši, regulativa se zaostruje, geopolitične razmere pa dodatno vplivajo na dostopnost in zanesljivost tehnologij.
Tukaj se odpira vprašanje digitalne suverenosti, ki postaja eno ključnih izhodišč za razumevanje sodobnega poslovanja. »Gre za vprašanje popolnega nadzora, nadzora nad podatki, tehnološko infrastrukturo in procesi,« poudarja Peter Merc, pravnik iz podjetja Lemur Legal, in dodaja, da ima ta nadzor neposreden vpliv na digitalno odpornost in neprekinjeno poslovanje organizacij.
Posebej občutljivo postane vprašanje, kadar podatki zapustijo pravni okvir Evropske unije. Takrat se podjetje sreča z dodatnimi pravnimi režimi, ki jih pogosto ne pozna dovolj dobro, s tem pa naraščajo tudi tveganja glede skladnosti, odgovornosti in varstva podatkov.
Po drugi strani pa podjetja vsak dan sprejemajo odločitve o zunanjih tehnoloških ponudnikih, ki lahko pomembno vplivajo na njihovo varnost, suverenost in neprekinjeno delovanje. Petra Veber, prokuristka v podjetju SI SPLET, opozarja, da se največje razlike med ponudniki pogosto skrivajo »pod površjem trženjskih predstavitev«. Po njenem mnenju morajo podjetja preveriti, od kod izvira varnostna rešitev, kje se podatki shranjujejo, kdo lahko do njih dostopa, ali obstajajo revizijske sledi in kako hitro se ponudnik odzove ob incidentu. Pri kibernetskih napadih namreč pogosto ne odločajo minute, temveč sekunde.
Peter Merc: Evropa je še daleč od suverenosti
FOTO: Blaž Samec
Peter Merc, pravnik iz podjetja Lemur Legal, opozarja, da podjetja pogosto uporabljajo tehnologijo, ne da bi zares vedela, kakšna tveganja s tem prevzemajo.
Kako naj organizacija oceni, ali ima nad svojimi podatki in sistemi dejansko nadzor?
Če govorimo izrecno o podatkih oziroma suverenosti podatkov, je najprej treba narediti neke vrste »kartiranje«, torej pregledati, katere podatke podjetje ima, kako jih obdeluje, kdo so pogodbeni obdelovalci in kaj se s temi podatki dogaja v oblaku, saj so običajno shranjeni v oblačni infrastrukturi. Kot drugo bi izpostavil pravne vidike, torej pregled splošnih pogojev. Dobro je vedeti, v kakšen regulatorni oziroma pravni okvir se je podjetje spustilo z začetkom uporabe določene infrastrukture. Tretji vidik pa je tehnološki: revizijska sled, kdo lahko dostopa do podatkov, pod kakšnimi pogoji in kakšne avtorizacije imajo drugi za dostop do teh podatkov. Skratka, pomembno je poznavanje pravnega in tehnološkega vidika.
»Pri vprašanju nadzora nad podatki je treba strogo ločevati vprašanje uporabe in vprašanje nadzora. Tukaj ne gre teh dveh stvari enačiti. Recimo, če uporabljamo neko tehnološko infrastrukturo, jo seveda uporabljamo na osnovi neke licence. Licenca nam daje pravico do uporabe, kar pa seveda ne pomeni, da imamo nadzor nad tehnološko infrastrukturo. Zato je tukaj treba poznati pravno podlago, na osnovi katere neko programsko opremo uporabljamo. Šele poznavanje tega pravnega okvira nam da potem odgovor, ali smo dejansko samo uporabnik ali pa imamo tudi popoln nadzor nad podatki.«
Zakaj danes digitalna suverenost presega vpliv IT-ja in postaja širše vprašanje vrednosti in stabilnosti?
Ravno zaradi te tehnološke infrastrukture. Danes tehnološka infrastruktura niso neki podporni procesi, ampak gre dejansko za upravljanje kritičnih procesov. Zdaj si lahko predstavljamo težavo, neko geopolitično vprašanje ali pa geopolitični konflikt. V Evropi izklopijo dostop do tuje tehnološke infrastrukture. Ne bi zelo zgrešili, če bi rekli, da gre Evropa lahko nazaj v srednji vek.
Kaj bi izpostavili kot ključno sporočilo za podjetja in organizacije pri upravljanju digitalnih sistemov?
Tako kot v poslu vedno preverimo poslovnega partnerja in opravimo skrbni pregled, bi morali nekaj podobnega narediti tudi pri uporabi tehnološke opreme. Poznati moramo, kakšno licenčno pogodbo sklepamo. Vemo, da ljudje praviloma ne preberemo splošnih pogojev, po mojem mnenju tega ne naredi 99 odstotkov ljudi. Včasih pa bi bilo dobro, ker sploh ne vemo, kakšnim tveganjem se izpostavljamo.
Drugi nasvet je, da vedno razmišljamo tudi o izhodni strategiji, da nismo odvisni ali preveč izpostavljeni enemu ponudniku zaradi okoliščin, ki se lahko zgodijo. V poslu je veliko nepredvidljivih okoliščin, zato je vedno dobro imeti načrt B.
Peter Merc opozarja, da organizacije pogosto uporabljajo digitalne storitve, ne da bi zares poznale pravna in varnostna tveganja, ki jih s tem prevzemajo. FOTO: Blaž Samec
Kakšna so največja pravna tveganja, če podjetje uporablja digitalne rešitve zunaj Evropske unije?
Največje tveganje je nepoznavanje prava. V Evropi imamo GDPR, ki je zelo strog regulatorni okvir, verjetno najstrožji na svetu. Ko podjetje izstopi iz tega režima, se znajde v drugačnem regulativnem okolju. S tem se izpostavi tveganjem, ne le zaradi morebitnih kršitev GDPR, kjer so kazni lahko zelo visoke, ampak tudi zato, ker ne pozna tujega pravnega režima. To pomeni dvojno tveganje. Z izvozom podatkov se namreč kompleksnost poslovnega modela eksponentno povečuje.
Kakšno vlogo ima digitalna suverenost pri dolgoročni stabilnosti in varnosti države?
Menim, da smo se v Evropi tega zavedeli razmeroma pozno. Še danes vidimo primere, ko so države začele omejevati uporabo določenih tehnologij. Francoska in nemška vlada sta svojim uradnikom prepovedali uporabo nekaterih mobilnih aplikacij ameriških ponudnikov, kot so WhatsApp in podobne, ter prehajata na lastno infrastrukturo.
Podobno velja za razvoj lastnih tehnologij. Primer je francoski startup Mistral, ki razvija lastna orodja LLM prav zaradi vprašanja nadzora nad podatki. Dolgoročno se namreč dogaja, da podatke pošiljamo iz Evrope, bodisi v ZDA ali na Kitajsko, pri čemer ti podatki ne ostajajo v evropskem prostoru. Evropa na področju digitalne suverenosti še ni dosegla želene ravni. Zavedanje o tem se sicer krepi, vendar se s tem vprašanjem ukvarjamo razmeroma pozno.
Koliko časa bo trajalo, da bomo suvereni?
Težava je v tem, da je suverenost proces. Danes govorimo o digitalni suverenosti, vendar je vse med seboj povezano. Ne gre le za infrastrukturo, temveč tudi za širšo tehnološko sliko. Če gremo korak nižje, pridemo do mikročipov. Imamo sicer nizozemsko podjetje ASML, ki je ključni člen v dobavni verigi najnaprednejših čipov, vendar je večina tehnologije, tako na področju strojne kot programske opreme, še vedno ameriška.
Podobno velja za druge segmente, na primer za surovine, kjer imajo pomembno vlogo druge države, kot je Kitajska. Evropa ima v teh geopolitičnih razmerjih omejen vpliv. Digitalna suverenost je le en del širšega vprašanja suverenosti, na katerem Evropa še nima popolnega nadzora.
Razlike med ponudniki se pokažejo šele v praksi
FOTO: Blaž Samec
Petra Veber, prokuristka v podjetju SI SPLET, digitalno suverenost povezuje z vsakodnevnimi odločitvami podjetij: izbiro ponudnika, nadzorom nad podatki in pripravljenostjo na incidente. Prav tam se pokaže, kako dobro podjetje razume svoja tveganja.
Kako lahko podjetje v praksi zagotovi več digitalne suverenosti?
Podjetje lahko v praksi zagotovi več digitalne suverenosti s pomočjo sposobnosti samostojnega nadzora nad lastno tehnologijo, nad podatki in pa digitalno infrastrukturo, s čimer zmanjšuje tveganje odvisnosti od tujih ponudnikov. Nadzor nad podatki pa pomeni, kje so ti podatki shranjeni in kdo do njih lahko dostopa, kar je ključno za samo poslovanje podjetij.
Pri izbiri ponudnika se prednost daje evropskim tehnološkim rešitvam, ki zagotavljajo višje varnostne standarde in pa skladnost z evropsko zakonodajo. Kajti če podjetje izbira varnostne rešitve iz tretjih držav, Izraela, ZDA, Kitajske, tam velja druga zakonodaja, ki je do podrobnosti ne poznamo niti se ne ukvarjamo. Če so tehnološke rešitve razvite v Evropski uniji, zasledujejo najvišje evropske standarde in zakonodajo.
Kako se odvisnost od zunanjih ponudnikov kaže v vsakodnevnem delovanju podjetja?
Vsakodnevno delovanje podjetij je odvisno od zunanjih dobaviteljev, bodisi od dobavitelja surovin, energentov ali pa tehnoloških dobaviteljev, kot so recimo varnostne rešitve. Ena je tako imenovana tehnološka odvisnost podjetij, ko je delovanje odvisno od kakovostnih varnostnih aplikacij. Drugo tveganje je pa odvisno od izvajanja kibernetske varnosti kot storitve. V Sloveniji to imenujemo SOC centri. Pri Esetu imamo to kot MDR storitevhttps://www.eset.com/si/business/services/managed-detection-and-response/. Trenutno je ta storitev po neodvisnih mednarodnih raziskavah najhitrejša na trgu.
Kaj v praksi pomeni, da je neka tehnološka rešitev razvita v Evropski uniji?
Da je tehnološka rešitev razvita v Evropski uniji, ne pomeni le same aplikacije ali varnostne rešitve, ampak zajema celotno dobavno verigo. Gre za celoten spekter, od razvoja do hrambe podatkov in varnostnih storitev zunanjega upravljavca, kot so storitve SOC. Kar zadeva ESET, se vse to izvaja na območju Evropske unije. Mislim, da smo tudi edini tovrstni večji ponudnik, ki ima vse skoncentrirano na ravni EU.
Na kaj morajo biti podjetja najbolj pozorna pri izbiri ponudnika kibernetske varnosti?
Največja razlika pri izbiri ponudnika se pogosto skriva pod površjem trženjskih predstavitev. Marketing prenese vse, resničnost pa je drugačna. V Sloveniji se srečujemo z različnimi ponudniki, na primer iz Izraela in ZDA, ki imajo temu primerno tudi nižjo ceno, pogosto pa gre za večja in bolj prepoznavna podjetja. ESET prihaja iz Evropske unije in temu namenjamo velik poudarek.
Pomembno je, da se podjetja vprašajo, od kod izvira varnostna rešitev. Preverijo naj tudi nagrade neodvisnih testov in ocenjevalcev, ESET jih ima na neodvisnih testih več kot 100. Prav tako je smiselno preveriti, ali je podjetje v zasebnem lastništvu ali pa je odvisno od političnih strank. Vsako rešitev je treba tudi preizkusiti. Podjetjem omogočimo brezplačno namestitev za prvi mesec, da lahko preverijo, kako rešitev deluje v njihovih varnostnih sistemih in ali upočasnjuje določene procese. ESET je že vrsto let znan po najnižjem sistemskem odtisu, kar pomeni, da ne obremenjuje poslovanja podjetij.
Petra Veber poudarja, da morajo podjetja pri izbiri tehnoloških rešitev preveriti izvor tehnologije, lokacijo hrambe podatkov in odzivnost ponudnika ob incidentih. FOTO: Blaž Samec
Kako lahko podjetje preveri, ali ima nad izbrano rešitvijo dejanski nadzor in pregled?
Imeti mora vpogled v dnevniške zapise, iz katerih je razvidno, kaj rešitev dejansko dela, kaj zaznava in ali obstaja tudi revizijska sled. Pomembno je, da lahko podjetje razume, kako rešitev deluje.
»Velik izziv je tehnološki dolg. V Sloveniji se pogosto srečujemo z zastarelimi in neposodobljenimi informacijskimi rešitvami, slabo konfiguriranimi omrežji in strežniki ter pomanjkanjem osnovnih varnostnih kontrol, kot so ustrezna uporabniška imena in gesla, večfaktorska avtentikacija in uporaba šifriranja.
Podjetja včasih tudi izklopijo določene varnostne rešitve, ker te upočasnjujejo sisteme, ali pa spregledajo varnostna opozorila, saj so zaposleni v IT-ju pogosto preobremenjeni.«
Kaj pomeni dobra pripravljenost podjetja na kibernetske incidente in kako jo doseči?
Gre za proaktivno varnost, ki temelji na preprečevanju incidentov, torej na pristopu najprej preventiva, kot ga imenujemo pri Esetu. Pomembno je, da podjetje upravlja svoje ranljivosti in hkrati razume, kakšne grožnje se razvijajo v digitalnem okolju, ter se nanje pravočasno pripravi. Ključno je zapiranje varnostnih vrzeli, še preden jih odkrijejo napadalci.
Podjetje mora razumeti tako grožnje, ki izvirajo iz njegovega notranjega okolja, kot tudi tiste, ki prihajajo od zunaj. Pogosto se izkaže, da je človek najšibkejši člen pri vdorih. Pripravljenost podjetja se gradi z učinkovitim upravljanjem tveganj in s sodelovanjem s strokovnjaki, ki prevzamejo upravljanje varnosti.
Kakšno podporo ponujate podjetjem pri izobraževanju zaposlenih, da znajo ravnati preventivno ali ob morebitnem napadu?
Imamo brezplačno spletno izobraževanje, ki so ga pripravili Esetovi strokovnjaki in je na voljo vsem. Kot ESET Slovenija pa izvajamo tudi izobraževanja za zaposlene pri naših strankah, kadar za to prejmejo povpraševanje.
Vsebino ustvarja Vsebinski studio Delo mediji d.o.o.