»Tega vam trenutno ne znam povedati, bo pa ravno to naša naloga,« je v sklopu konference Infosek o informacijski varnosti na ta vprašanja odgovoril Dobran Božič, nekdanji načelnik generalštaba Slovenske vojske in trenutni direktor urada vlade za varovanje tajnih podatkov. Urada, ki se bo po vsej verjetnosti razširil, prišel pod pristojnost ministrstva za javno upravo in dobil nova pooblastila ter več pristojnosti na področju informacijske in kibernetske varnosti. Med drugim tudi pristojnost opravljanja inšpekcijskih nadzorov nad tem, kako so pred vdori hekerjev in krajo podatkov zaščitena nekatera slovenska podjetja.

Nad podatke zakon in inšpekcija

Revolucijo na področju varovanja podatkov med drugim prinaša nova evropska uredba o varstvu podatkov. Veljati bo začela maja prihodnje leto, z njo bodo morala biti usklajena vsa podjetja in organizacije, ki zbirajo in obdelujejo osebne podatke. Slovenija jo bo z nekaj dodatnimi zaostritvami v pravni red prenesla z novim zakonom o informacijski varnosti. »V njem bomo jasno definirali, kateri so minimalni standardi, ki jih bodo ponudniki morali upoštevati za zagotavljanje informacijske varnosti,« pojasnjuje Božič. Glede na trenutni predlog bodo morala za to poskrbeti podjetja, ki delujejo na področju energetike, oskrbe z vodo, zdravstvene, bančne in prometne ustanove, zavarovalnice, ponudniki digitalnih storitev, državne institucije, občine…

Novoustanovljeni urad bo imel pristojnost po podjetjih opravljati tudi inšpekcijske preglede. »Brez skrbi, ne bo šlo za klasičen inšpekcijski nadzor, temveč se bomo skupaj s podjetji in institucijami trudili poskrbeti za varno informacijsko okolje,« pravi Božič. A priznava: »Če podjetja v določenem času ne bodo zagotovila vsaj minimalnih standardov varovanja podatkov, bodo sledile tudi sankcije.« Predvidene globe za kršitelje so od 200 do 10.000 evrov.

Podatki so novo naftno polje

Problem zagotavljanja informacijske varnosti je vsekakor pereč, saj hekerji varnostne sisteme prehitevajo. »Podatki so danes novo naftno polje, bogastvo, ki ga veliki ponudniki vsebin zbirajo in tržijo,« opozarja Matevž Mesojednik, ki se v podjetju Nil ukvarja z varnostnim preverjanjem sistemov. Največji hekerski vdor doslej je letošnjega maja dosegel tudi Slovenijo. Kibernetski vdor so zabeležili v osmih podjetjih, tudi v novomeškem podjetju Revoz, kjer se povzročena škoda šteje v milijonih evrov. Še več je zamolčanih primerov. »Zasebna podjetja tega večkrat ne želijo povedati, bojijo se izgube zaupanja strank. Vem pa za podjetja, ki zaradi tega ves mesec niso mogla opravljati posla, in za primer, ko so hekerji s krajo elektronskega podpisa direktorja iz podjetja ukradli 100.000 evrov,« pojasnjuje Božič.

Ugotavlja, da so občutljivi podatki najbolj skrbno varovani takrat, ko niso povezani s svetovnim spletom. »V digitalni dobi moramo nazaj v jame. Lahko vam povem svojo izkušnjo, da so v Slovenski vojski pomembne podatke po mojih informacijah zelo odgovorno varovali, in sicer v bunkerjih, kjer ni internetne povezave,« pojasni nekdanji generalmajor. Tudi Holger Spohn, sodelavec Nata, temu prikimava. »Tudi Nato ima bunkerje. Najbolj varen sistem je tisti, ki ni povezan,« pravi in dodaja, da imajo bržkone vse države članice Nata na tem področju še veliko dela. »Na informacijskem področju smo najbolj ranljivi, škode zlorab so ogromne. Prav zato je Nato lani odprl peto vrsto bojišča: kopenskemu, zračnemu, vodnemu in vesoljskemu je dodal kibernetski prostor,« pojasnjuje Spohn. Škoda se meri v tisočih milijardah dolarjev, še večja, kot je denarna, je posredna: kraja intelektualne lastnine in izguba zaupanja strank.

Kljub temu imajo po informacijah sogovornikov slovenska podjetja še vedno težave z upravičevanjem stroškov za informacijsko varnost. »Pred nadzornimi sveti jih težko upravičijo, ker se vložek vanje ne povrne neposredno,« pravi Božič.

Bodo podjetja temu kos?

Prihodnji maj, ko bodo podjetja morala imeti urejeno varovanje podatkov, je pred vrati. S tem se močno povečuje tudi povpraševanje po strokovnjakih zagotavljanja informacijske varnosti, ki pa jih na trgu praktično ni. »Strokovnjakov na tem področju je malo. Zelo malo kadra ima takšne kompetence, ki poleg klasičnih računalniških znanj zahtevajo tudi razumevanje dela hekerjev, digitalne forenzike, razumevanje nevarnosti informacijske varnosti,« pojasnjuje Mesojednik. Poleg tega na terenu ugotavljajo, da v podjetjih preventiva ni več dovolj. »Treba je izobraževati zaposlene, kaj storiti, ko nekdo nevarno priponko klikne – ali bo to pometel pod preprogo ali pa odgovorno prijavil varnostni incident in tako zaščitil tudi svoje sodelavce, da ne storijo podobnega in s tem škode podjetju,« razloži Mesojednik. Slednje, torej vzpostavitev pravil, kako ravnati ob varnostnih incidentih, komu in kako o njih poročati, bo tudi eden od osrednjih poudarkov nove zakonodaje.