V svojih sporočilih bralcem pogosto poudarjamo nujnost zagotavljanja potrebnih kadrovskih zmogljivosti in specializiranih kompetenc na področju kibernetske varnosti. Naša namera in poslanstvo je, da pomanjkanje specializiranih kadrov ozavestimo, ustrezno naslovimo in predlagamo rešitve. Prepričani smo, da je največje tveganje pri učinkoviti zaščiti pred kibernetskim kriminalom prav človeški dejavnik, pa naj se to pokaže v šibkem zavedanju digitalnih tveganj ali v njihovem zavestnem nenaslavljanju.
Pomanjkanje usposobljenih strokovnjakov (p)ostaja žgoča vrzel v boju proti kibernetskemu kriminalu. Po poročanju mednarodne organizacije ICS2 letos na globalni ravni primanjkuje tri milijone specialistov s področja kibernetske varnosti. Številna slovenska podjetja, med njimi prevladujejo zlasti nosilci pomembnih storitev in organizacije s kritično infrastrukturo, že pristopajo v zavarovanje digitalnih premoženj z inovativnimi strategijami kibernetske obrambe. Te vse pogosteje temeljijo na omejenih lastnih zmogljivostih ter njihovi krepitvi v obliki najema specializiranih zunanjih izvajalcev in upravljanjih varnostnih storitev.
In kakšna so naša opažanja? V poizvedovanjih po storitvah našega varnostno operativnega centra spremljamo veliko rast povpraševanja po upravljanju zaznavanja in odzivanja na incidente (angleško Managed Detection and Response, MDR). Ta oblika varnostnih storitev se odlikuje po svoji prilagodljivosti – najem zmogljivosti po meri, možnost hibridnega najema (na primer zunaj delovnega časa organizacije) in preprostost obvladovanja stroškov (ponavadi v obliki mesečne naročnine).
Previdnost pri izbiri izvajalca storitev MDR je zelo pomembna, zato naštevamo nekaj pomembnih meril za vrednotenje kakovosti in kredibilnosti ponudnikov.
- Kadrovske zmogljivosti ponudnika SOC/MDR: Režim 24/7 z zavezujočim dogovorom o ravni storitev (SLA) – na primer enourni odzivni čas za kritične incidente – zahteva zavzet tim ter čas varnostnih analitikov, in sicer na različnih ravneh izvajanja operacij. Naročnik lahko v procesu izbora ponudnika vedno preveri sistematizacijo kadra na delovnih mestih SOC in njegovo samozadostnost (upoštevajte minimalni multiplikacijski faktor za pokrivanje 21 izmen posameznega tedna v mesecu).
- Kadrovska usposobljenost operativnih timov MDR: Pomembna diferenciacija utečenega operativnega tima MDR so njegovo specializirano znanje in doseženi strokovni nazivi vsakega posameznika. Objektivno merilo ponudnikove kredibilnosti so pridobljeni certifikati in izkušnje varnostnih analitikov, ki (naj) jih ponudnik vseskozi dokazuje z referenčnimi projekti in strokovnimi certifikati. Ponudnik naj svoje kompetence gradi celovito, upoštevaje kompleksnost in prepletenost osrednjega nabora storitev MDR (blue/red teaming, incident response, threat hunting, sistemski inženiring, digitalna forenzika).
- Upravljanje kataloga detekcijskih in preventivnih zmogljivosti: Ponudnik storitev MDR mora izkazovati sposobnost zaznavanja ter odzivanja na pomenljive tehnike napadov. Objektivno merilo doseganja pokritosti MDR je kontinuirano dokazovanje pokritosti industrijsko uveljavljene matrike MITRE ATT&CK, ki pa naj ne sloni izključno na produktnih specifikacijah apliciranih tehnologij. Naj poudarim, da ima skrben naročnik storitev MDR svojega izvajalca vedno možnost neodvisno preveriti (na primer z izvedbo kibernetske vaje – red teaming). Pri tem naj se naročnik ne omeji izključno na preverjanje tehnologije, temveč tudi na skladnost izvajanja storitev s pogodbeno opredeljenimi procesi zaznave in odziva.
- Sposobnost neprekinjenega poročanja o obrambnih zmogljivostih in varnostnem stanju organizacije: Izpolnjevanje pogodbenih obveznosti izvajalca (SLA) naj bo organizaciji neprekinjeno vidno, kar zagotavlja potrebno transparentnost in kakovost izvajanih storitev. Podjetja naj izvajalce pozovejo k neprekinjenemu prikazovanju statusov operacij in rednemu obdobnemu poročanju varnostnega stanja ter podajanju varnostnih priporočil za omejevanje digitalnih tveganj.