Podjetja težko sledijo, površina kibernetskih groženj se je povečala in razpršila - EOL 151

Podjetja težko sledijo, površina kibernetskih groženj se je povečala in razpršila - EOL 151

I. P.

Certificiranje in kibernetska varnost

Med vsemi standardi je med podjetji največ zanimanja za standard ISO 9001, za sistem vodenja kakovosti, pojasnjuje Igor Likar, direktor Slovenskega instituta za kakovost in meroslovje, SIQ. A poslovanje organizacij je danes na veliki preizkušnji, saj so v tehnologiji in družbi zaradi digitalizacije tektonski premiki. Upravljanje informacijskih sistemov in zagotovitev kibernetske varnosti postaja najvitalnejši izziv menedžerskih vodstev. Prav tako pa tudi zahteve, kako v poslovanje vnašati elemente zelenega gospodarjenja. Igor Likar priporoča, kateri standardi so lahko podjetjem najbolj v pomoč, tudi ko gre za nizkoogljično poslovanje. Najbrž pa je manj znano, da je SIQ edini laboratorij na svetu, ki lahko v celoti servisira proizvajalce igralniških tehnologij.

Igor Likar
Igor Likar

Še pred izbruhom krize ste sodelovali na sejmu igralniških tehnologij (ICE) v Londonu. Kot edini laboratorij na svetu lahko proizvajalcem igralniških tehnologij ponudite storitve, ki jih zahtevajo zakonodaja, partnerji in drugi. Kaj zagotavljate in preskušate? Varnost, funkcionalnost, zanesljivost …? Tudi na igralniškem trgu ZDA ste pridobili licence v več državah. Kaj pomeni ta posel strokovno in tehnološko?

SIQ je edini laboratorij na svetu, ki lahko ponudi prav vse storitve, ki jih proizvajalci igralniških tehnologij potrebujejo za dokazovanje skladnosti v posameznih zakonodajah oziroma jih potrebujejo zaradi zahtev odjemalcev in partnerjev. Proizvajalci igralniških tehnologij pri nas naročajo različne storitve. Na primer, igralniške preskuse (analiza izvorne kode itd.), preskuse električne varnosti in elektromagnetne združljivosti, preskuse varnosti igralniških informacijskih sistemov, mislim na analizo ranljivosti informacijskega sistema, in druge vrste presoj npr. po standardih ISO 9000, 14000 itd.

Na trgu za vas ni mej?

SIQ ima na področju igralniških preskušanj zelo širok dostop do trgov. Že sedaj pokrivamo celotno Evropo, Latinsko Ameriko, Azijo, Afriko in pa večji del severnoameriških jurisdikcij. To je bila še posebej zahtevna naloga, saj ima Severna Amerika prek 300 različnih državnih (»state«) in plemenskih (»tribal«) jurisdikcij, kar pomeni, da je izpolnjevanje njihovih zahtev časovno in tudi stroškovno velik zalogaj. Večina regulatornih organov si namreč želi pregledati tako tehnično usposobljenost kot primernost instituta in osebja za izvajanje takšnih storitev/nalog. V zadnjem času poleg pridobivanja licenc za delo po severnoameriških jurisdikcijah zelo intenzivno delamo tudi na pridobitvi ustreznih avstralskih imenovanj. SIQ je na področju igralniškega preskušanja že sedaj v svetu na tretjem mestu po velikosti in dosegu jurisdikcij. Želimo pa postati največji ponudnik “one-stop” preskušanja.

Povsem nekaj drugega kot igralništvo je področje varnih živil. Napovedujete usposabljanje za sistem vodenja varnih živil, gre za prenovljeni standard ISO 22000 iz leta 2018. Standard naj bi uveljavil sistem, ki si ga potrošnik glede varnosti živil v celotni verigi »od njive do vilic« zelo želi. Aktualno. Inšpekcijski pregledi kažejo, koliko šibkih točk je v vrednostni verigi. Koliko se standard ISO 22000 uporablja v EU in pri nas, koliko podjetij se zanj odloča in kaj vse mora podjetje izpolniti za pridobitev prehrambnega standarda?

Po podatkih ISO Survey 2018 je na svetu 32.120 certifikatov ISO 22000, od tega 20 % v EU. V Sloveniji je bilo konec leta 2018 podeljenih 12 certifikatov po zahtevah standarda ISO 22000, od tega jih je SIQ podelil sedem. Ker trgovske verige v Sloveniji od dobaviteljev pogosteje zahtevajo skladnost z IFS, to je shemo za varnost živil, ki jo zahtevajo predvsem veliki trgovci z nemškega področja, standard ISO 22000 v tem prostoru ni dosegel večjega preboja, čeravno prinaša koristi tako organizacijam, ki ga uporabljajo, kot potrošnikom. Za pridobitev certifikata po standardu ISO 22000 mora podjetje vzpostaviti, vzdrževati in posodabljati sistem vodenja varnih živil v skladu z zahtevami standarda. Podjetje mora dokazati zmožnost, da dosledno zagotavlja varne izdelke in izdelke, ki so skladni z zahtevami kupca in zakonodaje, da so pri načrtovanju in obvladovanju delovanja ovrednotena in upoštevana organizacijska in operativna tveganja ter da podjetje dokaže skladnost delovanja s sistemom vodenja varnosti živil.

A kaj to pomeni v praksi?

To, da je potrebno v podjetju prevetriti organizacijo, vloge in odgovornosti, komunikacijo, se načrtno lotiti planiranja, delovanja, nadzorovanja in ukrepanja na vodstvenem in operativnem nivoju. Sicer pa za obvladovanje tveganj na operativnem nivoju podjetja pri nas najbolj množično uporabljajo nam že vsem zelo dobro poznan sistem HACCP.

Katere večje projekte boste ali ne boste mogli realizirati v tem letu zaradi izrednih razmer pri nas in na globalnem trgu?

Igralniški sektor je del tako imenovane turistične ponudbe. Tudi pri operaterjih in proizvajalcih igralniških tehnologij so izredne razmere pustile globok pečat, zlasti na področju klasičnega (land-based) igralništva. Težko bi rekli, da kakšnih projektov nismo ali ne bomo mogli realizirati. Gre bolj za prilagoditev prioritet.

Na kaj mislite?

V času izrednih razmer smo veliko časa posvetili preskušanju igralniških spletnih sistemov in iger. Poleg tega smo večji del svojih virov usmerili v razvojne naloge. S tem želimo v času izrednih razmer še izboljšati svoje storitve in strankam s področja klasičnega ali spletnega igralništva omogočiti dostop do celotnega globalnega trga. Na področju ocenjevanja sistemov vodenja pa smo v času krize spremenili način delovanja. To je na eni strani zahtevalo dodatno usposabljanje presojevalcev, na drugi strani pa večji obseg dela v pisarni. Ves čas so sodelavci skrbeli za nadaljnje delovanje priglašenega organa za medicinske pripomočke. Vse sile bomo v prihodnosti usmerili v dvig kompetenc mlajših sodelavcev. Na področju preskušanja in certificiranja proizvodov smo delo v času izrednih razmer prilagodili tako, da smo v prvi vrsti zaposlenim omogočili varno delo. Sicer pa je pomemben del našega poslanstva, da podjetjem omogočimo čim lažji vstop na trg.

Če hočete podjetjem olajšati poti na trg, je tudi za vaš inštitut izreden izziv silovita digitalizacija družbe. Smo v obdobju revolucije IKT, pri čemer Slovenija ni med zadnjimi v Evropi. Kako mora reagirati gospodarstvo, kaj to pomeni za človeka? In kako lahko stroka prepreči kibernetske grožnje, napade, vdore?

Klaus Schwab pravi, da v novem svetu ne velja več, da večje ribe pojedo manjše, ampak da hitre pojedo počasne. Hitrost sprememb je iz dneva v dan večja. V prihodnosti se bo le še stopnjevala. Vsekakor živimo v času, v katerem digitalizacija na krilih oblačnih storitev, mobilne tehnologije, umetne inteligence, robotike, gmote podatkov, pametnih tovarn, digitalne medicine omogoča za zadovoljitev pričakovanj strank potrebno fleksibilnost in agilnost. Diktira smer razvoja industrije in človeštva. Razvoj in globalni preboj, ki je bil nekoč omogočen samo velikim, je danes z uporabo različnih tehnologij oziroma orodij omogočen tudi manjšim.

Primer?

V istem letu, ko je potekal stečaj Kodaka, je bilo podjetje Instagram s 13 zaposlenimi prodano za 1 milijardo USD. Ironično, zgodilo se je v času, ko je Kodak še imel veljavne patente na področju digitalne fotografije. Digitalizacija prinaša torej hitrejše in učinkovitejše vstope na nove trge. Spreminja kontekst ustaljenih poslovnih scenarijev, optimizira poslovne procese in nenazadnje zagotavlja boljšo uporabniško izkušnjo.

Brez prilagodljivosti in hitre odzivnosti ne bo šlo?

Ne. Vendar krajši čas prilagoditve ni nujno pokazatelj enako učinkovitega upravljanja informacijske varnosti. Prej nasprotno. Posledično se številna podjetja soočajo s povečanim številom povezanih naprav in digitalnih storitev tako znotraj kot zunaj "varnega" okolja organizacije. To pomeni, da se je površina kibernetskih groženj posledično povečala in razpršila. Navedeno predstavlja nove izzive, s katerimi se organizacije soočajo pri upravljanju strategije kibernetske obrambe. Marc Goodman, FBI-futurist in strokovnjak za varnost, navaja, da je zaznanih samo 6 % varnostnih incidentov (odtekanje podatkov ipd.) s strani oddelkov IT. Prav tako priporoča, da organizacije »kibernetsko odpornost« tudi neodvisno preverijo s t. i. kibernetsko vajo "Red Team". S simulacijo napada s stališča motiviranega napadalca preizkusimo pripravljenost organizacije na kibernetski napad, določimo stopnjo varnosti in izpostavljenosti kritičnih sistemov. Ovrednotimo pripravljenost organizacije na zaznavanje in preprečevanje napadov ter opredelimo smiselnost investicij glede na odkrite pomanjkljivosti.

Kaj lahko storijo podjetja?

Pri ogromnem številu dobaviteljev informacijske tehnologije ter zelo hitrem odkrivanju novih ranljivosti v programski in strojni opremi organizacije stežka sledijo in zagotavljajo varnost informacijskih sistemov. Zato je smiselno, da takšne zadeve prepustijo strokovnjakom. V SIQ Ljubljana se lahko pohvalimo z največjo ekipo neodvisnih in vrhunskih strokovnjakov v regiji. Na dnevni ravni spremljamo najaktualnejše kibernetske grožnje, ranljivosti, tehnike in taktike, identične tistim, ki jih uporabljajo motivirani hekerji. V takšni zasedbi smo v letu 2019 varnostno preverili več kot 150 organizacij doma in v svetu.

Kateri standardi lahko najbolj prispevajo k boljšemu poslovanju in za katere je med podjetji največ zanimanja? Primerjava z EU? In pri katerih certifikatih slovenska podjetja negativno odstopajo?

Med vsemi standardi je največ zanimanja za standard ISO 9001, ki postavlja zahteve za sistem vodenja kakovosti. Slika je enaka za ves svet. Brez izjem. Slovenska podjetja so, kar se tiče certifikatov, povsem primerljiva z evropskimi.

Ali velja to tudi za elemente zelenega poslovanja? Agencija SPIRIT Slovenija je izbrala prve zelene ambasadorje slovenskega gospodarstva, in sicer tiste, ki so zeleni, kreativni, pametni. Katere standarde, osnovni paket standardov, bi moralo podjetje upoštevati v poslovanju, da bi se lahko uvrstilo med zelene, kreativne, pametne?

Zelena podjetja zagotovo v praksi uporabljajo vsaj ISO 14001, najboljša pa tudi EMAS, ki predstavlja odličnost na področju ravnanja z okoljem. Dodatno pa so tu še standard za sistem upravljanja z energijo IS0 50001, izjava o ogljičnem odtisu, evropske uredbe o odpadkih. Kreativnim podjetjem so lahko v pomoč standardi skupine ISO 56000, ki se ukvarjajo z upravljanjem inovacij. Vse pametne organizacije izkoriščajo izkušnje najboljših, ki so natančno povzete v zahtevah različnih standardov za sisteme vodenja.

Naložbo sofinancirata Republika Slovenija in Evropska unija
iz evropskega sklada za regionalni razvoj. Sofinanciranje spletne strani je bilo pridobljeno preko Vavčerja za digitalni marketing.