mag. Vesna Prodnik, Telekom Slovenije
| Avtorica: mag. Marjetka Raušl Lesjak |
V času, ko digitalizacija preoblikuje gospodarstvo, javne storitve in vsakdanje življenje, postaja kibernetska varnost eden ključnih stebrov stabilne in odporne družbe. Podatki so nova infrastruktura, njihova zaupnost, celovitost in razpoložljivost pa temelj zaupanja uporabnikov, poslovnih partnerjev in države. V ospredju teh izzivov stoji Telekom Slovenije, eden ključnih akterjev digitalne preobrazbe Slovenije ter vodilni ponudnik rešitev kibernetske odpornosti v jugovzhodni regiji.
Podjetje z najsodobnejšim in razvejanim optičnim omrežjem dosega skoraj pol milijona gospodinjstev, mobilno omrežje 5G pa pokriva 99 odstotkov prebivalstva. Več kot 200.000 uporabnikov širokopasovnih in TV-storitev ter več kot milijon uporabnikov mobilnih storitev zaupa omrežju, ki ga uporabniki po raziskavi Brand Track (jesen 2025) ocenjujejo kot najboljše v Sloveniji. Telekom Slovenije dosega 28,9-odstotni tržni delež pri fiksnih širokopasovnih priključkih, 36,7-odstotnega pri mobilni telefoniji ter 44,3-odstotnega pri IP-televiziji (vir: AKOS, Q3 2025).
O tem, kako se v takšnem okolju gradi kibernetska odpornost, kakšna je vloga varnosti podatkov v korporativnem upravljanju ter zakaj kibernetska varnost danes ni več strošek, temveč strateška naložba, smo se pogovarjali z mag. Vesno Prodnik, članico uprave Telekoma Slovenije.
Telekom Slovenije je prejel zlato medaljo CyberVadis z oceno 910 od 1.000 točk. Kaj ta ocena v praksi pomeni za vašo organizacijo in kaj pove o zrelosti vašega pristopa h kibernetski varnosti?
Navedena ocena odraža visok nivo zrelosti na področju upravljanja kibernetske varnosti in odpornosti. Rezultat je dokaz, da ima naša organizacija vpeljane politike, procese in kontrole, primerljive z najboljšimi v panogi. Je tudi odraz dejstva, da Telekom Slovenije področje kibernetske varnosti obravnava kot ključni strateški element, pomemben za stabilnost in uspešnost delovanja naše organizacije ter gradnjo zaupanja naših poslovnih partnerjev. Kljub temu, da smo ponosni na doseženi rezultat, pa je pomembno, da v naše procese vpeljujemo stalno skrb za izboljšave ter dodatne ukrepe, ki sledijo hitro spreminjajočim globalnim izzivom ter neprestano zagotavljamo najvišji možni nivo kibernetske varnosti in odpornosti.
Kako vidite vlogo kibernetske varnosti kot enega temeljnih gradnikov dobrega korporativnega upravljanja?
Dobro korporativno upravljanje zahteva celovit sistem politik, postopkov in kontrol, ki organizaciji zagotavljajo ustrezen okvir za vzpostavitev odpornosti na kibernetske grožnje. Odpornost pa je temelj zagotavljanja zanesljivosti in stabilnosti poslovanja. V digitalni družbi, ki se sooča z izjemnim tehnološkim napredkom ter posledično novimi grožnjami, je kibernetska odpornost eno izmed ključnih strateških področij, ki zahteva aktivno vlogo poslovodstva in nadzornih organov. To pa pomeni, da je potrebno kibernetsko odpornost sistematično obravnavati in vključevati v procese odločanja.
ESG poročanje temelji na obsežnem zbiranju in obdelavi podatkov, od okoljskih kazalnikov do podatkov o zaposlenih in dobavnih verigah. Kje so po vaših izkušnjah največja kibernetska tveganja pri upravljanju teh podatkov?
ESG-poročanje temelji na obsežni obdelavi podatkov iz številnih razpršenih virov, kar posledično povečuje kompleksnost in kibernetsko izpostavljenost. Največja tveganja nastajajo tam, kjer se obdelujejo občutljivi osebni podatki – predvsem podatki o zaposlenih ter informacije iz storitev, ki vključujejo zdravstvene ali druge posebej varovane podatke. Enako kritična je integriteta podatkov v dobavni verigi, saj že manjša napaka ali manipulacija pri vhodnih okoljskih kazalnikih lahko poruši natančnost celotnega poročila. Ob povečanem obsegu javno objavljenih podatkov se sorazmerno povečajo tudi možnosti zlorab, zato je ključnega pomena, da podjetja vzpostavijo celovito zaščito celotnega življenjskega cikla podatkov (od zajema, prenosa, hrambe do poročanja) ter s tem zagotovijo zanesljivost, sledljivost in varnost ESG-informacij.
Kako v Telekomu Slovenije zagotavljate celovitost, sledljivost in varnost podatkov?
V Telekomu Slovenije skrbni in skladni obravnavi podatkov posvečamo posebno pozornost. Skladnost hranjenja in obdelave podatkov zagotavljamo z uporabo številnih mehanizmov in kontrol, ki jih imamo vzpostavljene v okviru vpeljanega sistema upravljanja varovanja informacij (SUVI) in sistema upravljanja neprekinjenega poslovanja (SUNP). Prav tako ustrezno skladnost obravnave podatkov od nas zahtevajo tudi pridobljeni mednarodni standardi, kot so ISO 27001, ISO 27018 in ISO 22301. Med te mehanizme sodijo beleženje in omejevanje spreminjanja podatkov, upravljanje različic (versioning), izvajanje varnostnih kopij, uporaba šifriranja, vodenje dnevniških zapisov, zagotavljanje revizijskih sledi v informacijskih sistemih ter dokumentirani postopki, politike in drugi nadzorni elementi. Poleg tega delujemo v skladu z relevantnim zakonodajnim okvirom, ki vključuje veljavno slovensko in evropsko zakonodajo s področja informacijske varnosti, varstva osebnih podatkov ter zagotavljanja neprekinjenega poslovanja (npr. ZInfV-1, DORA in ZVOP-2, GDPR).
Vaš Center kibernetske varnosti beleži povečanje varnostnih dogodkov. Kako takšno okolje vpliva na zanesljivost podatkov?
Povečanje števila varnostnih dogodkov je odraz splošnega trenda v kibernetskem prostoru, v katerem so poizkusi napadov vse pogostejši, bolj ciljani in tehnično zahtevnejši. Zato izvajamo še bolj sistematičen in proaktiven pristop k upravljanju informacijske varnosti. V Telekomu Slovenije povečano število zaznanih varnostnih dogodkov poleg prej omenjenega trenda razumemo tudi kot rezultat izboljšanih zaznavnih zmogljivosti in stalnega nadzora, ki ga izvaja naš Center kibernetske varnosti in odpornosti v sodelovanju z vsemi deležniki, ki delujejo v podjetju za zagotavljanje kibernetske zaščite. Zanesljivost podatkov v takšnem okolju zagotavljamo z večplastnimi varnostnimi mehanizmi, ki vključujejo identifikacijo, zaščito, zaznavo oz. zgodnje odkrivanje in hitro odzivanje na varnostne dogodke. Ključno je, da se ob zaznanih dogodkih pravočasno izvedejo ustrezni tehnični in organizacijski ukrepi, s katerimi preprečimo vpliv na celovitost, razpoložljivost, zaupnost in avtentičnost podatkov. S tem zmanjšujemo možnost nepooblaščenih sprememb podatkov, izgube informacij ali motenj v delovanju kritičnih sistemov. Povečana izpostavljenost varnostnim grožnjam obenem pomeni tudi večji poudarek na standardiziranih postopkih obvladovanja incidentov, rednem testiranju odpornosti sistemov ter stalnem izboljševanju varnostnih mehanizmov. Takšen pristop ne le ohranja zanesljivost podatkov, temveč dolgoročno celo povečuje odpornost, saj omogoča učenje iz dogodkov in stalno prilagajanje novim grožnjam. Prav kombinacija tehnoloških rešitev, jasnih procesov ter ozaveščenih in kompetentnih kadrov omogoča, da tudi v okolju povečanih tveganj zagotavljamo visoko raven zanesljivosti podatkov ter stabilno in varno poslovanje.
Številna slovenska podjetja se soočajo z osnovnimi varnostnimi izzivi. Zakaj po vašem mnenju prihaja do tega razkoraka med zavedanjem in dejansko prakso?
Razkorak med zavedanjem in dejansko prakso v številnih slovenskih podjetjih izhaja iz kombinacije pomanjkanja kadrov, nezadostnih vlaganj in podcenjevanja tveganj na eni strani ter prepričanja, da so napadi usmerjeni le v večja podjetja na drugi strani. Izkušnje kažejo prav nasprotno – napadalci ciljajo tudi na manjša podjetja, še posebej tam, kjer so osnovni varnostni ukrepi šibkejši. Tam si namreč obetajo več možnosti za uspeh z veliko manj truda, saj večja podjetja in sistemi več vlagajo v kibernetsko varnost in odpornost. Poleg tega danes večina napadov poteka avtomatizirano, tako da se manjša finančna korist (manjša podjetja imajo manjši denarni tok kot velika) enostavno kompenzira z množičnostjo napadov. Tako da skupni znesek poslovne škode, ki jo povzročajo kibernetski napadi, še vedno vsako leto strmo narašča, kljub temu, da se razmerje oškodovanih močno preveša v korist malih in srednje velikih podjetij.
Ali opažate, da naročniki razumejo kibernetsko varnost kot naložbo in ne več kot strošek? Kaj je bil pri tem ključni preobrat?
V zadnjih letih res vse bolj opažamo, da naročniki kibernetsko varnost razumejo kot naložbo. Ključni preobrat sta prinesla predvsem zaostrene zakonske zahteve ter rast števila incidentov, pri katerih je poslovna škoda pogosto bistveno višja od stroška preventivnih ukrepov. Prav zato podjetja vse pogosteje sprejemajo celovit pristop k upravljanju tveganj. To je tudi edini možni način za zagotavljanje kibernetske varnosti in odpornosti – vzpostavitev celostnih, smiselnih ukrepov, ki se med seboj dopolnjujejo, in sodelovanje s strokovnjaki in podjetji, ki so specialisti na tem področju
Standardi, kot so ISO 27001 in ISO 22301, so ključni tudi za zaščito podatkov. Kako ti okviri konkretno podpirajo dolgoročno trajnost poslovanja?
Standardi, kot sta ISO 27001 in ISO 22301, predstavljajo temelj za dolgoročno trajnostnost poslovanja, saj v organizacijo vnašajo preglednost, procesno disciplino in dosledno upravljanje tveganj. Vpeljava relevantnih standardov v poslovanje družbe vzpostavi sistematičen pristop k varovanju informacij ter obenem k obvladovanju in obnovi delovanja ob motnjah, kar krepi odpornost podjetja in zmanjšuje tako operativna kot strateška tveganja. S tem zagotovimo, da so podatki, uporabljeni v ESG-poročanju, pravilni, varni, sledljivi in primerljivi skozi čas – kar je ključnega pomena za verodostojnost razkritij in stabilnost poslovanja. Poleg tega omogočajo boljše prepoznavanje priložnosti za izboljšave ter hitrejše zaznavanje potencialnih groženj, kar podjetju omogoča proaktiven odziv. Prav tako ESG-poročanje v takšnem okviru postane priložnost, da podjetje jasno pokaže svoje dobre prakse in zrelost upravljanja ter opredeli področja, kjer želi še napredovati.
V okviru vaše ponudbe varnostnih rešitev za velika podjetja poudarjate celosten pristop. Kako lahko takšen pristop pomaga podjetjem tudi pri varnem upravljanju podatkov?
Naše varnostne rešitve za velika podjetja temeljijo na celovitem pristopu, ki vključuje postavitev ustreznih procesov in politik, preventivo, zaznavanje, odzivanje in okrevanje po incidentih. Tak pristop podjetjem pomaga pri celotnem upravljanju podatkov – od zaščite bistvene infrastrukture do varnega obvladovanja občutljivih informacij v kadrovskih, finančnih in trajnostnih procesih.
Kako pomembna je segmentacija omrežij, nadzor dostopov in upravljanje identitet pri zaščiti občutljivih trajnostnih in kadrovskih podatkov?
Segmentacija omrežij, nadzor dostopov in upravljanje identitet so bistveni elementi zaščite občutljivih podatkov. Na ta način se prepreči širjenje napadov, omeji dostop le na pooblaščene osebe ter zagotovi sledljivost vseh dejanj uporabnikov. Če napadalec pridobi dostop do enega segmenta, mu segmentacija prepreči enostavno premikanje (t. i. lateral movement) do drugih sistemov, zlasti do kritičnih ali občutljivih virov. S tem se močno omeji območje napada, saj naprave in storitve ostalih segmentov enostavno niso dosegljive, kar je še posebej pomembno v kompleksnih IT in OT okoljih (IT – informacijska tehnologija; OT – operativna tehnologija). Segmentacija omogoča tudi boljši nadzor in zaznavanje anomalij, saj je nenavadno dogajanje znotraj posameznega segmenta hitreje opazno in se ga lažje analizira. Podjetje v segmentiranem okolju tudi lažje uveljavlja načelo najmanjših privilegijev (to pomeni, da ima vsak uporabnik dodeljene le tiste pravice, ki jih za svoje delo potrebuje, in nič več) ter izboljša odziv na incidente in zmanjša potencialno škodo, če bi prišlo do uspešnega kibernetskega napada.
Človeški dejavnik ostaja ena največjih varnostnih ranljivosti. Kako ozaveščanje zaposlenih vpliva na kakovost in varnost podatkov?
Človeški dejavnik predstavlja enega ključnih izzivov informacijske varnosti, saj so zaposleni pogosto prva tarča kibernetskih napadov, hkrati pa tudi prva obrambna linija organizacije. V Telekomu Slovenije se tega zavedamo, zato ozaveščanju in izobraževanju zaposlenih namenjamo posebno pozornost kot enemu izmed temeljnih stebrov celostnega upravljanja informacijske varnosti. Sistematično ozaveščanje zaposlenih prispeva k temu, da ti bolje razumejo varnostna tveganja, znajo prepoznati sumljiva ravnanja (npr. ribarjenje, socialni inženiring), kar omogoča ustrezno in pravočasno ukrepanje. Redna izobraževanja, simulacije varnostnih incidentov in stalno komuniciranje varnostnih tematik v Telekomu Slovenije prispevajo tudi k hitrejšemu prepoznavanju in prijavi varnostnih incidentov ali potencialnih tveganj. To omogoča pravočasno ukrepanje, omejevanje morebitne škode ter učinkovitejše obvladovanje incidentov. Nenazadnje pa visoka raven ozaveščenosti zaposlenih pomembno prispeva k skladnosti poslovanja z zakonskimi in regulatornimi zahtevami ter krepitvi zaupanja uporabnikov. Informacijska varnost tako ni zgolj tehnično vprašanje, temveč del organizacijske kulture, kjer ima vsak zaposleni pomembno vlogo pri varovanju podatkov ter zagotavljanju varnega in stabilnega poslovanja.
Kakšna je vloga umetne inteligence pri kibernetskih tveganjih in možnostih za boljšo zaščito ter analizo podatkov?
Umetna inteligenca je danes tako orodje ali tarča napadalcev kot branilcev. Napadalci jo uporabljajo za avtomatizacijo napadov in ustvarjanje verodostojnejših prevar, mi branilci pa za analizo velikih količin podatkov, hitro zaznavanje groženj ali anomalij in za napredne zaščitne mehanizme. Naš Center kibernetske varnosti in odpornosti že nekaj časa uporablja različne rešitve, ki s pomočjo umetne inteligence omogočajo preventivno ukrepanje. Te rešitve namreč prepoznajo grožnje, ob tem pa tako eksplicitne napade kot tudi vedenjske anomalije v ščitenem IKT-okolju. Na ta način omogočajo hitrejšo identifikacijo kibernetskih groženj ter strokovnjakom olajšajo osredotočanje na kritične dogodke in pravočasno odzivanje, še preden bi grožnje lahko eskalirale.
Kateri izzivi na presečišču kibernetske varnosti, podatkov in upravljanja bodo v naslednjih letih najbolj zaznamovali trajnostno naravnana podjetja?
V prihodnjih letih bodo trajnostno usmerjena podjetja najmočneje zaznamovali izzivi na stičišču podatkovne zasebnosti, naraščajoče avtomatizacije, strožjih regulativnih okvirov ter zaščite občutljivih informacij v celotni vrednostni verigi. Z večanjem količine in razpršenosti podatkov se bodo sorazmerno povečevala tudi operativna, pravna in varnostna tveganja, zato bo ključna sposobnost podjetij, da zgradijo visoko stopnjo odpornosti – tako tehnološke kot procesne. Napredne tehnologije, okrepljeno upravljanje podatkov in jasno definirani postopki bodo zato postali temelj, na katerem bodo podjetja lahko ohranjala zaupanje deležnikov, izpolnjevala regulatorne zahteve in ostajala konkurenčna v hitro spreminjajočem se okolju.
Zlata medalja CyberVadis predstavlja zagotovilo zaupanja. Kako to zaupanje prenašate tudi na svoje poslovne stranke, zlasti velika podjetja in kritično infrastrukturo?
Zlata medalja CyberVadis predstavlja potrditev zaupanja, ki ga prenašamo tudi na naše poslovne stranke. Je dodaten košček v mozaiku, ki ga zanje gradimo že vrsto let. Z visoko stopnjo varnosti, mednarodnimi standardi, naprednimi rešitvami in stalno prisotnostjo našega Centra kibernetske varnosti in odpornosti zagotavljamo, da se lahko tako velika podjetja kot kritična infrastruktura zanesejo na naše rešitve in na našo zavezo k najvišjim varnostnim standardom. Prav zaupanje je temelj našega sodelovanja, saj naše poslovne stranke vedo, da jih varuje družba, ki tudi v svoji kompleksni organizaciji zagotavlja najvišje standarde kibernetske varnosti in odpornosti. Poleg tega pa imamo v stalni pripravljenosti vrhunske strokovnjake, ki se bodo v primeru kakršnih koli anomalij nemudoma odzvali.
