Dr. Andrej Bregar, Sašo Gjergjek
Kibernetska varnost kritične infrastrukture je ključna za zagotavljanje razpoložljivosti storitev, varnosti državljanov in stabilnosti gospodarstva. Zaradi naraščajoče kompleksnosti in povezanosti IT in OT okolij ter rasti sofisticiranih, vse pogosteje geopolitično motiviranih napadov, zahteva učinkovita obramba integriran, 24/7 proaktiven pristop, ki združuje tehnologijo, procese in ljudi.
Sektorski varnostni operativni center (VOC) deluje kot jedro zaščite kritične infrastrukture. V njem delujejo visoko usposobljeni varnostni analitiki, ki centralno nadzorujejo vse vire tako z informacijskega kot operativnega tehnološkega nivoja (IT-OT), upravljajo zaznavanje in odzivanje na incidente ter uvajajo proaktivne ukrepe za zmanjševanje tveganj. VOC omogoča stalno spremljanje, avtomatizacijo odzivov in gradnjo kulture varnosti na vseh organizacijskih ravneh.
Pri svojem delovanju VOC uporablja najsodobnejše tehnologije in orodja.
Osnovna tehnologija za delovanje VOC je SIEM (Security Information and Event Management), ki zagotavlja celovit prikaz omrežnega prometa varovanega omrežja. Dogodke pridobiva iz različnih omrežnih naprav, računalnikov ipd., katere je mogoče spremljati v realnem času, podpira tudi pregledovanje in analiziranje dogodkov za nazaj. V povezavi s sistemom SIEM pogosto posežemo tudi po tehnologiji UBA/UEBA (User and Entity Behavior Analytics), s pomočjo katere zaznavamo nenavadno vedenje uporabnikov in entitet ter ugotavljamo možne zlorabe uporabniških računov in pravic dostopa.
Velike količine podatkov in hitrost napadov narekujejo uporabo strojnega učenja in umetne inteligence za zmanjšanje lažno pozitivnih/negativnih zaznav, odkrivanje novih vzorcev napadov ter podporo analitikom pri forenzični obravnavi. Avtomatizacija zaznavanja je osnova za avtomatsko odzivanje (SOAR – Security Orchestration, Automation and Response), ki lahko blokira ponavljajoče se napade, zagotovi neprekinjeno delovanje, izboljša KPI-je varnosti in standardizira odzivne procedure. To nam omogoča, da prihranimo čas varnostnega osebja za zahtevnejša opravila. Med naprednimi rešitvami, ki temeljijo na umetni inteligenci, so za učinkovitost delovanja VOC ključni tudi sistemi za razširjeno zaznavo končnih točk in omrežnega prometa ter ustrezno odzivanje (EDR/NDR/XDR). V sektorskem VOC posegamo zlasti po sistemu ADS (Anomaly Detection System), ki na podlagi modelov strojnega učenja samodejno zaznava neobičajne vzorce v omrežnem prometu, ki nakazujejo na potencialne kibernetske napade in jih varnostni analitiki brez digitalne podpore ne bi bili sposobni sami prepoznati.
Izpostaviti velja tudi uporabo sistema vab (honeypot) za dodaten vpogled v vektorje napadov, situacijsko zavedanje in odkrivanje anomalij kot tudi peskovnike (sandbox) za forenzične raziskave. Sistem vab se uporablja za odkrivanje ali preprečevanje nepooblaščenih dostopov. Sistem je nastavljen tako, da simulira realne podatke, varnostno pa deluje kot oslabljen oz. ranljiv sistem. Tako privablja potencialne napadalce, zraven pa beleži vse aktivnosti.
Vse bolj nujna postaja preventivna varnostna analitika. Namesto da zgolj čakamo na napad, se je smiselno nanj vnaprej pripraviti. Z brskanjem po javno dostopnih virih (OSINT), še posebej po temnem spletu (dark web), lahko pridobimo podatke, ki napovejo metodo in druge parametre napada. Postopek zbiranja in filtriranja tovrstnih podatkov pa ne morebiti učinkovit brez uporabe sofisticiranih orodji.
V preventivno varnostno analitiko šteje tudi iskanje ranljivosti v varovanem sistemu, ki bi jih hekerji lahko uporabili za vdor. Sodobna orodja poleg iskanja ranljivosti vključujejo tudi funkcionalnosti, ki ranljivost odpravijo (korektivni ukrep ali posodobitev) ali informacijo o prežeči nevarnosti sporočijo v SIEM.
Kibernetska varnost v korporativnih okoljih zato zahteva vse bolj proaktiven pristop.
Tehnologije za inteligenco kibernetskih groženj (CTI – Cyber Threat Intelligence) lahko dvignejo zaznavanje groženj in odzivanje nanje na višji nivo, ki omogoča razumevanje širših trendov in motivov napadalcev. Inteligenca kibernetskih groženj zagotovi kontekst, na osnovi katerega smo neprenehoma seznanjeni z aktualnimi grožnjami, identiteto in motivi napadalcev, metodami in vektorji napadov ter kazalniki povzročene škode. Te tehnologije zbirajo podatke o grožnjah iz različnih virov ter omogočajo njihovo obdelavo in izmenjavo. Podprte so z uveljavljenimi standardi, kot sta STIX in TAXII, ki služita za izmenjavo informacij o kibernetskih grožnjah, ter MITRE ATT&CK, ki predstavlja standardno bazo znanja o taktikah in tehnikah napadalcev.
Eno izmed orodij, ki postaja nepogrešljivo pri operativnem delovanju VOC, je prav gotovo prosto dostopna platforma MISP (Malware Information Sharing Platform). V osnovi je namenjena izmenjavi, sodelovanju in deljenju obveščevalnih podatkov o kibernetskih grožnjah med organizacijami in skupnostmi. Lahko rečemo, da gre za skladišče obveščevalnih podatkov o grožnjah, ki lahko vsebujejo kazalnike kompromitiranja (Indicators of Compromise – IoC), vzorce kode, profile akterjev groženj, ukrepe, rešitve, tudi orodja.
Poleg spremljanja indikatorjev zlorab (Indicators of Compromise – IoC), je pomembno sistematično slediti tudi širšemu, globalnemu dogajanju v kibernetskem svetu. Vdori in kraja podatkov pri zunanjih, pogosto brezplačnih storitvah ali socialnih medijih, so lahko začetek kibernetskega incidenta v lastnem okolju. Napadalci aktivno izmenjujejo ukradene poverilnice ali jih celo tržijo na spletu, nekateri se specializirajo samo za pridobivanje in preprodajo gesel in uporabniških imen. S pridobljenimi poverilnicami za eno storitev poskušajo ugotoviti, ali lahko z istimi podatki pridobijo dostop še drugje. V tem primeru napadalci izkoriščajo človeške slabosti pri upravljanju gesel in večkratno uporabo istih poverilnic za različne storitve, tudi za službene namene. Če zasledimo izmenjavo ali prodajo poverilnic naših uporabnikov na temnem spletu, pridobimo prednost pred napadalci in lahko preprečimo potencialni kibernetski incident. Za ta namen obstajajo odprte, kot je na primer HIBP, in komercialne baze podatkov.
Sodelovanje je ključno
Sodelovanje med VOC-i, CSIRT-i, dobavitelji in partnerji je ključno za obvladovanje čezmejnih groženj in zmanjšanje kaskadnih učinkov napadov. Platforme kot sta MISP in standardi STIX/TAXII omogočajo hitro izmenjavo IoC, TTP in odzivnih procedur. Direktiva NIS2 zahteva določene odzivne sposobnosti, poročanje in mednarodno usklajenost, zato VOC-i uvajajo standardizirane postopke, poročanje in mehanizme sodelovanja z nacionalnimi odzivnimi centri.
Zaščita elektroenergetskega sektorja zahteva integriran pristop, ki združuje napredne tehnologije, avtomatizacijo, proaktivno obveščanje in sodelovanje med deležniki. Sektorski VOC, kot ga vodi Informatika, predstavlja učinkovito rešitev za zagotavljanje kibernetske odpornosti kritične infrastrukture, skladno z novimi regulativnimi zahtevami in vedno bolj sofisticiranimi grožnjami.
Članek je bil objavljen v reviji Monitor PRO, novembra 2025
