Minevata dve leti od kibernetskega napada na HSE. Kako danes ocenjujete ta dogodek in njegov pomen za podjetje?

To je bila res edinstvena in zelo zanimiva izkušnja. Pogosto si še danes dajemo takratno timsko sodelovanje kot zgled odličnega sodelovanja: imeli smo jasne prioritete, hitro smo se odločali, delali smo prave stvari in bili smo povezani ter učinkoviti. Če bi takšen pristop prenesli tudi v druge procese, bi bilo res odlično.

V javnosti velja, da je HSE reagiral hitro in ustrezno. Kako danes gledate na odziv – bi se v čem odločili drugače?

Seveda – danes imamo izkušnjo, ki je takrat nismo imeli. Veliko dobrega je bilo prepoznanega tudi navzven, saj smo bili prvi, ki smo zelo odprto komunicirali z državnimi institucijami: URSIV, SI-CERT, vlado, policijo … Napad smo pravočasno zamejili in dobro obvladali, zato ni bilo nobenih resnih posledic za poslovanje ali širšo družbo.
Hkrati je celotna skupnost dobila pomembno izkušnjo, kako ravnati ob kibernetskem incidentu. Marsikatera druga družba se je po tem dogodku  prišla k nam posvetovati in so tej tematiki začeli posvečati veliko pozornosti, še preden je bil sprejet nov zakon ZInfV-1, ki področju informacijske varnosti in kibernetske odpornosti daje zares veliko težo. Na nek način smo bili pospešek kibernetske varnosti za celotno Slovenijo. Vsekakor bi danes odreagirali še bolj učinkovito, saj imamo odzivno ekipo za take primere na voljo že preko pogodbe z našim SOC/VOC partnerjem, hkrati pa zelo dobro vemo, kakšno zunanjo pomoč bi rabili. Seveda pa je vsak kibernetski napad drugačen in odziv je treba vedno prilagoditi situaciji.

Kateri so bili najzahtevnejši vidiki sanacije?

Najzahtevnejše je bilo odločanje na samem začetku. Napad smo zaznali sredi noči in morali smo se zelo hitro odzvati ter odločiti kako bomo ukrepali. Najprej smo prekinili vse zunanje povezave – to je bil edini način, da smo napadalce popolnoma izključili iz našega okolja. Poslovanje sicer ni bilo prizadeto, vse je delovalo, a če bi pustili sistem v takem stanju, bi tvegali nevarno “bitko”, kjer bi bil izid vprašljiv. Najprej smo se osredotočili na najbolj kritične sisteme – proizvodnjo in trgovanje, nato pa postopoma vzpostavili tudi vse ostale sisteme.

Danes, bogatejši za to izkušnjo, bomo te postopke zapisali v interni protokol za odziv na kibernetski incident, kar zahteva tudi nov Zakon o informacijski varnosti.
Takrat smo bili v marsičem zelo kreativni. Zelo pomembna je bila tudi interna in zunanja komunikacija, ki je bila v našem primeru jasna, usklajena in poštena. Panika nikoli ne koristi, še manj pa zavajanje, zato smo najprej razjasnili, kaj, kdaj in koliko povedati in to potem tudi komunicirali, kar se je izkazalo kot dobro.

Kaj vse pa zajema sektor informacijskih tehnologij v skupini HSE in kako obsežno področje pravzaprav pokrivate?

IT je edini zares centraliziran sektor v skupini HSE, kar pomeni, da delujemo enotno za celotno skupino HSE. Infrastrukturni del teče preko DEM – IKT DEM (sistemska administracija, omrežja, strežniki), v HSE pa so vse ostale funkcije: služba podpore uporabnikom, služba razvoja in poslovne inteligence, CTRM ekipa za podporo trgovanju, služba poslovnih rešitev, ki ureja BC,  SAP, Špico in druge rešitve, ter seveda služba informacijske varnosti.
Kot rečeno,  pokrivamo celotno skupino HSE, dodatno pa še vedno izvajamo tudi nekatere storitve za družbi TEŠ in PV, ki sta bili do konca 2024  del skupine HSE. Skupaj nas je približno 45, sistemi pa so v celoti poenoteni.

Se je po napadu vloga vašega sektorja spremenila oziroma okrepila?

Vsekakor. Vodja informacijske varnosti se je naši ekipi pridružil le mesec dni pred napadom, danes pa so v ekipi že štirje specialisti. Nekateri projekti in sistemi so bili sicer že načrtovani za izvedbo, a smo jih zaradi napada izvedli bistveno hitreje – v enem mesecu smo naredili toliko, kot bi sicer v enem letu, saj so bili nekateri koraki nujni, da smo se počutili dovolj varne,
Kibernetski napad je močno dvignil razumevanje pomena informacijske varnosti, z novim zakonom pa je kibernetska varnost postala zelo pomembna tema za celotno organizacijo. Od 19. decembra letos bomo vključeni v nabor organizacij, ki so bistvenega pomena za delovanje celotne družbe. Poslovanje brez IT rešitev in sistemov, ki morajo biti seveda ustrezno varovani, danes enostavno ni možno.

Ali so se po napadu povečale investicije v IT in kibernetsko varnost? Katere izboljšave ste uvedli?

Takrat smo morali ukrepati hitro, danes pa poteka razvoj skozi letno planiranje, torej načrtno in sistematično. Uvedli smo celovit nadzor varnosti (SOC/VOC) ki deluje 24/7, številne dodatne mehanizme, dobre prakse in sisteme za zaznavanje in preprečevanje raznih oblik napadov, s katerimi zagotavljamo povečan nivo varnosti in odpornosti.

Ali opažate, da se je zaradi napada spremenila tudi digitalna varnostna kultura zaposlenih in kako pomembna se vam zdi vloga zaposlenih?

Kibernetska varnost nikoli ne bo “popularna”, ker pogosto omejuje to, kar bi ljudje radi počeli, z vidika praktičnosti in enostavnosti. Uvedli smo omejitve na socialnih omrežjih, omejili uporabo USB ključkov, redno izvajamo phishing teste in spremljamo rezultate. Napredek je velik.

Tudi s spremljanjem dogajanja v svetu je razumevanje bistveno večje, saj so danes kibernetski napadi in incidenti vse bolj pogosti. Izobraževanja na temo informacijske varnosti so obvezna za vse zaposlene v skupini HSE, saj lahko  ena sama neumnost ali nepravilno ravnanje zaposlenega pomeni katastrofo za celoten sistem. Dejstvo je, da je ravnanje zaposlenih v današnji digitalni družbi ključno – zaposleni so hkrati najšibkejši člen, če ne ravnajo pravilno ali ne upoštevajo pravil, in hkrati naša največja vrednost, saj z svojim znanjem v primeru težav najbolj pomagajo pri reševanju.

Katere so glavne strateške prioritete IT-sektorja v prihodnjih letih?

Naštel bom tri ključne. Za celoten IT je v tem trenutku najpomembnejša podatkovna platforma, ki se je ravnokar lotevamo. Podatki so jedro našega poslovanja – od proizvodnje, centra vodenja in SCADA sistemov, do trgovanja in vseh drugih funkcij. Bolje kot bomo znali upravljati podatke, bolje se bomo lahko odločali. Druga ključna tema je prenova ERP sistema SAP v celotni skupini. Tretja, stalna prioriteta, pa je seveda informacijska varnost – tema, ki ostaja v ospredju in ji bomo vedno posvečali veliko pozornosti.

Lahko danes rečemo, da smo bolj odporni na morebiten nov napad kot pred dvema letoma?

Da, absolutno. Že takrat smo imeli veliko dobro vzpostavljenih mehanizmov, v zadnjih dveh letih pa smo naredili zelo velik napredek.
Nedavno smo izvedli tudi penetracijsko testiranje z etičnimi hekerji. Na tak način se poskuša vdreti v naše sisteme in pokazati naše šibkosti, z namenom da jih potem seveda ustrezno saniramo. Zelo spodbudno pri tem testiranju je bilo, da smo zaznali  skoraj vse njihove aktivnosti. Če bi šlo za dejanski napad, bi  jih lahko pravočasno zaustavili. Vidljivost sistema imamo na visokem nivoju in lahko ob zaznavi nevarnih aktivnosti hitro ukrepamo  še preden se bi nevarna aktivnost lahko razvila v incident.

Katere ključne lekcije bi želeli izpostaviti ob obletnici?

Jasna in učinkovita organizacija, pravilno postavljene prioritete, odprta komunikacija in osredotočenost na ustrezno reševanje problemov. Zgodi se, da se določene težave skrivajo ali pomete pod preprogo. Žal to ne deluje, izzive je treba prepoznati in se jih lotiti.

Kibernetski napad je bila težka izkušnja, a pokazal je, da se v ključnih trenutkih znamo povezati in delovati kot ena ekipa za isti cilj. Če bi znali takšno energijo prenesti tudi v druge projekte, bi bili še boljši.

Glede kibernetske varnosti pa – kibernetska varnost  je osnova varnega poslovanja in se tiče vseh nas, njena teža pa bo vedno večja saj je nivo digitalizacije celotne družbe vse večji. Kot institucija, ki deluje v tako pomembnem okolju, moramo to področje stalno razvijati in krepiti.

***

Nadja Prosen Verbič,

Služba za odnose z javnostmi in tržno komuniciranje HSE