Triglav Skladi Stockcast in Slavko Rogan: Kibernetična varnost

Matjaž: Pozdravljeni, poslušate Triglav Skladi Stockcast. Danes sva z vami jaz, Matjaž Pogorevc, sem investicijski analitik.

Alexandr: Jaz sem Alexandr Gutirea, sem upravljavec investicijskih skladov.

Matjaž: Zaradi službene odsotnosti pa danes žal Klara Repnik ni z nami.

Alexandr: Danes se bomo pogovorili o izjemno zanimivi investicijski temi. Tema današnje epizode je kibernetična varnost. Vsi vemo, kako se je spremenil svet zaradi epidemije covid-19. Zgodila se je pospešena digitalizacija sveta. Govorimo tukaj o digitalizaciji dela, finančnih storitev, zdravstvenih sistemov, šolskih sistemov, upravnih enot. Digitalizirati so se morale tudi oskrbovalne verige. Organizacije so morale posvojiti nove tehnologije, ki so omogočile vzpostavitev dela od doma. S tega vidika je problematika kibernetične varnosti postala še toliko bolj aktualna.

Matjaž: Število podatkov v digitalnem svetu se je zaradi tega dogodka kar precej povečalo in tudi kibernetični kriminal se je zaradi tega povečeval.

Alexandr: Res je. Globalno se je povečala potreba po varovanju podatkov. Tej problematiki kibernetične varnosti so izpostavljena v veliki meri podjetja, ki delujejo na področju visoke tehnologije, ki uporabljajo visokotehnološke izdelke in storitve. Zato se bomo danes pogovorili glede te tematike s Slavkom Roganom, ki pri nas upravlja sklad Triglav Tehnologije prihodnosti. Ima izjemno veliko izkušenj, poleg sklada Triglav Tehnologije prihodnosti upravlja tudi še dva sklada, Triglav Zdravje in dobro počutje in Triglav Severna Amerika in se nam zdi, da bo Slavko prispeval izjemno veliko k razumevanju te problematike. Tako da danes je z nami Slavko Rogan. Tema današnje epizode je kibernetična varnost.

Matjaž: Slavko, lepo pozdravljen.

Slavko Rogan: Živjo!

Alexandr: Pozdravljen, Slavko.

Matjaž: Bi nam lahko povedal, Slavko, zakaj ocenjuješ, da bi lahko bila investicijska téma kibernetična varnost donosna, pomembna za vlagatelje?

Slavko Rogan: Torej, kar se tiče dandanašnjih dni smo ljudje in pa tudi podjetja zelo zelo vpeti v spletne okoliščine in okolico, tako da ta migracija predvsem na podjetniškem delu poteka zelo intenzivno. Podjetja pravzaprav dandanes si ne predstavljajo poslovanja brez spleta. In če sedaj malo karikiram, naše fizične hiše, stanovanja zaklepamo, varujemo svoje osebne podatke pred nepridipravi. Imamo tudi lahko kakšna varovanja bolj sofisticirana. Tako da se tudi moramo zavedati, da ko vstopamo v ta virtualni prostor, moramo prav tako zagotoviti močno varovanje. Kajti tudi nepridipravi še bolj kot pa na fizičnih lokacijah prežijo na našo nepazljivost in pa na to, da pač pridejo, vzamejo identitete, vzamejo podatke in na tak način razpolagajo nepooblaščeno z njimi. Zato ta tematika, to področje postaja v dandanašnjem času izjemno pomembno.

Matjaž: Kakšno korist pa lahko napadalci pridobijo, če pridejo v sistem enega podjetja? Zakaj so sploh motivirani, da to delajo?

Slavko Rogan: V osnovi je njihova osnovna motivacija, da pridejo do podatkov. Vemo, tudi oni se zavedajo to čedalje bolj, da so podatki moč in glavna vrednost vsakega podjetja. Dandanes podjetja imajo ogromno podatkov o kupcih, o svoji konkurenci, o izdelkih, o inovacijah, skratka o vsem, kar omogoča uspešnost podjetja in neke konkurenčne prednosti. To je po navadi poglavitni cilj nepridipravov oziroma teh spletnih napadalcev. Seveda, lahko se osredotočijo tudi na druga področja, kar se tiče finančno premoženjskega področja, osebne identitete in tako naprej.

Alexandr: Torej varnost podatkov je eden od ključnih sklopov, ki je pomemben za podjetja. Mogoče še kakšno področje, kjer je treba investirati, kjer je treba imeti v mislih, če govorimo z vidika podjetij, da je treba nameniti še posebej pozornost, torej, katera področja morajo biti varna?

Slavko Rogan: Prav gotovo je več področij, kjer podjetja morajo posvetiti vso pozornost, da res ne pride do zlorab. Najpomembnejše področje se mi zdi, da je to identiteta, da lahko do določenih podatkov v podjetju dostopajo samo in izključno pooblaščene osebe, ki imajo pravico razpolagati s temi podatki. Nihče drug do teh podatkov ne sme priti in temu primerno je ta identiteta pravzaprav skorajda na prvem mestu. Drugo pomembno področje, kjer je za izpostaviti, je to, da ta migracija oziroma premik poslovanja podjetij na splet poteka, in sicer v tem primeru podjetja koristijo oblačne storitve in vemo, da pač, čim so oblačne storitve v uporabi, obstaja možnost, da pride do njihovih zlorab. In v tem primeru je tudi oblačna storitev eno izmed temeljnih področij, kjer se podjetje mora posvetiti temu varovanju. Nadalje je treba investicije krepiti v umetno inteligenco in strojno učenje. Te aplikacije oziroma ti procesi so sposobni dandanes samostojno zaznavati nepooblaščene vdore. Oni praktično sami se znajo naučiti, da permanentno spremljajo delovanje sistemov, vidijo, kdo oziroma zaznavajo, kdo uporablja določene podatke, ali so to osebe iz podjetja ali pa morda kdo izven. Tako da tudi na tem področju so pravzaprav pomembne investicije za varovanje podatkov. Nadalje je potem tudi še kriptografija, ki pač omogoča neke naravne mehanske zakonitosti, kjer pride do šifriranja podatkov, ki jih je pa pravzaprav zelo težko potem dešifrirati. In tudi ta segment zahteva precejšnjo investicijo.

Matjaž: V eni raziskavi ponudnika antivirusnih programov od Nortona sem prebral, da je najšibkejši člen v tej verigi, ko pride do zlorabe dostopa v varovane baze podatkov, človek. A se ti zdi mogoče, da bi podjetja morala tudi investirati v kader, v izobraževanje kadra, da se naučijo ljudje, kaj se sme odpirati, česa se ne sme odpirati? Na primer v e-mailu, pa razni linki, ki jih dobivamo na dnevni ravni.

Slavko Rogan: Torej obstajajo res neke empirične raziskave, da najšibkejši členi smo ljudje v podjetjih. Dobimo prijazno elektronsko pošto s sporočilom, da nas vabijo ne vem kam in kako, ga seveda odpremo. Morda je celo izvor pošte od naše stranke ali kaj podobnega. Se ne zavemo, da ko to pošto odpremo, ima določene priloge, kjer je v bistvu programska oprema, ki omogoča vdor nepooblaščenim in na ta način pravzaprav odpiramo ta stranska vrata spletnim prevarantom, spletnim napadalcem in tako jim tudi nevedoč omogočamo dostop do podatkov. Seveda se na tem področju da zelo zelo veliko narediti. Treba pa je tudi vedeti, da je nasprotna stran pravzaprav zmeraj korak naprej, preži in da je pač težko vnaprej preventivno predvideti vse možne načine napadov.

Matjaž: Torej, če bi bil na primer eden od filtrov, ko iščemo investicije, na primer odpornost na kibernetične napade, da to postane na primer pomembno vlagatelju, bi bilo zelo dobrodošlo, da podjetja v svojih letnih poročilih tudi izpostavijo, da izobražujejo svoj kader tudi v tem, da postanejo bolj odporni na napadalce.

Slavko Rogan: Torej tu lahko samo rečem, da se s tem strinjam. Verjetno v prihodnje je to pričakovati, saj to bo pač na neki način izkazano zaupanje do vlagateljev, do vseh deležnikov izven podjetja. Da tudi na tak način podjetje skrbi za svojo varnost in pokaže navzven, da investira v ta del, ki se ji zdi seveda zelo pomemben.

Alexandr: Morda govorimo predvsem o podjetjih, ki so izpostavljena do kibernetičnih napadov, ki ogrožajo predvsem varnost podatkov. Torej govorimo predvsem o podjetjih, ki razpolagajo z velikimi količinami osebnih podatkov, recimo finančna podjetja, komunikacijska podjetja in tako naprej, IT-podjetja tudi. Kaj pa kakšna industrijska podjetja? Sprašujem zato, ker v zadnji epizodi, v prejšnji epizodi smo se pogovarjali o robotizaciji in avtomatizaciji. In zdaj se sprašujem in tudi tebe sprašujem, Slavko, kakšna so tveganja za podjetja, ki poslujejo na področju industrije, torej recimo tovarne, ki so se odločile za ta prehod v robotizirano proizvodnjo, kjer so zadaj določeni algoritmi in je tukaj tveganje, da pride do napadov, kjer se lahko zaustavi celotno proizvodnjo, celoten proizvodni proces?

Slavko Rogan: Prav gotovo v teh podjetjih obstaja zelo veliko tveganje, da pride do napada, saj so tudi v osnovi potem zelo občutljiva. Napadalci se zavedajo, da je njihovo poslovanje, predvsem robotizacija, avtomatizacija, tesno povezana s spletom, da se tu generira ogromne količine podatkov, da te naprave komunicirajo med sabo. In pravzaprav to je dobra ciljna tarča njih, da najdejo podjetja s takim načinom poslovanja. Z njihovim napadom jim morebiti uspe ustaviti proizvodnjo ali celo onemogočiti delovanje določenih naprav. Skratka, povzročajo škodo, ustavijo procese in seveda naknadno zahtevajo za vzpostavitev oz. za revitalizacijo teh zastavljenih procesov seveda določene odškodnine. Podjetje utrpi določeno škodo, nezmožnost nadaljevanja proizvodnje, seveda utrpi škodo ugleda zunanjosti, utrpi škodo do kupcev in seveda do dobaviteljev.

Matjaž: A je še kaj, kar bi izpostavil, da škoduje lahko podjetjem na dolgi rok v primeru hekerskega napada?

Slavko Rogan: Empirično je dokazano, da cene delnic po razkritju kibernetskih napadov nekaj časa upadajo. To je seveda logično, vsaj z vidika vlagateljev. Če pogledamo, imamo določene predsodke, določene pomisleke ali morda za vsem, ki je bila razkrita škoda, se še ne skriva kaj. Ali so bili podatki tisti, ki so bili odtujeni, vrnjeni v celoti, sedaj popolnoma spet pod nadzorom podjetja, da niso morda ostale nekje kakšne kopije na trgih, prišle do konkurence ali še na kak drugačen način, ki bi lahko v prihodnosti škodoval podjetju. S tega vidika vlagatelji imamo določene zadržke in potem je logično, da ta delnica kratkoročno in srednjeročno ni zanimiva in obstaja možnost, in to je dokazano, da pač njihova vrednost z neko časovno periodo po kibernetskem napadu upada.

Alexandr: Torej, Matjaž, ti si že izpostavil ta vidik, da mogoče bi bilo smiselno v letnih poročilih razkrivati investicije v izobraževanje zaposlenih. Mogoče mora biti tudi pomemben del razkritij na področju investiranja v programsko opremo na področju kibernetične varnosti. Mogoče tudi ta del bi moral biti nekoliko bolj transparenten.

Slavko Rogan: Prav gotovo bi bila to zanimiva tematika in področje za podjetja. Z enega vidika zato, ker če bi razkrilo ukrepe in investicije v spletno varnost, bi morda tudi marsikaterega napadalca v osnovi odvrnilo od poskusa kibernetskega napada, saj bi vedel, da je podjetje pravzaprav na tem področju zelo močno in je potencialni izplen za njega zelo majhen. Podpiram idejo, se strinjam, da je v bodočih letnih poročilih najbrž to zelo zaželeno, tako z vidika vlagateljev kot seveda tudi z vidika potencialnih napadalcev, da se pač ta poskus zmanjša.

Matjaž: Do zdaj smo govorili predvsem o kibernetični varnosti v korporativnem svetu. Ali bi tudi države morale biti pozorne na to, da imajo močne varnostne ukrepe?

Slavko Rogan: Prav gotovo morajo biti države zelo, zelo pozorne. Veliko kibernetskih napadov presenetljivo je pravzaprav na državno infrastrukturo. Država ima kritične infrastrukture tako na javni upravi, čeprav se morda sliši, da ni tako pomembna. Pa vendar je javna uprava za delovanje države izjemno pomembna. Država obvladuje energetske infrastrukture in še zdravstvene infrastrukture. To so ključne infrastrukture. Kar se tiče seveda v primeru nekih konfliktov, vojn, je pa tako. Dokazano je, da je od začetka konflikta na relaciji Ukrajina Rusija se to število kibernetskih napadov s strani, predpostavljamo lahko, države Rusije nekajkrat povečalo in seveda bilo izključno usmerjeno na kritične infrastrukture, predvsem verjetno zaradi, predpostavljam, delanja zmede, nedelovanja te infrastrukture in potem pač lažjega izkoriščanja določenih pomanjkljivosti tega.

Alexandr: Mi smo že večkrat slišali o kibernetičnih napadih, ki prihajajo iz Severne Koreje, tudi Irana. To je nekako eden od načinov, kako te države škodijo drugim državam, brez tega, da bi investirale v proizvodnjo in konec koncev tudi razvoj napredne vojaške tehnologije in opreme. Na žalost je relativno enostaven način, kako lahko ogrožaš druge.

Slavko Rogan: Jaz bi morda tu dodal eno še zanimivost, kako je težavnost ugotavljanja, od kod prihajajo ti spletni napadi. Če imamo, kot sem že prej omenil, doma neke fizične lokacije, je velika verjetnost, da pač vlomilci, nepridipravi pustijo določene sledi. V spletnih napadih sledi ni, izjemno težko je sledljivost, saj mogoče uspejo, ampak ne mogoče, ampak prav gotovo so toliko izobraženi, da potekajo napadi iz različnih smeri prek različnih svetovnih spletnih strežnikov, tako da se te poti zelo, zelo elegantno zabrišejo.

Alexandr: S tem, da razvijamo ekosistem Internet of Things, se izpostavljamo večjim tveganjem, verjetno je to res?

Slavko Rogan: Vsak vstop v ta virtualni prostor za nami prinaša določeno tveganje, da nam pač nekdo virtualno sledi. Tega se nikoli ne zavedamo, zato pravzaprav to področje, o katerem se zdaj pogovarjamo, kibernetska varnost, mora postati eno od temeljnih področij bodočega delovanja in zavedanja podjetij, pa tudi posameznikov.

Matjaž: Podcast, ki ste ga poslušali, ne more predstavljati investicijskega priporočila, je splošne narave in ne more upoštevati posameznih potreb poslušalcev.