STA novice / Eles učinkovit pri upravljanju kibernetske varnosti

Kot je v danes objavljenem poročilu zapisalo računsko sodišče, je Eles že v letu 2009 uvedel obvladovanje tveganj in je v nadaljnjih letih vzpostavil celovit sistem upravljanja tveganj, ki je bil skupaj z vzpostavljenim notranjim kontrolnim sistemom ključni del integriranega sistema upravljanja družbe.

Upravljanje tveganj je temeljilo na procesnem modelu tveganja v posameznih procesih. Družba je vodila informatiziran katalog tveganj tudi po področjih poslovanja, v letu 2019 pa je uvedla še katalog tveganj na področju kritične infrastrukture in na področju izvajalcev bistvenih storitev.

Eles je na podlagi zakona o kritični infrastrukturi, usmeritev ministrstva za obrambo, strokovnih usmeritev nosilcev sektorja kritične infrastrukture in lastne metodologije ocenjevanja tveganj pravočasno izvedel identifikacijo virov tveganj za delovanje kritične infrastrukture, analizo in ovrednotenje tveganj za delovanje kritične infrastrukture, določil vire tveganj, spremljal stanje kritične infrastrukture, imel podvojene centre vodenja in izdelal varnostne načrte, je ugotovilo računsko sodišče.

Družba je tudi imela dokumentiran sistem upravljanja varovanja informacij, v času revizijskega pregleda pa je zaključevala vpeljavo sistema upravljanja neprekinjenega poslovanja, kot to zahteva zakon o informacijski varnosti. Na podlagi zahtev nosilcev sektorja je pripravila oceno tveganj za delovanje kritične infrastrukture in ukrepe za zaščito kritične infrastrukture. Na epidemijo covida-19 se odzvala z različnimi ukrepi in s tem omogočila neprekinjeno delovanje procesov.

"Eles je zaznavanje kibernetskih groženj izvajal učinkovito, in sicer z različnimi dokumentiranimi aktivnostmi, imel je opredeljene vloge in odgovornosti za odkrivanje varnostnih dogodkov ter je izvajal različne aktivnosti odkrivanja," pravi računsko sodišče.

Družba je imela vpeljane postopke posredovanja informacij o odkritih dogodkih, prav tako pa je po ugotovitvah računskega sodišča nenehno izboljševala postopke zaznavanja in ustvarjala različne zbirke znanja, povezane z varnostnimi dogodki.

Pri upravljanju odzivanja na kibernetske grožnje je ob tem uporabljala načrt odzivanja, zaposleni so bili usposobljeni za odzivanje in so poročali o dogodkih. Z nekaterimi organizacijami so imeli vpeljano prostovoljno izmenjavo informacij o incidentih. Eles je upravljanje odzivanja izvajal tudi z analiziranjem obvestil ter razumevanjem vpliva incidentov na organizacijo kakor tudi z razvrščanjem incidentov. Imel je vpeljane procese za spremljanje, analize in odzivanje na ranljivosti ter za omejevanje in blažitev incidentov.

Družba ni imela posebne strategije za področje kibernetske varnosti, je pa imela vzpostavljene politike za vse segmente integriranega sistema upravljanja, ki so se prek vodstvenega pregleda redno pregledovale in ustrezno dopolnjevale.

"Eles ima še možnosti za izboljšave, ki se jih zaveda in jih tudi uvaja," je zapisalo računsko sodišče, ki od Elesa ni zahtevalo predložitve odzivnega poročila, je pa podalo nekaj priporočil za nadaljnje izboljšanje stanja.