Kibernetska ali informacijska varnost?

Ko me naključni sogovornik vpraša, kaj je moje delo, največkrat tako na splošno pojasnim, da se ukvarjam z varovanjem osebnih podatkov in informacijsko varnostjo, potem pa prepustim sogovorniku, da izbere področje.

Tisti, ki menijo, da jim je bliže pogovor o informacijski varnosti, nato navadno vprašajo, kateri brezžični usmerjevalnik je najboljši, in morda izjemoma še, kateri antivirusni program je smiselno izbrati. Nič nenavadnega, bi rekli, saj sta tako antivirusni program kot usmerjevalnik dva zelo pomembna elementa za varnost naših informacijskih sistemov.

S sogovornikom pa v resnici govoriva o različnih, a dopolnjujočih se pojmih: o kibernetski in informacijski varnosti.

Kje je torej razlika?

Kibernetska varnost je orientirana predvsem na nabor postopkov, tehnoloških rešitev in praks, ki so namenjeni zaščiti omrežij in informacijskih sistemov pred digitalnimi napadi. To so seveda v prvi vrsti ustrezne digitalne rešitve (med njimi tudi usmerjevalniki in antivirusni programi).

Pri kibernetski varnosti se bomo tako najprej pogovarjali o zlonamerni programski opremi, poskusih vdorov, ranljivostih programske in strojne opreme in drugih grožnjah, ki ogrožajo naše digitalne naprave, od računalnikov, preko telefonov in nenazadnje do naprav v pametnih hišah.

Informacijska varnost pa ni namenjena zgolj varovanju digitalnih podatkov (podatkov v informacijskih sistemih), ampak govorimo o varovanju zaupnosti, integritete (tudi neokrnjenosti) in razpoložljivosti vseh informacij, ne glede na obliko, v kateri se pojavljajo: naj si bo digitalna, tiskana ali katera druga.

V informacijski varnosti bomo zato tehnološkemu vidiku, skritemu v kibernetski varnosti, dodali še pogovor o drugih oblikah informacij, fizični varnosti, spoštovanju standardov in nenazadnje organizaciji dela.

Glavna grožnja je človek

Obema, tako kibernetski kot informacijski varnosti, pa je skupno, da je glavna grožnja za vdor ali kršitev varovanja informacij – kdo drug kot – človek. Nič namreč ne pomaga, če imate na voljo najboljši antivirusni program, pa se uporabnik, ki mu je to s pomanjkljivimi pravili dovoljeno, odloči, da vseeno odpre sumljivo datoteko ali obišče škodljivo spletno stran, na kateri vpiše svoje (tudi bančne) podatke. Prav tako nič ne pomaga še tako varen usmerjevalnik, če je omrežje za goste isto kot vaše omrežje in sodelavke geslo za brezžično omrežje mirno dajo tudi vsem strankam.

Še najbolje bi bilo, če bi se človeškim napakam lahko izognili na način, da bi vsi ljudje v vsakem trenutku vedeli, kaj je prav, in spoštovali pravila informacijske varnosti. Ker pa tega ni mogoče vedno zagotoviti, se zanašamo tudi na kibernetske varnostne rešitve. In ker kibernetske varnostne rešitve niso 100-% zanesljive, poskušamo dodatno izobraževati osebje. Ker osebje ni vedno …

 

Ustrezna kibernetska varnost je torej nujni, a ne zadostni predpogoj za ustrezno informacijsko varnost. Tisti, ki se ukvarjamo z informacijsko varnostjo, moramo zato v današnjem svetu, kjer je velika večina dnevno uporabnih informacij že v digitalni obliki, dobro poznati tudi vsaj principe informacijskih tehnologij in kibernetske varnosti – slednja pa nam v zameno pomaga preprečiti človeške napake.