Digitalna odpornost postaja ključen dejavnik stabilnega delovanja sodobnih organizacij in kritične infrastrukture. Smart Com se kot sistemski integrator vse bolj uveljavlja z naprednimi rešitvami, ki povezujejo kibernetsko varnost, omrežja in upravljanje tveganj v celovit okvir. O vlogi podjetja in prihodnjih izzivih smo se pogovarjali z direktorjem Juretom Remškarjem.

 

Kako v Smart Comu naslavljate vse večje zahteve po kibernetski odpornosti kritične infrastrukture, zlasti v okolju, kjer se prepletajo poslovni (IT) in procesni (OT) sistemi?

V Smart Com kibernetsko odpornost kritične infrastrukture obravnavamo kot sposobnost organizacije, da prepreči, zazna, se odzove in hitro okreva, seveda brez ali ob minimalnem vplivu na ključne storitve. Zato k odpornosti pristopamo integrirano: z vidika regulatornih zahtev, arhitekture omrežij, varnostnih kontrol, procesov in ljudi, ne zgolj prek tehnologij ter tehničnih orodij. V okoljih, kjer se IT in OT prepletata, je odločilno, da varnost vgrajujemo že v fazi načrtovanja ter nabave, ne šele naknadno. To pomeni jasne varnostne zahteve v specifikacijah, segmentacija omrežja, nadzor nad oddaljenimi dostopi, stalno spremljanje in vaje za simulacijo kibernetskih napadov, odzivanje na njih ter obnove po incidentu. Pri tem organizacijam pomagamo tudi operativno, z upravljanjem storitve zaznave in odziva (8/5 ali 24/7), kjer ukrepamo po vnaprej z naročnikom usklajenimi protokoli.

 

OT okolja ostajajo ena od kritičnih vstopnih točk za napade – kako pristopate k njihovemu varovanju in kako pomembno je razumevanje njihove integracije v celovit okvir kibernetske varnosti?

OT okolja so specifična, saj je za njih ključno, da neprekinjeno delujejo, posodobitve sistemov so pogosto omejene, protokoli pa pogosto niso bili zasnovani z varnostjo v mislih. Zato je prvi korak v teh okoljih zagotoviti vidljivost: natančen popis OT sredstev, razumevanje komunikacijskih tokov in odkrivanje anomalij v realnem času. Drugi ključni element je segmentacija omrežja in strogo upravljanje prehodov med IT ter OT okoljem, s čimer omejimo širjenje kibernetskega napada in zaščitimo najbolj kritične sisteme ali infrastrukturo. Tretji element, ki bi ga izpostavil, pa je zagotovitev varnega oddaljenega dostopa z uvedbo principa najmanjših pravic in strogi nadzor, saj se ravno oddaljeni dostopi v praksi najpogosteje izrabljajo za izvedbo napada. Pri tem pa je nujno razumevanje integracije IT in OT okolja, saj velik del groženj v OT vstopi iz IT sveta, zato mora biti OT varovanje del enotnega okvira upravljanja tveganj, nadzora, odzivanja ter poročanja in ne ločen »otok«.

 

Kakšne učinke opažate ob implementaciji zakonodaje, kot je ZInfV-1, na dvigovanje zavedanja in dejanske kibernetske odpornosti organizacij v Sloveniji?

ZInfV-1 je v slovenski prostor prinesel pomemben premik, saj ocenjujem, da kibernetske varnosti ne razumemo več kot zgolj tehnično področje, temveč kot sistemsko upravljanje tveganj, za katero smo odgovorni poslovodje, z jasnimi pričakovanji glede ukrepov in poročanja o izpolnjevanju zahtev. V praksi opažam dva učinka zakona. Prvi je dvig zavedanja o pomembnosti kibernetske varnosti, saj se organizacije bolj strukturirano lotevajo vprašanj, kot so popis oz. register sredstev, upravljanje varnostnih ranljivosti, postopki odzivanja na zaznane anomalije, obvladovanje dobavne verige in formalizacija poročanja o incidentih. Drugi učinek zakona, ki je še bolj pomemben, pa je spodbuditev spremembe kulture, kjer varnost postaja del odločanja, prioritet in virov ter ne le »kljukica« v dokumentaciji. Pri tem pa je ključno, da se skladnost ne konča pri dokumentih, temveč se prevede v operativno prakso: redno preverjanje, izboljšave, vaje odzivanja in jasno razmejene odgovornosti za zagotavljanje visokega nivoja kibernetske varnosti.

 

V čem se vaši pristopi in rešitve razlikujejo od drugih ponudnikov kibernetske varnosti na trgu, zlasti pri obravnavi kompleksnih IT/OT okolij?

Naša ključna razlika je, da nastopamo kot sistemski integrator digitalne odpornosti: povezujemo omrežno arhitekturo, varnostne tehnologije in operativne procese v celoto. Pri kompleksnih IT/OT okoljih je to odločilno, ker varnost in razpoložljivost izhajata iz iste arhitekture od segmentacije ter nadzora dostopov do zaznavanja in odzivanja. Druga razlika je operativna izvedba: poleg zasnove in implementacije zagotavljamo tudi upravljanje ter nadzor sistemov z vnaprej dogovorjenimi protokoli in ločenimi pristopi za IT ter OT okolja, saj smo se specializirali tako za poslovna kot operativna/kritična okolja, ki imajo posebne značilnosti. Tretjo razliko pa vidim v naši zrelosti pri delovanju v kritičnih okoljih: delujemo skladno z zahtevami za varovanje informacij in imamo ustrezna dovoljenja za delo s tajnimi podatki (nacionalno, EU, NATO), kar je za določene segmente kritične infrastrukture ter nacionalno–obrambnega sistema pomembna prednost.

 

Kako s svojimi pristopi, inovacijami in rešitvami prispevate k razvoju slovenskega trga na področju kibernetske varnosti ter odpornosti kritične infrastrukture?

Na slovenski trg vplivamo na tri načine: z dvigom kompetenc, operativnih zmogljivosti in z inovacijami, ki zmanjšujejo odvisnost ter povečujejo suverenost. Vlagamo v lastno znanje, izobraževanje in ozaveščanje, tako pri strankah kot v širši strokovni skupnosti, saj proaktivno sodelujemo tudi v mednarodnem študijskem komiteju za naslavljanje izzivov kibernetske varnosti, informacijske tehnologije ter telekomunikacij v elektroenergetik – D2 Pariške organizacije CIGRE, Sekciji za kibernetsko varnost pri GZS in sooblikujemo slovenski trg na področju kibernetske varnosti. Poleg tega gradimo in širimo zmogljivosti našega operativnega centra, s katerim organizacijam omogočamo, da tudi ob morebitnemu pomanjkanju kadrov dosežejo visok nivo nadzora, odzivanja, poročanja ter skladnosti z zakonodajnimi zahtevami. Nadalje razvijamo storitve in rešitve z uporabo odprtokodnih komponent z lastnim znanjem ter skladno z usmeritvami EU glede tehnološke suverenosti.

 

Kako spoznanja iz projektov (tudi EU projektov) uspešno prenašate v praktične procese in rešitve, ki organizacijam omogočajo bolj učinkovito upravljanje kibernetskih tveganj?

Spoznanja iz razvojnih in EU projektov prenašamo v razvoj orodij ter v operativne prakse. Na ravni evropskih projektov sodelujemo v konzorcijih, kjer razvijamo ali preizkušamo pristope, ki krepijo kibernetsko varnost skozi življenjski cikel, in sicer od zahtev ter načrtovanja do DevSecOps praks in pilotnih postavitev. Pridobljeno znanje nato standardiziramo v interne metodologije in storitve za izboljševanje kakovosti ter naše dodane vrednosti za naše stranke.

 

Intervju je bil objavljen v 41. številki revije Korporativna varnost, maj 2026.