EOS vzpostavlja zaščitni ščit za podatke na ravni skupine

Včasih je dovolj samo en klik. Z brezskrbnim odpiranjem priponk, lahko zlonamerni program pridobi dostop do računalnika podjetja in kmalu zatem zakodira vse podatke podjetja. Vse pogosteje hekerji uporabljajo te ali podobne metode, da prodrejo v IT omrežja podjetij, bodisi z namenom prodaje podatkov ali zahtevanja odkupnine za njihovo dešifriranje.

Tudi za skupino EOS je izredno pomembno, da se uspešno brani pred takšnimi napadi. Z več podružnicami v 24 državah in tisočimi strankami ima podjetje obsežen nabor občutljivih podatkov. Gunnar Woitack, ki kot glavni informacijski varnostni uradnik skrbi za kibernetsko varnost v skupini, pravi: "Naša največja vrednota so podatki, povezani s portfelji terjatev, ki jih pridobivamo od strank. Ti portfelji ne vsebujejo le podatkov naših strank, ampak tudi podatke njihovih strank - torej potrošnikov, ki niso izpolnili svojih obveznosti. Vsi nam morajo zaupati, da bomo te podatke obravnavali izjemno previdno in storili vse, da jih zaščitimo."

Na področju varstva podatkov in informacijske varnosti skupina EOS zaposluje približno 90 ljudi po vsej Evropi, ki uporabljajo najsodobnejšo tehnologijo za zaščito IT sistemov pred napadalci.

Na področju varstva podatkov izvajajo vse strožje zakonske določbe, kot je Splošna uredba EU o varstvu podatkov. Rezultati govorijo zase. Kar 8 podjetij znotraj skupine EOS ima že certifikat ISO 27001 na področju informacijske varnosti, ki ga ne urejajo mednarodni zakoni. Projekti za uvedbo standarda ISO 27001 so se začeli tudi v nekaterih drugih podjetjih. ISO 27001 je mednarodno priznan standard za informacijsko varnost. Poleg tega se vsa EOS podjetja držijo smernic matičnega podjetja, skupine Otto, ki so široko usklajene z ISO 27001.

Da bi se spoprijeli z vedno večjimi izzivi, Gunnarjeva ekipa nenehno pregleduje tehnologije in procese ter jih prilagaja trenutnim okoliščinam. "Smo v stalnem teku z napadalci," pravi: "Čeprav smo že dobro postavljeni." Samo v fiskalnem letu 2022/23 je Gunnarjeva ekipa uspela identificirati približno 600 možnih ranljivosti v IT sistemih EOS, ki so bile ocenjene kot 'kritične' ali 'visoko tvegane', ter zapreti ustrezne vrzeli, preden bi jih lahko izkoristili napadalci.

Da bi obrambe postale še hitrejše in učinkovitejše, EOS trenutno postavlja mednarodni zaščitni ščit "Iron EOS", kar je kratica za "Izboljšanje odziva na incidente pri EOS". Iron EOS temelji na "sistemu za upravljanje varnostnih informacij in dogodkov" (SIEM). Posebnost tega sistema je, da medtem ko trenutno različna EOS podjetja upravljajo varnost svoje IT infrastrukture lokalno, SIEM z umetno inteligenco zazna varnostne incidente v celotnem mednarodnem omrežju EOS. To omogoča veliko hitrejše ukrepanje.

"V primeru izrednih razmer pa gre tudi za odziv na napad z ustreznim strokovnim znanjem," dodaja Gunnar. SIEM zato poroča o odstopanjih v osrednjem varnostnem operativnem centru (SOC), kjer strokovnjaki za IT izvedejo "triage": Katera opozorila so neškodljivi? Katerim moramo slediti?

Poleg obrambe pred napadi osebje SOC uporablja »skener ranljivosti«, s katerim nenehno pregleduje IT-infrastrukturo za morebitne ranljivosti. Pri svojem delu jih podpira tudi mednarodna ekipa za skladnost. »Zahvaljujoč Iron EOS bomo v prihodnosti lahko ne le hitro odgovarjali, ampak bomo prvič lahko ukrepali na ravni celotne skupine,« pravi Gunnar. »S tem dvigujemo našo kibernetsko odpornost na višjo raven.« Vsa podjetja skupine EOS naj bi bila zaščitena z Iron EOS že v tretjem četrtletju leta 2024.