NIS2: Dobiehame zameškané?
Novela Zákona o kybernetickej bezpečnosti, ktorá reflektuje požiadavky európskeho nariadenia NIS2 v oblasti kybernetickej bezpečnosti je v procese príprav a predpokladá sa, že do konca kalendárneho roka budú známe presné požiadavky, ktoré budú musieť organizácie splniť. Nesmieme zabúdať, že niektoré organizácie nepodliehajúce regulácií v oblasti kybernetickej bezpečnosti nemajú zavedené žiadne alebo iba majú zavedené iba minimálne opatrenia. Aké sú postoje organizácií ku otázkam kybernetickej bezpečnosti? Čo budú musieť riešiť, ak majú zameškaných niekoľko rokov v oblasti kybernetickej bezpečnosti? Ako dohnať investičný dlh?
Organizácie „bez postoja“
Tento postoj môžeme zhodnotiť jednou vetou „neviem, nemám, neriešim“, prípadne obľúbenými výrokmi „čo už by u mňa kto získal, ak by na mňa zaútočil?“. V takýchto prípadoch má organizácia realizované iba niektoré, častokrát predvolené bezpečnostné mechanizmy, napr. antivírus na počítači (súčasťou operačného systému a ponechaný v predvolenom nastavení), či predvolene zapnuté automatické aktualizácie. Vo väčšine prípadov spolieha na svojho IT správcu (ak ho vôbec má), pričom ten rieši primárne prevádzku a poruchové stavy. Rovnako takáto organizácia spolieha na externých dodávateľov, napr. webhosting, emailový server a pod., o konkrétne nastavenia sa vôbec nezaujíma, keďže majú pocit, že to „nie je ich starosť“. Dokumentácia alebo aspoň evidencia prihlasovacích údajov ku kľúčovým systémom je nedostupná.
V takýchto organizáciách absentuje akákoľvek predstava o informačnej bezpečnosti a elementárne pravidlá pre používateľovi či administrátorov neexistujú. Je len otázka času, kedy sa stanú obeťou útoku a investičný dlh sa v priebehu niekoľkých hodín či minút niekoľkonásobne zúročí.
Organizácie „náhodné“
Tento postoj sa oproti organizácií „bez postoja“ odlišujú tým, že už síce majú istú predstavu o tom, ako by mala informačná bezpečnosť vyzerať, avšak realizácia bezpečnostných mechanizmov nastane až po tom, keď sa poučia. Chvíľa poučenia prichádza spravidla po bezpečnostnom incidente, ransomvéri, či kompromitácií obsahu webovej stránky za škodlivý kód alebo mládeži neprístupný audiovizuálny materiál.
Organizácia má isté predstavy avšak hovoriť o premyslenej a systematickej koncepcií nie je na mieste. Dôsledkom tohto postoja organizácií k bezpečnosti je nefunkčnosť technológie a zvýšené finančné náklady na riešenie mimoriadnych stavov.
Takéto organizácie nájdeme v sektore podnikov všetkých veľkostí alebo v štáte – mestá, obce ale i štátne úrady, vrátane organizácií poskytujúcich služieb nevyhnutných pre život, napr. vodárne.
Organizácie „systematické“
V tomto prípade si organizácie kladú za cieľ riešiť otázky kybernetickej bezpečnosti nie preto, že musia, ale preto, že si uvedomujú skutočný prínos.
Prístup je náročný finančne či personálne, avšak koncepčným a strategickým uvažovaním, využitím analýzy rizík a analýzy dopadov na podnikanie organizácie vedia stanoviť, čo sú kritické oblasti a tieto budú vyriešené prioritne. Ostatné oblasti riešenia postupne, podľa možností a s využitím kombinácie rôznych prístupov a nástrojov. Snažia sa vyťažiť maximum z rôznych bezpečnostných prvkov a technológií, ktoré majú v organizácií k dispozícií. Procesy organizácie sú v symbióze s požiadavkami na kybernetickú bezpečnosť, pričom pri zavádzaní nových postupov a riešení nových situácií sa v rovine samozrejmosti prihliada na otázky kybernetickej bezpečnosti a ochrany osobných údajov.
Takéto organizácie nie sú prekvapené, ak sa ich začne týkať nová legislatívna požiadavka v oblasti kybernetickej bezpečnosti. Vo väčšine prípadov postačuje upraviť existujúce procesy, aktualizovať dokumentáciu aby jednoznačnejšie uvádzala prepojenia medzi požiadavkami legislatívy a reálnym stavom. Pravidelnými internými previerkami a legislatívou vyžadovanými auditmi získajú prehľad o stave ich kybernetickej odolnosti a tieto zistenia prijímajú ako fakt, bez snahy ovplyvniť mieru zabezpečenia latentnými vplyvmi.
Do ktorej skupiny patrí Vaša organizácia?
Ste pripravení na legislatívne požiadavky, ktoré prinesie NIS2 ak sa Vaša organizácia nachádza v kategórií „veľký podnik“ (ak zamestnáva 50 a viac zamestnancov, alebo dosahuje ročný obrat alebo bilančnú sumu ročnej súvahy aspoň 10 miliónov EUR.) a zároveň pôsobíte v tejto oblasti:
- Chemický priemysel
- Odpadové hospodárstvo
- Poskytovatelia digitálnych služieb
- Poštové služby
- Potravinárstvo
- Výroba (zdravotnícke zariadenia, elektronika, motorové vozidlá)
- Výskum (s výnimkou vzdelávacích inštitúcií)
Samozrejme nezabúdajme na súčasné organizácie, ktoré sú zaradené do zoznamu Základných služieb NBÚ, pričom túto skutočnosť je možné overiť si online https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/.
Dobehnete zameškané investície pre kybernetickú odolnosť alebo necháte sa dobehnúť? Kybernetická bezpečnosť nie je jednorazová záležitosť a preto „papierová bezpečnosť“ nestačí. Ponúkame Vám skutočnú bezpečnosť, ktorá pomôže nielen zlepšiť Vašu kybernetickú odolnosť ale aj prevádzku či konkurencieschopnosť.
Nespoliehajte sa na svojho IT pracovníka, dodávateľa alebo partnera v oblasti bezpečnosti ochrany zdravia pri práci, že spracovaním „pro forma“ dokumentácie budete mať zaistený súlad s požiadavkami zákona! V prípade incidentu sa bude prihliadať na skutočný stav a vyspelosť Vašej organizácie kybernetickej odolnosti.