Ideja da netko prodaje “čarobnu kutiju” koja rješava sve vaše probleme vezane iz kibernetičke sigurnosti i vi postajete nekim čudom NIS2 usklađeni – ne postoji.
Kibernetička sigurnost, u stvari, bolje rečeno informacijska sigurnost, obzirom da ipak pričamo i o ključnom faktoru – a to je čovjek, ne može se riješiti preko noći i definitivno nikakvim “čarobnim kutijama”. Ma koliko one magične bile.
Budući da čarobna kutija ne postoji, treba krenuti od početka, hrabro.
NIS2 nastao je, jer je Europska Unija shvatila je da opseg primjene NIS1 bio preuzak i da mjere sigurnosti nisu bile ujednačene na razini svih država. Iako bi ključan razlog za to da objeručke prihvatite NIS2 trebao biti taj što se učestalost i ozbiljnost kibernetičkih napada povećava iz dana u dan, svi smo svjesni da je interes javnosti za NIS2 potaknut prvenstveno zbog kazni koje propisuje. Vrlo su slične onima iz GDPR-a.
Krenuti je najbolje od onoga što i sam NIS2 zahtjeva – provedite procjenu rizika. Sigurnost bez procjene rizika ne funkcionira. Većina bi htjela tri kilograma informacijske sigurnosti, par tehničkih rješenja i to je to, ali stvarnost je malo drugačija.
Koje mjere sigurnosti su vam potrebne, što u stvari štitite unutar društva, koje su financijske, reputacijske posljedice, postoje li neke zakonske obveze? Upravo to je procjena rizika!
Dobro je što procjena rizika nije sama sebi svrha. Pomaže vam donijeti bolje poslovne odluke. No, procjena rizika dobra je onoliko koliko su scenariji koje procjenjujete realni, koliko su timovi koji rade procjene rizika objektivni i koliko se u obzir uzimaju stvarne prijetnje i ranjivosti kojima je društvo izloženo. Zato se radi kontinuirano.
Pri tome se nemojte dati navesti da je najskuplje rješenje najbolje. Možete je za početak napraviti i u Excelu. Birate li pak specijalizirana rješenja pripazite gdje drže vaše podatke.
Dio smo odradili. Uspostavili ste metodologiju, kriterije i proveli procjenu rizika. Sad je potrebno napraviti identifikaciju dobavljača. Svakako ih uključite i u procjenu rizika.
Povezanost unutar sektora, ali i između sektora je ključna i jako bitna za normalno funkcioniranje. Posebno kada govorimo o informacijskoj sigurnosti. Velika većina nema svoje podatkovne centre – znate li tko su vam dobavljači, tko su njihovi poddobavljači i gdje sve vaši podaci završavaju? Bolje rečeno, znate li koje su obveze vaših dobavljača? Nije loše pročitati ponovno ona sitna slova u ugovorima i vidjeti za što je tko odgovoran.
Super je ako vi brinete i pazite na informacijsku sigurnost unutar svog društva, ali što je s dobavljačima koji imaju pristup vašoj infrastrukturi i vašim podacima? Napadač bira najslabiju kariku, ako to niste vi, možda je to netko iz vašeg dobavljačkog lanca. Dovoljno je spomenuti SolarWinds.
Osnova sigurnosti je imati odgovore na pitanja tko, čemu i zašto pristupa. Sigurnost je zaštita informacija od neovlaštenog pristupa i promjene. NIS2 zato posebnu pozornost posvećuje upravljanju pravima pristupa.
Važno je odrediti tko u društvu ima pristup kojim informacijama i naravno kako se dijele van društva. Pri tome ključno je osigurati neometano poslovanje uz kontrolu dijeljenja podataka. I naravno, na kraju dolazimo do upravljanja izvanrednim situacijama ili ako vam je draže, incidentima.
Svašta se tu može vidjeti i doživjeti.
Od jednog sustava za prijavu incidenata, do više sustava ovisno o poslovnom procesu ili tipu incidenta od vrlo jednostavnih rješenja npr. e-mail prijava do velikih i kompleksnih sustava koji koštaju pravo bogatstvo. Ali opet, nije bitno na koji način prijavljujete incidente, te kako ih evidentirate - ključno je koliko je proces dobro uspostavljen, koliko je efikasan i koliko ste dobro educirali ljude što i na koji način prijavljuju. Sve se to može napraviti bolje pa u tome može pomoći Security Operations Center (SOC), koji nadzire devijacije i pravovremeno analizira i obavještava sve odgovorne.
Međutim, SOC isto tako mora dobiti parametre koje prati. Prati li sve sustave i sve aktivnosti ili postoje rizičniji sustavi, informacije koje su osjetljivije i čije curenje izvan društva ili nedostupnost uzrokuju financijske, reputacijske rizike itd. Pitanja su to koja si trebate postaviti prilikom angažiranja SOC-a.
Sve prethodno popisano, ključno je kako bi održali kontinuitet poslovanja. Uspostava funkcioniranja kritičnih dijelova, sustava, poslovnih procesa u izvanrednim situacijama je obavezna. Primjer zašto je plan kontinuiteta i oporavka od katastrofe toliko važan ne moramo tražiti u dalekoj povijesti, samo se možemo prisjetiti izazova koje su nam donijeli pandemija korona virusa i potres.
Zbog svega toga duhovito je čuti da se kibernetička sigurnost može riješiti s “čarobnim kutijama”.
Točno je da postoje tehnička rješenja koja mogu pomoći u automatizaciji, ali prvo treba odraditi pripremu - što vam je baš potrebno i štitite li prave informacije. NIS2 vraća priču ljudima. Oni su kritični dio poslovanja i čimbenik svakog procesa.
Dok se pripremamo za NIS2 treba se prisjetiti da već imamo temelj - aktualni Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga. Vrijedit će do 18. listopada 2024., do kad Hrvatska mora primijeniti NIS2.
Detalji, procesi implementacije i pravilnici, još ih nema, ali u Spanu pratimo razvoj te direktive od samih početaka i s našim portfeljem usluga možemo pomoći u usklađivanju poslovanja s odredbama NIS2 direktive.
*Tvrtka Span je partner projekta
