2024-05-30

Naujajai kibernetinio saugumo direktyvai besirengiančiam verslui: stebuklingos piliulės nėra

Artėjant Tinklo ir informacinių sistemų saugumo direktyvos (TIS2) įsigaliojimui jau šių metų spalio 17 d., vis daugiau organizacijų imasi ruoštis naujiesiems kibernetinio saugumo reikalavimams. Skaičiuojama, kad ši direktyva bus aktuali maždaug 4 tūkst. Lietuvos viešojo ir privataus sektoriaus organizacijų, veikiančių svarbiuose Lietuvos ekonomikos sektoriuose, tokiuose kaip energetikos, transporto, finansų ir kt. Dar daugiau: direktyvos reikalavimus turės atitikti ir minėtų įmonių partneriai, rangovai – tam, kad visa tiekimo grandinė būtų saugi.

Nuotrauka: Evaldas Valūnas, Atea Saugumo sprendimų kompetencijų centro vadovas

Nenuostabu, kad atliepiant į verslo bei valstybinių  institucijų poreikį, IT paslaugų rinkoje kaip grybai po lietaus ėmė dygti viliojantys pasiūlymai organizacijoms. Joms siūloma įsigyti kelis IT produktus ir taip lengvai ir be rūpesčio „pasiruošti” TIS2 direktyvai. Kad ir kaip norėtųsi, stebuklingos piliulės nėra – direktyva sukonstruota taip, kad į organizacijos kibernetinį saugumą teks pasižiūrėti iš pagrindų. Norint tai suprasti, pirmiausia reiktų prisiminti ir pačios direktyvos pagrindinį tikslą.

Prisiminkime TIS2 direktyvos tikslą

Augančių kibernetinio saugumo grėsmių akivaizdoje, TIS2 direktyva siekiama didinti bendrą ES veikiančių organizacijų kibernetinio atsparumo lygį ir sumažinti skirtumus ES rinkoje. Tikimasi, kad įgyvendinus naujuosius reikalavimus, kibernetinių incidentų sukeliami milijardiniai nuostoliai ES sumažės kelis kartus.

Turime suvokti, kad naujieji kibernetinio saugumo reikalavimai nėra skirti tik tam, kad formaliai susidėliotume varneles. Juos reikia įgyvendinti dėl to, kad galėtume funkcionuoti kaip visuomenė: veiktų esminė infrastruktūra, įvairios paslaugos ir pan. Juk skaitmenizacija apima jau ne tik verslo, bet ir daugybę kasdieninio gyvenimo sričių: pradedant nuo mokėjimo paslaugų ir baigiant elektroniniais mokinių dienynais bei pacientų kortelėmis. Deja, kartu su skaitmenizacijos naudomis auga ir pažeidžiamumas, todėl neabejotina, kad saugumui turime skirti deramą dėmesį.

TIS2 direktyva – naujas standartas ir nauja kartelė, kurią organizacijos turės užtikrinti, siekiant apsaugoti save ir visuomenę, todėl negalima į šį klausimą pasižiūrėti pro pirštus ir aplaidžiai.

Pradėti nuo IT produktų įsigijimo – klaida

Suprantama, kad rengimasis įgyvendinti TIS2 direktyvos reikalavimus sukelia organizacijoms papildomų rūpesčių. Laiko liko mažai, o itin detalių reikalavimų sąrašo vis dar nėra.  Organizacijas gąsdina ir direktyvoje numatytos didelės baudos už pažeidimus. Vis dėlto bendrieji principai jau tikrai žinomi, todėl yra aišku, nuo ko reiktų pradėti ir ką pasidaryti pirmiausia.

Deja, tenka pastebėti, kad kai kurios organizacijos pasirengimą vis dėlto pradeda nuo visiškai priešingo galo. Susiviliojusios paprastais ir lengvais sprendimais, kurių šiuo metu apstu IT rinkoje, jos patiki, kad tam tikrų produktų įsigijimas ir varnelių susidėliojimas leis atitikti TIS2 direktyvos reikalavimus.

Neneigsiu – IT produktai ir sprendimai gali prisidėti prie didesnio saugumo ir padeda spręsti tam tikras bėdas, bet klaida pradėti nuo jų, neįvertinus, kokia yra dabartinė organizacijos padėtis kibernetinio saugumo srityje. Tai tas pats kas susiviliojus reklama nubėgti į vaistinę ir prisipirkti vitaminų, neatlikus tyrimų ir nepasikonsultavus su gydytoju, neskiriant dėmesio nuolatinei savo sveikatos priežiūrai.

Lygiai taip pat su kibernetiniu saugumu: pirmiausia diagnozuojame silpnas vietas, randame joms sprendimus ir „vaistus“, imamės prevencinių priemonių bei nuolat stebime ir vertiname situaciją. Iš tiesų, kelias link atitikties TIS2 reikalavimams yra procesas, o ne greitas, tik produktų įsigijimais išsprendžiamas klausimas. 

Grėsmių vertinimas ir rizikų analizė – pirmas ir svarbiausias žingsnis

Ką pirmiausia turėtų padaryti organizacijos, tai įsivertinti, kokios kibernetinio saugumo grėsmės gali kilti organizacijai. Tuomet svarbu atlikti rizikų analizę, t.y. nustatyti, kokia tikimybė, kad įvardintos grėsmės išsipildys. Atsižvelgus į gautus rizikos analizės rezultatus, reiktų susidėlioti rizikų valdymo politiką: nusimatyti organizacines ir technines priemones, kuriomis tos rizikos bus valdomos.

Būtent šiame etape galima pagalvoti ir apie tam tikrų IT produktų įsigijimą: tuomet būsite tikri, kad produktai ar įrankiai atitiks jūsų rizikos profilį ir tikrai jūsų organizacijai bus naudingi bei reikalingi. Būtina produktus integruoti į organizacijos verslo procesus, iškart nusimatyti jų palaikymą bei nuolatinę priežiūrą, kad reikiami atnaujinimai būtų atlikti laiku. Be to, jei rinksitės produktus šiame etape, tikėtina, kad ir sutaupysite, nes jau tiksliai žinosite, kokią problemą kokiomis priemonėmis norite spręsti. Pavyzdžiui, aukščiausio lygio saugumo paketus diegsite tik kritiniams, o ne absoliučiai visiems organizacijos darbuotojams.

Tęsiant apie kitus pasirengimo žingsnius, tai organizacijoms reiktų pasirengti arba atnaujinti kelis esminius dokumentus, tokius kaip informacinių sistemų saugos politiką, veiklos tęstinumo planą ir incidentų valdymo planą. Vėlgi – ir šiuos darbus reikia atlikti ne formaliai, o taip, kad esant reikalui, viskas puikiai veiktų ir praktikoje. IT ir IT saugumo komandos (nesvarbu ar tai vidinė, ar samdoma – išorinė komanda) paskirtis yra užtikrinti organizacijos veiklą ir jos tęstinumą bei greitą atsistatymą net ir įvykus incidentui.

Galiausiai, dar viena kibernetinio saugumo dedamoji – darbuotojų švietimas ir mokymas. Patirtis rodo, kad būtent darbuotojai  gali būti viena pažeidžiamiausių grandžių organizacijos saugumo architektūroje. Todėl būtina juos edukuoti ir praktiškai mokyti, pavyzdžiui, per įvairias socialinės inžinerijos simuliacijas, siekiant didinti jų sąmoningumą ir atsparumą.