Nuo šių metų spalio 17 d. būsime atsparesni kibernetinėms grėsmėms: į nacionalinę teisę iki šios datos turi būti perkelta Europos Sąjungos (ES) Tinklų ir informacinių sistemų direktyva (TIS2 arba NIS2). Ja siekiama visoje bendrijoje padidinti itin svarbias funkcijas atliekančių įmonių ir organizacijų kibernetinio atsparumo lygį, sumažinti tarp skirtingų sektorių egzistuojančius kibernetinio atsparumo neatitikimus bei pagerinti informacijos mainus ir kolektyvinius gebėjimus, pasirengiant bei reaguojant į kibernetinius incidentus.
Asociatyvi „Pixabay“ nuotr.
Naujoji direktyva, skirta bendram aukštam kibernetinio saugumo lygiui ES užtikrinti, palies daugumą Lietuvos sektorių: pramonės, energetikos, transporto, skaitmeninės infrastruktūros, sveikatos priežiūros, bankininkystės, viešojo administravimo ir kt. Apie svarbiausius jos įgyvendinimo aspektus, niuansus ir poveikį verslui gegužės 15 d. „Litexpo“ vyksiančioje parodoje „BaltTechnika 2024“, konferencijoje „Making Industry 4.0 Real“ pranešimą skaitysiantis pramonės tinklų ir kibernetinio saugumo specialistas iš Švedijos, įmonės „Phoenix Contact AB“ atstovas Jiunnas-Jeras Sunas, įsitikinęs – direktyva įmonėms yra nemenkas iššūkis, bet kartu tai ir būtina priemonė.
Svarbu tiek žmogui, tiek visai valstybei
Pasak specialisto, nuolat visame pasaulyje auganti kibernetinių išpuolių grėsmė neišvengiamai skatina kurti specialias kovos su ja priemones. Paprastai žmonės nelinkę galvoti apie potencialias grėsmes: mes labai retai susimąstome apie tai, kad nelaimė gali ištikti būtent mus. Prie šios psichologinės ypatybės pridėjus tai, kad dauguma žmonių palyginti menkai išmano technologijas ir nepasižymi aukštu skaitmeninio išprusimo lygiu, peršasi vienintelis logiškas sprendimas: stengtis kuo aukštesnį kibernetinio saugumo lygį užtikrinti centralizuotai, pasitelkus įstatymus ir reglamentus.
„Šiandien kibernetiniam saugumui visame pasaulyje daugiausia dėmesio skiriama būtent dėl diegiamų naujų reglamentų, didinančių kibernetinio saugumo reikalavimus ir užtikrinančių jų vykdymą“, – sako J.-J. Sunas.
Papildomų problemų ir grėsmių gali iškilti tada, kai gana glaudžiai susijusios šalys (pvz., Europos Sąjungos) kibernetinio saugumo užtikrinimui taiko skirtingus reglamentus ir įstatymus. Tokiu atveju pro silpnesnę apsaugą prasiskverbę piktavaliai įsilaužėliai gali lengviau patekti ir į kitų – geriau apsisaugojusių – valstybių tinklus. Naujoji TIS2 direktyva, tikimasi, eliminuos šią grėsmę ir padidins kibernetinį saugumą visame ES bloke.
Pagal naująją direktyvą bus privaloma užtikrinti tinklų ir informacinių sistemų saugumo lygį rizikos analizės, incidentų valdymo, tiekimo grandinės saugumo, veiklos tęstinumo užtikrinimo po incidentų ar ekstremaliųjų įvykių, kriptografijos naudojimo politikos ir procedūrų, žmogiškųjų išteklių saugumo, prieigos kontrolės ir turto valdymo politikos bei kitose srityse.
Kaip naujoji direktyva paveiks verslą?
Prie naujų kibernetinio saugumo reikalavimų teks prisitaikyti ne tik viešajam sektoriui, bet ir verslui. Šiuo metu, pasak kompanijos „Phoenix Contact AB“ atstovo, viena didžiausių skaitmeninių grėsmių verslui yra išpirkos reikalaujanti kenkėjiška programinė įranga (angl. ransomware).
„Tačiau pramonės įmonės taip pat neturėtų pamiršti ir vidinių atakų bei tiekimo grandinės saugumo. Teoriškai nė viena įmonė nėra apsaugota nuo dabartinių ar buvusių darbuotojų, rangovų ar tiekėjų galimų grėsmių. Pramoninės įmonių valdymo sistemos labai dažnai susideda iš kelių tiekėjų komponentų. Bet kurio iš šių komponentų žemas atsparumo lygis ar kibernetinio saugumo spraga gali sukelti rimtą incidentą visoje valdymo sistemoje“, – aiškina specialistas.
J.-J. Sunas pabrėžia, kad norint užtikrinti kibernetinį saugumą „reikalingas bendras, kompleksiškas požiūris į įmonės politiką ir procesus, žmones bei naudojamas technologijas. Pagrindinis iššūkis yra kibernetinio saugumo srities žinių ir efektyvios valdymo sistemos trūkumas ar netgi visiškas jos nebuvimas“.
Yra daugybė galimybių ir technologijų siekiant padidinti kibernetinį saugumą, tačiau jomis pasinaudoti dažnai trukdo nepakankamas vadovų skiriamas dėmesys, neišmanymas ar tiesiog lėšų trūkumas. Tiek stiprios vidinės IT/OT specialistų komandos kūrimas, tiek išorės specialistų pagalba ar naujausia įranga kainuoja. Todėl, kaip ir atskiro žmogaus atveju, įmonės vis dar dažnai naudoja tik bazinę tinklų (dažniausiai tik IT) apsaugos įrangą ir tikisi, kad to pakaks norint apsisaugoti nuo kibernetinių grėsmių.
Kad netektų graužtis dėl to, kad nepavyko apsisaugoti nuo kibernetinės atakos, pridariusios nuostolių įmonei, kibernetinio saugumo specialistas siūlo pirmiausia išsiaiškinti įmonės sritis ar taškus, kuriuose išpuolių rizika labiausiai tikėtina ir gali lemti didžiausius netoleruotinus nuostolius. O tai nustačius nedelsiant taikyti sprendimus siekiant sumažinti kibernetinių atakų riziką.
„Sukūrus tvirtą pagrindinę infrastruktūrą – tinklo architektūrą, naudotojų prieigos kontrolę, viešojo rakto infrastruktūrą (Public Key Infrastructure – PKI), sertifikatus ir t. t. – kibernetinis saugumas labai padidės“, – pataria J.-J. Sunas.
Ekspertų teigimu, TIS2 direktyvos įgyvendinimas gali iš įmonių pareikalauti gana didelių išteklių ir daug dėmesio, nukreipto į IT/OT infrastruktūros atnaujinimą bei personalo mokymą. Visgi, jų teigimu, tai yra būtinas žingsnis užtikrinant, kad ES galėtų efektyviai atliepti kibernetinius iššūkius, kurių, tvyrant geopolitinei įtampai, tik daugėja.
Ką žada ateitis?
Pramoninių tinklų srityje 18 metų patirtį turintis saugumo specialistas neabejoja, kad kibernetinio saugumo žinios bei mąstysena ateityje bus privalomi ir taps įprasti ir savaime suprantami kiekvienam įmonių darbuotojui.
„Kibernetinis saugumas – visų ir kiekvieno atsakomybė. Siekdamos apsisaugoti nuo kibernetinių išpuolių, įmonės tiesiog privalės rengti savo darbuotojų mokymus, didinančius jų skaitmeninį raštingumą ir sąmoningumą“, – konstatuoja ekspertas.
Jis taip pat mano, kad kibernetinį saugumą užtikrinantys ar bent jau juos didinantys sprendimai taps vis labiau integruota pačių įvairiausių produktų, programų ir paslaugų dalimi.
„Atsižvelgiant į populiarėjantį daiktų internetą ir dirbtinį intelektą, kibernetinė sauga taps neatskiriama inovacijų dalimi jau pačioje projektavimo stadijoje“, – prognozuoja pramoninių tinklų ir kibernetinio saugumo specialistas iš Švedijos.
Išsamiau apie tai, kaip prie saugesnės ateities prisidės ir kaip verslą paveiks naujoji TIS2 direktyva, J.-J. Sunas papasakos gegužės 15 d. Lietuvos inžinerijos ir technologijų pramonės asociacijos LINPRA, „DigiTech“ asociacijos „Infobalt“ ir Vokietijos ir Baltijos šalių prekybos rūmų (AHK) organizuojamoje konferencijoje „Making Industry 4.0 Real“.
Nuo 2016-ųjų kasmet vykstanti konferencija nagrinėja ketvirtosios pramonės revoliucijos temas, o šiemet daugiausia dėmesio bus skirta tiek lokaliems pramonės transformacijos iššūkiams, tiek technologinėms tendencijoms visoje Europoje, tarp jų ir kibernetiniam saugumui.
Konferencija „Making Industry 4.0 Real“ yra gegužės 15–17 d. vyksiančios „Litexpo“ tarptautinės specializuotos technologijų, inovacijų ir inžinerinių sprendimų parodos „BaltTechnika 2024“ dalis.