Balandžio 17 d. buvo terminas, kai dalis šalies verslų gavo žinią iš Nacionalinio kibernetinio saugumo centro, kad jie įtraukti į Kibernetinio saugumo subjektų registrą ir turės atitikti naujus reikalavimus. Ką daryti, jei įmonė buvo į tokį sąrašą įtraukta?
Balandžio 17 d. buvo terminas, kai dalis šalies verslų gavo žinią iš Nacionalinio kibernetinio saugumo centro (NKSC), kad jie įtraukti į Kibernetinio saugumo subjektų registrą ir turės atitikti naujus reikalavimus. Iš tiesų, ši žinia neturėtų nustebinti – jau pernai įsigaliojo ES Tinklų ir informacinių sistemų (TIS2) direktyva, pagal kurią tam tikros įmonės pateko į įmonių ir organizacijų, turinčių laikytis šios direktyvos, sąrašą. Kodėl Europai reikėjo dar vienos direktyvos? Ką daryti, jei įmonė buvo į tokį sąrašą įtraukta?
Asociatyvi „Pixabay“ nuotr.
Rusijos, Baltarusijos ar kitų nedraugiškų valstybių organizuojamos kibernetinės atakos gali ištikti kiekvieną – didelę ir mažą – organizaciją, sutrikdyti ar negrįžtamai paveikti jos veiklą ir taip susilpninti visos valstybės kibernetinę saugą. Kaip pastebi Nacionalinis kibernetinio saugumo centras (NKSC), tokios atakos pastaruoju metu tampa subtilesnės ir efektyvesnės: didėja vidutinio rimtumo incidentų skaičius (2023 m. lyginant su 2022 m. pastebėtas 12 proc. prieaugis), o dėl kibernetinių incidentų įvykę asmens duomenų saugumo pažeidimai paveikia net 49 proc. atakuotų subjektų.
Į TIS2 – vis dar pro pirštus
Vos prieš savaitę buvo paskelbti galutiniai įmonių ir organizacijų, turinčių laikytis direktyvos sąrašai. Juose atsidūrusios įmonės (energetikos, transporto ir kt. kritiškai svarbių sektorių atstovai) gavo Nacionalinio kibernetinio saugumo centro siunčiamą informaciją apie prievolę prisijungti prie TIS2 sistemos bei veiksmus, kurių turi imtis.
TIS2 direktyva yra nustatoma bendra kibernetinio saugumo reguliavimo sistema, kuria siekiama padidinti kibernetinio saugumo lygį ES. Verslams ši direktyva nustato griežtesnius kibernetinio saugumo reikalavimus, skirtus apsaugoti įmonių ir organizacijų informacines sistemas nuo kibernetinių grėsmių – įmonės turės atlikti kibernetinio saugumo rizikos vertinimus ir įdiegti rizikos mažinimo priemones.
Šias priemones pradėti taikyti reikės per 12 mėnesių. Tinkamai neįgyvendinus pokyčių baudos didelėms įmonėms gali siekti iki 10 mln. eurų arba 2 % metinės pasaulinės apyvartos, o vidutinėms ar mažesnėms įmonėms – proporcingos jų veiklos mastui, bet vis tiek reikšmingos.
Dirbdami su verslu pastebime, jog vis daugiau įmonių suvokia kibernetinių atakų rizikas, taip pat įvertina finansines neatitikties TIS2 pasekmes. Vis dėlto, ne visi yra pasiruošę investuoti į jų suvaldymą. Priežastys kelios – daugelis ne iki galo supranta, kas yra TIS2, o dar dažniau – tai suvokia ne kaip poreikį darytis kibernetiškai atsparesniems, o kaip dar vieną perteklinį Europos Sąjungos reikalavimą.
Net ir valstybinės reikšmės infrastruktūrą valdančios organizacijos, tokios kaip vandens tiekimo ar šilumos tinklai, susiduria su iššūkiais įgyvendindamos reikalavimus, nepaisant to, kad jų IT padaliniai jau ruošiasi pokyčiams. Mažesnėms įmonėms iššūkis dar didesnis – grėsmės joms neretai atrodo tolimesnės, trūksta resursų ir kompetencijų, todėl kibernetinio atsparumo stiprinimas dažnai nėra prioritetas. Tačiau direktyva bus taikoma ir joms – pavyzdžiui, mažų miestelių komunalinių paslaugų teikėjams.
Ką daryti?
Jau šiandien verslams derėtų pradėti ruoštis, startuojant nuo šių žingsnių: įsivertinti, ar įmonės turėtų patekti į minėtus NKSC sąrašus, taip pat padaryti pirmuosius pasiruošimo žingsnius direktyvos atitikčiai: atlikti vadinamąsias GAP analizes, tvarkyti savo vidinius teisės aktus, apgalvoti, kiek ir kokių techninių ar žmogiškųjų išteklių reikės, kad TIS2 būtų įgyvendinama tinkamai.
Didžiausi iššūkiai verslams, kuriuos šiandien stebime – žmogiškųjų, finansinių ir techninių išteklių trūkumas. Dažnai girdime įmonių atstovų nuogąstavimus, kad direktyvos atitikčiai reikės papildomų žmonių – kiekviena direktyvą atitikti turinti įmonė privalės paskirti kibernetinės saugos pareigūną (CISO) ar samdomų ekspertų, kurie nurodytų, kaip direktyvą taikyti, prižiūrėtų jos taikymą ir kt.
Reaguojant į šiuos iššūkius rinkoje atsiranda ir inovatyvių šios prievolės palengvinimo būdų. Pavyzdžiui, šiandien įmonės, žengiančios pirmuosius žingsnius TIS2 atitikčiai jau gali pasinaudoti ir IT platformos „TrustGuru“ sprendimu, kuris padeda valdyti visą TIS2 direktyvos atitiktį: nuo personalizuotų dokumentų sudarymo ir valdymo, grėsmių ir rizikų nustatymo, iki veiksmų plano šiems veiksniams įveikti sudarymo, kontrolės priemonių ir kt.
Šiandien skaičiuojame, jog platformos diegimas organizacijai per metus gali atsieiti 5 kartus pigiau, o palaikymas – iki 10 kartų pigiau nei konsultantų samdymas. Šis įrankis leidžia organizacijai savarankiškai kontroliuoti savo kibernetinės saugos sritį ir sumažina išorės ekspertų poreikį arba optimizuoja jų darbą bei užkardo problemas.
Ne tik skaudžios baudos
Galimybė palengvinti procesą įsisavinant inovatyvius technologinius sprendimus įmonėms galėtų būti papildoma motyvacija laikytis direktyvos. Žinoma, motyvuoja ir gresiančios baudos, kurios bus numatomos už neatitikimą direktyvai, duomenų neteikimą NKSC, kibernetinių incidentų slėpimą. Ypač svarbu ir tai, kad šįkart atsakomybė bus taikoma įmonių vadovams (jie galės būti ne tik finansiškai baudžiami, bet ir nušalinami nuo vadovavimo, įmonių veikla galės būti stabdoma ir kt.). Be to, laikantis direktyvos bus keičiamasi informacija apie kibernetines grėsmes ir incidentus nacionaliniu ir ES lygmeniu (gerinamas bendradarbiavimas, didinamas grėsmių atpažįstamumas ir kt.), kuriamas vieningas kibernetinio saugumo standartas – tai didžiulio mechanizmo dalis.
Ir šiandien, žinant, kad tinkamas BDAR ir TIS2 laikymasis yra vienas pagrindinių atakoms kelią galinčių užkirsti veiksmų, o pareiga laikytis reglamento įsigalios jau netrukus, pats metas užduoti sau klausimą – ar mano verslas jau pasiruošęs?
Justinas Jurkonis, „TrustGuru“ bendraįkūrėjas
