Informácie o implementácii Smernice NIS2
Informácie o implementácii Smernice NIS2
Informácie o implementácii Smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii. NIS2 v oblasti priemyslu a výroby, pozrieme sa na prvý praktický krok, ktorý je nevyhnutné realizovať a najmä si objasníme, prečo bez analýzy rizík nie je možné vôbec hovoriť o systematickom prístupe ku kybernetickej bezpečnosti.
Prečo ďalšia analýza?
Ľuďom, ktorí sa nepohybujú profesionálne vo svete kybernetickej bezpečnosti by sa mohlo zdať, že tento kyber svet je preplnený analýzami všetkého druhu. Dokonca aj profesionáli, ktorí zabezpečujú prevádzku systémov a sietí, často nesprávne tvrdia, že to preháňame s „papiermi“ a neustále niečo analyzujeme. Na otázku načo je potrebná analýza rizík, odpovedáme protiotázkou – ako chcete niečo chrániť a nastaviť primerané bezpečnostné opatrenia, keď nepoznáte hodnotu svojich informačných aktív a vplyvy rôznych okolností na ne? Bez analýzy rizík je celé riadenie kybernetickej bezpečnosti založené iba na odhade, často nesprávnom a podfarbenom rôznymi subjektívnymi vplyvmi.
Pre jednoduchšie pochopenie si prirovnajme kybernetickú bezpečnosť k medicíne. Bez analýzy rizík, je kybernetická bezpečnosť iba ľudovým liečiteľstvom, s analýzou rizík je to medicína založená na dôkazoch.
NIS2 v tom má jasno
Nová smernica kladie veľký dôraz na analýzu rizík kybernetickej bezpečnosti. Požaduje od regulovaných subjektov, aby pravidelne vykonávali komplexnú analýzu rizík, ktorá by mala zohľadňovať hrozby, zraniteľnosti a vplyvy na všetky relevantné aktíva a systémy. Tento proces sa volá systém riadenia rizík a musí zohľadňovať identifikáciu, vyhodnotenie a riadenie rizík, ako aj implementáciu a monitoring efektivity nápravných a kontrolných opatrení. Len pre zaujímavosť uvedieme, že v prípade Slovenska pôjde o významnú zmenu, keďže dnešný prístup (ešte stále platný zákon v čase písania tohto článku) je založený na tzv. kategorizácii sietí a informačných systémov. Tento prístup vnímala odborná verejnosť viac ako experiment, ktorý od začiatku nefungoval. NIS2 implementuje v tejto oblasti konečne štandard.
Určenie kontextu rizika
Pod týmto záhadne znejúcim slovným spojením sa skrýva proces, ktorý zahŕňa definovanie cieľov, rozsahu a kritérií na analýzu a hodnotenie rizík. Je to dôležitá fáza, ktorá umožňuje cielenú a efektívnu analýzu a návrh vhodných kontrolných opatrení. Pri určení kontextu rizika musíme vziať do úvahy množstvo faktorov. Ako najdôležitejšie musíme vnímať veľkosť a štruktúru organizácie, odvetvie a regulačné požiadavky, dostupnosť zdrojov. Ďalej musíme sledovať aspekty na definovanie cieľov (čo sa snažíme dosiahnuť), určenie rozsahu (čo všetko bude predmetom analýzy) a stanovenie kritérií (ako budeme riziká hodnotiť).
Samotné riziká nie sme schopní definovať, pokiaľ neidentifikujeme hrozby. Poučka hovorí, že riziko je účinok neistoty (pravdepodobnosť), ktorá v kauzálnej súvislosti s príčinou vyvolá nevyhnutne následok. Inými slovami, riziko je možnosť výskytu kybernetického incidentu, ktorý by spôsobil škody organizácii. Riziko sme schopní kvantifikovať aj matematicky ako súčin pravdepodobnosti výskytu a úrovne dosahu.
Hrozba (hackerský útok, ľudská chyba, sabotáž, ransomvér, krádež dát) je predpokladom na vznik rizika, odporúčaným postupom na určenie hrozieb je tzv. „najhorší scenár“. Hrozby musíme deliť na základe pôvodu, motivácie, cieľa alebo metódy.
Pozrime sa na to cez peniaze
Ak ste pri čítaní tohto článku vyhodnotili, že asi nedisponujete ľuďmi, ktorí by boli odborne pripravení robiť analýzu rizík vo vašej organizácií, tak prichádzate k záveru, že jediným riešením je takúto službu zabezpečiť externou formou. S tým sú spojené, samozrejme, náklady a to je presne bod, kde rozhodnutie o tom, či a koľko investovať potrebujete podporiť argumentami.
Štandardne, ak si príde vaše IT takpovediac pýtať peniaze na akúkoľvek bezpečnostnú technológiu, tak jediným argumentom je „lebo to potrebujeme“. Ono to tak naozaj býva, že IT experti cítia potrebu nejakej technológie správne, toto v žiadnom prípade nespochybňujeme. Otázkou však často je škálovanie, alebo inak povedané primeranosť nákladov. Je to veľa? Málo? Primerane? Je opatrenie nastavené správnym smerom? Chráni nám rovnako vysoko dôležité aktíva, aj tie menej dôležité? Prečo? Nie je možné náklady inak rozložiť?
Na žiadnu z týchto otázok nedokážete nájsť odpoveď bez analýzy rizík. Pocitovo alebo na základe nejakých kvalitatívnych ukazovateľov môže byť navrhované riešenie správne, otázna je jeho primeranosť a zacielenie.
S profesionálne vykonanou analýzou rizík lepšie pochopíte hodnotu informačných aktív a riziká, ktoré na ne vplývajú. Budete schopní tieto riziká efektívne riadiť, minimalizovať ich dosah a najmä efektívnejšie alokovať zdroje. Z ekonomického pohľadu je nemenej zaujímavé aj to, že budete lepšie pripravený predchádzať kybernetickým incidentom, čo taktiež so sebou prináša zníženie budúcich nákladov, ktoré by boli nevyhnuté na sanáciu škôd. Takýmto proaktívnym prístupom môžete významne zvýšiť dôveru u svojich obchodných partnerov a zákazníkov, keďže jasne deklarujete, že pristupujete ku kybernetickej bezpečnosti zodpovedne.
Úspešnú firmu od priemernej odlišuje aj to, ako urobiť z regulačnej požiadavky svoju konkurenčnú výhodu a vyťažiť z nej maximum. Analýza rizík je presne tou príležitosťou.
Praktické rady na záver
Ak by ste to chceli skúsiť predsa len vlastnými silami, tak smelo do toho – nie je to v rozpore so žiadnymi normatívnymi odporúčaniami. Musíte však vziať do úvahy niekoľko skutočností:
Naši experti sú pripravení pomôcť vám s celým procesom analýzy rizík a zabezpečiť všetky súvisiace činnosti.
autor: Igor Straka, TÜV SÜD email: [email protected]
Vybrať lokalitu
Global
Americas
Asia
Europe
Middle East and Africa
