Nacionālās kiberdrošības likuma (NKDL) un NIS2 direktīvas prasības daudziem uzņēmumiem vairs nav tikai teorētisks jautājums. Tās arvien biežāk nozīmē ļoti konkrētu, praktisku rīcību: jāsaprot esošā situācija, jāizvērtē riski, jānozīmē atbildīgās personas, jāsakārto dokumentācija un jāievieš procesi, kas reāli darbotos ikdienā.
Primend vebinārā “NKDL ieviešana: praktiskā pieredze un izaicinājumi” runājām par to, ko uzņēmumi šobrīd visbiežāk piedzīvo atbilstības nodrošināšanas procesā, kādas kļūdas mēdz atkārtoties praksē un ar ko būtu vērts sākt, lai kiberdrošības pārvaldība nekļūtu tikai par formālu prasību izpildi "ķeksīša pēc".
Atbilstība nav vienreizējs projekts
Viena no būtiskākajām atziņām ir vienkārša: NKDL un NIS2 prasību ieviešana nav projekts ar skaidru sākumu un finišu. Tā ir nepārtraukta kiberdrošības pārvaldība, kurai jākļūst par dabisku uzņēmuma ikdienas darba sastāvdaļu.
Var sagatavot dokumentus, iecelt atbildīgo personu un iepirkt tehniskos risinājumus, taču ar to vien nepietiek. Ja netiek regulāri pārskatīti procesi, netiek veikta risku analīze un darbinieki nezina savu lomu, atbilstība paliek tikai uz papīra.
Kiberdrošībai ir jābūt reālam, ikdienā funkcionējošam procesam. Tās uzdevums ir palīdzēt uzņēmumam saredzēt būtiskākos riskus, saprast, kādi resursi jāsargā vispirms, un precīzi zināt, kā rīkoties incidenta gadījumā.
Vadības iesaiste ir izšķiroša
Kiberdrošība nevar palikt tikai IT speciālista pārziņā. Tā skar uzņēmuma darbības nepārtrauktību, reputāciju, klientu uzticēšanos, attiecības ar piegādātājiem un spēju pildīt savas saistības arī krīzes situācijā.
Praksē redzams, ka uzņēmumos ar aktīvu un atbalstošu vadību kiberdrošības ieviešana virzās daudz raitāk. Vadības līdzdalība palīdz efektīvāk pieņemt lēmumus par resursiem, prioritātēm un risku mazināšanu.
Savukārt, ja kiberdrošība tiek uztverta kā tīri tehnisks IT jautājums, process bieži vien apstājas pie dokumentācijas sakārtošanas vai atsevišķu tehnisku risinājumu iegādes. Tas var radīt maldīgu sajūtu, ka prasības ir izpildītas, lai gan reālā gatavība incidentiem joprojām nav pietiekama.
Pirmais solis ir esošās situācijas novērtējums
Pirms izvēlēties jaunus rīkus vai sākt veidot drošības politikas, uzņēmumam vispirms jāizvērtē esošā situācija. Tas nozīmē pārskatīt IT vidi, sistēmas, piekļuves tiesības, datus, piegādātājus, esošos procesus un potenciālos riskus.
Pašvērtējums un risku analīze palīdz noteikt prioritātes. Visus riskus nevar novērst vienlaikus, tāpēc ir svarīgi saprast, kuri no tiem uzņēmumam ir kritiskākie un kurās jomās nepieciešama tūlītēja rīcība.
Šajā posmā svarīgi apzināties, ka jaunu tehnoloģiju iegādei nav jēgas, ja tā nav pamatota. Drošības rīki sniedz reālu labumu tikai tad, ja tie palīdz vadīt konkrētus procesus un novērst reālus apdraudējumus, nevis kalpo kā aizsegs izpratnes trūkumam.
Dokumentācija pati par sevi riskus nemazina
Kiberdrošības politika, risku reģistrs, incidentu novēršanas plāns, rezerves kopiju izveides procedūras un citi dokumenti ir svarīgi, taču tie sniedz vērtību tikai tad, ja precīzi atspoguļo uzņēmuma reālo situāciju.
Tipiska kļūda ir dokumentu sagatavošana tikai formālas atbilstības dēļ. Ja izstrādātās politikas noteikumi būs pārāk gari, sarežģīti vai neatbildīs reālajiem ikdienas darba procesiem, darbinieki tos neizmantos un vadībai no tās nebūs nekāda praktiska labuma.
Kvalitatīva dokumentācija sniedz skaidru atbildi uz šādiem jautājumiem:
● Kurš uzņēmumā par ko atbild?
● Kā tiek pārvaldītas piekļuves tiesības?
● Kā tiek identificēti un reģistrēti incidenti?
● Kā tiek veidotas un testētas rezerves kopijas?
● Kā kontrolēt riskus, sadarbojoties ar piegādātājiem un ārpakalpojumu sniedzējiem?
● Kādi pierādījumi nepieciešami, lai apliecinātu, ka prasības tiek pildītas arī praksē?
Dokumentācijai jābūt saprotamai, ērti izmantojamai un jātiek regulāri atjaunotai.
Incidentiem jāgatavojas, pirms tie notiek
Vēl viena būtiska tēma ir gatavība incidentiem. Nepietiek tikai ar teorētisku aprakstu par rīcību incidenta gadījumā. Uzņēmumiem šī gatavība ir jāpārbauda praksē.
Tas nozīmē regulāri veikt rezerves kopiju atjaunošanas testus, pārskatīt darbības nepārtrauktības plānu, izvērtēt piekļuves tiesības, izglītot darbiniekus un pārliecināties, ka incidentu reģistrēšanas process un informācijas ziņošana iesaistītajām personām patiešām darbojas.
Tāpat nedrīkst aizmirst par piegādātājiem un ārpakalpojumu sniedzējiem. Daudzi uzņēmumi savā ikdienas darbībā ir atkarīgi no partneriem, sistēmām un pakalpojumiem, kas atrodas ārpus uzņēmuma tiešās kontroles. Tāpēc piegādes ķēdes riski un līgumos atrunātās drošības prasības ir neatņemama kiberdrošības pārvaldības daļa.
Ar ko sākt?
Uzņēmumiem, kas vēl tikai sāk NKDL un NIS2 prasību ieviešanu vai vēlas saprast savu pašreizējo gatavības līmeni, ieteicams virzīties soli pa solim:
1. Noskaidrot, vai un kādā apmērā normatīvo aktu prasības attiecas uz uzņēmumu.
2. Veikt esošās situācijas novērtējumu.
3. Apzināt svarīgākās sistēmas, procesus, datus un piegādātājus.
4. Izvērtēt kiberdrošības riskus un noteikt prioritātes.
5. Definēt lomu sadali un iecelt kiberdrošības pārvaldnieku.
6. Sakārtot dokumentāciju tā, lai tā atbilstu reālajiem procesiem.
7. Ieviest un regulāri pārskatīt kontroles mehānismus, apmācības un testēšanu.
Atbilstības mērķis nav vienkārši izpildīt prasības. Tās patiesā vērtība ir spējā labāk pārvaldīt kiberriskus, samazināt incidentu ietekmi un veidot drošāku un noturīgāku uzņēmuma darbību.
Ja vēlaties saprast, kur šobrīd atrodas jūsu uzņēmums un kādi būtu nākamie praktiskie soļi, piesakieties Primend kiberdrošības ievadkonsultācijai. Palīdzēsim izvērtēt situāciju, noteikt prioritātes un padarīt atbilstības ceļu skaidru un saprotamu.