Hakeru uzbrukums hidroelektrostacijām un ilgstošs elektrības pārrāvums visā valstī. Privāto datu zādzība no lielākajām valsts ārstniecības iestādēm, par to atgūšanu prasot lielu izpirkuma maksu. Ielaušanās dzelzceļa sistēmās, traucējot vilcienu satiksmi un iedzīvotāju pārvietošanos. Tās ir tikai dažas no situācijām, kuras lielākā daļa no mums nekad nevēlētos piedzīvot. Tehnoloģijas attīstās un līdz ar to pieaug arī kiberdrošības riski. Lai proaktīvi novērstu iepriekš minētos un līdzīgus drošības incidentus, Eiropas Savienībā (ES) ir pieņemta jauna direktīva – NIS2. Tā uzliek pienākumus dalībvalstīm un uzņēmējiem.
Jaunā direktīva aizstās iepriekšējo regulējumu NIS1, un tās mērķis ir stiprināt organizāciju kiberspējas, kā arī uzlabot sadarbību starp ES dalībvalstīm kiberdrošības jomā. Prasību ieviešanai ar 1. septembri Latvijā stāsies spēkā jauns Nacionālās kiberdrošības likums.
Lai efektīvi ieviestu jaunās normas, uzņēmumos būs nepieciešama stratēģiska plānošana, investīcijas tehnoloģijās un, iespējams, organizācijas kultūras maiņa. Lai gan tas ir papildu administratīvs un finansiāls slogs, iesaku to uztvert kā iespēju stiprināt uzņēmuma kiberspējas, jo apdraudējumi arvien palielinās. Sniegšu dažus praktiskus padomus, ar ko sākt.
Vai jaunās prasības uz manu uzņēmumu attiecas?
NIS2 direktīva paplašina to sektoru un pakalpojumu sarakstu, kuriem jāievēro stingri kiberdrošības pasākumi, ietverot būtisko un svarīgo pakalpojumu sniedzējus. Regulējums attiecas uz enerģētikas, transporta, finanšu sektoru, veselības aprūpi, digitālo infrastruktūru u. c. nozarēm, daudz plašāk kā līdz šim ietverot arī privātā sektora uzņēmumus. Tiek ņemts vērā arī tas, cik lielu pienesumu Latvijas ekonomikai konkrētais uzņēmums sniedz. Piemēram, šobrīd jaunais regulējums attieksies arī uz pašvaldību iestādēm un var ietvert arī dažādas nevalstiskās organizācijas.
Lai saprastu, vai jaunās prasības uz organizāciju ir attiecināmas, likuma ietvaros uzņēmumiem ir pienākums līdz 2025. gada 1. oktobrim veikt pašnovērtējumu un sagatavot pašnovērtējuma ziņojumu. Ja secina, ka jaunās prasības uz uzņēmumu neattiecas, tomēr pastāv iespēja, ka uzraugošā institūcija, kas šajā gadījumā ir Nacionālais kiberdrošības centrs, var noteikt, ka minimālas prasības tomēr būs jāievieš. Ja pašnovērtējumā secina, ka jaunās likuma prasības uz uzņēmumu ir attiecināmas, būs jāveic vairāki pasākumi.
Jādeleģē kiberdrošības pārvaldnieks
Uzņēmumos, uz kuriem Nacionālais kiberdrošības likums attiecas, ir jānozīmē kiberdrošības pārvaldnieks, kurš īstenos un pārraudzīs kiberdrošības pasākumus. Pārvaldniekam izvirzāmās prasības ir noteiktas Ministru kabineta noteikumos. Mazākos uzņēmumos darbinieki ar attiecīgu kvalifikāciju kiberdrošības pārvaldnieka pienākumus var uzņemties papildus jau esošajiem, un nav nepieciešams algot atsevišķu speciālistu vai arī tos var nodot ārpakalpojumā.
Jāveic risku novērtējums
Organizācijā ir jāveic visaptverošs risku novērtējums, jo tas ir jebkuras kiberdrošības stratēģijas pamats. Tas ietver kritisko aktīvu identificēšanu, potenciālo draudu un ievainojamību novērtēšanu. Svarīgi identificēt un prioritizēt aktīvus, kas ir kritiski pakalpojumu sniegšanai, kā arī novērtēt potenciālos draudus no kibernoziedzniekiem, riskus uzņēmuma iekšienē un no piegādes ķēžu dalībniekiem.
Risku vadība nav "formāls bieds", bet gan palīgs organizācijas vadītājam. Tieši risku vadība ir tā, kas situācijā, kad visu paspēt nav iespējams, palīdzēs prioritizēt un norādīt uz to, kuras lietas ir jālabo primāri. Nereti organizācijās tiek apstrādāts liels informācijas apjoms, tāpēc risku vadība palīdzēs izvērtēt, kas ir uzņēmuma kritiskās sistēmas, kuras, potenciāli ievainojot, organizāciju var iznīcināt vai novājināt. Uz šo elementu aizsardzību ir jāvērš lielākā uzmanība. Jaunās prasības neprasa fokusēties pilnīgi uz visu, bet tikai uz tām sistēmām, kuru ievainojamībai ir augsta varbūtība un liela ietekme.
Jāizvērtē piegādes ķēdes
Drošības prasības attiecas uz visu piegādes ķēdi, tāpēc ir jābūt pārliecībai, ka arī trešo pušu piegādātāji – gan individuāli cilvēki, gan lielie uzņēmumi, kas nodrošina mākoņdatošanas pakalpojums, ievēro kiberdrošības standartus. Tāpat ir jāsaprot, cik ļoti un kā no viņiem uzņēmums ir atkarīgs. Šī iemesla dēļ ir ieteicams rūpīgi pārbaudīt piegādātāju kiberdrošības prakses, iekļaut konkrētas kiberdrošības prasības līgumos, regulāri novērtēt un uzraudzīt piegādātāju kiberdrošības situāciju.
Jāizstrādā kiberrisku un darbības nepātrauktības plāns
Uzņēmumiem ir jāizstrādā kiberrisku pārvaldības un informācijas un komunikācijas tehnoloģiju darbības nepārtrauktības plāns, kā arī ir jānodrošina darbiniekiem regulāras apmācības, plānā iekļauto pasākumu īstenošanai. Ja riski būs veiksmīgi apzināti un tiem pretī definētas konkrētas rīcības darbības atjaunošanai, tas krīzes situācijā palīdzēs ātri pieņemt lēmumus un atjaunot darbību kaut vai minimālā līmenī. Lai plāns patiešām darbotos, tam ir jābūt notestētam, pastāvīgi aktualizētam un darbiniekiem ir jāzina, kā kurā situācijā rīkoties.
Minēšu personīgi piedzīvotu piemēru Frankfurtes lidostā, kur vilcienu stacijā bija izslēgušies visi tablo un pasažieri nezināja, uz kuru platformu doties. Lai gan sākumā valdīja liels haoss, salīdzinoši īsā laikā uz peroniem nozīmēja personālu ar tāfelēm rokās, uz kurām bija norādīts vilciena maršruts, kas būtiski samazināja apjukumu un ļāva atjaunot vilcienu kustību, kamēr tablo darbība tiek atjaunota.
Regulāri jāveic novērtējums
Pat, ja kiberdrošības risku novērtējums vienreiz ir veikts, ar to nepietiek. Tā kā kiberdrošības riski nemitīgi mainās, izvērtējums jāveic regulāri, vismaz vienu reizi gadā, lai identificētu un novērstu drošības nepilnības.
Pienākums ziņot
Lai uzlabotu kiberdrošības situāciju visā ES, uzņēmumiem par kiberuzbrukumiem un novērotiem to mēģinājumiem ir laikus jāziņo Nacionālajam kiberdrošības centram. Tas nodrošinās informācijas apmaiņu un iespēju uzņēmumiem gan Latvijā, gan arī citās valstīs laikus uzzināt par jauniem riskiem un tiem atbilstoši sagatavoties. Tāpat arī pašam uzņēmumam ir svarīgi sekot līdzi incidentiem un ievainojamību informācijai no citiem un nepieciešamības gadījumā pielabot sava uzņēmuma kiberdrošības plānus, jo agrāk vai vēlāk dažādi apdraudējumi var skart jebkuru. Ja uzņēmums par incidentu neziņo, ir paredzēti bargi sodi, īpaši lielajām korporācijām.
Šī iemesla dēļ ir ieteicams uzlabot incidentu ziņošanas mehānismus, piemēram, izveidot protokolus iekšējai un ārējai incidentu ziņošanai, izmantot automatizētus rīkus, lai ātri atklātu un ziņotu par incidentiem.
Sertifikācija papildu drošībai
Lai būtu pārliecība, ka uzņēmums ir pietiekami labi sagatavots dažādiem kiberdrošības apdraudējumiem, ir iespēja iziet dažādus sertifikācijas procesus. Piemēram, ISO/IEC 27001 palīdzēs organizācijai efektīvi plānot, ieviest, pārvaldīt, uzraudzīt un uzturēt informācijas drošības pārvaldības sistēmu, ISO 27701 papildinās šo pārvaldības sistēmu ar personas datu aizsardzības specifiskām kontrolēm. Savukārt citi vadlīniju standarti, piemēram, ISO 31000 ietver risku pārvaldības principus, prakses un vadlīnijas, bet ISO 27032 – kiberdrošības programmas izstrādi un ieviešanu.
Jaunā kiberdrošības regulējuma ieviešana prasa visaptverošu pieeju kiberdrošībai. Veicot rūpīgus riska novērtējumus, izstrādājot skaidru rīcības plānu, investējot modernās tehnoloģijās un veicinot kiberdrošības kultūru, uzņēmums var ne tikai nodrošināt atbilstību, bet arī uzlabot savu vispārējo drošības stāvokli un padarīt savu organizāciju konkurētspējīgāku Latvijā un pasaulē. Tieši globāli prasības demonstrēt drošības pārvaldību ar dažādu standartu kā ISO/IEC 27001, SOC 2 un līdzīgām strauji kļūst aktuālas. Ieviešot šos pasākumus, uzņēmumi varēs labāk aizsargāt savus aktīvus, stiprināt klientu uzticību un orientēties mainīgajā kibervidē. Lai labāk sagatavotos izmaiņām, ir pieejamas arī dažādas apmācības.