Zdroj: Hospodárske noviny
Autor: Štěpán Štarha, Miriama Podskubová, Adam Kližan
Väčšina organizácií dnes vie alebo chce o sebe povedať, že problematiku okolo novely zákona o kybernetickej bezpečnosti, teda transpozíciu smernice NIS 2 v podmienkach Slovenskej republiky, má vyriešenú. Majú vypracovanú formálnu dokumentáciu, schválené smernice, absolvované školenia aj pripravenú prezentáciu pre vedenie. V tom lepšom prípade. Na prvý pohľad pôsobí všetko usporiadane a v súlade s reguláciou. Problém nastáva vo chvíli, keď sa otázka zmení: Obstojíte pri reálnej kontrole?
Medzi formálnym splnením povinností a funkčným riadením kybernetických rizík je zásadný rozdiel. My v HAVEL & PARTNERS sme presvedčení, že tento rozdiel je dnes kľúčový. Najväčším omylom je predstava, že kybernetická bezpečnosť je dokumentačný projekt. Zavedené smernice a politiky nemajú byť dôkazom toho, že existujú napísané teórie. Tak ako všetky pravidlá v modernej konkurencieschopnej spoločnosti, ktorá chce dlhodobo uspieť na trhu, majú byť dôkazom, že riziká sú reálne riadené. Až nad týmto základom má stáť súlad so zákonom ako pridaná hodnota. Firmy dnes disponujú registrami rizík, incident response plánmi či smernicami o práci s dodávateľmi. No aj to sú v danom prostredí stále skôr svetlé výnimky než bežný štandard. Aj v týchto prípadoch často ide o dokumenty, ktoré vznikli jednorazovo, ako reakcia na legislatívnu povinnosť. Niekedy sú staršieho dátumu. Ich obsah sa od poslednej zmeny zásadne nemenil a čo je najdôležitejšie, neodzrkadľuje každodenný chod spoločnosti ani aktuálne hrozby.
Regulátor pritom nehodnotí grafickú úpravu ani rozsah dokumentácie. Z praxe vieme, že to, čo ho zaujíma je, či nastavené procesy skutočne fungujú. Po identifikovaní základných aktív a s nimi súvisiacich rizík sa preto kontrola napríklad veľmi rýchlo zameria na zapojenie vedenia. Kedy naposledy prerokovalo kybernetické riziká? Existujú o tom zápisy? Boli prijaté konkrétne rozhodnutia, pridelené zdroje alebo stanove né termíny? Ak je bezpečnosť stále izolovanou témou IT oddelenia, ide o vážny signál nedostatočnej praxe.
Kybernetická bezpečnosť nie je len technickou alebo procesnou otázkou. Dotýka sa aj riadenia spoločnosti, zodpovednosti štatutárnych orgánov a nastavenia interných pravidiel. Práve tu má význam zapojenie právneho tímu, nie kvőli formálnej kontrole dokumentov, ale s cieľom dotiahnuť nastavenie procesov, rozhodovania a zodpovednostných vzťa hov v spoločnosti spôsobom, nov v spolocnosti sposod ktorý obstojí aj z pohľadu regulácie.
Druhou kritickou oblasťou je samotné riadenie rizík. Nestačí mať zoznam hrozieb. Organizácia musí vedieť preukázať, ako riziká identifikuje, ako ich vyhodnocuje, kto rozhoduje o ich akceptácii a ako často sa prehodnocujú. V praxi sa často ukazuje, že analýza rizík je statický dokument aktualizovaný v (tom lepšom prípade) raz ročne, bez väzby na reálne zmeny v infraštruktúre, technológiách či obchodnom modeli. Funkčné riadenie rizík však musí byť dynamické a previazané s rozhodovaním manažmentu, pričom zároveň odzrkadľovať biznis realitu chodu spoločnosti ako celku.
Rozdiel medzi ,,máme splnené” a „obstojíme pri kontrole” je preto najmä v dôkazoch. Ak kontrola požiada o konkrétny príklad rozhodnutia, pri ktorom sa pracovalo s kybernetickým rizikom, organizácia ho musí vedieť predložiť. Nie všeobecné vyhlásenie, ale konkrétny prípad – napríklad rozhodnutie o investícii, zmene dodávateľa či úprave architektúry systému, kde bolo riziko identifikované, ako bolo vy- ako bolo vyhodnotené a ktoré závery boli v praxi zohľadnené.
Realitu zavedených opatrení najlepšie preverí incident. Závažné kybernetické útoky síce nemusia byť každodennou skúsenosťou, no incidenty s bežnou mierou rizika sa vyskytujú prakticky všade. Spôsob ich spracovania, reakcie a následné nápravné kroky sú častým predmetom kontroly. Regulátor sa preto môže opýtať na poslednú bezpečnostnú udalosť a vyžiadať si kompletnú dokumentáciu jej riešenia: časovú os, rozhodnutie o tom, či išlo o povinne hlásený incident, internú komunikáciu aj prijaté opatrenia. Mnohé spoločnosti síce disponujú incident response plánom, no nikdy ho netestovali. V reálnej situácii potom reagujú improvizovane, niekedy, žiaľ, až chaoticky a bez riadnej evidencie.
Práve pri riešení incidentov sa ukazuje další aspekt kybernetickej bezpečnosti – klasifikácia, či incident podlieha oznamovacím povinnostiam, aké informácie je potrebné poskytnúť regulátorovi alebo aké právne dôsledky môže mať kon krétna udalosť. V takýchto situáciách sa technická reakcia prirodzene prelína s právnym posúdením, najmä pokiaľ ide o splnenie oznamovacích povinností či ochranu organizácie pri komunikácii s úradmi a pod.
Výraznou slabinou býva aj dodávateľský reťazec. Európske smerovanie v oblasti kybernetickejej bezpečnosti sa čoraz viac zameriava na riziká vyplývajúce z väzieb na IKT dodávateľov z tretích krajín. Zodpovedá tomu aj pripravovaná revízia Aktu o kybernetickej bezpečnosti, ktorá prináša nový rámec pre bezpečnosť dodávateľských reťazcov IKT a umožňuje koordinovaný postup EÚ a členských štátov pri identifikácii a zmierňovaní rizík v kritických sektoroch. Súčasne sa v aktuálne pripravovanom návrhu zjednodušuje a zrýchľuje európsky rámec kybernetickeј certifikácie (ECCF), ktorý má byť praktickým nástrojom na preukazovanie úrovne bezpečnosti a súladu.
Pre organizácie to znamená jediné: vyššie nároky na systematické a riadené posudzovanie rizík v dodávateľských reťazcoch. Je potrebné identifikovať kritické závislosti, posudzovať rizikovosť dodávateľov a mať pripravené zmierňujúce opatrenia pre kľúčové systémy a služby. Certifikácia, ak ste ju doteraz neriešili, môže v praxi získať významnejšiu rolu pri nákupe a prevádzke IKT riešení a pomôcť zjednodušiť preukazovanie súladu či znížiť duplicitu auditov zo strany zákazníkov a regulátorov. Neoddeliteľnou súčasťou tohto procesu býva revízia zmluvných vzťahov s dodávateľmi – najmä tam, kde je potrebné jasnejšie definovať bezpečnostné požiadavky, zodpovednostné vzťahy či mechanizmy spolupráce pri incidente.
Ako jasne definovať tzv. KB minimum: funkčné a pravidelne aktualizované riadenie rizík, otestovaný a zdokumentovaný proces reakcie na incidenty, systematicky riadený dodávateľský reťazec a preukázateľné zapojenie štatutárnych orgánov. Inými slovami, bezpečnosť sa musí stať súčasťou riadenia firmy, nie prílohou smernice.
Zraniteľnosť sa pritom dá odhaliť relatívne jednoducho. Ak by kontrola, či už zo strany úradu alebo formou interného „selfchecku” prišla zajtra, vie organizácia do 24 hodín predložiť konkrétne dôkazy o fungovaní svojich procesov? Vie vedenie pomenovať tri najväčšie kybernetické riziká? Ak odpoveď znie „nie sme si istí”, problém nemusí byť v dokumentácii, ale v riadení. NIS 2 nie je testom administratívy. Je testom zrelosti organizácie. Papier znesie veľa. Kontrola (prípadne audit) však odhalí reálne nedostatky.