- Infotér: A NIS2 irányelv bevezetése komoly feladat elé állította a vállalatokat. Ti hogyan látjátok, miként fogadják a cégek ezt a kihívást és hogyan indulnak el benne?
- Kuti Anita: Gyakran tapasztaljuk, hogy a cégek kezdetben puszta adminisztratív tehernek tekintik a NIS2-t. Egyszerűen csak egy listát látnak benne, amit le kell tudni, egyfajta kötelező házifeladatként kezelve. Végrehajtják a feladatokat, de nem tekintenek rá igazi értékként. Ráadásul sok tanácsadó is pusztán a megfelelést kínálja termékként, ami szerintem rendkívül félrevezető.
- Infotér: Miért gondolod, hogy ez téves megközelítés? Mi a NIS2 valódi célja?
. KA: A NIS2 messze több, mint egy cél; inkább egy eszköz, amely a cégek működésének a valós védelmét szolgálja. Nem maga a rendelet a lényeg, hanem a valódi kiberbiztonság megteremtése. A jogszabály célja nem az, hogy a dokumentumok tele legyenek zöld pipákkal, hanem az, hogy a vállalatok ténylegesen biztonságosabbak legyenek. Egy támadást a papírok, a checklisták nem állítanak meg. A valós védelem a kulcs.
- Infotér: Tehát a puszta szabálykövetés nem elegendő. Milyen veszélyeket rejt ez a megközelítés?
- KA: Egyetlen általános szabályozás sem képes minden egyedi üzleti szituációra megoldást nyújtani. A szabályokat mindig a vállalat kockázati profiljához kell igazítani. A biztonság nem statikus, és ha egy intézkedés nem működik a gyakorlatban, egyedi megoldásokat kell találni, ahelyett, hogy erőltetnénk azokat.
- Infotér: Mi a tanácsadók feladata ebben a folyamatban?
- KA: A NIS2 egy út, nem a végállomás. Szakértőként nagy felelősségünk van abban, hogy ezt a gondolkodásmódot képviseljük és átadjuk ügyfeleinknek. Előre elnézést kérek a szóviccért, de mi a kollégáimmal azt szoktuk mondani: „NIS kettő, négy nélkül”. Ugyanis négy fontos terület van, ahol a tennivalóink elengedhetetlenek a felkészüléshez: a képzés, a jogosultság kezelés, az üzletmenet folytonosság és a tervezés-végrehajtás feladatai, ez utóbbiba beleértve persze a szükséges fejlesztéseket is.
- Infotér: Kezdjük a képzéssel! Esetünkben mit takar ez pontosan?
- KA: Nem elég az IBF-ben vagy a rendszergazdákban gondolkodni. Különböző szereplők vannak a munkahelyen, és mindenkit a saját feladatkörének megfelelően kell felkészíteni. Ha a saját cégünkre gondolok, egy projektvezetőnek teljesen más a kiberbiztonsági érintettsége, mint például egy adminisztrátornak. A vezetők pedig akkor hozhatnak jó döntéseket, ha a munkatársaik képesek minden fontos információt értelmezni és teljeskörű inputot átadni.
- Infotér: Említetted a jogosultságok felülvizsgálatát. Sokan ezt is csak „letudják” egy jegyzőkönyvvel…
- KA: Sajnos ez gyakran előfordul. Még mindig sokan a látszatbiztonságot építik. Ha nem néznek utána, hogy ténylegesen milyen jogosultságokra van szükség, azzal óriási rést hagynak a védelmen. Ez hatalmas munka, de megéri. Érdemes például havonta egy-egy területet górcső alá venni, és egész évre elosztani a feladatokat. A beletett idő és energia még mindig kevesebbe kerül, mint egy komoly incidens, ami megrengeti az egész működést.
- Infotér: Beszéljünk az üzletmenet folytonosságról és a tervezés-végrehajtásról. Ezek hogyan illeszkednek a képbe?
- KA: Egy jó kiberbiztonsági rendszer sosem tekinthető késznek. Mindig bejöhet egy új szoftver, egy új módszertan, vagy akár csak egy új munkavállaló, akit be kell tanítani, nem beszélve a sérülékenységekről. Ilyenkor a már meglévő checklistánk elavulttá válhat. Az oktatásokon van egy „általános munkavállalónk”, Dave a humán interfész - őt szoktuk viccesen példának hozni. Dave az, aki a kapott e-mailt „To All” küldi ki, vagy továbbít egy levelet érzékeny információkat tartalmazó melléklettel.
Szakértőként azt is gyakran látjuk, hogy az emberek számtalan különböző AI megoldást használnak. Ahelyett, hogy a cég felmérné az összes igényt, és egy közös, tesztelt, megbízható megoldást vezetne be. Egy jó tervnek és a megvalósításnak életszerűnek kell lennie.
- Infotér: A „template-ek” témája is gyakran felmerül. Hogyan lehet ezeket a dokumentumokat a valósághoz igazítani?
- KA: A hatóság által előírt űrlapokon túl, ha egy template nem illeszkedik minden ponton az életünkhöz, akkor érdemes kiegészíteni, és akár plusz sorokkal bővíteni. Amit a saját szervezetünkre vezetünk be, azt folyamatosan frissíteni kell, ha a mindennapok gyakorlata már felülírta. Például érdemes végiggondolni, hogy valóban szükséges-e minden változáskezelésnél biztonsági hatásvizsgálatot végezni, vagy helyette sztenderdizálhatunk bizonyos folyamatokat. Ha nem dolgozunk a template-eken, azok sosem lesznek ránk szabva, ami feszültséget okoz a szervezetben.
- Infotér: Miben rejlik a vállalatok felelőssége?
- KA: A mi tanácsadói felelősségünk mellett a szervezeteknek is ki kell venniük a részüket a munkából. Fontos az őszinte párbeszéd és a valós helyzet vállalása, hiszen csak így lehet az életünket leképező, hatékony intézkedéseket hozni. Az audit csak egy állomás az úton. Ha egy erős, megbízható rendszert szeretnénk, akkor először mindig részleteiben kell megismernünk a szervezet működését, felmérni a kockázattűrő képességét, és „irányba állítani a rendszert”. A befektetett energia mindig megtérül.
