NIS2 mint stratégia – mi lesz, ha baj lesz, ha most van, amikor nincs baj?
Ha ma leállna egy nagyvállalat rendszere kibertámadás miatt, ki lenne a felelős? Az IT-vezetőség, a felsővezetők? A napi munkát végző specialisták?
– Én nem egyetlen felelőst látok, egy biztonsági incidensért többszintű a felelősség. Operatív szinten a kollégák felelőssége, hogy jelezzék a hiányosságokat, sebezhetőségeket. Ha az IT-nál látszik a probléma, de nem jut el a vezetéshez, az vezetői felelősség is. Ha vezetői szinten a hiányosságok ismertek, de nincs védelmi beruházás és kontroll, az a menedzsment felelőssége. A kiberbiztonság végső soron vezetői döntés, nem csak IT-kérdés. Az incidens elhárítása után először azt érdemes keresni, hol szakadt meg a jelzés és a döntés lánca.
A NIS2 (Network and Information Systems Directive2; az Európai Unió Kiberbiztonsági Irányelve – a szerk.) valóban a biztonságról szól, vagy inkább egy kikényszerített üzleti átalakulásról?
– A NIS2 a kiberbiztonságról is szól szerintem, és abban rejlik az újdonsága, hogy más szakterületeket is bevonz ennek megteremtésébe. Az, hogy erős dokumentálást és intézkedési tervet kíván, segít a tudatosságban. De a tervek önmagukban nem elegendők, azoknak a végrehajthatósága is fontos.
Miért hiszik még mindig, hogy a kiberbiztonság csupán technikai kérdés?
– Mert „hagyományosan” az IT-hoz kötötték ezt a feladatot. A világ átalakult, az információ az új arany. Például az energiaszektorban az iparági fókusz leginkább az erőműveken van, ahol az évtizedek alatt felhalmozott információ és know-how jelenti az üzleti értéket. Ezt megvédeni nem technikai, hanem stratégiai kérdés, gondolkodásmód.
Ön szerint miért csak incidens után veszik komolyan a biztonságot?
– Például egy ransomware (zsarolóvírussal elkövetett – a szerk.) támadás láthatóvá teszi a kockázatot: leállás, adatvesztés, üzleti veszteség. Pedig ezt előre is fel lehetne mérni, red teaminggel (olyan biztonsági gyakorlat, melyben egy képzett csapat a támadó szerepét szimulálja – a szerk.) és egyéb sérülékenységi vizsgálatokkal. Olcsóbb tanulni az irányított tesztekből, mint egy incidensből.
Ön szerint mi az, amit a cégek leginkább halogatnak a NIS2 kapcsán?
– Magát a „beismerést” halogatják. Hosszú folyamat annak belátása, hogy nem elég üzleti döntéseket hozni, de a cég védelméről is gondoskodni kell felsővezetőként, mert az IT a céget, folyamatokat, sőt, a teljes életünket behálózza.
Mit tanácsolna egy felsővezetőnek: mi az az egy dolog, amit már holnap másképp kellene csinálnia a cége kiberbiztonsága érdekében – különösen akkor, ha nincs saját CISO-ja (információbiztonsági vezetője: Chief Information Security Officer – a szerk.)?
– Teremtse meg a napi szintű menedzsmentfókuszt a kiberbiztonság körül. Ha nincs dedikált CISO a szervezetben, akkor nem elég „házi megoldásokra” támaszkodni – ilyenkor IT security fókuszú szakmai partnerre van szükség, aki képes vezetői szinten gondolkodni és irányt mutatni. A Socurity IT Kft.-t is egyre több ilyen cég keresi meg, amelyek felismerték, hogy a biztonság nemcsak technológia, hanem üzleti döntés. A proaktív felkészülés mindig olcsóbb és kiszámíthatóbb, mint egy súlyos incidens utókezelése.•
Címlapkép: Socurity IT Kft.
