Pred časom sem objavil članek o informacijski varnosti v Zasavju. Zanimivo se spominjam, kako odklonilen je bil odziv večine zasavskih vodij v takratnih pogovorih. “Kakšni vdori? Kdo, sploh pa zakaj, bo pa k nam vdiral?”
Kaj pa danes, po nekaj letih? Po Sloveniji beležimo nešteto vdorov v različna storitvena in proizvodna podjetja, tudi javne institucije. In tudi v Zasavju nismo ostali ‘nevidni za hribi’ in nedotaknjeni.
Na področju varnosti se je posledično ogromno stvari spremenilo. Epidemija, vojna žarišča po svetu, vse več napetosti, poplave in druge naravne nesreče. Vse to je vplivalo in še vedno precej vpliva na dogajanje na tem področju.
Posledice vseh naštetih in drugih katastrof smo čutili vsi. Med drugim smo lahko videli, kako je malo slovensko podjetje zaustavilo delovne procese večjega avtomobilskega koncerna. Prvo je med poplavami utrpelo precejšnjo škodo in bilo prisiljeno začasno zaustaviti proizvodnjo.
Lekcija za avtomobilskega giganta?
- ‘Ne dajajte vseh jajc v isto košaro‘,
- dobro preverite, koliko posamezna košara sploh lahko (pre)nese.
. . .
In kaj ima vse to z (informacijsko) varnostjo? V zadnjem obdobju se je zvrstilo kar nekaj novih zakonodajnih in regulativnih zahtev, ki imajo vse dve skupni stvari:
Dvigniti nivo kibernetske varnosti in zagotoviti zanesljive dobavne verige.
Kje sploh začeti? NIS? DORA? MICA? eIDAS, ZInf? Menim, da je treba prvo razjasniti temeljno stvar, ki je tudi mnogi ‘samoooklicani’ strokovnjaki ne razumejo.
Pojem kibernetska varnost predstavlja le del IT varnosti. IT varnost pa obsega le del informacijske varnosti.
In zakaj je to pomembno? Ko vam svetujejo in prodajajo kibernetske in IT varnostne rešitve (po navadi gre za precejšnje investicije), je vsa pozornost osredotočena na zelo napredne, sofisticirane računalniške sisteme in tehnično varnost.
Ampak, zakaj so vdori potem še vedno v porastu? Zakaj je med njimi ogromno velikih korporacij, ki za varnost namenjajo milijonska sredstva (tudi mesečno!). Zakaj je med podjetji neverjetno veliko teh, ki so pred kratkim posodobila svoje tehnične informacijsko varnostne sisteme?
Zakaj? Kako? Od kje?
Za primer povem eno izmed srednje veliko slovensko podjetje. Letne investicije v omenjene IT varnostne sisteme so znesle preko sto tisoč evrov.
So se pa pohvalili, da so letos organizirali ozaveščanje zaposlenih o informacijski varnosti. Strošek nekje od tri do pet tisoč evrov.
Informacijsko-varnostno napredno in ozaveščeno podjetje, kajne? Pa vendar meni tu nekaj ne ‘špila’. Sto tisoč evrov v tehnična sredstva in pet tisoč za ozaveščanje zaposlenih?
Že nekaj časa pa po vseh medijih poročajo, da so zaposleni največji faktor tveganja za informacijsko (ter IT in kibernetsko) varnost. Investicije v ozaveščanje največjega faktorja vdorov pa znaša 5% investicij v informacijsko varnost?!?
Zanimive odgovore smo pred kratkim prejeli od kar nekaj vodij javnih institucij po Sloveniji. Do letošnjega septembra še niti slišali niso za NIS 2.
. . .
NIS 2 (Network and Information Systems) je evropska Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, ki velik poudarek daje na neprekinjenost poslovanja. Direktiva je v veljavo stopila že decembra 2023, države članice EU pa jo morajo v lokalno zakonodajo vpeljati do 17. oktobra 2024.
Kje smo trenutno z vpeljavo tega v slovensko zakonodajo, je sicer druga zgodba. Povzeto bistvo za vsa slovenska podjetja pa je, da NIS2 izvajalce bistvenih storitev – kritično infrastrukturo (katerim se s podobnimi ukrepi pridružujejo korporacije in večja podjetja) sili v dvig ravni kibernetske varnosti, predvsem pa preverjanje in zavarovanje svojih dobavnih verig. Ti tako poskušajo zahteve z vso odgovornostjo v čim večji meri preložiti na svoje podizvajalce oziroma dobavitelje blaga in storitev.
. . .
Ste NIS 2 zavezanci?
Če tega ne veste, utegnete zaiti v precejšnje težave. NIS 2 predvideva samoocenitev in samoprijavo poslovnih subjektov. To se marsikomu zdi enostavno. “Nismo; debata zaključena.”
Ne ravno. Inšpekcijske službe naj bi v prihodnje začele preverjati organizacije po Sloveniji.
Se niste prepoznali kot NIS 2 zavezanci, inšpekcija pa ugotovi, da ste? Takoj globa, par evrov in zahteva za dosego skladnosti z NIS 2.
“Globe vključujejo majhna in velika podjetja, ne glede na njihov ekonomski status. Denarne kazni pa se gibljejo do 10 milijonov evrov ali do 2 % letnega prometa organizacije.”
. . .
Smo po zasavskih podjetjih že prebujeni? Smo skladni? Mnogi še premišljujejo in ugibajo, če so zavezani.
Najbolje je začeti s samooceno. Rabite pomoč?
Borut Kmetič
Poklicno se ukvarjam s celovitim vodenjem informacijske varnosti, od načrtovanja in implementacije sistemov za varovanje informacij do izboljševanja in presojanja skladnosti z ISO standardi.
Kot zunanji svetovalec vam lahko pomagam pri razvoju varnostne strategije, implementaciji in upravljanju sistemov vodenja oziroma optimiziranju poslovnih procesov, ter zagotavljanju skladnosti s predmetno zakonodajo in regulativo.
Osebno veliko časa posvečam raznovrstnim oblikam optimizacije – biohackingu, osebni rasti, raziskovanju novih prebojnih idej in tehnologij, organizacijske kulture, eksponentnih organizacij, sistemskega razmišljanja in drugih naprednih metod za izboljšanje kakovosti življenja.
Borut@SmartAssets.it
Borut@Medium
