Kibernetinio saugumo įstatymas. Ar esate pasiruošę?

Didėjantis kibernetinių atakų skaičius, informacijos nutekėjimo rizika ir griežtėjantys tarptautiniai saugumo reikalavimai paskatino Lietuvą atnaujinti Kibernetinio saugumo įstatymą (KSĮ). Šiuo metu ypatingos svarbos sektoriams priklausančios įmonės įgyvendina naujus reikalavimus, o tai kelia nemažai iššūkių. Vienoms tai yra galimybė nuosekliai tobulinti savo IT infrastruktūrą, kitoms – tampa sudėtingu uždaviniu, reikalaujančiu papildomų resursų ir naujos strategijos kūrimo. „Baltimax“ pardavimų vadovas Tadas Pitrėnas, remdamasis skirtingu įmonių pasiruošimo lygiu ir požiūriu į naujus reikalavimus, išskyrė tris pagrindines organizacijų grupes. Kuriai iš jų būtų galima priskirti jūsų organizaciją?

Įgyvendinant Europos Parlamento ir Tarybos Tinklo ir informacinių sistemų (TIS2) direktyvą, Kibernetinio saugumo įstatymu siekiama suvienodinti saugumo standartus visoje Europos Sąjungoje ir užtikrinti didesnį organizacijų atsparumą skaitmeninėms grėsmėms. Šis įstatymas nustato griežtesnius reikalavimus svarbiausiems sektoriams, tokiems kaip energetika, transportas ar sveikatos priežiūra, apsaugą, bet ir skatina visas organizacijas vertinti savo IT infrastruktūros pasirengimą bei imtis veiksmų, siekiant užkirsti kelią potencialiems pavojams.

„Didžioji dalis organizacijų, kurioms yra taikomas KSĮ, šiais metais vienaip ar kitaip ėmėsi aktyvių pasiruošimo veiksmų. Dėl nuosaikios Nacionalinio kibernetinio saugumo centro (NKSC) ir rinkos dalyvių komunikacijos, juntamas grįžtamasis ryšys, poreikis domėtis būsimais reikalavimais kibernetiniam saugumui užtikrinti. Retas kuris visai nieko nežino apie įstatymą ir gyvena įprastu ritmu”, – komentuoja T. Pitrėnas. 

IT sprendimus siūlančios įmonės „Baltimax” ekspertų komanda pastebi, kad dalis organizacijų iš anksto pasirengusios pokyčiams ir į tai žiūri kaip į galimybę tobulėti, tačiau kitoms šis procesas tampa rimtu išbandymu dėl ribotų resursų, kompetencijų trūkumo ar neaiškių prioritetų. 

„Baltimax“ atstovas T. Pitrėnas sako, kad organizacijas pagal pasiruošimo lygį galima suskirstyti į tris grupes – pirmūnus; darbščius, bet pasimetusius; ir bandančius praslysti. Šis skirstymas leidžia geriau suprasti, su kokiais iššūkiais susiduria įvairios organizacijos ir kaip joms galima padėti.

1. Pirmūnai. Organizacijos, kurios nestokoja žmonių bei kompetencijų, turi savo teisininkus ir supranta, kad įstatymas sukonstruotas ISO 27001 pagrindu (LST EN ISO/IEC 27001:2023 standartas – tarptautinis standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai, kad organizacija galėtų įvertinti rizikas ir įdiegti tinkamas kontrolės priemones informacijos konfidencialumui, vientisumui ir prieinamumui užtikrinti). Tokios organizacijos geba lengvai įvertinti likusių techninių bei organizacinių reikalavimų dalį, sklandžiai susitvarkyti su iššūkiais.

„Įmonės pirmūnės kreipiasi į mus jau žinodamos, kokių technologinių sprendimų ieško, pavyzdžiui, privilegijuotos prieigos valdymo (angl. privileged access management, PAM), rizikų valdymo įrankių ar papildomų kibernetinio saugumo technologijų, pritaikytų specifiniams jų poreikiams”, – sako T. Pitrėnas.

2. Darbštūs, bet pasimetę. Antroji grupė – organizacijos, turinčios sąlyginai nedidelę IT žmonių komandą, o atsakomybė sprendimų paieškose krenta ant IT vadovo pečių. IT vadovas įprastai inicijuoja daugybę pokalbių su išorės specialistais, konsultuojasi ir ieško, kas galėtų padėti „susitvarkyti” su reikalavimais, vertina turimas technines priemones, geba prioretizuoti veiksmus, atlieka saugumo auditus ir pan. 

Kaip pastebi T. Pitrėnas, didžiajai daliai šios grupės klientų trūksta technologinių sprendimų, papildomų integracijų su esamais įrankiais, pavyzdžiui, dviejų veiksnių autentifikacijos (2FA), pažeidžiamumų skanavimo ir kitų elementų. „Tokiu atveju galime padėti susidėlioti aiškų veiksmų planą, nustatyti prioritetus ir parinkti tinkamiausius sprendimus”, – teigia „Baltimax” atstovas ir priduria, kad šios įmonės ekspertų komanda gali klientus konsultuoti dėl reikalingų įrankių pasirinkimo, integracijos galimybių ir esamų sistemų optimizavimo. 

„Pavyzdžiui, galime pasiūlyti, kaip efektyviai įdiegti dviejų veiksnių autentifikaciją (2FA) ar automatizuotą pažeidžiamumų skanavimą, kuris padėtų identifikuoti saugumo spragas ir užtikrinti sistemų patikimumą, – akcentuoja T. Pitrėnas. – Esminė mūsų misija – padėti organizacijoms ne tik atitikti minimalius saugumo reikalavimus, bet ir sukurti tvirtą technologinį pagrindą, kuris leistų verslui augti ir vystytis. Kartais užtenka nedidelių patobulinimų, kad organizacijos IT procesai taptų žymiai efektyvesni ir saugesni.”

3. Bandantys praslysti. Trečioji grupė – abejojantys, ar įstatymas jiems galios, pragmatiškai laukiantys kovo mėnesio pranešimo iš NKSC. Šiai grupei dažniausiai priklauso įstaigos, atliekančios visuomenei svarbias funkcijas, tačiau metų metus turinčios minimalų IT palaikymą ir ribotus resursus. „Tokiais atvejais su organizacijų atstovais pirmiausia kalbame apie būtiniausias priemones”, – aiškina T. Pitrėnas.

IT ekspertai pastebi, kad tokiose organizacijose neretai vyrauja požiūris – geriau likti nepastebėtiems, ir manymas, jog kibernetinis saugumas yra svarbus tik dėl teisinių reikalavimų. „Bandantys praslysti” pasižymi žema IT branda, trūksta stebėsenos bei centralizuotų valdymo įrankių, o daug procesų vykdoma rankiniu būdu – tai ir lemia prastą saugumo lygį.

„Organizacijų vadovai nebegali ignoruoti šios problemos ir turėtų suprasti, kad atsakomybė už saugumo priemonių įgyvendinimą pirmiausia tenka jiems”, – komentuoja ekspertas. 

Nuo ko pradėti? 

Prieš imantis pirmųjų veiksmų, organizacijoms pirmiausia reikėtų įsivertinti, ką jos turi ir ko trūksta: pagal savo galimybes nusistatyti, kokių techninių bei organizacinių priemonių trūksta. 

„Techninės priemonės dažnai yra lengvoji dalis – daugeliu atvejų užtenka tinkamai ir pilnavertiškai išnaudoti jau turimas IT priemones, pavyzdžiui, užtikrinti duomenų šifravimą, pasinaudoti įrankiais inventorizacijai ir pan. Svarbu nepulti visko atlikinėti stačia galva – geriausia yra planuoti veiksmus, turėti aiškius prioritetus ir nusimatyti, kurie poreikiai yra svarbiausi”, – pataria „Baltimax” atstovas ir priduria, kad ši IT sprendimus platinanti įmonė turi kone visus reikalingus įrankius KSĮ užtikrinimui. 

„Galime įvertinti organizacijos turimas technines priemones, pateikti įžvalgas, ko trūksta bei pasidalinti patarimais. Technologinių reikalavimų grandinėje centrinė figūra dažnai būna įrankiai, gebantys užkardyti kibernetines atakas, renkantys žurnalinius įrašus t. y. EDR, XDR ar SIEM priemonės. Siekdamos efektyvumo, įmonės renkasi skirtingo lygio diegimo, optimizavimo bei priežiūros paslaugas”, – tvirtina T. Pitrėnas. 

Įmonėms, kurios dar nieko nesiėmė dėl naujojo KSĮ, ekspertai pataria pradėti veikti nuo informacijos rinkimo. „NKSC atlieka puikų darbą, suteikia visą reikalingą informaciją, rekomendacijas ir įstatymo „vedlį“ – tiesiog skirkite laiko ir pasinaudokite valstybės suteikiamais nemokamais informacijos ištekliais, – ragina T. Pitrėnas. – Žinoma, privatus sektorius, konsultantai, teisininkai ir kibernetinio saugumo ekspertai taip pat pasiruošę padėti. Tiesiog nebijokite kreiptis – pirmi pokalbiai dar niekam nekainavo.”

Kibernetinis pastiprinimas – ypatingos svarbos sektoriams

TIS2 direktyva reikalauja, kad ypatingos svarbos sektoriams priklausančiose organizacijose būtų užtikrintas tiekimo grandinės saugumas, įskaitant su saugumu susijusius aspektus, taip pat žmogiškųjų išteklių saugumą, prieigos kontrolės politikas ir turto valdymą. 

TIS2 direktyva siekiama Europos sąjungos mastu padidinti organizacijų, įvairiuose sektoriuose atliekančių itin svarbias funkcijas, kibernetinio atsparumo lygį; sumažinti kibernetinio atsparumo neatitikimus tarp sektorių ir sektoriuose, kuriems taikoma TIS2 direktyva; pagerinti informacijos mainus ir kolektyvinius gebėjimus pasirengti ir reaguoti į incidentus.

Ypatingos svarbos sektoriai: energija, transportas, bankininkystė, finansų rinkų infrastruktūros objektai, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas. Kiti itin svarbūs sektoriai: pašto ir kurjerių paslaugos, skaitmeninių paslaugų teikėjai, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbimas ir platinimas, gamyba, atliekų tvarkymas, moksliniai tyrimai.