Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia tego roku, była szeroko zapowiadana, omawiana i dyskutowana. Firmy telekomunikacyjne miały więc czas na przygotowanie się do nadchodzących zmian. Nie było chyba takiego kamienia, pod którym dałoby się ukryć by o niej nie usłyszeć. Jedyna trudność dotyczyła tego, by zgadnąć na czym ostatecznie stanie.
W przypadkach części firm proces wdrożenia nowych rozwiązań nie przebiegał w związku z tym liniowo, lecz etapami – od ogólnego rozeznania po stopniowe porządkowanie obszarów najbardziej narażonych na ryzyko.
– W praktyce przygotowania do wejścia w życie KSC w wielu organizacjach zaczynały się nie od wdrażania konkretnych narzędzi, lecz od uporządkowania wiedzy i zrozumienia, czym w rzeczywistości są nowe wymogi – mówi Adam Grabek, Lead Solution Consultant w Scalo. – W naszym przypadku współpraca z klientami bardzo często rozpoczyna się od intensywnej edukacji, szczególnie w obszarze nowoczesnych technologii i modeli bezpieczeństwa. Na tym etapie wyraźnie ujawnia się jedna z głównych barier, jaką jest nieufność wobec chmury publicznej W wielu firmach nadal funkcjonuje przekonanie, że infrastruktura utrzymywana lokalnie jest bezpieczniejsza niż rozwiązania zewnętrzne. Tymczasem praktyka pokazuje coś odwrotnego. Współczesne środowiska chmurowe są z reguły lepiej zabezpieczone niż klasyczne serwerownie, często oparte na starszej, trudnej w audycie infrastrukturze. Dobrym zobrazowaniem tego poziomu zabezpieczeń jest przykład infrastruktury Amazon Web Services w Warszawie. Podczas wizyt prezydentów USA w warszawskim hotelu Marriott, nawet agenci Secret Service nie mieli dostępu do przestrzeni, w których znajdowały się zasoby Amazona. To pokazuje skalę kontroli fizycznej i izolacji, której większość organizacji nie jest w stanie osiągnąć samodzielnie.
Pokazuje to, że główne wyzwania związane z nowelizacją KSC nie mają charakteru stricte regulacyjnego. Problemem nie jest sam zestaw wymagań, ale to, na ile firma jest gotowa je spełnić operacyjnie. Szczególnie w małych i średnich firmach wiele jest procesów wykonywanych manualnie, a liczba osób mających dostęp do wrażliwych danych oraz ogólna dojrzałość systemów IT nie jest może duża, ale wymyka się kontroli i nie podlega ścisłym procedurom.
Szczególnie trudno mają przedsiębiorstwa i instytucje o długiej historii, które nie przeszły pełnej transformacji cyfrowej.
– W wielu z nich nadal funkcjonuje papierowy obieg dokumentów, procesy są rozproszone i trudne do monitorowania, a dane nie mają jednego, centralnego miejsca przechowywania. W takich warunkach trudno czasem jednoznacznie określić, czy incydent wynika z błędu systemu IT, czy z czynnika ludzkiego – zauważa Adam Grabek.
W takim warunkach ryzyko zagrożenia cybernetycznego rośnie wykładniczo. Każdy ludzki punkt styku, jak nazywają to eksperci, oznacza potencjalne miejsce powstania błędu lub incydentu – od niekontrolowanego przepływu danych po zwykłe przeoczenia.
– Do tego dochodzi często brak spójnej architektury IT, który powoduje, że trudno jest uzyskać pełną widoczność tego, gdzie znajdują się dane i kto z nich korzysta. W efekcie nawet podstawowe wymagania KSC stają się trudne do wdrożenia – dodaje ekspert.
Dlatego w praktyce wdrożenie nowelizacji często oznacza konieczność wykonania kroku wstecz i zbudowania fundamentów.
– Dopiero na tej bazie możliwe było skuteczne zarządzanie cyberbezpieczeństwem. W praktyce, dla wielu podmiotów nowelizacja ustawy o cyberbezpieczeństwie okazała się swoistym „sprawdzam”, czyli momentem weryfikacji, na ile dotychczasowe podejście do bezpieczeństwa rzeczywiście działało, a na ile było jedynie deklaratywne. Jednocześnie dla wielu firm stało się to realną szansą na uporządkowanie środowiska IT, uzupełnienie istniejących luk i zbudowanie bardziej świadomego, systemowego podejścia – podsumowuje Adam Grabek.
Teraz już nie ma wyjścia, wdrożenie NIS2 oraz wejście w życie nowelizacji wymaga od przedsiębiorcy zaplanowanego i usystematyzowanego działania w terminach określonych w tej ustawie. I nie ma już na co czekać, czas ustalić termin pierwszego zewnętrznego audytu.
Czytaj także:
