Do Sejmu trafił w końcu projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Nowe przepisy wcześniej czy później wprowadzą szereg obowiązków dla przedsiębiorstw telekomunikacyjnych.
MiŚOT-y będą zobowiązane do wykonywania szeregu nowych obowiązków, w tym do organizacji wyspecjalizowanych działów bezpieczeństwa operacyjnego (SOC – Security Operations Center). O tym, jak duże to wyzwanie i jak się do niego przygotować, pisaliśmy już wielokrotnie. Warto też podkreślić, że skuteczne cyberbezpieczeństwo zarówno technologia, jak i struktura, procesy i kultura bezpieczeństwa, które muszą być spójnie zaprojektowane w całym przedsiębiorstwie. A do tego potrzeba wykwalifikowanej kadry.
Kompetencje i odpowiedzialność
– W wielu firmach bezpieczeństwo cyfrowe wciąż pozostaje w rękach zespołów IT. Tymczasem cyberbezpieczeństwo wymaga innych kompetencji niż administracja systemami, ponieważ łączy w sobie wiedzę z zakresu zarządzania ryzykiem, audytu, prawa, psychologii zachowań użytkowników oraz komunikacji kryzysowej. Brak dedykowanego zespołu sprawia, że działania ochronne są jedynie reaktywne – tłumaczy Krystian Paszek, SOC Manager z firmy Mediarecovery.
Jak wynika z raportu „Incydenty pod kontrolą” firm Mediarecovery i Safesqr, przedsiębiorstwa w większości opierają się na własnych zasobach, często nie posiadając wyspecjalizowanych zespołów. Odbywa się to w ramach wyodrębnionego działu ds. cyberbezpieczeństwa lub poprzez przekazanie pracownikom konkretnych obowiązków. Co czwarta firma (24 proc.) posiada zespół ds. cyberbezpieczeństwa, w 36 proc. tym obszarem zajmują się wskazani specjaliści, a 31 proc. oprócz własnego personelu korzysta z usług dostawców zewnętrznych. Tylko 8 proc. przedsiębiorstw w zakresie cyberbezpieczeństwa korzysta wyłącznie z outsourcingu.
– Zdecydowanie najlepszym rozwiązaniem, zwłaszcza dla dużych przedsiębiorstw, jest stworzenie dedykowanego działu zajmującego się cyberbezpieczeństwem – tłumaczy Krystian Paszek i dodaje: – Coraz większą popularność zyskuje model hybrydowy, łączący kompetencje wewnętrzne z usługami zewnętrznych ekspertów. Takie podejście wydaje się rozsądne w obecnej sytuacji niedoboru specjalistów na rynku pracy. Ryzykowne w przypadku firm średniej wielkości może być poleganie wyłącznie na własnym personelu, które podczas kryzysu może ograniczać efektywność działań.
NIS2 wymaga więcej
Nowe wymogi prawne, wynikające zarówno z dyrektywy NIS2, jak i z krajowych przepisów wdrażających ją do polskiego porządku prawnego, oznaczają dla organizacji konieczność zapewnienia stałego działania zespołów detekcji i reakcji na incydenty. W praktyce oznacza to funkcjonowanie struktur SOC w trybie 24 godziny na dobę, 7 dni w tygodniu.
Obecnie jedynie 44 proc. firm w Polsce deklaruje posiadanie takich całodobowych zespołów, a 46 proc. zapewnia ochronę wyłącznie w godzinach pracy. To pokazuje, jak dużym wyzwaniem będzie dostosowanie się do nowych regulacji. Przedsiębiorstwa mają problemy nie tylko z budżetem, ale także z zatrudnianiem odpowiednich pracowników. 55 proc. ankietowanych wskazuje brak wystarczającej liczby pracowników jako jedną z głównych barier ograniczających skuteczne wykrywanie incydentów, a 45 proc. zwraca uwagę na brak kompetencji lub doświadczenia jako barierę w dostosowaniu się do NIS2, wynika z raportu.
Nowe zasady wymuszą zatem na przedsiębiorstwach nie tylko rozbudowę kadr, ale też współpracę z zewnętrznymi centrami bezpieczeństwa, które mogą wspierać działania operacyjne w modelu ciągłym.
Zespół cyberbezpieczeństwa – więcej niż dział IT
– Nowoczesny dział ds. cyberbezpieczeństwa powinien być zorganizowany jak centrum kompetencji i zarządzania ryzykiem, a nie tylko zespół reagujący na incydenty. W miarę możliwości, w jego skład powinni wchodzić eksperci o różnych specjalizacjach. W dużych, rozbudowanych organizacjach powinien funkcjonować lider odpowiedzialny za politykę bezpieczeństwa i raportowanie do zarządu, a także specjaliści SOC, którzy monitorują systemy i reagują na incydenty w czasie rzeczywistym – tłumaczy Krystian Paszek.
Nawet najlepiej wyposażony dział cyberbezpieczeństwa nie zapewni skutecznej ochrony, jeśli organizacja nie posiada wypracowanej kultury bezpieczeństwa. Część udanych ataków wynika nie z wyrafinowanych technik hakerskich, lecz z błędów ludzkich: nieuwagi, zbyt prostych haseł, ignorowania aktualizacji czy braku świadomości phishingu. Dlatego obok inwestycji w technologię, firmy powinny rozwijać programy edukacyjne i komunikację wewnętrzną. Regularne szkolenia, symulacje ataków oraz jasne zasady postępowania w razie incydentu budują odporność całej organizacji.
Czytaj także:
