Marek Ujejski
Ekspert ds. Cyberbezpieczeństwa, Doradca Zarządu COIG S.A.
„Duży może więcej”. To znane hasło reklamowe odnosi się też do małych i średnich podmiotów w obszarze cyberbezpieczeństwa.
Zarówno faktyczne zagrożenia, jak i nadciagający nieuchronnie obowiązek dostosowania się przez Kraje Członkowskie UE do wymogów dyrektywy NIS 2 mogą postawić te podmioty w trudnej sytuacji. Ze względu na ograniczone budżety oraz wysoko postawione wymagania, mogą one nie sprostać zarówno wymaganiom regulacyjnym, jak i faktycznym zagrożeniom, niezależnie od tego czy są objęte tymi wymaganiami. Czy w tej sytuacji pozostają bez szans? Niekoniecznie.
Istnieje wiele metod pozwalających w sposób niskobudżetowy w istotny sposób obniżyć ryzyko związane z różnymi kategoriami zagrożeń. Dla tych najmniejszych podmiotów najlepszą drogą jest przeprowadzenie samooceny na podstawie dostępnych przewodników (można je znaleźć bezkosztowo w internecie) i zapewnianie przynajmniej minimalnego poziomu szkolenia, co ma sens nawet dla firmy jednoosobowej. Dla podmiotów nieco większych zalecaną ścieżką jest przeprowadzenie, choćby okresowo, zewnętrznego audytu obejmującego przynajmniej minimalną ocenę zgodności z dobrymi praktykami i wymaganiami prawnymi, jeśli już pełna ocena zgodności z normą ISO/IEC 27001 nie jest z różnych powodów możliwa.
Kolejnym krokiem powinno być konsekwentne wdrażanie wskazanych przez audytora zaleceń. Audytorska praktyka autora wskazuje, że często poziom bezpieczeństwa informacji i świadomość kierownictwa o wynikających stąd zagrożeniach jest szokująco niski. Dla większych podmiotów jest zalecane przeprowadzenie w newralgicznych obszarach także testu penetracyjnego, który odpowie na pytanie na ile podmiot jest odporny na najczęściej stosowane techniki ataku.
Wreszcie dla podmiotów średnich (warto pamiętać, że według wytycznych KE są to podmioty zatrudniające od 50 do 249 pracowników) zalecane jest utworzenie własnego zespołu cyberbezpieczeństwa lub pozyskanie tej usługi od kwalifikowanego podmiotu z zewnątrz. Dla tych podmiotów, które staną się w myśl dyrektywy NIS 2 podmiotem kluczowym będzie to (w ślad za obecnymi uregulowaniami ustawy o krajowym systemie cyberbezpieczeństwa) nawet obowiązek.