Nehledě na povinnost, kterou přináší směrnice NIS2, je ochrana před kyberútoky z pohledu bezpečnosti organizací klíčová a rozhodně by se neměla podceňovat. A to dokonce ani v případě, že pod směrnici vaše organizace nespadá. Každá firma by si totiž měla projít analýzou aktiv a potenciálních rizik, aby věděla, jakým způsobem má vytvořit bezpečnostní strategii a plán zvládání rizik. Tím zjistí, do čeho se má v případě zabezpečení investovat, jak tyto investice z pohledu bezpečnostních opatření prioritizovat a jak řešit návaznost jednotlivých opatření. Cílem je mít plán, který bude dávat smysl a dopomůže k postupnému rozvoji podnikové bezpečnosti.
Z pohledu nového zákona o kybernetické bezpečnosti (transpozice z NIS2) bude nutné implementovat potřebná opatření do jednoho roku od „sebeidentifikace“ a zalistování se do NÚKIB portálu. Protože je nutné vyřešit celou řadu věcí, které jsou provázané a závislé na dalších systémech, třeba i třetích stran, a mnohdy jde o komplexní požadavky zasahující do běžného fungování podniku. Je velice nepravděpodobné, že by se daly všechny požadavky do jednoho roku opravdu naplnit – tedy samozřejmě pokud se nebude pouze „natírat tráva nazeleno“. NÚKIB si je toho ale vědom a v tomto případě je zcela akceptovatelné mít vytvořený strategický plán, respektive plán zvládání rizik s implementací konkrétních požadavků, který bude rozložen v čase do několika let jak z pohledu implementace opatření, tak z hlediska nutného financování.
Z pohledu kyberbezpečnosti existují tři typy společností. Ty, které již spadají do nějaké bezpečnostní regulace, ty, jež si již prošly nějakým útokem a poslední jsou ty, které disponují osvíceným vrcholovým managementem (těch bohužel není moc). Nedostatky jsou přitom stále stejné – chybí jim analýza aktiv, hodnocení rizik, bezpečnostní strategie a další evergreeny, mezi které patří:
Alfou a omegou je vizibilita. Nelze chránit to, co není vidět nebo o čem nikdo neví. Proto je vhodné využívat nástroje, které viditelnost zajistí. Správci musejí rozumět přenášenému obsahu v podnikové síti, ale i v cloudu, sledovat dění na koncových bodech a detekovat anomálie spojené s uživatelskými identitami. To vše pomůže pochopit a zmapovat dění v organizaci a udržovat povědomí o zařízeních připojených k síti.
Dobrou praxí je využití koncepce zero trust. Ta předpokládá, že žádný uživatel, zařízení nebo síť nejsou automaticky důvěryhodní, a to ani v rámci firemní infrastruktury. Důraz přitom musí organizace klást i na centrální správu identit, a to i těch privilegovaných.
Kybernetická bezpečnost je komplexní oblast a neexistuje pro ni žádné univerzální řešení. Její správné dodržování je vždy o lidech, procesech a technologiích. A pokud dojde k vytržení pouze jedné z těchto součástí, bezpečnost jako taková fungovat nebude. Důležitá je rovněž spolupráce mezi IT oddělením a vedením firmy.
NIS2 přitom není nic nového. Čerpá z toho, co již bylo dávno vymyšleno, tedy ze známých koncepcí. Jinými slovy, některé oblasti ze směrnice NIS2 se firmy snaží plnit již dvacet a více let – mnohdy ale stále marně. Dělejte bezpečnost pro sebe, ne pro nařízení!
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
