NIS2 READY
Bolo po incidente. Systémy už fungovali, tlak opadol a v miestnosti zaznela veta, ktorá mala všetko uzavrieť:
„Ale veď sme mali internú smernicu.“
Mali. V PDF. Schválenú, podpísanú a formálne správnu. A aj tak nepomohla.
Nie preto, že by bola zlá alebo nekvalitná. Ale preto, že dokument ako taký v kritickom momente nič nerobí. Nezastaví útok, neobnoví systém a nepomôže v situácii, keď niekto musí rýchlo rozhodnúť. Práve tu sa ukazuje jeden z najväčších omylov, s ktorým sa pri implementácii NIS2 stretávame.
Keď sa regulácia stane skutočným problémom
Mnohé organizácie dnes otvorene hovoria, že sa téme NIS2 budú naplno venovať až v momente, keď bude transponovaná do národnej legislatívy a vznikne im jasná zákonná povinnosť. Z právneho hľadiska je takýto postoj do určitej miery pochopiteľný. Európska smernica sama o sebe neukladá povinnosti priamo jednotlivým subjektom – záväznou sa stáva až po implementácii do vnútroštátneho práva.
Tento formálny moment však nemení realitu kybernetických rizík. Incident sa neriadi legislatívnym harmonogramom ani dátumom účinnosti zákona. Útočník nerozlišuje medzi obdobím „pred“ a „po“ transpozícii a nezaujíma ho, či už existuje oficiálne rozhodnutie alebo oznámenie zo strany štátu.
Čakanie môže oddialiť vznik právnej povinnosti. Neodkladá však samotné riziko ani zodpovednosť za jeho dôsledky.
Dokument nie je opatrením
Mnohé organizácie si nevedomky zamieňajú dokument s opatrením. Logika je jednoduchá – ak existuje interná bezpečnostná smernica, existuje aj bezpečnostné opatrenie. Lenže realita funguje inak. Smernica je len popis toho, ako by veci mali fungovať. Opatrenie je to, čo funguje aj vtedy, keď na čítanie dokumentov nie je čas.
prístup založený len na dokumentácii
- Politika zálohovania uložená v PDF
- Incident response plán uložený na SharePointe
- Podpísané a schválené – zriedka používané
skutočné bezpečnostné opatrenie
- Pravidelne testované zálohy
- Incident playbooky testované v cvičeniach
- Jasné vlastníctvo s definovanou rozhodovacou právomocou
Rozdiel nie je v dokumentácii. Rozdiel je v realizácii.
Smernice ako napríklad NIS2 sa nezameriavajú na formálne potvrdenia či „papierové“ schválenia. Posudzujú predovšetkým to, či prijaté opatrenia reálne znižujú riziká a sú použiteľné v každodennej praxi. Rozhodujúca nie je ich forma, ale schopnosť efektívne fungovať aj bez auditu, prezentácie či dodatočného vysvetľovania.
Ako vyzerá rozdiel v praxi
Rozdiel medzi dokumentom a opatrením sa najlepšie ukáže na konkrétnych situáciách:
Politika zálohovania sama o sebe nič nezaručuje. Opatrením sú až offline zálohy, ktoré sa pravidelne testujú.
Incident response plán v PDF nezabráni chaosu, ak ľudia nevedia, komu majú volať a čo majú robiť v prvých minútach incidentu.
A školenie splní svoj účel až vtedy, keď sa prejaví v správaní zamestnancov, nie v podpísanej prezenčnej listine.
Počas auditu má organizácia priestor na vysvetľovanie, predkladanie dokumentácie a odpovedanie na otázky. Počas incidentu však čas neexistuje. Rozhodnutia sa robia pod tlakom, s neúplnými informáciami a s reálnym dopadom na fungovanie organizácie.
Presne na tento moment sa regulácie pozerajú spätne. Nie otázkou, či dokument existoval, ale či prijaté opatrenia fungovali.
ČO z toho vyplýva
PDF môže pomôcť splniť audit. Bezpečnostné opatrenie však musí obstáť počas incidentu.
Rozdiel medzi dokumentáciou a pripravenosťou sa často ukáže až vtedy, keď už nie je priestor na vysvetľovanie. A práve preto je nebezpečné vnímať reguláciu ako formálnu povinnosť, ktorú začneme riešiť až po jej legislatívnom „potvrdení“.
Bezpečnosť totiž nie je o tom, čo máte uložené na disku.
Je o tom, čo funguje, keď ide do tuhého.
V rámci platformy Tazilla preto pracujeme so smernicami a opatreniami ako s prepojeným systémom – naviazaným na konkrétne riziká, služby a vlastníkov. Dokumentácia nie je cieľ. Je len vedľajší produkt funkčného riadenia rizík.
Pretože pripravenosť sa nepreukazuje papierom.
Preukazuje sa tým, že v kritickom momente každý vie, čo má robiť.