Kibernetinio saugumo reikalavimai griežtėja: tūkstančiams Lietuvos įmonių – brangūs sprendimai ir nežinomybė

Artimiausiu metu beveik 1 500 Lietuvos įmonių privalės atitikti griežtus Europos Sąjungos Tinklų ir informacinių sistemų saugumo direktyvos (TIS2) reikalavimus. Specialistai perspėja – atidėliojimas gali kainuoti brangiai, o verslai dažnai nežino, nuo ko pradėti. Prievolė apima ne tik viešąjį, bet ir didelę dalį privataus sektoriaus: energetiką, gamybą, logistiką, sveikatą, netgi tiekimo grandines, taip pat smulkesnius paslaugų teikėjus, jei jie dirba su didesnėmis organizacijomis.

Vadovai sutrikę

Lietuvos įmonėms tenkantys nauji reikalavimai į nacionalinę teisę perkelti dar praėjusių metų spalį. Tiesa, paliktas pereinamasis laikotarpis: organizacijos iki 2026 m. pradžios turi įgyvendinti bendruosius reikalavimus, o specifines technines priemones – iki 2026-ųjų pabaigos. Kaip praneša Nacionalinis kibernetinio saugumo centras (NKSC), organizacijos, kurioms taikoma ši prievolė, apie tai jau informuotos. NKSC taip pat kontroliuos, kaip verslai laikosi naujų reikalavimų.

„Visgi mūsu patirtis rodo, kad dalis įmonių, kurios privalės atitikti reikalavimus, iki šiol gerai nežino, ką konkrečiai reikės padaryti, norint atitikti TIS2 (angl. NIS2) direktyvos keliamus reikalavimus. Na, o tos, kurios jau pradeda domėtis laukiančiais pokyčiais, matome, kad neatitinka išties daug punktų: dažniausiai neturi tvarkingo su IT infrastruktūros palaikymu susijusių procedūrų aprašo, IT incidentų valdymo tvarkos, apibrėžtos aiškios darbuotojų atsakomybės už saugumą. Ne mažiau iššūkių kelia ir pati IT infrastruktūros būklė – dažnu atveju ji yra netinkamai prižiūrima, pasenusi, su silpna duomenų prieigos kontrole, neaiškia atsarginių kopijų (angl. backup) politika ir apskritai neatitinka šiuolaikinių kibernetinio saugumo reikalavimų“, – vardija „Centric IT Solutions Lithuania“ verslo plėtros vadovė Ieva Riliškytė-Sabienė.

Ji pabrėžia, kad daugeliui Lietuvos įmonių tai didžiulis iššūkis tiek dėl reikalavimų gausos, tiek dėl neaiškumo, nuo ko konkrečiai pradėti. TIS2 direktyva ir iš jos kylantys reikalavimai apima beveik visas organizacijos veiklos sritis: laukia ne tik vidinių procedūrų aprašymas, bet ir pokyčiai IT infrastruktūroje. Tačiau, ko gero, didžiausias iššūkis – darbuotojų elgsenos pokyčiai: naujų darbo įpročių formavimas, nuolatinė edukacija ir saugumo kultūros stiprinimas visoje organizacijoje.

„Pavyzdžiui, įmonės turės vykdyti IT infrastruktūros saugumo stebėseną, turėti incidentų valdymo procedūrą ir pagal ją reaguoti į įvykusius saugumo incidentus, užtikrinti darbuotojų kibernetinio saugumo mokymus ir atlikti reguliarius socialinės inžinerijos simuliacijos (angl. phishing) testavimus. Techniniame lygmenyje reikalaujama įdiegti dviejų faktorių autentifikaciją (2FA), užtikrinti centralizuotą atsarginių duomenų kopijų darymą, naudoti pažangias antivirusines programas ir reguliariai atnaujinti naudojamas IT sistemas. Ties tuo reikalavimai dar nesibaigia – jų apstu ir informacijos tvarkymo procesuose.

Matome, kad įmonės dar neturi aiškios vizijos, kaip vykdyti būtinus pokyčius. Vadovai dažnai sako: žinom, kad reikia atitikti, bet nuo ko pradėti – neaišku. Dažnai tai ir vidinių išteklių stoka arba nepakankamos kompetencijos šioje srityje. Todėl šioje vietoje tampame partneriu, kuris padeda išsklaidyti reikalavimų gausą ir su tuo susijusį neapibrėžtumą, paverčiant juos aiškiu veiksmų planu ir struktūruota kelione numatyto tikslo link. Pradedame nuo esamos situacijos audito, sudėliojame aiškų veiksmų planą, apskaičiuojame būtinus biudžetus ir terminus. Praktikoje toks procesas – nuo pasiruošimo iki visiško įgyvendinimo – užtrunka nuo 12 iki 18 mėnesių“, – komentuoja I. Riliškytė-Sabienė.

Baudos gali siekti iki 10 mln. eurų

Įmonėms, kurios nesilaikys naujų reikalavimų, gresia griežtos sankcijos. NKSC gali įpareigoti vadovus nedelsiant pašalinti trūkumus, nušalinti įmonės vadovybę ar net laikinai sustabdyti organizacijos veiklą. Maksimali bauda esminės svarbos subjektams gali siekti iki 10 mln. eurų arba 2 % metinės pasaulinės apyvartos, o svarbiems subjektams – iki 7 mln. eurų.

„Taip, reikia pripažinti, kad visų reikalavimų įgyvendinimas kartais gali reikalauti nemažų investicijų, kurios, žinoma, priklauso nuo dabartinio organizacijos pasirengimo. Bet labai svarbu suprasti, kad tinkamai pasirengusios organizacijos gauna ne tik formalų atitikimą, bet ir tvirtą pagrindą efektyviau veiklai organizuoti bei plėsti. Modernizavus IT infrastruktūrą ir procesus, daug lengviau įgyvendinti skaitmenizacijos ir automatizacijos projektus, bendradarbiauti su užsienio partneriais, kurie vis dažniau reikalauja aukštų saugumo standartų“, – sako „Centric IT Solutions Lithuania“ verslo plėtros vadovė.

Pasak jos, realybėje daugelis reikalavimų nėra tiesiog „varnelė dokumentuose“.

„Jei norima pasiekti realią kibernetinę brandą, būtina įdėti pastangų tiek vadovams, tiek IT specialistams, tiek kiekvienam organizacijos nariui. Pavyzdžiui, kai tam tikrus saugumo sprendimus, tokius kaip tinklo segmentacija, tenka diegti gamybos įmonėje, būtina labai kruopščiai planuoti, kad gamybos procesai nenukentėtų arba jų veikla būtų paveikta minimaliai, – pabrėžia pašnekovė. – Dalį su kibernetinio saugumo reikalavimais susijusių pokyčių tenka įgyvendinti etapais, nes dažnai nei biudžetas, nei žmogiškieji ištekliai, o kartais ir veiklos aplinkybės neleidžia visko įgyvendinti vienu kartu.“

Kibernetinis spaudimas didėja: tiekėjai taip pat po padidinamuoju stiklu

UAB „TPA“, technologinių procesų automatizavimo įmonė, kurianti ir įgyvendinanti pažangius elektrotechnikos ir automatikos sprendimus pramonės įmonėms, – viena tų, kurios jau pradėjo taikyti TIS2 reikalavimus. Tiesa, nors pagal savo dydį ir kitus kriterijus organizacija tiesiogiai nepatenka į direktyvos taikymo sritį, ji vidinius pokyčius inicijavo gerokai anksčiau, nei šie reikalavimai tapo aktualūs daugumai tiekėjų.

UAB „TPA“ direktorius Alvydas Andrijauskas.

„Procesų automatizavimo veiklą vykdome tarptautinėje rinkoje, todėl klientų požiūrio pokyčius pradėjome justi dar prieš formalią direktyvos įsigaliojimo datą, – sako įmonės direktorius Alvydas Andrijauskas. – Anksčiau pagrindinis dėmesys skirtas techniniam sprendimui ir rezultatui, dabar klientai vis dažniau teiraujasi, kaip tvarkomi jų duomenys, kokie rizikos valdymo procesai taikomi ir kaip esame pasirengę tinkamai tvarkyti apdorojamus ir renkamus duomenis, užtikrinti tinkamą kibernetinių incidentų prevenciją.“

Jis pasakoja, kad, siekdama klientams suteikti aukščiausios vertės paslaugas, įgyvendindama atitikties ir kibernetinio saugumo procesus, „TPA“ nusprendė pasitelkti šios srities ekspertus.

„Jau daugiau kaip 20 metų dirbdami su didžiausiais bei žinomiausiais maisto pramonės gamintojais siekiame užtikrinti aukštą ne tik pačios bendrovės teikiamų paslaugų kokybės kartelę, bet ir eliminuoti menkiausias netinkamo duomenų tvarkymo rizikas. Būtent dėl šios priežasties, kitaip nei daugelis rinkos dalyvių, „TPA“ informacijos ir veiksmų plano, stiprinant kibernetinį saugumą, ieškojo ne socialiniuose tinkluose, o remdamasi rekomendacijomis. Pasitelkėme šios srities ekspertus – „Centric IT Solutions Lithuania“. Atliekant auditą buvo įvertinta esama IT infrastruktūra, duomenų valdymo procesai ir dokumentacija. Rezultatai parodė ne tik stipriąsias, bet ir tobulintinas vietas. Įmonė šiuo metu yra pasirengusi pokyčiams: suplanuoti infrastruktūros atnaujinimai, ruošiami vidaus procedūrų aprašai, dalijamasi pažanga su klientais. Visus būtinus veiksmus esame suplanavę atlikti dar iki direktyvos numatytų terminų“, – komentuoja A. Andrijauskas.

Paskutinės minutės laukti nederėtų

„Centric IT Solutions Lithuania“ verslo plėtros vadovė I. Riliškytė-Sabienė sako, kad jų bendrovė jau turi vertingos patirties padedant organizacijoms įgyvendinti TIS2 reikalavimus, nors pripažįsta, kad kol kas nemažai vadovų vis dar atidėlioja reikiamus veiksmus.

„Vieni galvoja, kad spės, nors visgi taip optimistiškai nusiteikusi nebūčiau, kiti tiesiog nežino, nuo ko pradėti. Suprantame, kad painiavos reikalavimuose daug, bet mūsų tikslas yra tapti partneriu, galinčiu padėti nepasiklysti sudėtingų reikalavimų labirinte. Mūsų ekspertai padeda visose organizacijos transformacijos fazėse, reikalingose tinkamam verslo ir IT rizikų valdymui bei atitikčiai TIS2 direktyvai užtikrinti. Tokia pagalba ypač svarbi įmonėms, kurios neturi stiprios vidinės IT komandos, atitikties specialistų ar pakankamos patirties kibernetinio saugumo srityje“, – teigia I. Riliškytė-Sabienė.

Nors TIS2 įgyvendinti yra nelengvas uždavinys, rimtas požiūris į pasiruošimą padės organizacijoms ne tik išvengti kibernetinių incidentų, bet ir sukurti tvirtą technologinį bei žmogiškąjį pagrindą ateičiai.

„Nepamirškime, kad kibernetinio saugumo užtikrinimas Lietuvoje yra ir geopolitinio saugumo klausimas. Pastaraisiais metais dažnėjantys išpuoliai prieš strateginius sektorius Baltijos šalyse ir Europoje parodė, kad net menkiausios IT spragos gali būti išnaudotos priešiškų valstybių ar organizuotų nusikaltėlių grupių. Be to, be technologinių atnaujinimų, daug dėmesio teks skirti ir darbuotojų edukacijai, kuri padės išvengti dažniausiai pasitaikančių incidentų tiek darbe, tiek asmeniniame gyvenime – nuo „phishing“ iki sudėtingesnių socialinės inžinerijos metodų. Tad žiūrėti į reikalavimus pro pirštus tikrai nederėtų pirmiausia dėl pačių organizacijų gerovės“, – pabrėžia „Centric IT Solutions Lithuania“ verslo plėtros vadovė.

„Centric IT Solutions Lithuania“ kviečia įmones į nemokamą konsultaciją.

Komentarai