r. pr. Mikołaj Otmianowski – Wiceprezes Zarządu DAPR sp. z o.o.
r. pr. Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak – www.ludwiczak-radcaprawny.pl
W poprzednim artykule „Cyberbezpieczeństwo w małych i średnich przedsiębiorstwach – wstęp do zagadnienia” napisaliśmy:
1) czym jest cyberbezpieczeństwo,
2) Dlaczego przedsiębiorcy powinni zajmować się cyberbezpieczeństwem w swoich organizacjach,
3) że Hakerzy zaatakują każdego, pytanie tylko kiedy,
4) Od czego zacząć budowę cyberbezpieczeństwa w organizacji.
W niniejszym artykule będziemy kontynuować temat cyberbezpieczeństwa w małych i średnich przedsiębiorstwach.
Poziomy cyberbezpieczeństwa
Warto zauważyć, że wyróżniamy dwa poziomy cyberbezpieczeństwa.
Pierwszy poziom cyberbezpieczeństwa to poziom techniczny – rozwiązania technologiczne (antywirusy, firewall`e, aktualne i legalne oprogramowanie, Centra Operacji Bezpieczeństwa (Security Operation Center) itp.).
Drugi poziom cyberbezpieczeństwa to poziom organizacyjny – procedury bezpieczeństwa (w tym procedury na wypadek incydentu lub naruszenia) i eksperci (ludzie są najważniejsi).
Oczywiście każda organizacja powinna zarządzać cyberbezpieczeństwem na tych poziomach adekwatnie do swych ryzyk i możliwości. Zarządzanie cyberbezpieczeństwem można definiować w różny sposób, np. jako:
1) praktyczną zdolność organizacji do wykrywania i „zaopiekowania” się poszczególnymi ryzykami,
2) minimalizację prawdopodobieństwa wystąpienia cyber-zagrożeń lub minimalizację strat przez nie powodowanych.
Niezależnie jednak od definicji, kluczowym narzędziem w zarządzaniu cyberbezpieczeństwem jest analiza ryzyka, o której pisaliśmy pokrótce w poprzednim artykule.
Pierwszy cel zarządzania cyberbezpieczeństwem
To zapewnienie efektywnej ochrony, tzn. zapewnienia takiej alokacji zasobów (rzeczowych i ludzkich) aby były one wykorzystane w sposób zapewniający najlepszą relację skuteczności do kosztów. Efektywna ochrona jest możliwa tylko jeżeli poprzedzimy ją analizą ryzyk. Analiza ryzyk pozwoli nam lepiej zarządzać posiadanymi zasobami. Bardzo często przedsiębiorcy mają masę dobrych narzędzi (lub mogą łatwo i tanio je nabyć), ale zapominają ich użyć, zsynchronizować ich działanie itp. Błędne alokowanie zasobów powoduje, że albo jak w dowcipie „ktoś biega z packą na muchy za słoniami”, „strzela do much z armat” lub nie widzi jak ktoś mu w ścianie, obok pancernych drzwi, wyciął dodatkowy otwór, którym wynosi co chce z przedsiębiorstwa.
Drugi cel zarządzania cyberbezpieczeństwem
Minimalizacja ryzyka materializacji zagrożeń, zwłaszcza dotyczących kluczowych elementów systemu, danych lub informacji. Warto realizując ten cel określić jakie obszary najbardziej wymagają ochrony i na nich się skupić w pierwszym rzędzie. Jednocześnie trzeba pamiętać, że ryzyka da się tylko minimalizować ale nie da się ich zlikwidować.
Trzeci cel zarządzania cyberbezpieczeństwem
To zapewnienie ciągłości działania, tzn. zapewnienie, że niezależnie od materializacji zagrożenia, ograniczymy wystąpienie konsekwencji poprzez jak najszybsze przywrócenie ciągłości świadczonej usługi kluczowej lub cyfrowej (w perspektywie usług niezbędnych i istotnych). Tu często bardzo istotną rolę odgrywają chociażby kopie bezpieczeństwa.
Czwarty cel zarządzania cyberbezpieczeństwem
Jest nim spełnienie obowiązków prawnych i uniknięcie kar i odszkodowań. Chcielibyśmy zwrócić Państwa uwagę, że ilość nowych legislacji dotyczącej cyfrowej rzeczywistości rośnie w sposób wykładniczy. Tylko w celu sygnalizacji wspomnimy o m.in.:
1) RODO (Rozporządzeniu o Ochronie Danych Osobowych – zwanym też GDPR) – co prawda ten akt prawny nie reguluje cyberbezpieczeństwa ale niewątpliwie go wymaga,
2) Cybersecurity Act – unijny Akt o Cyberbezpieczeństwie,
3) Dyrektywa NIS (Network and Information Systems Directive) – czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa,
4) Ustawa o krajowym systemie cyberbezpieczeństwa – KSC,
5) Projekcie NIS2,
6) Nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa,
7) DORA – (Digital Operational Resilience Act), czyli projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego.
Analizując legislację
zauważyliśmy, że:
1) każdy z tych aktów nakłada na określone (lub wszystkie) przedsiębiorstwa obowiązek stworzenia i utrzymania skutecznych systemów bezpieczeństwa, opartych na zarządzaniu ryzykiem, czyli też na analizie ryzyka,
2) Słowo RYZYKO pojawia się niezmiennie we wszystkich tych aktach prawnych. Ponadto nasza analiza wykazała, że fraza „zarządzanie ryzykiem” i „ryzyko” pojawiała się tym częściej im nowszy akt prawny. Dla przykładu w RODO sprzed 6 lat słowa te były wymieniane 26 razy, a w najnowszym projekcie DORA już 255 razy. Wskazuje to, że zarządzanie ryzykiem stoi w centrum cyberbezpieczeństwa i ochrony danych osobowych. Wymienione przez nas hasła znalazły się w sumie w 3084 miejscach wskazanych aktów normatywnych,
3) analiza ww. aktów prawnych wykazała również, że coraz częściej w aktach prawnych (lub w projektach) występują frazy pokrewne, tj. „podatność” i „luka”. W RODO te frazy nie występują w ogóle. W najnowszych projektach „podatność” i „luka” występują już po kilkadziesiąt razy. Pokazuje to wyraźną tendencję prawodawcy do uwzględniania kwestii zarządzania podatnościami w ramach zarządzania ryzykiem.
Kończąc temat celów cyberbezpieczeństwa chcielibyśmy tylko zauważyć, że w zależności od przyjętej optyki, można by ich wymienić o wiele więcej, ale w naszej ocenie, wymienione przez nas cztery cele są najważniejsze.
Wierzymy w to, że nie da się:
1) zarządzać systemem bezpieczeństwa danych osobowych bez zarządzania cyberbezpieczeństwem,
2) zarządzać systemem bezpieczeństwa danych osobowych i zarządzać cyberbezpieczeństwem bez analizy ryzyka.
Dlatego:
1) należy pamiętać, że analiza ryzyka jest więc fundamentem zarządzania bezpieczeństwem w przedsiębiorstwach,
2) warto zsynchronizować analizę ryzyk dotyczących systemu bezpieczeństwa danych osobowych i analizę ryzyk dotyczących cyberbezpieczeństwa.
Zsynchronizowanie analiz ryzyka w tych dwóch obszarach ma m.in. następujące zalety:
1) organizacja posiada pełną informację w jednym miejscu. Kiedy w sieci pojawia się ostrzeżenie o podatności, jest jedno miejsce, w którym łatwo można sprawdzić czy nas ostrzeżenie to dotyczy, i w których miejscach ono u nas występuje,
2) lepsze pomysły na zabezpieczenia, ze względu na wymianę wiedzy pomiędzy pracownikami,
3) ograniczenie shadow IT (instalacji i używania przez pracowników na własną rękę, bez wiedzy przełożonych, programów i aplikacji. Często bez wymaganej licencji, aktualizacji itp.),
4) lepsza identyfikacja i kontrola dostawców,
5) informacje o bezpieczeństwie zostają w firmie, nie odchodzą z pracownikami,
6) tworzone są precyzyjne, konkretne procedury i szkolenia,
7) wypełniane są nakładane na nas obowiązki prawne.
Więcej o cyberbezpieczeństwie: ATAKI SOCJOTECHNICZNE – HIT CZY KIT?