Jānis Giniborgs: Iespējams, pēdējais brīdis ir tieši šobrīd – stāsies spēkā jaunā ES direktīva NIS 2

Kamēr Aizsardzības ministrijas sagatavotais Nacionālās kiberdrošības likums ceļo pa Saeimas gaiteņiem, minimālās prasības, ko noteiks Eiropas Savienības (ES) direktīva NIS 2, jau šobrīd ir skaidri definētas.

Līdz šim Latvijā drošības sistēmu izstrādi un auditu regulēja Ministru kabineta noteikumi nr. 442, kuri tiks pilnībā pārstrādāti un turpmāk iekļaus visas NIS 2 prasības, kas būs saistošas ne tikai valsts iestādēm un pašvaldībām, kā tas bija iepriekš, bet arī daudzām komercorganizācijām. Aplēses liecina, ka Latvijā šim regulējumam tieši pakļautas būs ap 2000 organizāciju. Jau šobrīd ir pieejams arī valsts atbalsts – finansējums līdz 50% apmērā konsultācijām un ieguldījumiem kiberdrošības uzlabošanai Digitalizācijas programmas ietvaros. Pieteikšanās turpināsies līdz maija vidum, tāpēc organizācijām, kuras vēlas saņemt finansējumu, ir jāsarosās.

Kiberdrošība nenoliedzami nozīmē izmaksas, sarežģītākus procesus, papildu procedūras, jaunus noteikumus, kas liegs darīt pa vecam. Tomēr NIS 2 īstenošana nenozīmē tikai papildu rūpes, nākotnē tā pavērs ceļu drošākai un ilgtspējīgākai biznesa videi.

Galvenais izaicinājums, ar ko uzņēmēji saskarsies un kas ietekmēs arī kiberdrošības prasību ieviešanas termiņus, ir kvalificētu kiberdrošības speciālistu trūkums. Uzņēmumiem pašiem nav tādu resursu un zināšanu, lai izvērtētu riskus un ieviestu visas drošības prasības, savukārt kiberdrošības speciālistu katastrofāli trūkst ne tikai Latvijā, bet arī citur pasaulē. Eiropā šobrīd ir vairāk nekā 300 000 ar kiberdrošību saistītu vakanču. Tā kā prognozes liecina, ka NIS 2 tieši attieksies uz aptuveni 120 000 organizāciju Eiropā, pieprasījums būs milzīgs. Iesaku par speciālista vai konsultanta piesaisti domāt ļoti savlaicīgi, jo, iespējams, pēdējais brīdis ir tieši šobrīd.

Diemžēl daudzās organizācijās nepietiks ar IT departamenta resursiem vien, turklāt bieži vien IT speciālisti sniedz ārpakalpojumu un strādā ar vairākiem uzņēmumiem vienlaikus, kas neveicina īpašu iedziļināšanos viena uzņēmuma problēmās. Bet laikam būs milzīga nozīme, jo kiberdrošības risku izvērtēšana var pasīt divus, trīs mēnešus, un tam ir nepieciešamas specifiskas zināšanas. Ar kiberdrošības kontroles prasībām var iepazīties NIS 2 direktīvā, savukārt Aizsardzības ministrija līdz aprīļa beigām sola jauno MK 442. noteikumu publiskās apspriešanas versiju, tāpēc jau tagad ir iespējams prognozēt, kāda speciālista piesaiste nepieciešama, un sākt meklēt labāko no labākajiem.

Speciālistu trūkums gan rada risku, ka daudzas organizācijas pēdējā brīža izmisumā var krist vieglas peļņas tīkotāju nagos, kuri piedāvā ātri sakārtot kiberdrošību un iedot visu gatavu, pat atsaucas uz ISO standartiem, bet realitātē tikai uztaisa glītu fasādi, kas atbilst dokumentiem, taču nenovērš trūkumus, kas savukārt nepasargā no incidentiem. Ar kārtīgiem papīriem sevi no hakeriem pasargāt nevar, ir jāsargā sistēmas.

Problēma daudziem var izrādīties arī ārzemju resursu piesaiste, jo liela daļa ražojošā sektora ir vērsta uz iekšējo tirgu, tāpēc nereti trūkst pietiekamu angļu valodas prasmju attiecīgās dokumentācijas sagatavošanai.

Pieredze ar GDPR ieviešanu liek bažīties, ka daudziem uzņēmumiem būs tāda pati pieeja arī kiberdrošības jautājumos – gan jau kaut kā nebūt lēnā garā, jo neviens taču tāpat nepārbaudīs. Bet tā vis gluži nenotiks.

NIS 2 paredz stingrus valsts mēroga kontroles pasākumus, ne tikai reaģējot uz incidentiem, bet arī uzskaitot direktīvas prasībām pakļautās organizācijas: tām būs jāziņo par savu statusu, veiktajiem pasākumiem, par IT drošību atbildīgajām personām utt. un par to jāinformē šobrīd vēl tapšanas procesā esošais Nacionālais kiberdrošības centrs, apstiprinot informāciju ar uzņēmuma vadītāja parakstu. Būs jāinformē arī par savām arējām IP adresēm, kurām attālinātas drošības pārbaudes regulāri veiks CERT speciālisti. Tāpēc pa kluso izšmaukt nevarēs.

Legālais kiberdrošības tirgus pasaulē ir krietni mazāks par nelegālo, tikai ar IT jomu nesaistīts cilvēks to nezina, jo organizācijas, kas cietušas kiberuzbrukumos, parasti par to klusē. Sliktie puiši nesnauž, tāpēc NIS 2 direktīva nav izsmalcināts apgrūtinājums Eiropai par prieku, bet gan vadlīnijas, kā pašiem sevi aizsargāt.

Pirms sākt īstenot šo uzdevumu, iesaku lūgt konsultantam izveidot kopainu par uzņēmuma kiberdrošības stiprajām un vājajām pusēm, nevis pieņemt, ka tam vajadzīgs tas pats, kas kaimiņa biznesam. Piemēram, uzņēmumam, kas savu darbu organizē attālināti, ir pavisam citi riski nekā tādam, kura darbinieki fiziski atrodas vienā birojā. Tāpat jāņem vērā, ka visām risku zonām – lietotāju kontiem, infrastruktūrai, datiem – ir jābūt vienlīdz labi pasargātām.

Jūs varat investēt visu savu naudu jaunākajās tehnoloģijās, bet, ja drošība nebūs līdzsvarota visos virzienos, sliktie puiši ātri vien atradīs kādu drošības "caurumu". Tāpēc ir jāapzina, kurā jomā vajag visvairāk uzlabojumu, un tur arī visvairāk jāiegulda.

Gan Latvijā, gan citur pasaulē visizplatītākie joprojām ir uzbrukumi lietotājam jeb t. s. pikšķerēšanas uzbrukumi, cenšoties iegūt lietotāja uzticību un piespiest viņu veikt darbības, kuras tas parasti neveiktu, piemēram, pārskaitīt naudu vai atklāt pieejas paroles krāpniekiem. Tāpēc būtiska risku zona ir darbinieku lietotāja kontu drošība, it sevišķi strādājot attālināti.

Mūsdienu cilvēks ir gana prasmīgs, lai savas dzīves atvieglošanai izmantotu, piemēram, mākoņpakalpojumus, bet tas arī viņu padara viegli ievainojamu. Drošība neuzlabojas, ja neiegulda pareizajā vietā, un lietotājs ir kritiskais posms.

"Ieguldījām, bet viss ir slikti, jo ieguldījām ne tur, kur vajadzēja, – cik gan bieži esam to dzirdējuši! Uz šī grābekļa uzkāpj ļoti daudzi. Nereti uzņēmumi pieņem pārsteidzīgus lēmumus par ieguldījumiem tehnoloģijās, bet pilnīgi atstāj novārtā organizācijas kultūru un gan darbinieku, gan vadības nereti nepietiekamo izpratni par drošības procedūru ievērošanu. Un, ja to nedara vadība, nedarīs arī neviens cits. Visizplatītākā kļūda ir pieļaut izņēmumus. Tas ir kritiskais faktors, kāpēc ir iespējama liela daļa krāpniecības gadījumu, sevišķi līdz ar mākslīgā intelekta risinājumu un dziļviltojumu jeb deep fake attīstību. Krāpnieki spiež uz steigu, un šāda tipa scenāriju – e-pasts it kā no vadītāja par ļoti steidzamu maksājumu, kuru pats nevar apstiprināt, jo sēž lidmašīnā, tāpēc uztaisām izņēmumu, neejam garo procedūru ar vadības autorizāciju maksājuma apstiprinājumam, – ir ļoti daudz.

- Atrodiet personu vai konsultantu, kam esat gatavi uzticēties kiberdrošības risku izvērtēšanā un uzlabojumu ieviešanā.

- Lūdziet, lai eksperts izvērtē kopējo situāciju un izsver visus riskus.

- Uzmanieties no programmatūras un aparatūras risinājumu piegādātājiem, kuri sola, ka viņu risinājums nodrošina atbilstību NIS 2. Tas nav pavisam aplami, taču nav arī visa taisnība, jo visbiežāk šie risinājumi nodrošina atbilstību tikai atsevišķai jomai, un tā jūs samaksājat naudu, bet no 20 jomām iegūstat atbilstību tikai trijām. Turklāt ar piebildi, ka tā darbojas, ja tiek pareizi ieviesta, bet pareizā ieviešana nāk par papildu samaksu, uz kuras rēķina organizācijas bieži vien mēģina ietaupīt.

- Plānojiet laiku. No konsultanta uzrunāšanas līdz kiberdrošības ceļa kartes saņemšanai var paiet pat pusgads, jo risku izvērtējums vien prasa 2–3 mēnešus. Izmaiņu ieviešana prasīs vēl papildu laiku. Tāpēc tagad ir pats pēdējais brīdis sākt.

Rezumējot – ar laiku NIS 2 attieksies arī uz tiem, uz kuriem neattieksies, – proti, viena no direktīvas prasībām ir novērtēt savu sadarbības partneru riskus. Ja mājaslapu izstrādā mazs programmēšanas uzņēmums, kas nav tieši pakļauts direktīvas prasībām, klients tik un tā šo jautājumu agri vai vēlu uzdos, un tad par savu kiberdrošību būs jāspēj atbildēt katram.