Všechno je lepší než nehybný močál…
zpívá Mejla Hlavsa text básně Šílenství od J.H. Krchovského, mimochodem nejprodávanějšího básníka současnosti. Prostě nejen IT živ je člověk.
Myslím, že to je přesně to, o co v současné době jde. Příprava nového, a podle mě potřebného, zákona o kybernetické bezpečnosti takové malé šílenství tak trochu rozpoutala. Jedni říkají – my vám to vyřešíme, druzí – nic nedělejte, než to sepíšeme… A mají pravdu. Jak chcete zavádět něco, co ještě neexistuje? Kdo se v tom má vyznat?
Pravdu má Krchovský – něco byste asi opravdu dělat měli. Minimálně byste se na to měli začít připravovat. Ostatně i některé známé metodiky, jako je třeba NIST, mají přípravu jako první bod. A je to docela logické.
Nedělat nic se prostě nemusí vyplatit, zvláště když protistrana koná. Na druhou stranu začít bezhlavě pobíhat a šílet taky není to pravé. „Není potřeba se z toho hroutit“ jak kdysi prohlásil pan generál Řehka. A měl pravdu.
Takže si zkusme říct, jak na to jít. Hezky od lesa, jak je v kraji zvykem.
Posledně jsme si řekli, že NIS2 a to, co z toho vyleze není zase taková ta úplně bezpečnost informací, kterou asi potřebujeme. A že je fajn, že nám do toho stát až tak moc nekecá. Nikdo by koneckonců neměl být ochuzen o možnost nabít si svobodně držku.
Takže začneme. Než to kluci a holky z NUKIBu dopíší, lobisté prolobují a poslanci poschvalují budeme se prostě věnovat bezpečnosti informací. Po očku je samozřejmě budeme sledovat, protože je dobré vědět, co nás čeká, a trochu to budeme kormidlovat tak, abychom moc neodbočili a nepřidělávali si pak zbytečnou práci.
Na konec to shrneme, mrkneme se, co nám chybí a dopíšeme směrnice, donastavíme procesy a dotáhneme to k spokojenosti orgánu. Budeme mít výhodu, protože to už budeme dávno umět.
Martin rád začíná takovým tím Závazkem vedení – jistě to znáte z různých ISO. Proč ne, určitě to jde. Já bych tomu předřadil fázi Zamyšlení se. Připravovaný zákon s účastí vedení opravdu počítá a přímo mu vymezuje povinnosti, a dokonce i sankce. Možná už vás tím někdo taky strašil. Tak se prosím přestaňte třást strachy nebo nadávat – podle toho, jak na takové věci obvykle reagujete, proto vám dávám na výběr. Namísto toho si v klidu zkuste rozmyslet odpovědi na tři, podle mě zcela zásadní, otázky:
- Vím, co vlastně potřebuji chránit? – To se vám určitě bude hodit i na NIS2. Podle návrhu byste měli určit, která vaše informační aktiva souvisejí s provozováním regulované služby a které ne a obhájit si to.
- Opravdu vím, co mi hrozí, jakým hrozbám skutečně čelím a kde mám nějaké díry? – To se bude hodit určitě. Má to trochu technický přesah, tak to teď tady nebudu moc rozebírat. Určitě se shodneme na tom, že pokud víte, odkud vám jedna přiletí, dá se s tím něco dělat, aby ta facka tolik nebolela.
- A vím, s kým ve firmě to budu vlastně dělat a co by ti lidé měli umět? – To je podle mě velmi důležité. Opravdu to není jen o IT. A představa, že to outsourcujete je docela naivní. Ani u dodavatelů nebude dost lidí, aby se to zvládlo, takže si svůj tým budete muset postavit a vychovat sami.
Ono to vypadá lehce, ale nemusí to být tak úplně triviální a pochopitelné, proto bych se nebál se s někým poradit. Znáte to – často je lepší se blbě zeptat, než se chytře tvářit.
Jakmile to budete mít trochu promyšlené a začne se vám to rýsovat, bude ta pravá chvíle začít formulovat Závazek vedení. Proč o tom tak obsáhle mluvím? Podle mě by to mělo být srozumitelné a uvěřitelné. Pokud k tomu přistoupíte formálně a budete u toho běhat po firmě a nadávat, že si zase kdosi kdesi cosi vymyslel a co je to za blbost, tak své lidi nepřesvědčíte a půjde to celé do háje. Nejlepším řešením pak asi bude nakoupit tužky a papír a povypínat počítače. Nebo se alespoň odpojit od těch internetů.
Ale vážně – myslím, že dělat to formálně jen proto, že to někdo chce a musíte to mít je blbost. Nejlepším auditorem je totiž hacker, ten neetický. A ten je někdy hodně mastný. Tak na to, prosím, myslete. Ostatně jednou z často používaných metod hackerů je sociální inženýrství, tak proč ho nepoužít proti nim a vštípit lidem, že je to doopravdy – tohle není cvičení.
Egon Bondy prý kdysi prohlásil, že se J. H. Krchovský dostane do čítanek. Neumím to posoudit, ale myslím, že do učebnic bezpečnosti informací by se mohl vejít. Minimálně s veršem:
Všechno je lepší než nehybný močál…
a z pádu neměj strach; ten pád už počal
Pokud byste měli dojem, že se nás potřebujete na něco zeptat, klidně i chytře, nebo už jste začali někam padat, tak nám napište nebo zavolejte. Pokusíme se vás přesvědčit, že od nás blbé odpovědi neuslyšíte.