Demystifikace NIS2
Jak jsme slíbili, zahájili jsme „novou“, serióznější éru Rajské. Dá se říct, že celkem zostra. V rámci konference Kyberbezpečnost v regionech jsme se pustili do poměrně zásadního tématu primárních aktiv.
Věnovali jsme přípravě hodně úsilí a vzhledem k tomu, že jsem dlouho nepřednášel, byl jsem trochu nesvůj. Navíc se, na rozdíl od některých kolegů, snažíme o trochu jiný přístup, postavený na vysvětlování a uklidňování mnohdy vyděšených klientů, takže jsme byli zvědaví na reakce. A podle všeho to dopadlo docela dobře.
Než se pustíme do aktiv a dalších věcí, pokusíme se o jeden, podle nás důležitý krok, kterým je demystifikace připravované regulace. Myslíme, že je to opravdu potřebné.
Tak se do toho pojďme pustit.
Základní rozdíl mezi NIS2 a GDPR
Velmi často od manažerů slýcháme, že NIS2 je jen další „k…tina“ z EU, že jim stačí, že dali balík za nesmysly týkající se GDPR a že podruhé už takovou chybu neudělají. S tím se dá jen souhlasit. Když slyšíme, a je to poměrně často, že hlavním úkolem připravované regulace je zejména soulad s normami Evropské unie, tak taky vypínáme. Myslíme, že je to poměrně nešikovná argumentace, která zakrývá jiný, daleko důležitější důvod, kterým je zvýšení kybernetické bezpečnosti služeb, které jsou potřebné pro chod státu (veřejný zájem).
Pokud se rozhodnete neopakovat chybu z GDPR, jste na dobré cestě udělat jinou, ještě větší chybu neřešit kybernetickou bezpečnost.
Shrnuli bychom to asi takto – zatímco u GDPR jde o ochranu osobních údajů jakýchsi úplně cizích lidí, kteří jsou vám v podstatě šumák, tak v případě NIS2 jde téměř výlučně jen a jen o vaše peníze. A to by třeba mohl být dost dobrý důvod, proč se tomu trochu věnovat, nemyslíte?
Ve finále zjistíte, že i ten soulad s EU má určitou logiku, ale k tomu se ještě dostaneme.
Mimochodem jste schopni a ochotní připustit, že jste peníze na GDPR vyhodili zbytečně, protože jste nepochopili o čem to ve skutečnosti je? Není tohle právě ta chyba, kterou byste neměli opakovat?
Co po náš vlastně NIS2 chce?
V podstatě je to velmi jednoduché a srozumitelné. Základním požadavkem je začít se kybernetickou bezpečností vážně zabývat. Svět počítačů nabral takový rozmach, že se stává hrozbou a je potřeba s tím něco dělat. Když naši předkové někde v jeskyni rozdělali oheň, taky tam hned neměli kyblík s vodou, hasící přístroj či soustavu čidel. To se začalo řešit, až když vyhořelo pár měst. Dokonce ani když pižlali pazourkem nějakou větev, tak neměli na hlavě přilbu a pazourek neměl X ochranných prvků, jako dnešní motorovka či cirkulárka. Pokrok prostě nezastavíš takže v určité fázi je potřeba se začít bránit tomu co jsme vymysleli.
Takže připusťme, že je potřeba začít se zabývat i těmi počítači.
Zjednodušeně je potřeba dělat tohle:
- Vedení by mělo přestat brát kybernetickou bezpečnost na lehkou váhu, mělo by se jí zabývat, trochu věci porozumět a počítat s tím, že to něco bude stát.
- V organizaci by měl být někdo, jednotlivec nebo skupina, který to bude mít na triku a bude za to odpovídat.
- Pokud vás potká nějaké (kyber)svinstvo, které může nakazit i někoho druhého, je potřeba to nahlásit na (kyber)hygienu, které sleduje, zda nakažených není nějak moc. K tomu je potřeba mít někoho, kdo to nahlásit umí a může. Že máte černý kašel taky nehlásíte vy, ale obvoďák, který pozná, že ho skutečně máte, a ne že si myslíte, že ho máte.
- Měla by se dodržovat základní pravidla a zavádět opatření, něco jako nošení přilby, ochranných rukavic nebo mytí rukou.
- K tomu, abyste věděli, kam máte ten (kyber)hasičák pověsit, potřebujete vědět, kde hrozí největší riziko, že něco chytne a občas zkontrolovat, jestli tam ten sud s benzínem ještě je, nebo zda, když ho přesunuli, s sebou vzali i ten minimax. Odborně se tomu říká řízení rizik a dělá se to nejen u počítačů.
- Pokud je kyber(infekce) příliš velká, tak kyber(hygiena) doporučí nebo nařídí, co máte udělat, podle toho, jak moc nakažlivé to je. Většinou je to primárně na vaší ochranu a tak trochu i vašeho okolí, které je dneska trochu více globální.
- Protože jsme přes ty počítače a internety propojeni možná víc, než je zdrávo, je potřeba se bavit se sousedy, jak jsou na tom oni a hledat společná řešení, protože to u nich může být coby dup, nebo ještě rychleji. No a nejbližší parta sousedů je v EU, takže to od ní zase tak velká buzerace není.
Opravu to jsou samé blbosti, co vy na to?
V čem je hlavní rozdíl oproti stávající právní úpravě?
Ono to v tom rachotu bubnování na poplach, strašení a broušení excelů tak úplně nezaznělo, ale je tu jeden zcela zásadní rozdíl. Zatímco stávající právní úprava řeší kritickou infrastrukturu a významné informační systémy, tak ta připravovaná je postavena na službách. Počítače tak přestávají být středobodem vesmíru, ale začínáme se více zajímat o to, aby pekaři pekli, lékaři léčili a obce obcovaly.
Je to sakramentský rozdíl, který má jeden obrovský benefit – je to daleko srozumitelnější, logičtější a uchopitelnější. A určitě to dává smysl i těm co pod NIS2 nespadnou. Ale o tom příště.