Autor: Goran Račić, Voditelj korporativne komunikacije, Infigo IS
Niti 10 godina nakon prve NIS direktive, na popravnom smo ispitu koji nije zahvatio samo “loše” učenike nego sve. NIS2 direktiva je sveobuhvatna, a neki na nju gledaju kao na skupi davež i u tom mišljenju nisu usamljeni
O NIS-u (Network and Information Security Directive) pričamo već godinama. Zapravo, pričamo oko desetljeća jer je originalni NIS usvojen na ljeto 2016. i zamisao je bila da će se pomoću njega popraviti sigurnost mreža i informacijskih sustava diljem Europske unije. Tih davnih dana svi koji su imali prste u informacijskoj/kibernetičkoj sigurnosti bili su većinom sretni jer se konačno počelo pričati o sigurnosti na najvišoj razini, ne samo za određene sektore koji su sami po sebi morali biti itekako sigurni (ako ništa drugo, financijski).
No kad čovjek malo baci pogled unatrag, originalni NIS je izgledao kao slikovnica “Kibernetička sigurnost za djecu”.
Davna kompleksnost
Maštati o tome kako 2016. svijet, barem onaj koji se tiče sigurnosti, nije bio kompleksan kao danas malo je promašeno. Itekako smo znali da su kibernetički napadi na kritičnu infrastrukturu mogući. Samo godinu dana prije, 2015., ruski kibernetički napad na ukrajinsku električnu mrežu ostavio je 230.000 kućanstava bez struje dva dana prije Božića. Ono što je u tom trenutku Ukrajincima pomoglo je bilo stanje sustava koji nije bio u potpunosti digitaliziran pa su se velikim naporom dosta brzo uspjeli oporaviti od napada. Američki stručnjaci su procjenjivali da se takav napad dogodio u SAD-u, u potpuno digitaliziranom i automatiziranom sustavu, oporavak bi trajao skoro mjesec dana.
Ali ni sam taj napad nije trebao biti previše šokantan jer su Amerikanci još 2007. napravili tzv. Aurora Generator test gdje su pokazali kako se dizelski generator može uništiti s par redova računalnog koda. Ovo je postala javna informacija 2010. kad je North American Electric Reliability Corporation (NERC) upozorio industriju.
Već onda smo itekako dobro znali kako su moderni sustavi povezani i ranjivi.
Originalni NIS je tako htio zaštiti kritične sustave, tj. podignuti zrelost sustava kibernetičke obrane, ali na kraju je to sve ispalo više birokratski nego stvarno učinkovito, pogotovo jer su se svi ponašali kao da veliki sustavi nisu spojeni na puno manjih. I distribuiranih. I da supply chain napadi ne postoje.
Bullyjingom do otpornosti
NIS direktiva, nije bila ono što smo očekivali. Niti blizu. No koštala je, provedba je koštala, nevjerojatna količina novca prostrujala je sustavom i od toga je sigurno netko imao koristi. Ali uvijek je pitanje tko.
I zato smo sad na popravnom – NIS direktiva je bila preuska, nije računala da su umreženi sustavi skloni kaskadnom padu, kao da nije shvaćala koliko su sustavi međusobno zavisni i povezani.
Ono na čemu stvarno treba čestitati Uniji je da je imala hrabrosti pogledati dosad napravljeno, zaključiti da nije dobro i krenuti raditi bolje – jer političari i zakonodavci nisu baš ljudi koji su poznati po tome da imaju kapaciteta priznati svoje greške…
Nažalost, i ovaj novi pokušaj, koji je barem tisuću puta bolji, će koštati. Iterativni proces stvarno je najbolje što se u ovom slučaju moglo napraviti, ali da li će to usrećiti one koji to moraju financirati, to je upitno.
Je l’ moglo u rukavicama?
Ovisi koliko ste se spremni kladiti da sustavi koji drže moderne društvo mogu izdržati kibernetičke napade. I koliko volite imati struju, vodu, internet, siguran prijevoz…
Prema službenom izvještaju Europske unije o digitalnoj transformaciji, Digital Decade Policy Programme (DDPP), samo 55,6% europejaca ima osnovne razine digitalnih vještina. OSNOVNE RAZINE. I, kako dalje kažu, dostupnost ICT specijalista s naprednim vještinama ostala je niska.
Društvo samo od sebe neće se početi baviti zaštitom sustava koji služe da bi to isto društvo funkcioniralo.
OK, onda NIS2
Tako da ispada da je NIS2 direktiva potrebna. Prijeko potrebna. Ali je njezina provedba, u Hrvatskoj transponirana kroz Zakon o kibernetičkoj sigurnosti, dosta kompleksna. Najveći problem je što NIS2 zahtjeva strukturalne promjene; lako je kupiti softver, lako je nabaviti hardver, ali promijeniti strukturu odlučivanja, definirati tko je odgovoran i za koji dio, formalizirati procese koji dosad nisu postojali, to je ogromna borba.
Pogotovo jer sada kazne, jer nema regulative bez kazni, nisu namijenjene samo organizaciji nego i odgovornoj osobi – ovisno o tome da li ste se našli u ključnom ili važnom subjektu (ima puno razlika), kazne su drugačije definirane.
Ono što je problem u cijeloj ovoj situaciji je što kad nešto morate napraviti, najednom svatko i njegov brat počne pružati uslugu NIS2 usklađivanja. A koristiti nekog nevježu u kompleksnoj promjeni sustava, na kraju koga možete završiti s ogromnom kaznom ili sustavom zaštite koji uopće ne funkcionira, koliko je to mudro? Kao i obično, izbor stručnjaka ili “stručnjaka” itekako je važan.
Dosad ste, kao organizacija, već trebali dobiti svoju kategorizaciju ako spadate u ključne ili važne subjekte. Pitanje je samo kako ste krenuli dalje.
Infigo IS (www.infigo.is) bavi se više od 20 godina kibernetičkom sigurnosti. Isključivo, ne kao neki poslić sa strane. Konzultanti, hakeri, programeri, sigurnosni analitičari, svi oni su kroz pet odjela povezani kako bi krajnji rezultat njihovog rada bio vrhunski kroz sve domene.
Ne samo to nego se među njima nalazi pregršt specijalista poput konzultanta Danijela Hanžeka, principala s, među ostalim, certifikatom NIS 2 Directive Senior Lead Implementer koji garantira da je razina usluge koju klijenti dobivaju vrhunska i nikakva drugačija.
Tako da je pitanje na organizacijama – žele li da vas takvi stručnjaci vode kroz kompleksni proces ili netko tko je čuo za konzalting prije godinu dana, ali će mu neki LLM pomoći?
