Vienas svarbiausių TIS2 pokyčių – šia direktyva išplečiamas sąrašas sektorių, kuriuose dirbančioms įmonėms taikomi griežtesni kibernetinio saugumo reikalavimai. Skaičiuojama, kad TIS2 laikytis turės bent 22 tūkst. Lietuvos bendrovių, dirbančių energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamojo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse.
Be to, nepriklausomai nuo sektoriaus, direktyva palies ir visas mūsų šalies bendroves, turinčias daugiau nei 50 darbuotojų ir kurių apyvarta arba turtas viršija 10 mln. Eur. Už direktyvos nuostatų nesilaikymą grės milijoninės baudos ir netgi asmeninė vadovų atsakomybė.
Padės Pareto principas
IT priežiūros paslaugų bendrovės „Altic IT“ vadovo Marijaus Strončiko vertinimu, TIS2 kol kas ruoštis pradėjo tik apie pusė įmonių, kurias palies ši direktyva.
„Pasiruošimas TIS2 direktyvai gali trukti nuo keleto mėnesių iki metų, priklausomai nuo įmonės vadovų požiūrio į saugą, rizikų veiklai suvokimą bei esamos kibernetinės saugos situacijos. Tiesa, esminių bazinių priemonių įgyvendinimas gali būti atliktas ir daug greičiau. Vis dėlto įmonėms į reikalavimų įgyvendinimą nepatartina žiūrėti tik kaip į prievolės atlikimą – TIS2 yra priminimas, kad kibernetinis saugumas turi tapti vienu pagrindinių verslo prioritetų“, – sako M. Strončikas.
Anot jo, ir kibernetinio saugumo sferoje galioja Pareto principas: įgyvendinus 20 proc. svarbiausių saugos priemonių, bus išspręsta 80 proc. opiausių kibernetinio saugumo klausimų ir grėsmių. Taigi, TIS2 besiruošiančios organizacijos turėtų ir pradėti nuo bazinių veiksmų.
„Įmonės turėtų diegti automatizuotas kibernetinės saugos priemones, kurios nuolat skenuotų įmonės sistemų pažeidžiamumus ir padėtų juos „užlopyti“. Taip pat turi būti pasirūpinta ir nuolatiniu atsarginių duomenų kopijų atkūrimu į sunkiai pasiekiamas ir saugias vietas. Be abejo, organizacijos turi užtikrinti, kad programos būtų reguliariai atnaujinamos – būtent „skylės“ programinėje įrangoje neretai ir tampa vartais į įmonių vidines sistemas“, – atkreipia dėmesį M. Strončikas.
Prieigą prie įmonės vidinių sistemų programišiai taip pat gali gauti ir dėl darbuotojų aplaidumo ar nepastabumo. Todėl įmonės privalo užtikrinti, kad visi slaptažodžiai būtų valdomi centralizuotu būdu, o darbuotojai prie įmonės sistemų jungtųsi naudodami bent dviejų žingsnių autentifikavimo sistemą.
Svarbiausia – įvertinti rizikas
Edmundo Vasonskio, pasaulinės aviacijos paslaugų įmonių grupės „Avia Solutions Group“ IT vadovo, manymu, pasiruošimas TIS2 reikalavimams gali trukti apie metus. Vis dėlto tikslus laikas priklausys nuo įmonės.
„TIS2 principai yra naudingi visoms organizacijoms ir dauguma jų persidengia su kitais standartais ar reguliavimų reikalavimais, todėl kuo aukštesnė įmonės kibernetinio saugumo branda, tuo lengviau bus įgyvendinti TIS2 reikalavimus“, – sako ekspertas.
Anot jo, įmonėms, kurios patenka po TIS2 radaru, pirmiausia reikėtų įvertinti, kokia apimtimi joms taikoma direktyva, identifikuoti reikalavimus ir, įvertinus įmonės brandos lygį ir jau įgyvendintas priemones, atlikti trūkumų atitikimų (angl. gap-fit) analizę. Ji padės pamatyti, kur yra neatitikimai, o tuomet bus galima sudaryti neatitikimų šalinimo planą.
Toms bendrovėms, kurios neturi užtektinai resursų ar kompetencijų įsivertinti pačioms, verta pasitelkti išorinius konsultantus.
„Vienas svarbiausių principų TIS2 yra rizikų vertinimas, tad įmonėms derėtų identifikuoti verslo rizikas, žinoti kritines sistemas ir duomenis, nustatyti rizikos poveikį, įtaką ir pasekmes. Tai leis tinkamai prioritetizuoti rizikų suvaldymo planą ir verslui bus aiškiau, kur skiriami resursai ir investicijos“, – komentavo E. Vaskonis.
Jo manymu, TIS2 investicijos neturėtų būti grindžiamos priemonių planu – tokiu atveju įmonei sudėtinga suprasti priemonės įgyvendinimo aktualumą, kai jis nesusietas su materialiomis pasekmėmis.
Reikia pradėti nuo plano
Valstybės įmonės Turto bankas IT vadovas Aleksandras Širaliovas organizacijas pasiruošimą TIS2 ragina pradėti nuo išsamaus plano. Pasak jo, įvertinti atitikimą TIS2 direktyvai gali padėti ISO 27001 standarto nuostatos ir JAV Interneto saugumo centro (angl. CIS) kontrolinis sąrašas.
„Reikia pabrėžti, kad TIS2 direktyvos nuostatos taikomos ir įmonėms, teikiančioms paslaugas toms organizacijoms, kurias TIS2 palies tiesiogiai. Šioms įmonėms pasiruošti TIS2 gali būti itin sudėtinga, nes iki šiol joms dažnu atveju nebuvo taikomi aukšti informacijos saugumo reikalavimai“, – atkreipia dėmesį A. Širaliovas.
Pasak jo, visoms organizacijoms pasiruošimo etape pirmiausiai reikia nustatyti procesus ir išteklius, naudojamus teikiant ypatingos svarbos, esmines paslaugas, apibrėžtas TIS2. Taip pat svarbu įvertinti kompiuterių tinklų ir informacinių sistemų veiklos poveikį svarbiausiems organizacijos procesams.
Ekspertas taip pat pabrėžia, kad TIS2 ypač daug dėmesio skiriama rizikų valdymui, todėl įmonės turi kruopščiai įvertinti, kokią įtaką tiekėjai daro jų veiklai.
„Įvertinus paslaugų teikėjų keliamas rizikas, galima sutelkti dėmesį į laikui imlų teisinių, sutartinių, veiklos ar techninių pažeidžiamumų šalinimo procesą. TIS2 taip pat nustato prievolę laiku ir tinkamai informuoti priežiūros institucijas apie organizacijos patirtus svarbius kibernetinius incidentus“, – primena A. Širaliovas.