Zavezanci bodo morali investirati v metodologijo, znanje in tehnologijo
Zakon o informacijski varnosti je začel veljati 11. maja 2018 in pomeni korak v pravo smer na področju informacijske varnosti v RS. Izvajanje obveznosti bo za nekatere zavezance velik zalogaj – odgovorni se bodo morali odločati za prave tehnologije in metode. Upravičeno se tako že postavlja vprašanje, katere izbrati.
Slovenija s sprejetjem Zakona o informacijski varnosti (ZInfV) v svoj pravni red prenaša evropsko direktivo, katere namen je zagotoviti visoko raven varnosti omrežij in informacijskih sistemov v EU. Ob sprejetju zakona je minister za javno upravo Boris Koprivnikar med drugim poudaril, da je Slovenija postala ena izmed prvih evropskih držav, ki ureja področje kibernetske varnosti na celovit način.
Na NIL-u nas sprejetje zakona vsekakor izredno veseli, saj končno obstaja zavedanje o pomembnosti kibernetske varnosti na najvišji državni ravni. Od 11. maja imamo namreč konkretno zakonsko podlago, ki določa minimalne zahteve ter narekuje aktivnosti za zagotavljanje informacijske varnosti v ključnih omrežjih in informacijskih sistemih v Sloveniji.
Katere organizacije bodo ZInfV morale upoštevati?
Zavezanci, ki bodo morali ZInfV spoštovati, so institucije, organizacije, ustanove in podjetja, ki so bistvenega pomena za nemoteno delovanje države v vseh varnostnih razmerah in zagotavljajo ključne storitve za ohranitev najpomembnejših družbenih in gospodarskih dejavnosti. Zakon te zavezance deli v tri kategorije:
- izvajalci bistvenih storitev,
- ponudniki digitalnih storitev,
- organi državne uprave.
Izvajalce bistvenih storitev bo določila vlada, pri čemer se bodo upoštevala naslednja merila:
- subjekt zagotavlja storitev, ki je bistvena za ohranitev ključnih družbenih oziroma gospodarskih dejavnosti;
- zagotavljanje te storitve je odvisno od omrežij in informacijskih sistemov;
- kibernetski incident bi imel pomemben negativen vpliv na zagotavljanje te storitve.
Katere obveznosti zakon nalaga?
ZInfV zavezancem nalaga konkretne obveznosti, ki so kot take bistvena novost, saj pred njim organizacije praktično niso bile obvezane h kakršnim koli aktivnostim na področju varovanja informacijskih okolij. To seveda še zdaleč ne pomeni, da se do danes o informacijski varnosti ni razmišljalo, le pravne podlage za to ni bilo. Vlaganja v informacijsko varnost so bila odvisna predvsem od zavedanja vodstva, kakšne posledice lahko povzroči neki »nebodigatreba« kibernetski vdor.
Zavezanci bodo morali po zakonu ZInfV določiti kontaktno osebo za informacijsko varnost in njenega namestnika. Kontaktna oseba bo odgovorna za komunikacijo in poročanje o incidentih organu CSIRT, ki bo pristojen za odzive na incidente na področju informacijske varnosti.
Poleg določitve kontaktne osebe bodo morali zavezanci prav tako tudi sprejeti konkretne tehnične in organizacijske ukrepe za prepoznavanje, obvladovanje, preprečevanje in zmanjšanje vpliva varnostnih incidentov. V primeru incidenta, ki bi lahko imel poseben vpliv na izvajanje bistvenih storitev, ga bodo zavezanci dolžni priglasiti pristojnemu CSIRT-u, in to brez nepotrebnega odlašanja.
Tudi dokumentacija bo morala biti vzpostavljena. Zavezanci bodo morali namreč vzdrževati dokumentiran sistem upravljanja varovanja informacij in sistem upravljanja neprekinjenega poslovanja, ki bo vseboval najmanj analizo tveganj, politiko neprekinjenega poslovanja, seznam ključnih sistemov, načrt obnovitve delovanja ključnih sistemov in načrt odzivanja na incidente s protokolom obveščanja pristojnega organa CSIRT.
Ali se zakon tudi izvaja, pa bodo preverjali CSIRT-ovi inšpektorji. Predpisane globe za kršitelje bodo od 500 do 50.000 € in od 200 do 2.000 € za odgovorno osebo.
Največji izziv: informacijska varnost ni (bila) tema uprav
Zakon sam po sebi še ne zagotavlja višje stopnje informacijske varnosti, pomembno bo seveda njegovo izvajanje. Največji izziv pri tem (in pri zagotavljanju ustrezne informacijske varnosti v organizacijah sploh) je šibko zavedanje uprav o potencialni poslovni škodi v primeru kibernetskih napadov. Tudi zato kibernetska tveganja v večini organizacij še niso umeščena v model upravljanja tveganj.
Novi zakon o informacijski varnosti kibernetska tveganja umešča na agendo sestankov uprav. S sprejetjem zakona je kibernetska varnost pri zavezancih postala, kjer še ni bila, odgovornost poslovodstva. Ne gre za to, da bi morale biti uprave tehnično izučene, ampak da se zavedajo resnosti kibernetskih napadov in da tveganja, povezana z informacijsko varnostjo, ustrezno obravnavajo; na enak način kot finančna in poslovna. To pomeni, da zagotovijo zadostne vire za učinkovito obravnavo: investicije v tehnologijo, znanje in kader.
To je tudi edino smiselno, saj kibernetska ogroženost oziroma (ne)varnost neposredno vpliva na poslovno vrednost podjetja. Posledice incidenta so zastoj poslovanja, ekonomska škoda, izguba zaupanja in zahtevki iz naslova odgovornosti zaradi kršitve varovanja osebnih podatkov. V primeru neizvajanja zakona pa zavezance lahko doleti še globa.
Uprave se morajo zato aktivno vključiti v sprejemanje strateških odločitev na področju kibernetske varnosti in jih uskladiti s strategijo podjetja. Vse funkcije v podjetju so na kibernetske napade občutljive, učinkovita obramba pa ni samo domena tehnologije in procesov, ampak tudi kulture in zavedanja vseh zaposlenih.
Vzpostavitev zapisanega seveda ni enostavna naloga in zahteva svoj čas in vire. Največji izzivi, ki jih na tej poti vidimo na NIL-u, so kompleksnost sistemov, zagotavljanje pravočasne zaznave in odziva na incidente ter splošno pomanjkanje ustreznih kadrov. Tehnične rešitve sicer lahko kupite, je pa število vrhunskih strokovnjakov omejeno, spremembe sistemov ter razvoj znanja znotraj organizacije pa zahtevajo svoj čas.
S pametnimi investicijami v IT-varnost lahko bistveno omejite tveganja
Ni preprosto, je pa na srečo to v letu 2018 lažje kot kadarkoli prej. Jan Bervar je na konferenci RISK 2018 v predavanju pojasnil, kako pametneje investirati v obvladovanje informacijskih tveganj, da boste varnejši pred sodobnimi kibernetskimi napadi in zlorabami.