Daugeliui organizacijų NIS2 direktyva vis dar siejasi su papildomomis saugumo priemonėmis ar naujais technologiniais sprendimais. Tačiau praktikoje dažniausiai paaiškėja priešingai – didžiausi iššūkiai kyla ne dėl technologijų trūkumo, o dėl to, kaip iš tikrųjų yra valdomas IT ūkis.
Europos Sąjungos NIS2 direktyvos įgyvendinimo etapui artėjant prie pabaigos, organizacijos vis dažniau susiduria su praktiniu klausimu – kaip realiai pasiruošti naujiems reikalavimams. Nors viešojoje erdvėje dažnai akcentuojamos naujos saugumo technologijos, praktika rodo, kad didelė dalis NIS2 nuostatų yra tiesiogiai susijusios su tuo, kaip kasdien valdomas IT ūkis.
NIS2 direktyva iš esmės kalba ne apie pavienius saugumo sprendimus, o apie discipliną: kaip valdomos rizikos, kaip greitai pastebimi ir registruojami incidentai, kaip kontroliuojamos tiekimo grandinės bei užtikrinamas veiksmų atsekamumas. Tai nuolatinė, aiškiai struktūruota IT veikla, kuri organizacijoje turi veikti ne epizodiškai, o nuolat.
Dažniausiai atsirandančios spragos
Daugelis organizacijų turi veikiančią IT infrastruktūrą, tačiau tai nebūtinai reiškia, kad ji yra valdoma sistemiškai. Kasdienė veikla gali vykti sklandžiai, tačiau gilesnė analizė dažnai atskleidžia pasikartojančias problemas:
- dokumentacija yra neišsami arba pasenusi;
- sistemos nėra atnaujinimos;
- SLA egzistuoja formaliai, bet nėra realiai matuojami;
- incidentai sprendžiami, tačiau nėra nuosekliai registruojami ir analizuojami;
- atsakomybės tarp tiekėjo ir organizacijos nėra aiškiai apibrėžtos.
Tokios spragos ilgą laiką gali netrukdyti veiklai, tačiau NIS2 kontekste jos tampa reikšminga reguliacine rizika. Direktyva reikalauja ne tik reaguoti į problemas, bet gebėti įrodyti, kad procesai yra kontroliuojami, nuoseklūs ir dokumentuoti.
Ką realiai reiškia NIS2 reikalavimai IT priežiūroje
Svarbu suprasti, kad NIS2 reikalavimai yra labai konkretūs ir apima kasdienę IT priežiūrą. Organizacijos turi nuolat atnaujinti tinklų ir informacinių sistemų schemas, užtikrinti savalaikį saugumo sprendimų ir atakų pėdsakų atnaujinimą, kontroliuoti tinklo srautus per tinkamai sukonfigūruotas saugasienes ir filtruoti iš išorės gaunamus laiškus.
Ne mažiau svarbu užtikrinti saugią tinklo architektūrą – naudoti tik saugius protokolus, atsisakyti nereikalingų prievadų, segmentuoti tinklą pagal funkcijas ir izoliuoti nepalaikomas sistemas. Taip pat būtina nuosekliai diegti programinės įrangos atnaujinimus, naudoti centralizuotas apsaugos priemones, kontroliuoti slaptažodžių valdymą darbo vietose ir stebėti sistemų būklę bei resursus.
Visa tai rodo, kad NIS2 esmė – ne pavienės technologijos, o nuoseklus, dokumentuotas ir kontroliuojamas IT ūkio valdymas.
Atitiktis prasideda nuo tvarkingo kasdienio IT ūkio valdymo
Praktikoje NIS2 įgyvendinimas dažniausiai prasideda ne nuo naujų įrankių diegimo, o nuo esamos IT aplinkos peržiūros. Organizacijos, kurios turi aiškų IT turto inventorių, dokumentuotus procesus, nuolatinę sistemų stebėseną ir struktūruotą incidentų valdymą, jau yra įgyvendinusios reikšmingą dalį direktyvos reikalavimų.
Būtent tokiu požiūriu grindžiamos ir „Blue Bridge“ IT priežiūros paslaugos. Jos apima visą IT ūkio valdymo spektrą – nuo infrastruktūros administravimo ir sistemų stebėsenos iki incidentų valdymo ir prieigų kontrolės. „Blue Bridge“ proaktyviai rūpinasi atnaujinimų diegimu, periodiškai peržiūri saugasienių taisykles, užtikrina papildomą infrastruktūros stebėseną, įskaitant laiko šaltinių kontrolę, bei stiprina saugumą operacinių sistemų lygiu. Taip pat parengiama ir palaikoma CMDB, kuri leidžia struktūruotai valdyti IT ūkį ir atitikti NIS2 keliamus reikalavimus
Laikinas sprendimas ar nauja strateginė kryptis?
Daliai verslų debesija gali tapti laikinu sprendimu – tiltu iki tol, kol stabilizuosis RAM kainos ir sutrumpės įrangos tiekimo terminai. Tai leidžia išvengti skubotų ir brangių investicijų rinkos piko metu.
Kitiems tai tampa ilgalaike strategija. Debesijos modelis suteikia galimybę lanksčiai didinti ar mažinti resursus, testuoti naujas paslaugas be didelės finansinės rizikos ir greičiau reaguoti į rinkos pokyčius.
Svarbu ir tai, kad IT infrastruktūra vis dažniau vertinama ne tik, kaip kaštai, o kaip paslauga, padedanti užtikrinti verslo tęstinumą ir konkurencingumą.
Šiuo atveju debesų kompiuterija tampa ne tik technologiniu pasirinkimu, bet ir strateginiu sprendimu. „Blue Bridge“ klientams suteikia daugiau nei infrastruktūrą – tai visapusiška paslauga, apimanti sprendimų architektūrą, diegimą, priežiūrą ir nuolatinį optimizavimą. Tai leidžia verslui koncentruotis į savo pagrindinę veiklą, o IT infrastruktūros patikimumą patikėti ekspertams.
Aukštas paslaugų prieinamumas, duomenų saugumas ir greitas reagavimas į incidentus leidžia išvengti veiklos sutrikimų, kurie šiandien gali kainuoti kur kas daugiau nei pati infrastruktūra. Kadangi sprendimai veikia Lietuvoje, klientai taip pat gauna mažą vėlinimą ir aiškų atitikimą vietiniams bei ES reguliaciniams reikalavimams.
NIS2: metas pereiti prie praktinių veiksmų
Svarbu pabrėžti, kad NIS2 direktyvos įgyvendinimo laikotarpis artėja prie pabaigos. Tai reiškia, kad organizacijoms lieka vis mažiau erdvės teoriniam pasirengimui – šiandien prioritetu tampa konkretūs sprendimai, susiję su IT ūkio struktūrizavimu, procesų aiškumu ir atsakomybių pasiskirstymu.
Būtent šiems klausimams aptarti balandžio 28 d. organizuojamas nuotolinis renginys, skirtas NIS2 direktyvos įgyvendinimui. Jame bus aptariama, kaip šie reikalavimai atrodo praktikoje, nagrinėjami dažniausiai organizacijoms kylantys iššūkiai, realūs IT valdymo scenarijai bei sprendimai, leidžiantys sistemingai judėti atitikties link.
Renginio metu fokusuosimės ne į pačią direktyvą, o į jos įgyvendinimą praktikoje:
IBM išsklaidys vieną pavojingiausių mitų – kad „geri backup’ai“ išsprendžia viską – ir parodys, kaip iš tiesų veikia modernus Cyber Recovery.
Exabeam pakvies pažvelgti į grėsmes iš vidaus ir atskleis, kodėl vartotojų elgsena tampa naujuoju saugumo perimetru.
„HPE Aruba Networking“ atkreips dėmesį į tai, kas dažniausiai lieka nepastebėta: tiekimo grandinės silpnybes, partnerystės įtaką saugumui ir vis dar nuvertinamą fizinę infrastruktūrą.
,,Blue Bridge” kibernetinio saugumo inžinierius-konsultantas Mikas Krukauskas parodys realią pentest’o vertę – ne kaip formalumą, o kaip vieną efektyviausių būdų pamatyti savo saugumą be iliuzijų.
O ,,Blue Bridge” SOC vadovas Dovydas Gerikas leis pažvelgti į Saugumo operacijų centro „virtuvę“: kas iš tikrųjų vyksta kasdien, kaip AI ir automatizacija keičia žaidimo taisykles ir kaip suvaldyti vis intensyvėjančią informacijos laviną be chaoso.
Renginys skirtas įmonių vadovams, IT vadovams ir atitikties ar rizikų specialistams, ieškantiems ne teorinio, o praktiškai pritaikomo požiūrio į NIS2.
Registraciją į renginį ir daugiau informacijos galima rasti „Blue Bridge“ svetainėje.
