Latvija var lepoties kā valsts, kas rada jaunuzņēmumus, ātru internetu un citas augstās tehnoloģijas, tomēr kiberdrošības jomā nepilnības vēl pastāv. Par to, ka kiberuzbrukumu sarežģītība un skaits turpina pieaugt, liecina arī CERT.LV statistikas dati: 2024. gada janvārī Latvijā notikuši 235 154 uzbrukumi unikālām IP adresēm.
Kaut arī uzbrukumi pret dažādiem Latvijas uzņēmumiem notiek regulāri, savā praksē novēroju, ka vadītāji nesteidzas preventīvi rūpēties par uzņēmumu kiberdrošību. Populāri ir paļauties uz antivīrusu programmām vai ugunsmūri, kamēr tādas drošības higiēnas prasības kā darbinieku apmācības, pastāvīgi drošības auditi, izstrādātas procedūras un regulāras datu rezerves kopijas bieži vien tiek ignorētas. Tie ir papildu izdevumi, kuri tieši nerada peļņu.
Šai pieejai tomēr būs jāmainās, kad šā gada 18. oktobrī stāsies spēkā jaunā Eiropas Savienības (ES) direktīva NIS 2, kuras mērķis ir panākt vienādi augsta līmeņa kiberdrošību visā Eiropas Savienībā. Savukārt ar 1. oktobri uzņēmējiem ir jau jābūt gataviem par kiberincidentiem informēt atbildīgo valsts institūciju. Līdzās detalizētām drošības prasībām tūkstošiem uzņēmumu tā paredz arī miljoniem eiro lielus sodus par šo prasību neievērošanu. Tās mērķis – stiprināt visa reģiona kiberdrošību, tāpēc šī būs unikāla situācija, kad direktīva attieksies ne tikai uz publisko sektoru, bet arī uz privātajiem uzņēmumiem.
Turklāt jaunās direktīvas NIS2 prasības Latvijā un Eiropā būs jāievēro ne tikai specifisku darbības jomu uzņēmumiem tādās nozarēs kā enerģētika, loģistika, banku pakalpojumi, veselības aprūpe, dzeramā ūdens apgāde un notekūdeņu attīrīšana, bet šī būs pirmā reize, kad kiberdrošības prasības aptvers daudz plašāku uzņēmumu loku, iekļaujot arī tos, kuri nodarbojas ar pārtikas ražošanu, tirdzniecību internetā vai sniedz citus digitālus pakalpojumus.
Izmaiņas bremzē kļūdaini uzskati
NIS2 prasības Latvijas uzņēmēji pagaidām pilda kūtri, kaut arī par jauno kiberdrošības standartu neievērošanu paredzēti milzīgi sodi, kā arī tiek apsvērta iespēja saukt pie atbildības uzņēmumu vadītājus. Zināmu gatavošanos veic galvenokārt lielāki uzņēmumi, kamēr vairums mazo un vidējo uzņēmumu gaida rudeni, kad būs pieņemts gala lēmums par to, cik detalizēti direktīva tiks ieviesta Latvijā. It kā ir saprotama vēlme izvairīties no priekšlaicīgiem un “liekiem” izdevumiem. Vienlaikus, atliekot neizbēgamo uz pēdējo brīdi, papildu stress uzņēmumam būs vēl lielāks.
Minimālās prasības, ko noteiks NIS2 direktīva, jau tagad ir skaidri definētas, kamēr Nacionālais kiberdrošības likums ar NIS2 prasību integrāciju vēl ir likumprojekta statusā. Sagaidāms, ka tas tiks finalizēts oktobrī – īsu brīdi pirms 18. oktobra termiņa, kad visām direktīvas prasībām jau jābūt ieviestām. Turklāt nav iemesla cerēt, ka jaunajā likumprojektā būs ļoti precīzi sniegtas prasības un konkrētu pasākumu saraksts, kas derētu katram uzņēmumam. Katra uzņēmuma situācija ir unikāla, un arī ieguldāmā darba vai finanšu apjoms var būt ļoti atšķirīgs atkarībā no uzņēmuma struktūras, iepriekš ieviestajiem IT drošības pasākumiem un darba specifikas. Veicamo darbu saraksts var būt ļoti plašs – no nelielām izmaiņām IT sistēmās un darbu procesu pārskatīšanas līdz jaunu sistēmu izstrādei un darbinieku apmācībām vai pat jaunu speciālistu piesaistei. Tāpēc savlaicīga vismaz minimālo direktīvas prasību izvērtēšana ļautu novērst nepatīkamus pārsteigumus un liekus izdevumus rudenī.
Uzņēmēji kavējas ar prasību izpildi arī tāpēc, ka diemžēl līdz šim lielākā daļa vadītāju kiberdrošības jautājumus atstāj IT departamenta ziņā. Kļūdainais uzskats, ka organizācijā labi strādājoši IT risinājumi nozīmē garantētu kiberdrošību, var beigties ar krīzi. Kā rāda pēdējo gadu pieredze, uzbrukumi tiek kombinēti vairākos kanālos, arī efektīvi izmantojot “cilvēcisko faktoru”. Tāpēc kiberdrošības riskiem jābūt pārvaldītiem visā uzņēmuma struktūrā, ne tikai IT sistēmu līmenī. Galu galā kiberincidenti rada ne tikai finansiālus zaudējumus, bet arī kaitē uzņēmuma reputācijai un iedragā uzticamību klientu acīs.
Vienādi svarīgi biznesam, valstij un reģionam
Lai gan no pirmā acu uzmetiena NIS2 īstenošana organizācijām nozīmē papildu rūpes, nākotnē tā pavērs ceļu drošākai un ilgtspējīgākai biznesa videi. Uzņēmumi, kas nerūpējas par savu kiberdrošību, riskē pieredzēt dažāda rakstura uzbrukumus: pārņemtu personisko ierīču izmantošanu, nozagtus datus vai informāciju krāpšanai internetā, platformu pārņemšanu neleģitīma satura izplatīšanai un daudzus citus. Paredzams, ka atbilstība NIS2 prasībām biznesa partnerību izvērtēšanā būs vienlīdz svarīga kā šobrīd dažādi ilgtspējas kritēriji. Attiecīgi šis ir arī jautājums par konkurētspējas attīstības perspektīvām.
Turklāt jāņem vērā, ka pašreizējo ģeopolitisko apstākļu kontekstā naidīgiem spēkiem konkrēti mērķi ne vienmēr ir svarīgi – ļoti bieži ar uzbrukumiem vienkārši cenšas radīt haosu sabiedrībā, lai novērstu uzmanību no apkārt notiekošā. Ne velti kibertelpa tiek uzskatīta par piekto karadarbības telpu – militārām operācijām tā ir ne mazāk svarīga par sauszemi, jūru, gaisu un kosmosu.
Tas, cik ātri izdosies uzņēmumus “sakārtot” NIS2 prasību atbilstībai, ir atkarīgs no līdzšinējā kiberdrošības līmeņa uzņēmumā – daļa organizāciju jau ir sasniegušas daudz un gandrīz atbilst galvenajām NIS2 prasībām, citām var nākties tam veltīt pusgadu intensīva darba un daudz finanšu. Pagaidām tikai retais zina un saprot, kas ir NIS2 direktīva, jo informācijas par to ir maz un publiski par to pagaidām bieži nerunā, taču direktīvas ieviešana gaidāma jau 18. oktobrī, un laika nepieciešamo izmaiņu ieviešanai ir palicis kritiski maz.
Autors ir Squalio Latvia IT Drošības risinājumu vadītājs
Pagaidām nav neviena komentāra