Nie stać się furtką, przez którą wedrą się hakerzy

17 października 2024 r. upływa dla Polski termin na wdrożenie dyrektywy NIS2, czyli przepisów zobowiązujących podmioty publiczne i przedsiębiorców do zastosowania dodatkowych środków w celu zapewnienia bezpieczeństwa teleinformatycznego.

Na pierwszy rzut oka wydaje się, że NIS2 to kolejny – obok PIT, CIT, ZUS – uciążliwy trzy literowy skrótowiec, który wiąże się z nałożeniem na przedsiębiorców nowych obowiązków i wprowadzeniem kar. Związane z nim powinności, istotne z punktu widzenia bezpieczeństwa państwa, zabierają przedsiębiorcy czas, w którym przecież mógłby rozwijać swój biznes. Czy faktycznie NIS2 to tylko koszt i kolejne płynące z zewnętrz zobowiązanie? A może jednak dbanie o cyberbezpieczeństwo może być częścią biznesu i po prostu się opłaca?

Wyobraźmy sobie, że dochodzi do ataku na zasoby komputerowe naszej firmy. Dane, na których pracujemy, zostają zaszyfrowane, a ja jako dostawca jakichś usług nie mogę przez dwa tygodnie, dopóki nie zapłacę przestępcom okupu, uzyskać do nich dostępu. Mam całkowicie zablokowaną możliwość prowadzenia działalności. Taki atak może zrujnować małe czy średnie firmy.

Przedsiębiorcom podobne scenariusze kojarzą się tylko z filmami; zwykle są przekonani, że ich firmom nic takiego się nie przydarzy. Jednak liczba organizacji dotkniętych w Polsce atakami ransomware rośnie każdego roku (w 2022 r. CERT Polska odnotował 85 takich incydentów, w 2023 r. – już 161). Dlatego tak istotne jest podniesienie odporności firm na ataki, obecność wyszkolonego specjalisty, który dba o bezpieczeństwo systemów, przestrzeganie i doskonalenie procedur ochronnych. Można to, oczywiście, nadal postrzegać jako rodzaj obowiązku, dodatkowy koszt, który dla dobra firmy trzeba ponieść. Jednak NIS2 to nie tylko obowiązki, ale dla wielu małych i średnich firm przede wszystkim szansa.

Nowe regulacje będą musiały wprowadzić przede wszystkim podmioty kluczowe i ważne dla funkcjonowania gospodarki. NIS2 nakłada na te przedsiębiorstwa m.in. konieczność zapewnienia bezpieczeństwa łańcucha dostaw. I tutaj otwierają się perspektywy dla mniejszych firm. Wszyscy dostawcy, choćby papieru do drukarki, czy usługodawcy, łącznie z serwisem sprzątającym, będą musieli spełnić wymogi dotyczące cyberbezpieczeństwa. Nie mogą być dla odbiorcy tych dostaw wektorem ataku, czyli „furtką”, przez którą przestępcy dostaną się do systemu.

Co zrobi prezes, który zatrudnia 30–50 tys. pracowników i musi przetransferować obowiązek dbania o bezpieczeństwo na zewnątrz? Kogo w tej sytuacji wybierze? Firmę, która daje gwarancję, że właściwie zadba o cyberbezpieczeństwo jego przedsiębiorstwa.

Pomyślmy, ilu stałych dostawców, usługodawców, kooperantów potrzebuje takie przedsiębiorstwo. Te firmy same muszą być cyberbezpieczne, aby współpracować z podmiotem, który jest objęty regulacjami NIS2. Jak mają tego dowieść, że są cybezbezpieczne?

Rozwiązaniem jest dobrowolna certyfikacja dotycząca: organizacji cyberbezpieczeństwa w firmach, kompetencji osób czy bezpieczeństwa produktów i systemów IT. Polska jest częścią globalnego systemu certyfikacji, czyli certyfikat wydany w Polsce jest uznawany w Europie i na świecie.

Jak to działa w praktyce? Jeżeli ja, nawet jako mały przedsiębiorca, zdobędę certyfikat CC, to firma z Hiszpanii czy ze Szwecji, która będzie poszukiwała zewnętrznego dostawcy, przychylnie spojrzy na moją ofertę. Bo będzie miała gwarancję, że moja firma poważnie podchodzi do kwestii cyberbezpieczeństwa swoich procesów i produktów. Może to się stać elementem przewagi konkurencyjnej, pozwalającym wyżej wyceniać produkty i usługi i wygrywać walkę o pozycję na rynku. Często może to być również warunek współpracy z nami jako dostawcą. ©℗