Ustawa o cyberbezpieczeństwie już działa. Od razu mamy wielki problem
Ustawa o Krajowym Systemie Cyberbezpieczeństwa - nasza lokalna implementacja dyrektywy NIS2 - przestała być abstrakcyjnym projektem, a stała się obowiązującym prawem. Jest problem, a nawet kilka.
O NIS2 słyszało już 91 proc. średnich i dużych przedsiębiorstw, to według raportu „Incydenty pod kontrolą” tylko 19 proc. uważa, że faktycznie spełnia jej wymagania. Reszta? Cóż, średnia samoocena gotowości na poziomie 3,27/5 mówi sama za siebie.
To rewolucja w tym, jak firmy muszą zarządzać bezpieczeństwem - i przede wszystkim urządzeniami, które w tej infrastrukturze pracują. Nie można zabezpieczyć tego, nad czym nie sprawuje się kontroli . A dziś kontrola nad flotą urządzeń to nie miły dodatek, a obowiązek.
Czytaj też:
KSC: pełna kontrola albo pełne konsekwencje
Nowe przepisy wymagają od firm nie tylko deklaracji, że dbają o bezpieczeństwo. Trzeba to udowodnić - i to w sposób ciągły. Monitoring urządzeń w czasie rzeczywistym, MFA, aktualizacje, zarządzanie podatnościami, rejestrowanie incydentów, dokumentacja środków ochrony. Teraz to dotyczy także średnich firm, a w praktyce - każdego, kto wpadł w zakres KSC.
A jeśli ktoś uzna, że „jakoś to będzie”? Cóż, ustawodawca przewidział scenariusz „jakoś”. I nie jest on przyjemny. Kary dla podmiotów kluczowych mogą sięgać 10 mln euro lub 2 proc. globalnego obrotu, a dla podmiotów ważnych - 7 mln euro lub 1,4 proc. obrotu. Co więcej, odpowiedzialność nie kończy się na firmie. Członkowie zarządów mogą dostać grzywnę do trzykrotności miesięcznego wynagrodzenia, a nawet zakaz pełnienia funkcji kierowniczych. W skrajnych przypadkach - również odpowiedzialność karna.
MDM jako fundament zgodności. Nie moda, nie fanaberia - konieczność
W tym kontekście centralne zarządzanie urządzeniami (MDM) przestaje być technologiczną ciekawostką, a staje się narzędziem pierwszej potrzeby. Ekspert iMad, Mariusz Pik, tłumaczy: trzeba wiedzieć, jakie urządzenia działają w sieci, jaki jest ich stan bezpieczeństwa, czy mają włączone wymagane mechanizmy ochrony i czy są zgodne z polityką firmy.
„Takie podejście umożliwia administratorom zdalne wymuszanie aktualizacji, stosowanie MFA, wdrażanie polityk bezpieczeństwa czy blokowanie urządzeń, które trafiły w niepowołane ręce” - mówi Pik . To sposób na spełnienie wymogów KSC bez rozbudowywania działu IT do rozmiarów małej armii.
Wszystko wskazuje na to, że nadchodzące miesiące będą czasem intensywnego porządkowania firmowych środowisk IT. Dla jednych będzie to ból głowy, dla innych - okazja do modernizacji, której i tak potrzebowali. W każdym razie zarządzanie urządzeniami przestało być opcją. Stało się obowiązkiem, a w praktyce = fundamentem cyfrowej higieny organizacji. I jeśli ta zmiana ma przynieść coś dobrego, to może właśnie to: koniec chaosu, początek porządku. A przy okazji trochę mniej nerwowych telefonów do działu IT.
