Despre igiena cibernetică este mai ușor de vorbit/scris decît de pus în practică.

Lucrurile sînt de fapt asemănătoare cu igiena fizică: există un număr relativ mic de cauze fundamentale (root cause) pentru îmbolnăvirea noastră din cauza lipsei de igienă corporală. Implementare unor reguli simple (să ne spălăm pe mîini, de exemplu) pot preveni boli grave și impactul acestor boli. Igiena limitează probabilitatea de a ne îmbolnăvi dar nu o elimină!

Cam așa stau lucrurile și în cazul igienei cibernetice: îngreunează rata de succes a atacatorilor și reduce daunele potențiale.

Directiva NIS2, în Art. 21 (2) care prezintă măsurile minime de gestionare a riscurilor, enumeră la litera (g) următoarea obligație a entităților:

practici de bază în materie de igienă cibernetică și formare în domeniul securității cibernetice;

Această cerință include două lucruri distincte:

1. practici de bază în materie de igienă cibernetică
2. formare în domeniul securității cibernetice;

Despre ”practici de bază” aflăm lămuriri din considerentele directivei:

(49) Politicile de igienă cibernetică asigură baza pentru protecția infrastructurilor de rețele și sisteme informatice, pentru securitatea hardware, software și a aplicațiilor online, precum și pentru protecția datelor întreprinderilor sau ale utilizatorilor finali pe care se bazează entitățile. Politicile de igienă cibernetică care cuprind un set de practici de referință comun, inclusiv actualizări de software și hardware, modificări ale parolelor, gestionarea noilor instalări, limitarea conturilor cu acces la nivel de administrator și copierea de rezervă a datelor, permit un cadru proactiv de pregătire și de siguranță și securitate generale în caz de incidente sau amenințări cibernetice.

(89) Entitățile esențiale și entitățile importante ar trebui să adopte o gamă largă de practici de bază în materie de igienă cibernetică, cum ar fi principii „încredere zero”, actualizări ale software-ului, configurarea dispozitivelor, segmentarea rețelelor, gestionarea identității și a accesului sau sensibilizarea utilizatorilor, să organizeze cursuri pentru personalul lor și să crească gradul de informare cu privire la amenințările cibernetice, phishing sau tehnici de inginerie socială. În plus, entitățile respective ar trebui să își evalueze propriile capacități în materie de securitate cibernetică și, atunci când este cazul, să urmărească integrarea tehnologiilor de îmbunătățire a securității cibernetice, cum ar fi sisteme de inteligență artificială sau de învățare automată pentru a consolida capacitățile proprii și securitatea rețelelor și a sistemelor informatice.

Pentru a doua cerință, formarea în domeniul securității cibernetice, mergem la Art. 20 – Guvernanța:

Statele membre se asigură că membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat.

Cerința de mai sus ar putea fi intrepretată limitativ că făcînd referire doar la instruire în domeniul ”managementului riscurilor” (metode, standarde, instrumente). Cred că o astfel de limitare este greșită. Articolul de mai sus spune că pe lîngă a ști cum se face tehnic o evaluare de riscuri, ”organele de conducere” trebuie să aibă capacitatea de a evalua și ”măsurile de gestionare a riscurilor” care sînt enumerate în Art. 21. Îmi susțin această afirmație citînd tot din Art. 20:

organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitățile respective pentru a se conforma articolului 21, supraveghează punerea în aplicare a acestuia și pot fi trase la răspundere pentru încălcarea de către entități a respectivului articol.

Spus altfel, ”organul de conducere” este ”accountable” pentru tot ce înseamnă securitate…..adică igienă