Na pewno są też tacy klienci, których – próbując coś im sprzedać – niczym nie można przestraszyć…

Mirosław Mycek Spotkałem klienta, który był bardzo pewny siebie, twierdząc, że jest zabezpieczony i żadne argumenty do niego nie trafiały. Mówił, że ma spisany cały szereg procedur, więc nawet jakby wszyscy w jego firmie przestali pracować, to on na podstawie dokumentacji jest w stanie uruchomić nowy zespół, a cała operacja będzie bezpieczna i bezbolesna. Po analizie jego polityk i zabezpieczeń, jakie stosował, wykazaliśmy, że nie było u niego tak dobrze, jak mu się wydawało. I wcale nie próbowaliśmy go straszyć, pokazaliśmy, gdzie ma luki i zagrożenia oraz wskazaliśmy na rozwiązania, które mogą go zabezpieczyć przed sytuacjami, których nie przewidział. Niekiedy klientowi trudno być na bieżąco z tym, co się dzieje na rynku i w branży, dlatego warto pokazać mu, że nie ma jednego rozwiązania, które jest w stanie załatwić wszystko. Trzeba poprawnie wdrożyć co najmniej kilka i wiedzieć jak z nich korzystać. Dlatego kluczowa jest edukacja i to jest zadanie dla integratorów.

Karol Kij Właśnie z punktu widzenia integratora mogę podzielić się spostrzeżeniem, że niestety przedsiębiorstwa nie postrzegają bezpieczeństwa całościowo. Potrafią wziąć jeden element od jednego integratora (bo było taniej), inny od drugiego (bo coś można było szybciej wdrożyć), a potem nic ze sobą nie współpracuje. Wtedy pojawia się trzeci integrator, który proponuje zintegrowanie wszystkiego, ale to się nie udaje. Często nie ma strategii, której wynikiem byłby konsekwentny i spójny proces tworzenia zabezpieczeń. Zamiast tego kupuje się je punktowo, by odhaczyć pozycję na liście. Dlatego na początku rozmowy z klientami przekonuję ich, że nie da się kupić 2 kilogramów bezpieczeństwa, wdrożyć je i zapomnieć. Ta praca nigdy się nie skończy.

Mirosław Mycek I dlatego powinniśmy pokładać nadzieję w regulacjach, które nie tylko wymuszą zakup określonego rozwiązania, ale także to, by zostało wdrożone poprawnie i działało.

  Rzeczywiście, temat regulacji, z racji zapisów NIS 2, a po naszemu ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest i będzie w nadchodzących miesiącach wiodący. Jak to wpłynie na rynek cyberbezpieczeństwa?

Paweł Wojciechowski W perspektywie długoterminowej regulacje przynoszą bardzo pozytywny rezultat, bo ostatecznie świadomość o znaczeniu cyberbezpieczeństwa trafia na poziom zarządu. Decydenci muszą się zastanowić, jakie jest ryzyko, z czym jest związane, ile muszą za to zapłacić… Z tym, że może nie od razu ruszą z zakupami – przykładem niech będzie RODO, w wypadku którego na początku był z dużej chmury mały deszcz. Jednak przecież, po pewnym czasie, świadomość konieczności ochrony danych osobowych stała się powszechna. Tak samo może być w przypadku NIS 2. Póki co – jak wynika z naszych badań – mało firm w ogóle orientuje się, czy ustawa w ogóle je obejmie.

Karol Kij Sytuacja bardzo się zmienia. W przypadku pierwszego NIS definicja tego, kogo miała obejmować ustawa, była ustalana arbitralnie, przez poszczególne państwa. Tymczasem NIS 2, czyli ustawa o Krajowym Systemie Cyberbezpieczeństwa, już takiej możliwości nie daje. Są konkretne kryteria, których kraj członkowski nie może zmienić i ograniczyć, a jedynie je rozszerzyć. Zupełnie odwrócony jest też proces dołączania do KSC – firma musi sama się określić, czy ma być objęta ustawą. A podmiotów kwalifikujących się będzie znacznie więcej i w dodatku obejmie to też ich łańcuch dostaw.

Beata Kwiatkowska Moim zdaniem w NIS 2 znalazły się takie zapisy, które wreszcie zmotywują poszczególne organizacje, a przede wszystkim ich zarządy. Liczę szczególnie na te paragrafy, które mówią o osobistej odpowiedzialności kierownictwa. Nie będą to już tylko kary nałożone na organizację, a prawda jest taka, że każdy zarząd ma rezerwę firmową, odłożoną na wypadek takich zdarzeń, albo ubezpieczenie. Indywidualna, osobista odpowiedzialność i to zarówno materialna, jak i funkcyjna, powinna zmienić podejście. Przecież ktoś może w konsekwencji incydentu stracić stanowisko i otrzymać zakaz sprawowania podobnych funkcji przez określony czas. A to może zaboleć. Wizja tego może wreszcie spowodować, że zarządy zaczną słuchać swoich własnych i zewnętrznych „bezpieczników”.

Paweł Wojciechowski Przepisy są znane już od dłuższego czasu, ale wiele firm wstrzymuje się do czasu wejścia w życie legislacji. Nie wiadomo też jak długie będzie vacatio legis. My rekomendujemy, żeby z tym absolutnie nie zwlekać. Bo najpierw nauczenie się nowych przepisów, a potem dostosowanie się w pełni do ustawy KSC to nie będzie krótki okres. W trzy miesiące się tego nie da załatwić. A już wiadomo, że wiele firm nie będzie w stanie sobie z tym poradzić samemu i będzie zmuszona zwrócić się po pomoc do integratorów. Dlatego właśnie integratorzy muszą już być gotowi. Powinni znać KSC, a więc wiedzieć jakie narzędzia i procesy chcą klientowi zaproponować. Kiedy więc klienci się w końcu obudzą, wygrają ci partnerzy, którzy mają pomysł i są w stanie zapewnić sobie skalowalność.

  Czyli można spodziewać się ruchu w interesie w związku z NIS 2, ale nie od razu? Wspomniane RODO raczej nie spełniło pokładanych przez branżę nadziei na duży wzrost sprzedaży…

Mirosław Mycek Pamiętam, jak kilka lat temu klienci interesowali się, czy nasz produkt jest „zgodny z RODO”. Przede wszystkim pokazywało to brak zrozumienia istoty ustawy i sposobów osiągania z nią zgodności. W związku z tym trzeba było tłumaczyć klientom, jak działa nasze rozwiązanie i jak pozwala zwiększyć bezpieczeństwo, by problemów z RODOnie było. Ostatecznie jednak trzeba przyznać, że ustawa trochę ten rynek popchnęła do przodu, nawet jeśli oczekiwania były większe.

Jerzy Trzepla W przypadku dyrektywy NIS 2 – podobnie jak było z RODO – wiele firm i instytucji, przynajmniej na początku, nie zainwestuje w rozwiązania bezpieczeństwa, tylko wprowadzi procedury. Jakiś ekspert się pod tym podpisze, rzecz zostanie odhaczona i przygotowana na wizytę audytora. Jednak mimo to pokładam w ustawie ogromną nadzieję, że po jakimś czasie pójdą za nią konkretne działania, obejmujące wiele podmiotów. Powinien wystąpić efekt kuli śnieżnej, choć uważam, że nie stanie się to w perspektywie miesięcy, tylko lat.

Beata Kwiatkowska Rzeczywiście w przypadku RODO był wysyp firm, które oferowały procedury „na półkę” za 750 zł. Wielu klientów z tego skorzystało, tylko po to, żeby mieć podkładkę dla audytora. Tymczasem oferty z prawdziwego zdarzenia kosztowały kilkanaście razy więcej. Jeśli chodzi o oczekiwania wobec NIS 2, to trzeba wspomnieć o obietnicach Ministerstwa Cyfryzacji, dotyczących zwiększenia wydatków na cyberbezpieczeństwo oraz o funduszach z KPO.

Paweł Wojciechowski Tym, co powinno zachęcać do osiągania zgodności jest także to, że NIS 2 to nie tylko groźba kar. Niewiele mówi się o tym, że podmiot objęty ustawą będzie mógł korzystać z wyników monitoringu bezpieczeństwa danej branży, który prowadzić będą specjalnie powołane do tego organizacje. To jest wpisane w ustawę, a więc mamy nie tylko kij, ale też marchewkę.