Г-н Христов, всеки малък и среден бизнес ли трябва да инвестира допълнително в киберзащита? Какво казва законът?
По правило директивата NIS2 и Законът за киберсигурност обхващат организации, които отговарят едновременно на два критерия: работят в някой от 18-те регулирани сектора и поне един от следните прагове - над 50 служители или годишен оборот или баланс от над 10 млн. евро.
Но има важно изключение, което засяга малкия и среден бизнес. Ако една малка компания е много под тези прагове, но е определена като критична за съответния регион или общност, или пък е част от веригата на доставки на регулиран сектор, то тя също трябва да изпълнява новите изисквания за киберсигурност. Най-малкото, за това ще настояват нейните партньори.
В днешната реалност един енергиен, или транспортен холдинг, или пък държавно предприятие или община, не може да си позволи да работи с доставчик, който не се е подсигурил добре срещу новите киберзаплахи.
Доколко вашите решения за този сегмент клиенти са съобразени с бюджетните ограничения в този сегмент? Как осигурявате постоянно обслужване?
Независимо от дейността и размера на компанията, GAP анализът, който показва от каква изходна точка тръгваме, е задължителен.
Стартираме процедурата с два въпросника, които да помогнат и на двете страни да се ориентират в готовността и зрелостта на организацията.
В зависимост от извлечената информация нашият екип разработва анализ, като оценяваме действащите политики и процедури – какво липсва, какво има нужда от актуализация. Преглеждаме техническите контроли — мрежовата архитектура, кой до какво има достъп в компанията, има ли резервни копия на корпоративните данни.
В много случаи в малките и средни фирми липсват процеси за управление на инциденти – правим препоръки за въвеждането им. Правим преглед и на веригата на доставки, защото пробойни може да има и оттам. И разбира се, обучаваме екипа, от ръководството, до всеки един служител за потенциалните заплахи – как да не ги допуснат и как да реагират, ако настъпи киберинцидент.
На финала на анализа на Vivacom клиентът има пълната картина – и съответно може да вземе правилно решение как да продължи. Ние оставаме до компанията и в следващия етап. Не с шаблон, а с конкретен план, съобразен с индивидуалните й нужди. И съобразяваме решението с ресурсните възможности на клиента и капацитета на екипа му. Предлагаме и абонаментна услуга, която позволява на по-малките фирми да превръщат големите еднократни инвестиции в разсрочени във времето плащания. Така могат да работят без непосилна финансова тежест и в същото време да спокойни за киберсигурността си.
Има ли сектори от малкия и среден бизнес, които са особено уязвими и трябва да обърнат повече внимание на новите заплахи?
Моята препоръка е всички да се подготвят за новите заплахи, защото в повечето случаи те са въпрос на време – и не подбират.
Компаниите трябва да знаят какво изисква законът. А именно - съответствие не с технически спецификации, а с резултати и отговорности. Трябва да докажат, че
управляват правилно риска, че реагират адекватно на инциденти и взимат мерки да няма прекъсване на бизнеса.
Това включва да въведат политики и вътрешни процеси и да са напълно наясно, че отговорността вече стига до най-високите ръководни нива в компанията. За критичните сектори, които са в обхвата на NIS2, санкциите при киберинциденти могат да стигнат до 2% от оборота на фирмата.
Разбира се, важно е да се обезпечи мрежовата сигурност, за което Vivacom предлага съвременни решения, вкл. EDR, SIEM, криптиране и backup. Според новия закон, при успешна кибератака потърпевшата организация трябва да информира институциите в рамките на 24 часа, до 72 часа да представи подробен доклад, а до месец да е готова с пълен анализи и план за действие в бъдеще. В противен случай предстоят тежки глоби и имиджови щети.
Всяка компания трябва да направи оценка на своите ИТ доставчици, да има готови планове за бързо възстановяване от киберинциденти – и да ги тества редовно. И не на последно място, екипът трябва да е обучен – и СЕО-то носи лична отговорност и за това. Публична тайна е, че най-честата причина една кибератака да успее, е пробивът отвътре. Неслучайно услугите и решенията на Vivacom включват и мерки за физическа сигурност, свързана с достъпите до помещения.
Как можете да съдействате на клиенти, в които техническата експертиза на служителите им не е достатъчно добре развита?
Преди да предложим каквото и да е решение, технология или услуга на клиента, слушаме, анализираме, опознаваме екипа и експертизата му. Всички компании са различни, затова е толкова важен индивидуалният подход на Vivacom.
Считаме, че киберсигурността е въпрос на екипна работа между този, който осигурява защитата и този, който се защитава. В момента, в който дадем оценка на готовността на клиента, участваме активно в разпределянето на функции и роли в екипите. И където е необходимо, подготвяме вътрешните екипи с допълнителни обучения. И сме близо до клиента толкова дълго, колкото е необходимо.
