Законовите изисквания

"Когато говорим за данни и за киберсигурност, винаги трябва да подхождаме с ясното съзнание, че неприкосновеността на данните и личния живот е крайъгълният камък, фундаменталното човешко право, около което всъщност възниква и се развива киберсигурността като отделна сфера на регулация. Киберсигурността е функция на правото за неприкосновеност и е основа за защита на това основно право, поради което темите вървят ръка за ръка", подчертава Никола Стойчев, съдружник в "Димитров, Петров и Ко.".

Към момента у нас ключово място намират съществуващите актове в областта на защитата на данните (напр. GDPR и ЗЗЛД), но те далеч не са единствените. По думите на експерта съществуват редица регулации, налагащи различни организационни, технологични и технически мерки защита на инфраструктурата. А именно става дума за Закона за киберсигурността (ЗК), Закона за електронното управление, Закона за електронните съобщения, както и няколко наредби за минималните изисквания за мрежова и информационна сигурност и други. В допълнение множество задължения за защита на инфраструктура имат и тесен кръг лица в определени сектори, които управляват критична инфраструктура и обекти, вкл. т. нар. европейска критична инфраструктура.

Стъпвайки на тази основа, можем да обобщим кои са и основните изисквания, на които компаниите в частния и публичния сектор трябва да отговорят:

• Извършване на анализ и оценка на риска за мрежовата и информационната сигурност.
• Инфраструктурата да се поддържа по такъв начин, който гарантира, че системите, изпълняващи различни функции, са разделени и изолирани помежду си физически и/или логически.
• Наличие на политики относно използването на лични технически средства, записващи устройства, USB и т.н.
• Използване на криптографски механизми, защита на профили с административни права, поддържане на актуален софтуер и фърмуер, достъп да се дава на принципа на строга необходимост и т.н.

Експертът подчертава, че с прилагането на тези и други мерки всяка компания в голяма степен ще бъде в съответствие с правилата за прилагане на технически и организационни мерки по GDPR. "Разбира се, конкретните мерки винаги ще зависят от естеството на дейността на компанията, възможностите (финансови, технологични и др.), оценката на риска при обработването на данни и други фактори", изтъква Стойчев. Той припомня, че вече е одобрена и европейска схема за сертифициране на компании за съответствие с GDPR.

В допълнение трябва да се отбележи, че Законът за киберсигурност предвижда и спазване на редица стандарти за сектора. С други думи, различните мерки за сигурност следва да се прилагат съобразно определени международни стандарти (напр. БДС ЕN ISO/IEC 27000, 27001 и 27002, БДС ISO 31000, ISO/IEC 11770-1ETSI TS 102 165-1 и много други), съветите на производители и доставчици на софтуер и хардуер, както и с добрите практики, препоръчани от водещи в областта на сигурността организации.

Не на последно място, наскоро Комисията за регулиране на съобщенията също прие Правила за минималните изисквания за сигурност на обществените електронни съобщителни мрежи и услуги и методи за управление на риска за тяхната сигурност. Те засягат не само телеком операторите, а частично и трети лица като доставчици на оборудване и услуги. Последните ще трябва да спазват различни изисквания при сключване на договори, включително адекватни мерки за защита на данни, изисквания за сигурност и достъп на представители и други.

Стига ли това?

Достатъчни ли са обаче тези регулации, за да бъде бизнесът наистина защитен, да се предпази от злонамерените актьори и да предотврати сериозни финансови, имиджови и оперативни щети? Вероятно отговорът се крие във факта, че тепърва предстоят да се въвеждат допълнителни изисквания на национално и европейско ниво през следващите 1 до 3 години. Ключово място в тази връзка заема втората Директива за мрежова и информационна сигурност (NIS 2).

"Нови правила с по-широк обхват на действие ще бъдат въведени с транспонирането на втората Директива за мрежова и информационна сигурност (NIS 2). Тя ще засяга по-голям кръг от лица от частния сектор в сравнение с кръга по Закона за киберсигурността - като ще се разшири до всички средни и големи компании в сектори енергетика, транспорт, банково дело, здравеопазване, цифрова инфраструктура (напр. доставчици на DNS услуги, регистри на имената на домейни от първо ниво, доставчици на облачни услуги, центрове за данни), публична администрация, различни производители и други. В някои сектори като този на телекомуникациите пък задълженията ще обхванат и малките, и микропредприятията", обяснява Стойчев.

Предвижда се NIS 2 да бъде приета до края на годината или най-късно в началото на 2023 г., след което България ще има 21 месеца да я въведе, като новите изисквания ще бъдат обхванати с изменения в Закона за киберсигурността. Санкциите, които се предвиждат за нарушения, са сходни на тези в GDPR - до 10 млн. евро или до 2% от общия световен годишен оборот на предприятието, която от сумите е по-голяма.

Отделно предстои приемане на секторен Регламент относно оперативната устойчивост на цифровите технологии във финансовия сектор, както и Директива относно устойчивостта на критичните субекти и други. Междувременно пък Агенцията на Европейския съюз за киберсигурност работи по първата европейска схема за сертифициране на киберсигурността. По нея ще бъдат оценявани продукти, услуги и процеси на информационните и комуникационните технологии за съответствие спрямо специфичните изисквания за защита.

Регулациите като риск

Едва ли можем да поставим под съмнение факта, че въвеждането на повече регулации в сферата на киберсигурността ще донесе редица ползи както на обществото като цяло, така и на всеки отделен бизнес. "Наличието на хармонизирани изисквания на ниво ЕС ще осигури предвидимост и сигурност за гражданите, за ползваните обществени услуги, ще подобри общата среда и готовност за реакция в случай на заплахи за киберсигурността", посочва Стойчев.

В същото време компаниите ще могат да се радват на по-голяма устойчивост, последвана от успешно развитие и доволни партньори и клиенти. Според експерта мерките позволяват уязвимостта да се сведе до наистина сериозни атаки, тъй като по-голямата част от кибернападенията са слаби по интензитет и не особено сложни. Съответно лесно могат да бъдат предотвратени със сравнително базови защити и познаване на опасностите.

Уловката обаче се крие в това, че изискванията трябва да са ясни и сравнително лесни за изпълнение. А балансът понякога е труден за постигане, особено когато изисква властите да са кооперативни и по-често да дават възможност за отстраняване на по-дребни нарушения, преди да пристъпят към санкции; както и при необходимост да предоставят своевременно тълкуване на спорни въпроси.

Освен това регулациите сами по себе си създават допълнителна тежест за бизнеса, тъй като налагат да се инвестират значителни финансови и човешки ресурси за подготовка и дългосрочно спазване на изискванията. Например те внасят нови административни задължения за изготвяне на вътрешни документи като политики, процедури, оценки и т.н.

Крачки в правилната посока

Независимо от предизвикателствата, съпътстващи гарантирането на съответствие, не трябва да забравяме причината за въвеждането на мерките - а именно опасността и сериозните вреди, които кибератаките нанасят.

На фона на предстоящите нови регулации определено всяка компания трябва да обърне поглед към вътрешните си процеси, за да идентифицира пропуски в дейността си, които могат да я изложат на риска. Стойчев препоръчва да се започне от проверка на спазването на изискванията на GDPR за осигуряване на технически и организационни мерки за защита (в това число изготвяне на вътрешна документация).

"Компаниите, които не са направили анализи или имат съмнения, е препоръчително да проверят дали не попадат в обхвата на ЗК или други приложими актове. Ако се окаже, че това е така, съответно трябва да пристъпят към прилагане на тези изисквания. За компаниите пък, които не са в обхвата на ЗК, е препоръчително да започнат полека да внедряват различни мерки за защита", съветва експертът. По този начин те не само ще бъдат подготвени срещу кибер- и физически атаки, но също така ще бъдат в крак с влизането в сила на NIS 2 и редица други актове, касаещи специфични сектори.

Това важи в пълна степен за организациите, които попадат в обхвата на новите изисквания, както за доставчици на различни продукти/услуги на задължени лица по NIS 2 и другите специфични секторни актове. "Последните ще трябва да се подготвят за проверки и искания на информация от лицата в обхвата на NIS 2 и други актове (напр. телеком оператори) и ще трябва да могат да гарантират и доказват, че са налице ефективни, документирани процеси за управление на рисковете за сигурността, свързани с предлаганите от тях продукти/услуги", отбелязва Стойчев.

Все пак големият въпрос остава - стигат ли тези регулации и допринасят ли за повишаване на киберсигурността? Наличието на законови изисквания е важна стъпка в правилната посока, но тя рядко е достатъчна. Мерките трябва да се спазват, а тези, които не полагат достатъчно усилия, да бъдат санкционирани. В противен случай ще имаме добре разписани регулации на хартия, които обаче не се отразяват в реалния и виртуалния свят.