„My mamy informatyków”, czyli o problemach operatorów usług kluczowych

Z punktu widzenia firmy doradczej część podmiotów nie do końca zdawały – lub nawet nadal zdaje – sobie sprawę z charakteru wymagań w przepisach odnoszących się do cyberbezpieczeństwa. Należy tu podkreślić fakt, że przepisy o krajowym systemie cyberbezpieczeństwa kładą bardzo duży nacisk na organizacyjny aspekt bezpieczeństwa, przez co ich realizacja raczej nie ogranicza się do osób technicznych w organizacji, a reakcją dużej części podmiotów w zakresie wsparcia we wdrożeniu wymagań ustawy było odwołanie do posiadanych służb IT. Po analizie wymagań, czy dedykowanym audycie wewnętrznym, okazywało się jednak, że niezbędne jest wsparcie zewnętrzne w dostosowanym do organizacji wdrożeniu rozwiązań opartych na normach ISO. Dość wspomnieć, że nierzadko jądrem usługi kluczowej w organizacji okazywał się być obszar automatyki OT, a nie klasycznego IT.

Wymagania organizacyjne odwołujące się do analizy ryzyka, czy wielopoziomowej dokumentacji można oczywiście spełnić na wiele sposób, ale z punktu widzenia firmy najważniejsze, aby – jeśli nie ma takiej potrzeby – nie dokonywać rewolucji oraz na tyle na ile to możliwe spróbować wykorzystać zmiany do uporządkowania wymagających tego procesów. Niekiedy trudny do zrozumienia jest również fakt, że „cyberbezpieczeństwo” to nie tylko atak hackerski, ale również inne czynniki, jak np. utrata zasilania, czy błąd konfiguracyjny. Co najważniejsze to właśnie obszar związany z błędami – ludzkimi – stanowi największe wyzwanie we wdrażaniu bezpieczeństwa technicznego czy organizacyjnego. Stąd istotne jest również wyróżnienie obszaru bezpieczeństwa osobowego, opartego przede wszystkim na budowaniu świadomości.