Wojna, hakerzy, dyrektywa NIS2 – ciągłość działania biznesu staje się podstawą jego prowadzenia

Tak naprawdę wszyscy przedsiębiorcy czy menadżerowie, choćby intuicyjnie, umieją zdefiniować czym jest „ciągłość działania biznesu”, a także przyznać, że jej zapewnienie jest kluczowe dla funkcjonowania ich organizacji. Tymczasem już pandemia pokazała, jak wiele firm, i to nie tylko z sektora MŚP, nie posiada jasnych procedur i wytyczonych ścieżek decyzyjnych na wypadek sytuacji nadzwyczajnych. „Po pierwsze — edukujmy, bo ta kwestia dotyczy obecnie naprawdę każdej firmy, i to nie tylko w kontekście wojny na Ukrainie czy wzmożonej aktywności cyberprzestępców, ale także nadchodzących zmian w prawie UE” – podkreślają eksperci.

CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU: CZYM JEST I JAK ZAPEWNIĆ CIĄGŁOŚĆ DZIAŁANIA BIZNESU? DLACZEGO W PEIRWSZEJ KOLEJNOŚCI NALEŻY ZADBAĆ O PROCEDURY I PRACOWNIKÓW? CZYM GROZI BRAK STRATEGII CIĄGŁOŚCI DZIAŁANIA? CO O CIĄGŁOŚCI DZIAŁANIA BIZNESU MÓWI NOWA DYREKTYWA UE?

„To nie dotyczy naszej branży”, „Jesteśmy zbyt małą firmą, by się tym przejmować”, „Zadbaliśmy o podstawowe zabezpieczenia i dotychczas nas one nie zawiodły” — to najczęstsze metody racjonalizacji braku wypracowania kompleksowego systemu ciągłości działania. Za tym terminem kryją się wszystkie procesy, polityki i procedury, umożliwiające nieprzerwane funkcjonowanie danej firmy w obliczu niespodziewanych awarii, katastrof czy incydentów bezpieczeństwa. A ostatnie lata nauczyły nas, że niczego nie możemy być pewni — zarówno jako obywatele, jak i przedsiębiorcy. Często więc racjonalizacja przeobraża się w wyparcie, a to już prosta droga do potencjalnej katastrofy.

Prosta instrukcja ciągłości działania biznesu

Zapewnienie ciągłości działania biznesu w rzeczywistości nie jest wiedzą tajemną ani nadmiernie skomplikowaną. Stanowi ono zbiór powiązanych ze sobą mechanizmów i działań, takich jak Disaster Recovery Plan¹, backup² czy MetruCluster³, o których pisaliśmy już wielokrotnie, z jednym zastrzeżeniem: wbrew pozorom, nie chodzi tu tylko o kwestie techniczne czy informatyczne, ale cały proces decyzyjny i tzw. czynnik ludzki.

Aby firma mogła uniknąć przestoju bądź zminimalizować jego czas i koszty, potrzebni są bowiem dostępni i przeszkoleni pracownicy, dysponujący odpowiednimi kwalifikacjami, niezbędną dokumentacją oraz jasnymi procedurami działania w sytuacjach nadzwyczajnych. Istotna jest także obecność osób upoważnionych do wydawania konkretnych, niekiedy natychmiastowych instrukcji, wyposażonych w potrzebną do tego wiedzę i pełnomocnictwa. Nie bez znaczenia jest również stały kontakt z partnerami biznesowymi, podwykonawcami, wreszcie — klientami, w celu ewentualnej koordynacji działań i uniknięcia ewentualnych strat finansowych czy wizerunkowych.

Dopiero posiadając odpowiednie zaplecze kadrowe i wypracowane procedury uwzględniające podział obowiązków i kompetencji, możemy przystąpić od solidnej i rzetelnej analizy ryzyka oraz zbadania wpływu ewentualnej awarii na działanie firmy na wszystkich możliwych płaszczyznach (poszczególnych działów, obsługiwanych systemów czy aplikacji etc.). Podstawowym pytaniem, na które odpowiada takowa analiza, brzmi: „Czy nasza firma w sytuacji nadzwyczajnej zdoła ciągle funkcjonować normalnie oraz na jakie ewentualne straty możemy sobie pozwolić?”.

Odpowiedzią jest oczywiście abecadło cyberbezpieczeństwa, czyli reguła 3-2-1-1-0 (posiadanie co najmniej 3 kopii swych danych, na co najmniej 2 różnych nośnikach, z czego 1 musi znajdować się poza siedzibą firmy, najlepiej w trybie offline, a więc w oddzielonej od sieci i infrastruktury IT). Posiadanie odpowiednio zabezpieczonych i przechowywanych danych pozwala z kolei ustalić czas, w jakim należy przywrócić procesy po wystąpieniu awarii RTO (ang. Recovery Time Objective), oraz akceptowalny poziom utraty danych wyrażony w czasie RPO (ang. Recovery Point Objective)⁴.

Mówiąc prościej: RPO określa częstotliwość, z jaką powinna być wykonywana kopia zapasowa danych. W zależności od rodzaju działalności biznesowej może okazać się, że taki backup wystarczy wykonać raz na kilka dni, jednak dla wielu branż utrata danych z okresu nawet kilku sekund nie będzie jednak akceptowalna. Natomiast RTO odpowiada na pytanie, ile czasu zajmie przywrócenie stanu systemu sprzed awarii. Tak jak w przypadku RPO, wiele zależy od specyfiki danego przedsiębiorstwa — czas płynie nieco inaczej dla małej firmy księgowej obsługującej jednego, wyrozumiałego klienta, aniżeli sklepowi internetowemu, którego fani, natrafiając na niedziałającą stronę, natychmiast zrobią zakupy u konkurencji.

Główne grzechy w planowaniu ciągłości działania

Jak przekonują eksperci, główny problem nie leży w niechęci firm do podejmowania tematu ciągłości działania biznesu, ale w błędnym przekonaniu, że są już one dostatecznie przygotowane na wszelkie możliwe ewentualności — gdy tymczasem ich systemy zabezpieczeń nadal pozostawiają wiele do życzenia.

Coraz więcej przedsiębiorstw decyduje się obecnie na współpracę z zewnętrznymi, profesjonalnymi operatorami, dysponującymi nowoczesną, bezpieczną infrastrukturą i wykwalifikowaną kadrą do zarządzania ich danymi. Jednak warto jeszcze przed wyborem danego rozwiązania przeprowadzić konieczne zmiany w strukturze własnej organizacji. Ustalenie procedur, szkolenia pracowników, określenie ścieżki decyzyjnej — to podstawowe kroki, których podjęcie może wyraźnie wzmocnić odporność firmy na potencjalne zagrożenia.

Przestrogą może być przykład pewnego ośrodka medycznego, którego własna strategia ochrony przed niespodziewanymi sytuacjami ograniczała się do wykonywania raz dziennie kopii zapasowej samych danych do popularnej chmury dla dedykowanej wszystkim użytkownikom internetu, rezygnując z bardziej skomplikowanych, choć skuteczniejszych zabezpieczeń.

Rzeczywistość brutalnie zweryfikowała postawę zarządu przychodni — zarówno baza główna, jak i kopia zapasowa instytucji zostały zaszyfrowane, w związku z czym firma musiała przejść na całkowicie analogową obsługę pacjentów, zaś lekarze mieli problem z wypisywaniem recept. Kryzys ten przypadł akurat na moment rozpoczęcia się programu szczepień przeciwko COVID-19, kiedy to przychodnie masowo rejestrowały się do systemów Ministerstwa Zdrowia i systemów do zamawiania szczepionek, oraz podłączały do rejestracji pacjentów na szczepienia. Przychodnia, oprócz strat wizerunkowych, poniosła więc także olbrzymie koszty (poza koniecznością wymiany komputerów i przeinstalowania systemów — utrata dofinansowania z Ministerstwa), których mogłaby uniknąć, odpowiednio przygotowując się na potencjalne awarie czy ataki hakerskie.

Unia Europejska dostrzega problem

W dzisiejszych czasach prowadzenie biznesu przypomina niekiedy prawdziwą ruletkę, a przedsiębiorcy nauczyli się, by nie wykluczać żadnego scenariusza. Po pandemii przyszła wojna w Ukrainie, szalejąca inflacja, wreszcie — prawdziwa lawina ataków cyberprzestępców, którzy za cel coraz częściej biorą nie największe koncerny, ale podmioty z sektora MŚP.

Zarówno działania hakerów, jak i skala zagrożenia zewnętrznego (sabotaż, groźba wybuchu szerszego konfliktu zbrojnego) nie umknęła uwadze instytucji unijnych. Wspólnota przygotowuje się obecnie do implementacji zapisów dyrektywy NIS2, której celem jest zapewnienie cyfrowej ochrony danych, którymi dysponują przedsiębiorstwa działające na obszarze Unii Europejskiej.

Dyrektywa nakłada m.in. na europejskie firmy obowiązek posiadania własnego systemu zarządzania ciągłością działania (ang. Business Continua Plan, BCP), oraz gotowości do jego weryfikacji przez odpowiednie instytucje bądź służby. Intencja jest oczywista — UE robi wszystko, aby w przypadku sytuacji kryzysowej nie doszło do paraliżu ekonomicznego państw członkowskich, co mogłoby grozić niepokojami społecznymi, paniką i obniżeniem zdolności obronnych kontynentu.

Podmioty objęte NIS2 dzielą się na dwie kategorie: podmioty kluczowe (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz podmioty istotne, z których większość dotychczas nie podlegała rygorystycznym regulacjom. Jednak, jak przekonują eksperci, właściciele wszystkich firm – niezależnie od wielkości i branży – powinni jak najszybciej upewnić się, czy aby również ich nie będą obowiązywać przepisy unijnej dyrektywy. I to nawet w przypadku, gdy pozornie nie spełniają kryteriów sektorowych czy też tych związanych z przychodami bądź wielkością personelu.

Niektóre podmioty, takie jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności. Dodatkowo, ze względu na koncepcję odpowiedzialności w łańcuchu dostaw należy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych dyrektywą muszą również przestrzegać NIS2⁵.

W tej materii przepisy dyrektywy UE nie są jasne: w dokumencie nie określono ram i komponentów wymaganej od przedsiębiorstw strategii ciągłości działania — one po prostu muszą ją posiadać. Jak to w takich przypadkach bywa: lepiej nie liczyć na pobłażliwość czy elastyczność regulatora, tylko zrealizować <<plan maksimum>> i wykorzystać wszystkie narzędzia technologiczne i rynkowe, dzięki którym dana firma stanie się możliwie najlepiej przygotowana na kryzys czy incydent. A przede wszystkim zacząć od siebie: edukacji pracowników i ustalenia z nimi jasnych sposobów reagowania w sytuacjach zagrożenia zewnętrznego.

¹https://biznes.t-mobile.pl/pl/disaster-recovery-czyli-jak-zabezpieczyc-ciaglosci-dzialania-firmy

²https://biznes.t-mobile.pl/pl/tworzenie-kopii-zapasowych-to-tylko-wstep-do-prawdziwego-backupu

³https://biznes.t-mobile.pl/pl/produkty-i-uslugi/centra-danych/iaas-wirtualne-centrum-danych

⁴https://www.computerworld.pl/news/Disaster-Recovery-czyli-jak-zabezpieczyc-ciaglosci-dzialania-firmy,405680.html

⁵https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333