Жижиг дунд үйлдвэрүүдийн амьд үлдэх гарын авлага: Европын регуляторын цунами

| Батжаргал Сэнгэдорж

Европын холбоо B2B зах зээлийн дүрмийг дахин тодорхойлсон байна. Жижиг дунд бизнесийн хувьд энэ өөрчлөлтийг үл тоох нь сонголт биш: энэ нь бизнесийн эрсдэл юм. Бид энэ цунамид хэрхэн бэлтгэх вэ?

Структурчилсан зах зээлийн шүүх

DORA, NIS2, EU AI Act ба Cyber Resilience Act олон улсын корпорациудад зориулсан заавар биш юм. Эдгээр нь санхүүгийн, эрчим хүчний, эрүүл мэндийн, харилцаа холбооны, засаг захиргаа болон чухал үйлдвэрүүдийн нийлүүлэлтийн бүхий л дамжлагад тархдаг. Хэрэв таны компани эдгээр салбаруудын аль нэгэнд үйлчилгээ эсвэл бүтээгдэхүүн хүргэдэг бол та хүрээ дотор багтдаг.

Хүч үйлдлийн механизм шууд: зохицуулалтын байгууллага — банк, телеком, эмнэлэг зэрэг — нь ханган нийлүүлэгчдийнхээ аюулгүй байдлын байдлын талаар хууль зүйн хариуцлага хүлээдэг. Энэ эрсдэлийг удирдах зорилгоор тэрбээр стандартуудаа нийлүүлүүлэгчийн гэрээний нөхцөлд шилжүүлдэг.

Брюселийн амласан пропорционал зарчим зах зээл дотор гунигтайгаар буурч байна. Жижиг дунд бизнест ирдэг нь шаардлага-уудын жагсаалт байдаг: эрсдлийг удирдах бодлого бичигдсэн, нэвтрэх эрхийн хяналт, тасралтгүй хяналт, батлагдсан сэргээх төлөвлөгөө ба ихэнх тохиолдолд ISO 27001 гэрчилгээ.

Үр дүн нь зах зээлийн шүүлтүүр болдог. ENISA-ийн мэдээллээр NIS2 хүрээлэнд байгаа Лас-ЖДБ-үүдийн 59%- нь эдгээр шаардлагыг хангах кибер хамгаалалтын үүргийг биелүүлэх боломжгүй гэж мэдүүлдэг.

Сэрэмжүүлэлт: үргэлжлүүлэн уншихын тулд хэсгээ гүйлгээрэй

Өдрүүдийн асуудал: таны компани кибер гэмт хэрэгт яагаад сониргогддог вэ

Хэлээд өгүүлэлгүйгээр: таны компани кибер гэмт хэрэг үйлдэгчдийн зорилтот обьект юм. Банкуудын орчинд үнэмлэхтэй эрхтэй програм хангамжийг нийлүүлдэг нь кибер гэмт хэрэг үйлдэгчдэд үнэтэй актив руу нэвтрэх далд гарц болдог.

Хэдийгээр та зохицуулалтын салбарт үйлчилгээ үзүүлдэггүй ч таны ЖДБ нь бас сониргогддог хэвээр байна. Рансомвари бол хамгийн түгээмэл заналхийлэл: хэрэгжүүлэлт бага зардалтай, төлөх боломжийн түгээмэл өндөр, өртөлтийн хариу арга хэмжээг хохирогчийн талд бага байдаг. Мөн таны эх код болон таны үйлчлүүлэгчдийн өгөгдлийг хулгайлах нь дунд хугацаанд ноцтой нөлөө үзүүлдэг.

Асуулт нь таныг зорилтот болгох эсэх биш, үүнийг илрүүлэх, түгжих ба цаг хугацаанд нь сэргээх чадвартай байх уу гэдэг.

ЖДБ-д ажилладаг кибер хамгаалалтын бүтэц хэрхэн ажилладаг вэ

Жижиг дунд бизнест кибер хамгаалалт хэт төвөгтэй байх шаардлагагүй:

  1.  Тодорхой стратеги. Та юуг хамгаалах вэ, ямар аргачилал, яагаад хамгаалах нь хийгдсэн талаар тодорхой чиглэл хэрэгтэй. NIST CSF 2.0 (глобалд хэрэглэгддэг кибер хамгаалалтын стандарт) нь NIS2-т бүрэн нийцсэн гэдгийг ENISA баталдаг. Үүнийг компас шиг ашигла: хэн ямар үүрэгтэй вэ, юу хамгаалах хэрэгтэй, үүнийг ямар байдлаар мэдэх вэ. Ингэснээр ISO 27001 гэрчилгээнд хүрэх замын 80%-ийг гүйцэтгэнэ. Үлдсэн нь баримтжуулалт байна.
  2. Энгийн зарчмаар үйл ажиллагаа. Хэдэн өгөгдөл байна, хаана байгаа, хэнд хандаж байна гэдгийг мэд. Сүлжээгээ хэсэгчлэн хуваарилах (бүх зүйл бүхэнд холбогдоогүй байна). Чухал нэвтрэлтүүдийн эрхээс хүчирхэг нууц үг болон олон хүчин зүйлийн баталгаажуулалтыг шаардах. Засварлалтыг патчийн байдлаар байнгас суулгах. Эдгээр хэрэгслүүдийн ихэнх нь Microsoft 365 буюу таны cloud үйлчилгээ үзүүлэгчид дотор байдаг: ашиглаарай. Сайхан мэдээ бол технологийн довтолгооны арсенал худалдаж авах шаардлагагүй явдал юм.
  3. Автоматчилсан шалгалт. Хууль дүрэм жилийн дарааллаар шалгалт явуулах биш. Өдөр бүр танай хяналтын систем ажиллаж байгааг автоматаар шалгадаг хэрэгслүүдийг ашигла: AWS Policy, Azure Policy эсвэл OpenSCAP үүнийг хийдэг. Хэрэв ямар нэг зүйлийг автомат аргаар шалгаж чадахгүй бол ЖДБ-д практик биш. Төгс.

Танд дутагдсан үүрэг: vCISO

Энд үнэхээр асуудал гардаг нь: энэхүү бүхнийг сайтар хэрэгжүүлэхэд стратегийн харагдах ерөнхий ойлголт шаардлагатай болдог тул техникийн түвшнээс дээдийн шийдлийг шаарддаг. Таны CTO-д үүрэг өгөх нь шийдэл биш. Junior-г Chief болгож тавих ч тохиромжгүй. vCISO (Virtual Chief Information Security Officer) нь хариу бөгөөд түүний үүрэг нь тодорхой:

  • Хууль журамыг бизнесийн шийдвэр рүү хөрвүүлэх. NIS2 таны P&L-тай ижил хэлээр ярьдаггүй. vCISO нь «Art. 20 администратораас сургалтыг шаарддаг»-ийг «Q2-д X цаг сургалт, зардал Y» болгон хөрвүүлнэ.
  • Аудитор болон хууль журамтай клиентовэд таны байр суурийг хамгаалах. Банкууд таны аюулгүй байдлыг шалгаж байх үед таны CTO техникийн асуултуудад хариу өгдөг. vCISO удирдагч түвшинд хэлэлцдэг: стратеги, шийдвэр, засаглал.
  • Гуравдагч хүчийг нэгэн бүтээмжтэй хүрээлэнд нэгтгэх. Хэсэгчилсэн биш. Давталтгүй. Таны удирдах зөвлөл болон таны клиентүүдэд ахиц харуулах бодит хэмжүүрүүдтэй.
  • vCISO-ийн онцгой давуу тал нь зардал хувьсагч бөгөөд тогтмол биш байна. Энэ нь өсөлтийн хурдтай тааруулж нэмэгддэг “фракцийн” загвар. Full-time гүйцэтгэгчийн зардлыг даахгүй. Олон арван компаниуд ийм байдлаар ирээдүйн туршлагатай хүнтэй ажиллаж байсан туршлагатай.

Alejandro Rivas-Vásquez, Founder & Managing Director de VeraBeam

 

Батжаргал Сэнгэдорж

Батжаргал Сэнгэдорж

Монголын уудам тал нутгаас гаралтай би дэлхий ертөнцийн түүхийг өгүүлэхэд сэтгэл зүрхээ зориулж ирсэн. Олон улсын сэтгүүл зүйн чиглэлээр суралцаж, олон улсын томоохон редакцуудад ажиллаж байсан туршлагатай. Би эх орондоо буцаж, дэлхийн мэдээг монгол уншигчдад хүргэх зорилготой ажиллаж байна.