Kibernetinės grėsmės nebėra tik didelių korporacijų problema. Energetikos sektorius, finansų įstaigos, viešojo administravimo institucijos ir net vidutinio dydžio įmonės Lietuvoje kasmet patiria vis daugiau incidentų – nuo duomenų vagysčių iki išpirkos reikalaujančių programų atakų. Tačiau daugelis organizacijų vis dar neturi aiškios atsakomybės struktūros informacijos saugumui valdyti. Čia į pagalbą ateina CISO paslaugos.
Šiame straipsnyje išsamiai aptarsime, kas yra CISO pareigybė, kokios funkcijos tenka informacijos saugumo vadovui, kuo skiriasi nuolatinis ir virtualus kibernetinio saugumo vadovas, bei kaip nuspręsti, kuris modelis tinkamiausias jūsų organizacijai.
Kas yra CISO?
CISO (angl. Chief Information Security Officer) – tai vyriausiasis informacijos saugumo pareigūnas, atsakingas už organizacijos kibernetinio saugumo strategijos kūrimą, įgyvendinimą ir priežiūrą. Informacijos saugumo vadovas veikia trijose pagrindinėse srityse:
- Strategija ir valdymas – saugumo politikų, procedūrų ir rizikos valdymo sistemų kūrimas;
- Atitiktis ir reguliavimas – NIS2, DORA, ISO/IEC 27001, IEC 62443 ir kitų standartų reikalavimų užtikrinimas;
- Incidentų valdymas – reagavimas į kibernetines atakas, jų tyrimas ir prevencija.
Tradiciškai CISO buvo pilnu etatu dirbantis aukščiausio lygio vadovas, prieinamas tik stambioms korporacijoms. Tačiau reguliaciniai pokyčiai – ypač NIS2 direktyva, kuri Lietuvoje įgyvendinta per KSĮ (Kibernetinio saugumo įstatymą) – iš esmės pakeitė situaciją.
Kodėl CISO paslaugos tampa būtinybe, o ne pasirinkimu?
NIS2 direktyva ir Lietuvos KSĮ reikalavimai
2024 metais įsigaliojusi NIS2 direktyva išplėtė reikalaujamų subjektų ratą. Dabar kibernetinio saugumo valdymo reikalavimai taikomi ne tik kritinės infrastruktūros operatoriams, bet ir energetikos, transporto, sveikatos, finansų sektoriams bei viešojo administravimo institucijoms. Lietuvoje šiuos reikalavimus detalizuoja atnaujintas KSĮ.
Pagal šiuos teisės aktus organizacijos privalo:
- Turėti aiškią kibernetinio saugumo valdymo struktūrą;
- Reguliariai atlikti rizikos vertinimus;
- Užtikrinti incidentų registravimą ir pranešimą NKSC;
- Vykdyti tiekimo grandinės saugumo priežiūrą;
- Teikti kibernetinio saugumo ataskaitas vadovybei.
Visa tai – klasikinės CISO paslaugos funkcijos. Organizacija, neturinti kibernetinio saugumo vadovo ar bent jau aiškiai paskirto atsakingo asmens, rizikuoja ne tik kibernetiniais incidentais, bet ir reguliacinėmis sankcijomis.
Nuolatinis CISO vs. virtualus CISO: kuo jie skiriasi?
Nuolatinis (vidinis) CISO
Nuolatinis informacijos saugumo vadovas yra organizacijos darbuotojas, dirbantis pilnu arba dalies etatu. Šis modelis tinkamas:
- Stambiosioms įmonėms, turinčioms didelę IT/OT infrastruktūrą;
- Organizacijoms, kurioms taikomi itin griežti reguliaciniai reikalavimai;
- Įmonėms, kur saugumas yra kasdienės operacinės veiklos dalis.
Privalumai: gilus organizacijos konteksto išmanymas, greitas reagavimas, tiesioginis dalyvavimas sprendimų priėmime.
Trūkumai: aukštos sąnaudos (vyresnysis CISO Lietuvoje uždirba 3 000–6 000 EUR/mėn. ir daugiau), sunkumai rasti tinkamos kvalifikacijos specialistą, priklausomybė nuo vieno žmogaus kompetencijų.
Virtualus CISO (vCISO)
CISO paslaugos virtualaus modelio forma – tai lankstus sprendimas, kai organizacija samdo išorės ekspertą ar įmonę, teikiančią informacijos saugumo vadovo funkcijas abonentinio aptarnavimo pagrindu. Šis modelis ypač tinkamas:
- Vidutinio dydžio ir augančioms įmonėms;
- NIS2 reguliuojamiems subjektams, kuriems nereikia pilno etato CISO;
- Energetikos sektoriaus operatoriams (saulės, vėjo, hidroelektrinių);
- Viešojo sektoriaus institucijoms su ribotu biudžetu.
Privalumai: ženkliai mažesnės sąnaudos nei nuolatinis darbuotojas, prieiga prie platesnio kompetencijų spektro, lankstumas keičiant aptarnavimo apimtį, nereikia spręsti personalo administravimo klausimų.
Trūkumai: mažesnis prieinamumas 24/7 (tačiau tai sprendžiama SLA sutartimis), reikia aiškios komunikacijos ir ataskaitų teikimo struktūros.
Ką konkrečiai apima CISO paslaugos?
Profesionaliai teikiamos CISO paslaugos apima platų veiklų spektrą. Kiekvienas įgyvendinimo projektas yra individualus, tačiau tipinį pakeitą sudaro šios sritys:
1. Kibernetinio saugumo strategija ir valdymas
Kibernetinio saugumo vadovas kartu su organizacijos vadovybe nustato ilgalaikę saugumo viziją, suderina ją su verslo tikslais ir sukuria įgyvendinimo planą su aiškiais prioritetais ir atsakomybėmis.
2. Rizikos vertinimas ir valdymas
Sisteminis IT ir OT infrastruktūros rizikų identifikavimas, klasifikavimas ir prioritetizavimas. Šiandien ypač svarbu vertinti ne tik IT rizikas, bet ir operacinių technologijų (OT/ICS) sistemas – SCADA, PLC, energetikos valdymo sistemas.
3. Atitikties užtikrinimas
Informacijos saugumo vadovas padeda organizacijai atitikti NIS2/KSĮ, DORA, ISO/IEC 27001, IEC 62443 ir kitus taikomus standartus bei teisės aktus. Tai apima politikų rengimą, auditų koordinavimą ir komunikaciją su reguliatoriais.
4. Incidentų valdymo plano kūrimas
Reagavimo į incidentus procedūrų parengimas, testavimas ir periodinis atnaujinimas. NKSC pranešimų tvarkos, eskalacijos grandinių ir krizių komunikacijos planų kūrimas.
5. Darbuotojų mokymai ir saugumo kultūros ugdymas
Statistiškai daugiau kaip 80% sėkmingų kibernetinių atakų prasideda nuo žmogiškojo faktoriaus. Kibernetinio saugumo vadovas koordinuoja saugumo sąmoningumo mokymus, socialinės inžinerijos imitacines atakas ir darbuotojų kompetencijų ugdymą.
6. Trečiųjų šalių ir tiekimo grandinės rizikų valdymas
Tiekėjų, partnerių ir paslaugų teikėjų saugumo vertinimas – itin aktualu NIS2 kontekste, kur atsakomybė apima visą tiekimo grandinę.
7. Ataskaitos vadovybei ir valdybai
Reguliarios saugumo būklės ataskaitos, aiškios ir suprantamos ne technikams – esminė CISO paslaugų dalis, padedanti aukščiausio lygio vadovams priimti informuotus sprendimus.
Kaip pasirinkti tinkamą CISO paslaugų teikėją?
Renkantis informacijos saugumo vadovo paslaugas, atkreipkite dėmesį į šiuos kriterijus:
Sektoriaus patirtis. Energetikos sektoriaus OT/ICS aplinka iš esmės skiriasi nuo įprastų IT sistemų. Ieškokite specialisto, turinčio patirties su SCADA, pramoniniais valdymo sistemomis ir energetikos infrastruktūra.
Sertifikavimai. Kokybiški kibernetinio saugumo vadovo paslaugų teikėjai turi tarptautiniu mastu pripažintus sertifikatus: ISO/IEC 27001 Lead Auditor, GICSP (ICS/SCADA aplinkoms), CISA ar CISSP.
Lietuviška kompetencija. Paslaugų teikėjas turi išmanyti ne tik tarptautinius standartus, bet ir Lietuvos teisinę aplinką – KSĮ reikalavimus, NKSC komunikacijos tvarką, lietuvišką dokumentaciją.
Lankstūs aptarnavimo modeliai. Tinkamas teikėjas pasiūlys kelis paketų variantus – nuo bazinio reguliaraus atitikties stebėjimo iki visapusiško CISO paslaugų outsourcingo.
CISO paslaugos energetikos sektoriui: specifinis kontekstas
Energetikos sektorius – tiek atsinaujinančios energijos operatoriai, tiek tradicinės energetikos įmonės – šiandien susiduria su unikaliais iššūkiais. OT/ICS sistemos, ilgai veikusios izoliuotoje aplinkoje, dabar vis labiau integruojamos su IT infrastruktūra ir internetu.
Tai sukuria naują atakų paviršių: SCADA sistemų pažeidžiamumai, sąsajų tarp IT ir OT sistemų spragos, nuotolinės prieigos rizikos. IEC 62443 standartas – specialiai pramoninių valdymo sistemų kibernetiniam saugumui – tampa esminiu atitikties reikalavimu.
Kvalifikuotas kibernetinio saugumo vadovas, turintis OT/ICS patirties, padės ne tik atitikti reguliacinius reikalavimus, bet ir realiai sustiprinti operacinių sistemų atsparumą.
Išvada
CISO paslaugos nėra tik didelių korporacijų privilegija. Šiandieniniame reguliaciniame ir grėsmių kraštovaizdyje kiekviena organizacija, patenkanti į NIS2/KSĮ taikymo sritį, privalo turėti aiškią kibernetinio saugumo valdymo struktūrą. Virtualaus informacijos saugumo vadovo modelis suteikia galimybę naudotis aukštos kvalifikacijos ekspertų kompetencijomis be nuolatinio darbuotojo sąnaudų.
Jei jūsų organizacija dar neturi kibernetinio saugumo vadovo arba esate nesutvirtę kibernetinio saugumo valdymo struktūros, dabar – tinkamiausias metas tai padaryti. Reguliatoriai griežtina reikalavimus, o grėsmės – auga.
Sužinokite daugiau apie mūsų teikiamas CISO paslaugas ir kaip galime padėti jūsų organizacijai.