Zakon o informacionoj bezbednosti i NIS2: koje incidente morate prijaviti?
Obaveza prijave incidenta: šta, kada i kako
Ako pitate ljude iz IT-ja kako se osećaju povodom NIS2 i novog Zakona o informacionoj bezbednosti u Srbiji, odgovori su uglavnom neka kombinacija skepticizma, zamora od regulativa i iskrenog pitanja: šta ovo tačno znači za nas? Jedno od tih pitanja koje se stalno ponavlja tiče se obaveze prijave incidenta.
Hajde da to raščistimo, konkretno, bez nepotrebnog žargona.
Šta zakon i NIS2 zapravo smatraju incidentom?
Postoji česta zabluda da je incident samo dramatičan napad ransomwara koji parališe čitavu organizaciju, ili curenje baze podataka na naslovnim stranicama medija. Ali ni NIS2 ni domaći Zakon o informacionoj bezbednosti ne postavljaju ovako visoku lestvicu.
Prema ovim propisima, incident je svaki događaj koji utiče ili može da utiče na:
- dostupnost sistema: sistem nije bio dostupan onoliko dugo koliko bi trebalo biti
- integritet podataka: podaci su promenjeni, obrisani ili oštećeni bez ovlašćenja
- poverljivost informacija: informacijama je pristupila neovlašćena strana
U praksi, to znači da se incidentom može smatrati i:
- sumnjiv administratorski login u neuobičajeno vreme
- pokušaj izvlačenja podataka koji je blokiran
- malware koji je detektovan, čak i ako je „rešen na vreme"
- DDoS napad koji je uzrokovao kratkotrajan pad dostupnosti sistema
- konfiguracijska greška koja je neovlašćeno ekspozirala podatke
Ako ste morali da proveravate logove da biste bili sigurni šta se desilo, to je već signal da je u pitanju incident ili ozbiljan bezbednosni događaj.
Tri rečenice koje vas mogu skupo koštati
U razgovorima sa IT timovima iznova se pojavljuju iste tri rečenice kada se postavi pitanje o incidentima:
| Rečenica | Zašto je problematična |
|---|---|
| „Nismo sigurni da li je incident." | Neizvesnost ne oslobađa od obaveze prijave. Ako postoji sumnja, postoji i obaveza provere. |
| „Nije bilo štete." | Zakon ne pita o šteti, pita o riziku. Sprečeni napad je i dalje incident koji treba evidentirati. |
| „Rešili smo to interno." | Interno rešavanje je pohvalno, ali ne zamenjuje zvaničnu prijavu i evidentiranje kada su propisane. |
Regulator postavlja samo tri pitanja:
- Da li je postojao rizik?
- Da li ste ga prepoznali?
- Da li imate trag da ste reagovali?
Bez dokumentovanog traga, sve ostaje na nivou procene i sećanja, a to nije dovoljno.
Zašto evidencija postaje ključna tema
Zakon o informacionoj bezbednosti jasno uvodi obavezu prijave incidenata, vođenja evidencije i podnošenja periodičnih statističkih izveštaja. Ovo nije samo formalnost. Evidencija je ono što stoji između vaše organizacije i regulatorne sankcije.
U realnosti, međutim, mnoge organizacije se suočavaju sa sledećim problemima:
- Evidencija se pravi retroaktivno, tek kad je potrebna, ne u trenutku kada se incident desio
- Oslanjanje na mailove, Slack poruke i kolektivno sećanje umesto na centralizovane zapise
- Nedostatak vidljivosti: različiti sistemi, različite evidencije, niko nema celokupnu sliku
- Incident se „reši", ali bez formalnog zapisa o tome šta se desilo, kad i kako je reagovano
Upravo u trenutku kada regulator postavi pitanje, evidencija mora da postoji. Ne može da se napravi posle.
Gde tehnologija zaista pomaže
Centralizovana vidljivost nije „još jedan alat" koji IT tim mora da usvoji, ona je osnova za usklađenost. Bez nje, organizacija u osnovi nema odgovor na osnovna pitanja:
- Šta se desilo i kada?
- Koji sistemi su bili zahvaćeni?
- Ko je reagovao i šta je preduzeto?
- Koliko smo incidenata imali u poslednjih 90 dana?
Rešenja poput ManageEngine Log360 omogućavaju upravo ovo:
- ✓ Objedinjavanje logova sa različitih sistema u jedinstven pregled
- ✓ Korelaciju događaja koji pojedinačno ne izgledaju ozbiljno, ali zajedno ukazuju na pretnju
- ✓ Vremenski precizne podatke koji direktno ulaze u prijavu i evidenciju
- ✓ Automatske alarme za sumnjive aktivnosti, bez ručnog pretraživanja logova
Cilj nije imati više izveštaja, cilj je znati šta se stvarno desilo, u trenutku kada je to važno.
Reality check: test od jednog pitanja
Pre nego što zatvorite ovaj tekst, postavite sebi jedno pitanje:
Koliko ste incidenata imali u poslednja tri meseca? Da li biste znali odgovor odmah ili biste morali da pitate nekoliko kolega i pretražujete logove?
Ako je odgovor ovo drugo, to je signal koji vredi shvatiti ozbiljno i rešiti pre nego što regulator postavi isto pitanje.
Zaključak
NIS2 i Zakon o informacionoj bezbednosti menjaju standard, ne samo šta se smatra incidentom, već i kako organizacije moraju da dokumentuju, prijave i prate bezbednosne događaje. Usklađenost više nije stvar jednog departmana; to je sistemski zahtev koji zahteva sistemski odgovor.
Dobra vest je da tehnička rešenja već postoje. Pitanje je samo da li ih koristite pre nego što vam budu potrebna — ili posle.
Ako želite da vidite kako Log360 objedinjuje logove i generiše izveštaje kompatibilne sa NIS2 i Zakonom o informacionoj bezbednosti, kontaktirate nas i zatražite demo.
