Amikor szóba kerül a kiberbiztonság, a reziliencia vagy éppen a NIS2, sok kisebb vállalkozás első reakciója érthetően az, hogy ez inkább a nagyvállalatok világa. Első ránézésre valóban úgy tűnhet, hogy ezek a szabályozások és elvárások főként a nagyobb szervezeteket érintik. A gyakorlatban azonban a helyzet ennél árnyaltabb: a reziliencia ma már nemcsak megfelelőségi kérdés, hanem üzleti és működési kérdés is.
Egy kisebb cég számára nem feltétlenül az a döntő, hogy közvetlenül vonatkozik-e rá egy adott szabályozás. Sokkal fontosabb lehet az, hogy partnerei, ügyfelei vagy megrendelői mit várnak el tőle. Ha egy nagyobb vállalatnak fontos az ellátási lánc biztonsága, az üzletmenet-folytonosság vagy az adatok megfelelő kezelése, akkor ezek az elvárások előbb-utóbb megjelennek a kisebb partnereknél is. Nem feltétlenül hatósági formában, hanem kérdőívekben, szerződéses feltételekben, auditokban vagy egyszerű partneri elvárásként.
Ezért érdemes a rezilienciára nem úgy tekinteni, mint valami távoli, „nagyvállalati” fogalomra, hanem úgy, mint a mindennapi működés egyik alapjára. A reziliencia leegyszerűsítve azt jelenti: mennyire képes a vállalkozásod működni akkor is, ha valami nem a tervek szerint alakul. Ha kiesik egy szolgáltatás, ha meghibásodik egy eszköz, ha egy partner nem elérhető, ha adatvesztés történik, vagy ha egy kibertámadás miatt zavar keletkezik, mennyire tudsz reagálni, helyreállni és továbbműködni?
KKV-szinten ez nem feltétlenül bonyolult rendszereket vagy költséges programokat jelent. Sokkal inkább azt, hogy a legfontosabb alapok rendben legyenek. Legyen átlátható, milyen rendszerektől függ a működés. Legyenek megfelelő hozzáférési szabályok. Legyen mentés, és ne csak papíron, hanem ténylegesen használható módon. Legyen elképzelés arról, hogy mi történik, ha egy kritikus rendszer leáll, vagy ha valaki illetéktelenül hozzáfér egy fontos fiókhoz. Ezek első látásra egyszerű kérdések, de sok vállalkozásnál éppen ezek hiánya okozza a legnagyobb kockázatot.
A reziliencia egyik legfontosabb eleme a helyreállíthatóság. Nem elég azt mondani, hogy van mentés. Az a kérdés, hogy vissza is lehet-e állni belőle, és milyen idő alatt. Ugyanilyen fontos a hozzáférések rendje: ki mihez fér hozzá, megmaradtak-e régi jogosultságok, van-e többfaktoros védelem a kritikus rendszereknél. Sok esetben ezek nem látványos fejlesztések, mégis ezek adják azt a stabil alapot, amelyre később biztonságosabb és megbízhatóbb működés épülhet.
Érdemes a beszállítói és partneri oldalt is ugyanebben a szemléletben nézni. Egy kisebb cég gyakran nem önmagában sérülékeny, hanem azért, mert erősen függ néhány külső szolgáltatótól vagy platformtól. Ha nem egyértelmű, kinél vannak a kulcs-hozzáférések, ki felel egy szolgáltatásért, vagy mi történik kiesés esetén, az önmagában is üzleti kockázat. A reziliencia ezért nemcsak technikai kérdés, hanem partneri és működési kérdés is.
A Teletom szemszögéből nézve ez a terület azért különösen érdekes, mert itt nem elsősorban elméleti megfelelőségről van szó, hanem gyakorlatias műszaki támogatásról. Sok partner számára már az is komoly előrelépést jelenthet, ha rendbe kerül a mentési stratégia, átláthatóbbá válik a távoli elérés, dokumentáltabb lesz a hálózati és rendszerkörnyezet, vagy készül egy egyszerű, de használható helyreállítási forgatókönyv. Ezek a lépések nem látványosak, viszont valódi üzleti értéket teremtenek.
A NIS2 és a kapcsolódó szabályozási környezet tehát KKV-szinten nem feltétlenül azért fontos, mert minden vállalkozásra közvetlen kötelezettségeket ró. Sokkal inkább azért, mert megmutatja az irányt: a biztonság, az üzletmenet-folytonosság, a beszállítói megbízhatóság és a digitális ellenálló-képesség egyre inkább alapelvárássá válik. Aki erre időben elkezd felkészülni, az nemcsak biztonságosabban működik, hanem partnerként is hitelesebbé válik.
Végső soron a reziliencia nem jogi címkékről szól, hanem arról, hogy egy vállalkozás mennyire felkészült a zavarokra, és mennyire tud megbízhatóan működni akkor is, amikor valami váratlan történik. KKV-szinten ez sokszor nem nagy beruházásokkal kezdődik, hanem azzal, hogy a legfontosabb dolgokat átlátjuk, rendbe tesszük, és tudatosan kezeljük. Ez már önmagában is komoly lépés a stabilabb, biztonságosabb működés felé.
