Urmăresc de ceva timp spațiul virtual referitor la Directiva NIS2.
Și, din prisma experienței mele de audit și consultant în securitatea cibernetică în spațiul românesc, revin cu câteva concluzii mai realiste și cu câteva recomandări furnizorilor de servicii și soluții specifice de securitate cibernetică. Pentru că, pe lângă DNSC, și ei formează piața.
Pornim de la audiența vizată de NIS 2. O mică parte este formată din organizații mai mature, care fac parte din grupuri mai organizate (așa-numitele companii reglementate de către BNR sau de către compania mamă). Cea mai mare parte a potențialei clientele pentru serviciile și soluțiile legate de Directiva NIS este formată din companii pentru care managementul securității informației este un subiect cvasi-necunoscut sau chiar total necunoscut. Am făcut un calcul scurt, luând primele 20-30 de companii din fiecare domeniu vizat de Directiva NIS 2, și am ajuns doar în România la un număr de aproximativ 1.000 de companii.
Continuăm de la ce s-a întâmplat în trecut cu Directiva NIS, care este în vigoare. Așa cum am menționat la începutul anului la CIO Council 2024 Cybersecurity, dar și într-o postare mai veche pe blogul Sectio Aurea (NIS 1, NIS 2 și mersul pe autostradă), o proporție covârșitoare dintre operatorii de servicii esențiale din România au ignorat atât Legea 362 (Directiva NIS), cât și DNSC, ca organ unic de control și coordonare.
Există încă sectoare critice ale economiei naționale în care peste 50% dintre operatorii de servicii esențiale nu au făcut nici măcar auditul minim necesar o dată la doi ani.
De ce s-a întâmplat asta? Probleme fundamentale ale legii, lipsa de capacitate umană a DNSC și tradiționala lipsă de respect a românilor față de cadrul legislativ.
Adaug un alt factor definitoriu: o mare parte din vină ne aparține și nouă, celor care operăm în industria de cybersecurity, fie că suntem integratori specializați de sisteme de securitate, furnizori de servicii de asigurare și audit, locali și multinaționali. Aceleași mesaje au fost propagate în piață acum trei ani și continuă să fie propagate și acum.
Mă pun în locul unui Director IT sau Director General al unei companii românești care nu a practicat niciodată "sportul" managementului integrat al securității informaționale. Ce aș putea înțelege din comunicările media (conferințe, postări pe rețele sociale)?
"Alegeți serviciul nostru de audit NIS ca să fiți conformi cu legea."
Acesta este unul dintre mesajele indirecte care poate fi sumarizat astfel. Iată un exemplu de postare pe LinkedIn a unei companii recunoscute în Cybersecurity:
"Căutați un motiv bun pentru a alege compania noastră ca auditor de încredere pentru conformitatea cu Directiva NIS? Aflați direct de la unul dintre partenerii noștri din sectorul retail-farmaceutic: 'Datorită xxxxx, suntem acum mai bine pregătiți pentru a face față provocărilor din securitatea cibernetică și ne putem concentra mai încrezători pe afacerea noastră de bază.'"
Nu sunt de acord cu această abordare, și piața a fost distorsionată din această cauză. Aici vin să contrazic documentat. Pentru majoritatea companiilor, auditul de securitate are doar o valență de conformitate (în cazul organizațiilor mai mature), iar în cazul restului organizațiilor, care au mult de învățat în domeniul securității informaționale, valoarea auditului este mult mai mică și nu le ajută prea mult, cu excepția faptului că le ia bani din cont. Susțin această afirmație prin câteva argumente:
Ca auditor de securitate NIS, nu poți capta într-o misiune de audit decât neconformitățile cu o selecție de controale și, conform metodologiei de audit, poți stabili un plan de acțiune cu câteva recomandări generale. Asta este tot ce poți face efectiv. În realitate, nu ai timp să analizezi în profunzime organizația din cauza presiunii prețurilor și a concurenței acerbe.
Acum vine partea a doua și cea mai dură. De ce auditorii NIS nu își conving clienții să continue misiunea de audit cu una de consultanță?
Pentru că auditorii nu doresc acest lucru. Nu este profitabil, este complicat și necesită un efort continuu, mult mai dificil.
Mulți nu au experiența necesară pentru a deveni consultanți. E foarte ușor să spui unui om ce nu funcționează bine, dar devine foarte dificil să te pui în locul omului și să implementezi împreună cu el ceea ce ai identificat ca fiind problematic. Într-un mediu financiar și uman mult mai ostil decât bula corporativă plină de acronime și concepte avansate, acest lucru devine și mai dificil.
Din experiența mea practică de consultant în implementarea cerințelor NIS în diverse medii, un client dispus să plătească un consultant premium este fie un client cu multe probleme de rezolvat, fie unul care nu știe cum să înceapă implementarea proceselor inițiale de management al riscurilor și securității. Munca de consultant este foarte dificilă, necesită multă răbdare, tact, capacitate de adaptare și de comunicare clară a conceptelor, astfel încât să poți convinge o audiență neexperimentată să urmeze procese simple de management al securității.
De ce am vrut sa fiu si consultant? Pentru ca am experienta corecta si ca am dorit sa imi optimizez capabilitatile de CISO in medii dificile. Vezi Phi - the ultimate bootcamp?
Sunt un consultant de succes. Eu zic ca da, pentru ca clientii ma recomanda. Vezi recomandarile lor sincere. Testimonials | Sectio Aurea | Bucharest (phi.ro)
Este auditul NIS de valoare pentru astfel de companii (unele foarte mari)? Nu. Cunosc mai multe situații în care s-au contractat auditori și evaluări NIS pentru sume mari (peste 20.000 EUR), iar clientul, după câțiva ani, nu s-a ales cu nimic.
De ce s-a întâmplat asta? Pentru că auditorii inițiali nu s-au interesat cu adevărat de soarta clientului și nu s-au străduit să-l convingă să continue cu servicii de consultanță. S-a aplicat vorba: "Ia-le banii și fugi."
Ba chiar cunosc o situație în care un furnizor mare de servicii din piață era supărat pe client (gândește-te la ce aroganță!) că nu i-a ales auditul NIS umflat la preț și a ales un serviciu de consultanță mult mai competitiv și cu mult mai multă valoare adăugată pentru client. Asta denota faptul ca pe omul respectiv nu prea l-o interesat de binele clentului si o dorit sa ii ia banu.
"Implementează soluțiile noastre tehnice și ești conform cu NIS2.
"Dacă pentru audiența educată a corporatiilor acest mesaj este natural, pentru marea majoritate a companiilor vizate de NIS 2 are un efect dăunător maxim. Directiva NIS 2 necesită în primul rând implementarea unor procese de management, pentru a aduce ordine în haos. Bineînțeles, aceste procese trebuie susținute de tehnologii de IT service management, de DR și de securitate cibernetică. Dar acest mesaj nu este transmis pentru că nu face parte din domeniul de excelență (și nici din zona lor de confort) al integratorilor de soluții. Am întâlnit nenumărate situații în care un furnizor de tehnologii și-a bătut joc de client, livrându-i câteva proceduri de NIS la fel cum se face pentru GDPR, nealiniate cu specificul firmei. Cu alte cuvinte, i-au vândut doar hârtii. Am intalnit si situatii in reglementate cand au fost cumparate prea multe tehnologii inconjurate de haos si adhoc. Pentru ca le-o placut mai mult sa se joace si apoi sa opereze.
Mai este un alt mesaj care se transmite direct clienților, specific consumatorilor și furnizorilor de hârtii:
"Îți facem noi niște hârtii cu o sumă modică și, mai mult, te audităm NIS pentru sume mici mici"
Am consultat din curiozitate Sicap.ai și am fost surprins de cantitatea de audituri NIS care variază de la 500 EUR la câteva mii de euro. Vin eu și întreb: oare ce a putut vedea auditorul NIS la un client pentru o sumă atât de mică? A avut clientul ala optiuni sa se auditeze la sume mai mici de 20, 30k euro, cred ca nu a avut cale de mijloc. Dar asta este alta problema mare, faptul ca piuata serviciilor de audit este prea polarizata. Nu sunt furnizori de mijloc, ci numai de lux sau din aia care auditeaza cu cateva sute de euro.
Cu siguranță, nu s-o ales decat cu o hartie si cred ca asta l-o interesat. DNSC ar fi trebuit să auditeze auditorii care merg insa cu asemenea sume modice in audit și să facă publice corecțiile de sistem daca au facut controale. Stiu situatii si la companii mari, dar si la companii mici. Aceasta este una dintre marile probleme din trecut legate de Directiva NIS: lipsa de control și intervenție din partea DNSC, ca regulator al pieței, pentru a asigura că standardele minime de audit sunt respectate. Poate nu au avut oameni, poate nu au avut cadrul legisltaiv corect implementat. Fiecare dintre actorii implicați s-au ales cu ce au dorit. Clientul s-a ales cu o hârtie (fie că e o procedură, fie că e un raport de audit) pe care a aruncat-o cu nepăsare către DNSC sau pe un raft. Furnizorul nu a murit de foame și a vândut câteva hârtii fără valoare la câteva sute de clienți. Oricum, nu controlează nimeni ce se face efectiv.
Am cateva recomandări pentru colegii mei de breaslă. Directe si frontale. Cum ma stiti.
1. Puneți mâna la treabă ca si consultanti și lăsați auditul NIS pentru mai târziu.
Piața nu are nevoie de auditori, are nevoie de consultanți care să pregătească baza pentru alți auditori. Lăsați lamentările că piața de servicii din România este stricată din cauza lui X sau Y. Analizați mai întâi dacă voi aduceți valoare adăugată maximă clienților cu care colaborați. Lăsați auditurile deoparte și concentrați-vă pe consultanță, pentru că asta este necesar. Este și vina voastră că în România sunt prea mulți auditori și aproape nimeni nu face consultanță.
2. Lasati interesul financiar imediat in relatia cu clientii pe termen lung.
În loc să vă concentrați să le luați banii pe audituri, mai bine stați cu ei și convingeți-i să vă angajeze ca și consultanți pentru a le remedia problemele și pentru a deveni membri virtuali ai echipelor lor, oferindu-le adevărata valoare adăugată pe termen lung. Așa am procedat eu și, deși nu mi-a fost ușor, la sfârșitul zilei clienții vă vor recomanda altor clienți și vor deveni cei mai înfocați promotori ai serviciilor voastre. Vor fi recunoscători.
3. Nu mai dați vina pe altii ca nu e ok in Romania. Puneti osul la treaba la clientii unde aveti relatii bune.
Contribuiți la crearea unei culturi a securității informaționale la clienții cu care colaborați și totul va fi mai bine. Vom scăpa astfel de vânzători și cumpărători de hârtii și de lucruri făcute superficial. DNSC o să își facă treaba. Am speranțe și semne că o va face mult mai bine de această dată. Și-au angajat oameni, educă piața, sunt proactivi față de viitoarele entități esențiale, îi contactează, doresc să îi pregătească și au propus un proiect de lege mai bine structurat pentru Directiva NIS2.