A gyártószektorban mindig is a maximális rendelkezésre állás volt a legfontosabb, emiatt a “termelni bármi áron” filozófia széles körben elterjedt. A koronavírus okozta kihívások, valamint a konjunktúra ciklus fellendülési szakaszának vége és várhatóan egy komolyabb recesszió kezdete elkerülhetetlenné teszi a szemléletváltást, és már most látszik, hogy a struccpolitika és a "Velem ez nem történhet meg" hozzáállás egyszerűen nem működik. A helyzet jogi aspektusait Dr. Vas Eszter, ügyvéd foglalta össze a blogunkon.

 

Sokat gondolkodtam, honnan lenne érdemes a COVID-19 vírus és egy esetleges kibertámadás közötti párhuzamot jogi szempontból megközelíteni. Arra jutottam, hogy a rengeteg lehetőség közül a legfontosabbnak a megelőzést és a felkészültség fontosságát tartom, így a hangsúlyt erre helyeztem. Természetesen a megelőzés itt nem a klasszikus értelemben vett megelőzést jelenti, hiszen egy új vírus kialakulását, ahogy egy esetleges kibertámadást sem lehet teljes mértékben megakadályozni vagy éppen megelőzni. Rengeteg dolgot lehet tenni viszont a pánikhelyzet kialakulásának megfékezésére, valamint annak érdekében, hogy egy ilyen váratlan eseményt a lehetőségekhez mérten a leghiggadtabban kezeljünk és meggondolt, racionális döntéseket hozzunk.

 

Kiemelkedő jelentőségű, hogy a vállalatvezetők végiggondolják a cég folyamatait és meghatározzanak egy olyan cselekvési tervet, ami ilyen, előre nem látható helyzetekben tud iránymutatást adni. Ez összetett feladatot jelent, hiszen pl. egy iparvállalat  - többek között - ki van téve az alapanyagokat biztosító beszállítónak, a munkavállalóknak, egy hacker támadásnak és persze a keresletnek is. Érdemes tehát végig gondolni, hogy mi történik akkor, ha a kirakós játék valamelyik darabja hirtelen kiesik, hogyan lehet azt pótolni, milyen intézkedéseket kell meghozni, azok milyen következményekkel járnak, stb.  Persze egy cselekvési terv összeállítása “békeidőben” ideális, amikor azonban senki nem szeret ilyen biztonsági kérdésekkel és a tervezéssel foglalkozni, hiszen “úgysem fog semmi történni”.

 

A COVID-19 vírus terjedése által kiváltott vállalati magatartások kiválóan tükrözik ezt a hozzáállást. Kezdetben a szórakoztatóipar képviselői hoztak - időhiány miatt - valószínűleg átgondolatlan és drasztikus döntéseket, vagyis sorra váltak meg a munkavállalóktól és zárták be üzleteiket, amivel beláthatatlan károkat okoznak az alkalmazottaknak, de tovább menve, saját maguknak is (erről később). Később, amikor a szkeptikus hozzáállás már nyilvánvalóan nem volt tartható, ehhez a trendhez csatlakoztak az ipari cégek is (elsőként az autóipar képviselői): a gyártást leállították, a munkavállalók egy részét elküldték, gyakorlatilag hibernálták magukat.

 

Természetesen az ijedtség, a többlet-teendők, a feszültség és az időtényező miatt a vezetők nagy része - érthetően - nem tudja a folyamatokat és a következményeket higgadtan átgondolni. Sőt, az előzőek miatt ilyenkor általában kimarad a megfelelő szakértelem igénybevétele is, tehát anélkül hoznak meg lényeges döntéseket, hogy pontosan tisztában lennének azok következményeivel, vagy hogy egyáltalán megismernék a lehetőségek tárházát.

 

A példánknál maradva az elbocsátás és az üzembezárás ugyan rövidtávon költséghatékony megoldás lehet, arra a problémára azonban nem ad megoldást, hogy a gazdaság helyreállása után ki fog a gyártósor mellett dolgozni és így a hirtelen megugró mennyiségű keresletet hogyan fogja tudni a cég kielégíteni.

 

Mindezek megfelelően szemléltetik a felkészültség fontosságát, ami legalább ennyire esszenciális egy esetleges kibertámadás esetében is. A kibertámadás elleni konkrét fizikai intézkedéseken túl tehát feltétlenül javasolt egy cselekvési terv összeállítása, előre felmérve a teendőket és azok hatását a vállalatra.

 

 

Egy fontos különbség azért mégis van a járvány és egy kibertámadás között. Mégpedig az, hogy egy cég ellen indított kibertámadás esetén nem várható, hogy bármiféle segítség kívülről érkezzen, míg a COVID-19 elleni védekezés körében már látható, hogy minden ország kínál valamilyen  - nem feltétlenül anyagi - támogatást a gazdasági szereplőknek. Megfigyelhető, hogy a járvány hivatalos megjelenése óta valamennyi állam tesz bizonyos lépéseket a járvány okozta hátrányok csökkentése érdekében, különböző kedvezményeket biztosítva a gazdasági szereplőknek (pl. adózási könnyítések). Ezzel szemben egy kibertámadás esetén nem várható ilyen típusú támogatás, ezért semmiképpen nem javasolt a “majd valaki megoldja helyettem” politikát folytatni. Ideje tehát tudomásul venni, hogy ki kell alakítani egy cselekvési tervet, ami a kibertámadás mielőbbi felismerésére irányuló mechanizmusokon át egy tényleges támadás esetén követendő protokollt is meghatároz, kitérve a nyomozó hatóság értesítésének módjára és a megfelelő szakemberek bevonására.

 

IEC 62443

Karanténnapló sorozatunk első fejezetét itt, második fejezetét itt, harmadik fejezetét pedig itt találod blogunkon.

ICS kiberbiztonság

Írta: Dr. Vas Eszter

2013. óta dolgozom ügyvédi irodában, immár saját praxis keretein belül. Ezt megelőzően tagja voltam ügyvédi társulásnak is, amelyben szoros együttműködésben álltam több ügyvéd kollégával. Az évek folyamán ráébredtem, hogy az igazi csapatmunka az, ha az együttműködésünk során az ügyféllel olyan tudás- és gondolatközösséget tudunk létrehozni, amiben az általános és felszínes információk megosztásán felül az elsőre irrelevánsnak tűnő, de a közös ügyünk szempontjából mégis esszenciális jelentőségű tudnivalókat is eljuttatjuk egymáshoz. Mindennapi működésem során igyekszem a világ fejlődését szakmailag is követni, ezért gondolom azt, hogy a „kiberesemények” jogi támogatása manapság már elengedhetetlen.