O bezpieczeństwie danych

0
59

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) stanowi ważne zagadnienie z punktu widzenia procedur, jak również przepływów pieniężnych w firmach. Jest to regulacja na tyle istotna, że w mediach nazywana była nawet „młodszą siostrą RODO”.

 

 

Ustawa o KSC wdraża tzw. dyrektywę NIS, czyli Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Po wejściu w życie dyrektywy państwa miały w ciągu 21 miesięcy wdrożyć unijne prawo. Polska wprowadziła ustawę w sierpniu 2018 roku, czyli z kilku miesięcznym opóźnieniem.

Co wprowadza ustawa?                        

Ustawa wprowadza nowe pojęcia, poprzez zdefiniowanie w polskim prawie m.in. takich pojęć jak: „cyberbezpieczeństwo” czy „Operator Usług Kluczowych”.

Cyberpezpieczeństwo dotyka wielu aspektów, zagrożeń zarówno cywilnych jak i wojskowych. W związku z tym zachodzi konieczność zaangażowania różnych organów: administracji rządowej, służb i firm prywatnych. W ustawie przewidziano różnorodne rozwiązania, określone zadania i wskazano podmioty odpowiedzialne za ich realizację.

Ustawa wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Każdemu sektorowi został przydzielony organ właściwy np. sektor energii – minister ds. energii, sektor bankowy – KNF.

Obsługa incydentów i CSIRT

Ustawa przyjęła federacyjny model obsługi incydentów, gdzie podmioty krajowego systemu będą zgłaszały incydenty do właściwego CSIRT (ang. Computer Security Incident Response Team).

Rolę Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT przyjęły na siebie:

  • Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV),
  • Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK)
  • resort obrony narodowej (CSIRT MON).

Będą one współpracować ze sobą z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa.

Chodzi o to, aby wszystkie wymienione podmioty zapewniły spójny i kompletny system zarządzania ryzykiem na poziomie krajowym włączonym do przeciwdziałań zagrożeniom o charakterze ponadsektorowym i transgranicznym.

Kogo dotyczy ustawa?

Ustawa dotyczy następujących podmiotów:

  • publicznych (administrację rządową i samorządową)
  • operatorów usług kluczowych (operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale)
  • dostawców usług cyfrowych (podmioty tworzące w Polsce infrastrukturę cyfrową)

Kim jest operator usług kluczowych (OUK)?

Podmiot, który ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Są to takie podmioty, jak: banki, firmy z sektora energetycznego, z sektora transportu, podmioty ochrony zdrowia i wszystkie podmioty świadczące usługi cyfrowe.

Obowiązki operatorów usług kluczowych (OUK)

Obowiązki możemy podzielić w trzech filarach:

  1. Te które muszą zostać spełnione w ciągu 3 miesięcy od otrzymania decyzji administracyjnej o byciu OUK
  2. Te które muszą zostać spełnione w ciągu 6 miesięcy od otrzymania decyzji administracyjnej o byciu OUK
  • Te które muszą zostać spełnione w ciągu 12 miesięcy od otrzymania decyzji administracyjnej o byciu OUK

Spójrzmy na obowiązki z filaru pierwszego – do spełnienia w ciągu 3 miesięcy od otrzymania decyzji administracyjnej. I tak podmiot uznany za OUK:

  • powołuje wewnętrzne struktury do zarządzania cyberbezpieczeństwem oraz wyznacza osobę kontaktową z właściwym CSIRT (ew. outsourcing),
  • dokonuje szacowania ryzyka dla swoich usług kluczowych,
  • zarządza incydentami m.in. zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w nieprzekraczającym czasie 24 godzin od ich wykrycia,
  • prowadzi działania edukacyjne wobec użytkowników,
  • obsługuje incydenty, zgłasza poważne incydenty, usuwa wskazywane podatności.

Dla większości z dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale dla mniejszych podmiotów lub firm z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa może stanowić to duży problem. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe.

Dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem. Warto pamiętać, że punktem wyjścia do analizy ryzyka (jak zresztą i wielu innych kluczowych procesów zarządzania cyberbezpieczeństwem) jest inwentaryzacja zasobów informatycznych, a jest to niestety pięta achillesowa wielu polskich korporacji.

Termin 24 godzin na zgłoszenie incydentu to wyzwanie dla każdej organizacji. Wymaga bardzo sprawnie działającego procesu zarządzania incydentami, który w wielu firmach nie został formalnie wdrożony i nie jest regularnie testowany. W celu odpowiednio szybkiej klasyfikacji takiego incydentu, konieczny jest uporządkowany i dobrze zorganizowany proces jego analizy.

Obowiązki po 6 miesiącach od otrzymania decyzji administracyjnej:

  • podmiot wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym,
  • zbiera informacje o zagrożeniach i podatnościach,
  • stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego,
  • stosuje wymaganą dokumentację.

Jeżeli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem np. chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk.

Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, 6 miesięcy może okazać się wyzwaniem. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w wielu miesiącach.

Obowiązki po 12 miesiącach od otrzymania decyzji administracyjnej:

  • przeprowadza w terminie jednego roku zewnętrzny audyt bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Warto pamiętać, że za brak przeprowadzanego audytu grozi kara 50 tys zł.

Kim jest Dostawca Usług Cyfrowych (DUC)?

Są to osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe do których należą:

  • internetowe platformy handlowe
  • usługi przetwarzania w chmurze
  • wyszukiwarki internetowe.

Usługa przetwarzania w chmurze polega na zapewnieniu dostępu do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników. Co istotne, nie ma w tym wypadku znaczenia, w jakim modelu świadczone są usługi chmurowe. W szczególności, czy chodzi o udostępnianie infrastruktury informatycznej (IaaS), platformy systemowej (PaaS) czy wreszcie kompleksowych usług informatycznych (SaaS). Jak wynika z motywu 17 dyrektywy NIS, pojęcie zasobów obliczeniowych obejmować powinno sieci, serwery lub inną infrastrukturę, pamięć, aplikacje i usługi. Dostawcy takich usług będą zatem, co do zasady, objęci działaniem Ustawy.

Ustawa definiuje pojęcie wyszukiwarka internetowa. Jest to usługa umożliwiająca użytkownikom wyszukiwanie stron internetowych, poprzez słowa kluczowe lub inne elementy. Definicja wyszukiwarki internetowej (…) nie powinna obejmować funkcji wyszukiwania, które ograniczają się do treści na konkretnej stronie internetowej. Funkcjonalności serwisów internetowych, pozwalających na przeszukiwanie ich własnych zasobów nie powodują zatem objęcia ich zakresem Ustawy.

 Zadania dostawców usług cyfrowych wydają się oczywiste:

  • wdrażają środki techniczne i organizacyjne w celu zarządzania ryzykiem – zwiększają poziom bezpieczeństwa współmierny do stopnia ryzyka, na jakie narażone są system IT wykorzystywane do świadczenia usługi cyfrowej,
  • wykrywają, klasyfikują incydenty i je zgłaszają.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa nie jest idealna. Pojawienie się jej to dopiero początek drogi. Myślę, że dość wyboistej. Wszystkie uchybienia pokaże dopiero praktyka, która być może przyczyni się do nowelizacji i zmian w ustawie.

PAWEŁ MARKIEWICZ

Absolwent Polsko – Japońskiej Wyższej Szkoły Technik Komputerowych oraz Wojskowej Akadami Technicznej, oraz Polskiej Akademii Nauk. Założyciel firmy M3M. Praktykuje w branży IT od 2002 roku zajmując się  zakresem zagadnień: bezpieczeństwa informacji i danych osobowych, zarządzania ryzykiem, optymalizacji procesów biznesowych a także wdrożeniami systemów IT. Pracował przy wielu projektach ramach pracy doświadczenie zdobywał w KPMG, Citibank oraz Orange Polska.

ZOSTAW ODPOWIEDŹ

Prosimy wpisz swój komentarz!
Prosimy podaj swoje imię tutaj.