Od jesieni obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, zgodnie z którą tzw.  Operatorzy Usług Kluczowych otrzymują konkretne obowiązki związane z zapewnieniem cyberbezpieczeństwa własnej infrastruktury. Prawo wskazuje zbiór operatorów usług kluczowych - są to firmy, które zarządzają infrastrukturą krytyczną. - Czyli takie, od których zależy bezpieczeństwo kraju, m.in. energetyka, wydobywanie i obrót kopalinami, największe instytucje finansowe, operatorzy infrastruktury transportowej, szpitale i oddziały ratunkowe, producenci i dystrybutorzy farmaceutyków, przedsiębiorstwa wodociągowo – kanalizacyjne, infrastruktura cyfrowa – wyjaśnia Marcin Jan Wachowski, adwokat, założyciel i partner zarządzający Kancelarii Wachowski.

 


Zgodnie z ustawą do 9 listopada ubiegłego roku ministrowie, w których kompetencjach leży nadzór nad operatorem usługi kluczowej, mieli wydać decyzje administracyjne. Wskazują w nich, że dane podmioty są operatorem usługi kluczowej i muszą spełniać obowiązki z zakresu cyberbezpieczeństwa. Jak się dowiadujemy, obecnie te decyzje są rozsyłane, ale mimo że miały być wydane do 9 listopada, na razie jedynie ok. 60 zostało doręczonych. Według szacunków może być ok. 300 takich podmiotów w skali kraju. Ich oficjalnej listy nie ma, bo to też element bezpieczeństwa.

 

Według Pawła Deyka, kierownika projektu w Zespole Wsparcia Sprzedaży Exatel S.A., ustawa o Krajowym Systemie Cyberbezpieczeństwa porządkuje wiele kwestii związanych ze złożoną materią cyberbezpieczeństwa w Polsce. Jak wyjaśnia, nakłada ona na organy właściwe do spraw cyberbezpieczeństwa - ministerstwa odpowiedzialne za konkretne sektory, np. energetyczny, czy zaopatrzenia w wodę pitną oraz Komisję Nadzoru Finansowewgo, operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne szereg nowych obowiązków dotyczących ochrony przed cyberzagrożeniami.

 

Niska świadomość obowiązków i zagrożeń

Jak się okazuje,  jest dość niski poziom świadomości tych obowiązków, zwłaszcza wśród podmiotów, które do tej pory nie były „na pierwszej linii”, a technologia wkracza tam w sposób zaawansowany. - Będą potrzebowały wsparcia w postaci środków technicznych, finansowych, wiele z nich podlega pod samorządy, które również mają swoje obowiązki, ale muszą swoje podmioty uświadamiać – mówi Marcin Wachowski.

Problemem jest finansowanie cyberbezpieczeństwa – jeśli np. samorząd ma kilka takich podmiotów,  to może należy wspierać je systemowo. Obowiązki polegają m.in. na stałej analizie ryzyka, monitorowaniu zagrożeń i incydentów, wprowadzaniu środków technicznych i procedur zapewniających cyberbezpieczeństwo. Należy w każdym środowisku monitorować incydenty, sprawdzać, czy są ataki. W końcu - informować o incydentach. Ważne jest także wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo i podnoszenie świadomości wśród pracowników.

Według mecenasa Wachowskiego dużo emocji wywołuje stałe analizowanie ryzyka – badanie w organizacji procesów, w których dane są przetwarzane. Trzecia sprawa to elementy infrastruktury informatycznej i jej zabezpieczenia techniczne, wdrożenie procedur ochronnych, a także co robić podczas i po incydentach. Nowy obowiązek to prowadzenie audytów systemów cyberbezpieczeństwa, które trzeba będzie wykonać co 2 lata.

Czytaj też: Koszty związane z bezpieczeństwem informacji będą rosły>>

 

Trzy zespoły reagowania na incydenty

Obecnie można zgłaszać incydenty do centrów bezpieczeństwa, gdzie są analizowane. W Polsce są trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego. CSIRT GOV został powołany na mocy porozumienia Ministra Spraw Wewnętrznych i Administracji oraz Szefa Agencji Bezpieczeństwa Wewnętrznego – do 2018 roku funkcjonował jako CERT.GOV.PL tj. Rządowy Zespół Reagowania na Incydenty Komputerowe.

Drugi, czyli CSIRT NASK, to Zespół CERT Polska, który działa w strukturach Naukowej i Akademickiej Sieci Komputerowej. Trzeci to CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzonym przez Ministra Obrony Narodowej. Wszystkie działają na poziomie krajowym. CSIRT (Computer Security Incident Response Team) to zespół ds. bezpieczeństwa komputerowego i reagowania na incydenty.

 


Trzy grupy podmiotów zobowiązanych

Jedną z grup podmiotów zobowiązanych do działań w zakresie cyberbezpieczeństwa wyróżnionych przez ustawę są operatorzy usług kluczowych – ich status określa decyzja wydana przez właściwy organ. Druga grupa to dostawcy usług cyfrowych – przedsiębiorcy działający w internecie, a trzecia grupa to administracja publiczna i samorząd terytorialny. Ustawa nakłada różne obowiązki na te grupy. - Na rynku zaczyna się poruszenie, bo wiele podmiotów nigdy nie miało z tym do czynienia, m.in. wodociągi, zarządcy dróg, szpitale i samorządy, którym te podmioty podlegają – mówi mec. Wachowski. – Na przykład wodociągi to pierwsza grupa – nietrudno sobie wyrazić co by było, gdyby w dużym mieście stanął wodociąg – podkreśla.

Unia Europejska tworzy kolejne regulacje związane z tematyka cyberbezpieczeństwa, bo życie przenosi się do internetu i większość infrastruktury technicznej jest od niego uzależniona. Zagrożeniem są zarówno zwykli przestępcy czy hakerzy, ale też rządy niektórych państw. Stwarza to niebezpieczeństwo dla ludzi.

- Dzięki temu, że obowiązki są kaskadowane, mają szansę dotrzeć do wszystkich podmiotów, które bezpośrednio odpowiadają za działania usług kluczowych z punktu widzenia państwa, takich jak dostarczanie energii elektrycznej, czy świadczenie usług medycznych – mówi Paweł Deyk.

Czytaj też: Cyberbezpieczeństwo to wyzwanie dla szpitali>>

Będą kary

Zaimplementowana niedawno w oparciu o unijną dyrektywę NIS ustawa o Krajowym Systemie Cyberbezpieczeństwa to pierwszy w UE globalny akt regulujący kwestie cyberbezpieczeństwa.

- To dziwne, że problem przeszedł przez media trochę po cichu – mówi mecenas Marcin Wachowski. Tymczasem Unia Europejska szykuje kolejne akty prawne w dziedzinie cyberbezpieczeństwa. W marcu Parlament Europejski przyjął w pierwszym czytaniu Cybersecurity Act. Podkreśla, że na razie rozporządzenie to wprowadza niektóre obowiązki na zasadzie dobrowolności, ale docelowo będą np. certyfikaty cyberbezpieczeństwa - certyfikowanie przedmiotów jako bezpiecznych z punktu widzenia cyberbezpieczeństwa. Będzie miało to znaczenie w przyszłości – dotyczy internetu rzeczy np. takie normy będzie musiała spełniać np. podłączona do internetu lodówka i wszystkie przedmioty połączone z siecią, których będą miliony.

Zachowanie bezpieczeństwa jest obowiązkiem. Co ważne, podmioty są zobowiązane do ich wypełniania od dnia doręczenia decyzji. Ustawa  przewiduje katalog kar za ich niedopełnienie. Zgodnie z nią, karze pieniężnej podlega operator usługi kluczowej, który m.in. nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, nie wdrożył nakazanych środków technicznych i organizacyjnych, nie przeprowadza audytu czy nie wykonuje innych wskazanych obowiązków.

 

Kary wynoszą od 15 tys. zł za każdy stwierdzony przypadek zaniechania obsługi incydentu do nawet 150 tys. zł za brak lub niewłaściwe zarządzanie ryzykiem. Przy czym z ustawy jasno wynika, że kary nie mogą być niższe niż określone w przypadku konkretnych zaniechań.

Według Pawła Deyka, konkretne wymogi, takie jak wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych oraz coroczny obowiązek poddania się audytowi i związane z nimi kary sprawiają, że poziom cyberbezpieczeństwa państwa może zostać skutecznie podniesiony. Podkreśla, że jego firma angażuje się w procesy zwiększające świadomość dotyczącą cyberzagrożeń i dostosowanie się do nowych warunków prawnych.