Dostawcy usług cyfrowych pod nadzorem krajowego systemu cyberbezpieczeństwa. Utworzone zostaną specjalne zespoły szybkiego reagowania m.in. na ataki hakerów

Dostawcy usług cyfrowych pod nadzorem krajowego systemu cyberbezpieczeństwa. Utworzone zostaną specjalne zespoły szybkiego reagowania m.in. na ataki hakerów

Dostawcy usług cyfrowych pod nadzorem krajowego systemu cyberbezpieczeństwa. Utworzone zostaną specjalne zespoły szybkiego reagowania m.in. na ataki hakerów 1

Polski rząd przyjął niedawno ustawę o krajowym systemie cyberbezpieczeństwa wypełniającą założenia europejskiej Dyrektywy NIS, dotyczącej bezpieczeństwa sieci i informacji. Głównym założeniem nowych przepisów ma być zapewnienie ochrony cyberprzestrzeni na poziomie krajowym. Ustawa obejmie swoim zasięgiem przede wszystkim dostawców usług cyfrowych, którzy będą musieli szybko raportować każdy incydent związany z cyberbezpieczeństwem.

W myśl nowych przepisów NIS (Network and Information Security Directive) m.in. internetowe platformy handlowe, usługodawcy oferujący przetwarzanie w chmurze i dostawcy wyszukiwarek internetowych będą musieli spełnić szereg wymogów związanych z ochroną danych i raportowaniem incydentów zagrażających bezpieczeństwu.

– Raportowanie incydentów dla firm sektora energetycznego, transportowego, bankowości, dostawców usług cyfrowych i całego sektora publicznego będzie oznaczało, że firmy te będą musiały mieć odpowiednie osoby, procedury i narzędzia, które pozwolą na to, żeby wykrywać incydenty bezpieczeństwa, a potem klasyfikować je i w bardzo krótkim czasie, bo w ciągu 24 godzin, przedstawić raport na temat krytycznego, poważnego czy istotnego incydentu bezpieczeństwa – wyjaśnia w rozmowie z agencją informacyjną Newseria Innowacje Mariusz Stawowski z firmy Clico dostarczającej produkty zapewniające bezpieczeństwo danych.

Raporty dotyczące cyberbezpieczeństwa mają trafiać do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Zespoły CSIRT na poziomie krajowym będą współpracować ze sobą w celu zapewnienia spójnego i kompletnego systemu zarządzania ryzykiem. Mają one zapewnić też właściwą obsługę zgłoszonych incydentów. Priorytetowe będą incydenty poważne i krytyczne, które są najpoważniejsze z punktu widzenia państwa. Aby tak skonstruowany system mógł funkcjonować, podlegające dyrektywie przedsiębiorstwa będą musiały zatrudnić specjalistów od cyberbezpieczeństwa, którzy zajmą się obsługą i raportowaniem incydentów.

– Zasadniczym celem jest podwyższenie świadomości osób odpowiedzialnych za zarządzanie organizacjami w obszarze bezpieczeństwa. Osiągnięte ma to być poprzez wprowadzenie odpowiednich, lepiej działających procesów związanych z zarządzaniem bezpieczeństwem, a także wyposażenie osoby odpowiedzialnej za bezpieczeństwo w narzędzia i polepszenie koordynacji pomiędzy narodowymi organami czyli CIRT-ami, CERT-ami, a jednostkami odpowiedzialnymi za bezpieczeństwo w organizacjach. To także szansa na poprawienie współpracy mającej na celu wczesne informowanie odpowiednich osób w organizacjach, że w innej organizacji wystąpił jakiś incydent bezpieczeństwa. Całościowo poziom bezpieczeństwa infrastruktury krytycznej naszego kraju oraz wielu istotnych organizacji, w tym sektora publicznego, powinien zostać rozszerzony – twierdzi Mariusz Stawowski.

Wiadomości i alerty dotyczące zagrożeń cyberbezpieczeństwa nie pozostaną jednak wyłącznie w obszarze zainteresowań wdrażających dyrektywę NIS krajów. Przyjęta w Polsce ustawa powołuje pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa prowadzony przez ministra właściwego do spraw informatyzacji. Ma on być odpowiedzialny za wymianę informacji związanych z cyberbezpieczeństwem na poziomie kraju oraz współpracę transgraniczną na poziomie Unii Europejskiej. Dyrektywa NIS jest kolejnym, po RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), sposobem na zwiększenie bezpieczeństwa wszelkiego rodzaju wrażliwych danych, w tym zwłaszcza danych osobowych.

– Do tej pory, przed RODO i przed dyrektywą NIS, tylko firmy z sektora telekomunikacyjnego miały obowiązek zgłaszania naruszeń bezpieczeństwa, chodziło tutaj o dane osobowe. W tym momencie ustawa o krajowym systemie bezpieczeństwa i RODO wprowadzają prawny obowiązek zgłaszania naruszeń bezpieczeństwa danych osobowych oraz zgłaszania incydentów poważnych, istotnych i krytycznych. Jest to prawny obowiązek wykrywania i zgłaszania incydentów do właściwych organów. Oznacza to zasadniczą zmianę, gdyż do tej pory większość organizacji nie miała obowiązku zgłaszania incydentów żadnemu formalnemu podmiotowi. Często zdarzało się, że informacje o incydentach bezpieczeństwa były zamiatane pod dywan, teraz będzie to oznaczało złamanie prawa – podsumowuje przedstawiciel firmy Clico.

Ustawa o krajowym systemie cyberbezpieczeństwa nie została jeszcze przyjęta przez Sejm. Na posiedzeniu sejmu 5 czerwca zdecydowano o skierowaniu jej do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej.

Z prognozy Cybersecurrity Ventures wynika, że do 2021 roku notowane rocznie straty wynikające z działalności cyberprzestępców wyniosą 6 bln dol. Tymczasem z raportu „Cyber Risks 2017”, dostarczonego przez FireEye i Marsh & McLennan Companies, wynika, że cyberzagrożenia dotyczą niemal każdego sektora gospodarki. Hakerów najbardziej interesują dane handlowe przedsiębiorstw, informacje dotyczące systemów kontroli i plany strategiczne.