Polski rząd przyjął niedawno ustawę o krajowym systemie cyberbezpieczeństwa wypełniającą założenia europejskiej Dyrektywy NIS, dotyczącej bezpieczeństwa sieci i informacji. Głównym założeniem nowych przepisów ma być zapewnienie ochrony cyberprzestrzeni na poziomie krajowym. Ustawa obejmie swoim zasięgiem przede wszystkim dostawców usług cyfrowych, którzy będą musieli szybko raportować każdy incydent związany z cyberbezpieczeństwem.
W myśl nowych przepisów NIS (Network and Information Security Directive) m.in. internetowe platformy handlowe, usługodawcy oferujący przetwarzanie w chmurze i dostawcy wyszukiwarek internetowych będą musieli spełnić szereg wymogów związanych z ochroną danych i raportowaniem incydentów zagrażających bezpieczeństwu.
– Raportowanie incydentów dla firm sektora energetycznego, transportowego, bankowości, dostawców usług cyfrowych i całego sektora publicznego będzie oznaczało, że firmy te będą musiały mieć odpowiednie osoby, procedury i narzędzia, które pozwolą na to, żeby wykrywać incydenty bezpieczeństwa, a potem klasyfikować je i w bardzo krótkim czasie, bo w ciągu 24 godzin, przedstawić raport na temat krytycznego, poważnego czy istotnego incydentu bezpieczeństwa – wyjaśnia w rozmowie z agencją informacyjną Newseria Innowacje Mariusz Stawowski z firmy Clico dostarczającej produkty zapewniające bezpieczeństwo danych.
Raporty dotyczące cyberbezpieczeństwa mają trafiać do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Zespoły CSIRT na poziomie krajowym będą współpracować ze sobą w celu zapewnienia spójnego i kompletnego systemu zarządzania ryzykiem. Mają one zapewnić też właściwą obsługę zgłoszonych incydentów. Priorytetowe będą incydenty poważne i krytyczne, które są najpoważniejsze z punktu widzenia państwa. Aby tak skonstruowany system mógł funkcjonować, podlegające dyrektywie przedsiębiorstwa będą musiały zatrudnić specjalistów od cyberbezpieczeństwa, którzy zajmą się obsługą i raportowaniem incydentów.
– Zasadniczym celem jest podwyższenie świadomości osób odpowiedzialnych za zarządzanie organizacjami w obszarze bezpieczeństwa. Osiągnięte ma to być poprzez wprowadzenie odpowiednich, lepiej działających procesów związanych z zarządzaniem bezpieczeństwem, a także wyposażenie osoby odpowiedzialnej za bezpieczeństwo w narzędzia i polepszenie koordynacji pomiędzy narodowymi organami czyli CIRT-ami, CERT-ami, a jednostkami odpowiedzialnymi za bezpieczeństwo w organizacjach. To także szansa na poprawienie współpracy mającej na celu wczesne informowanie odpowiednich osób w organizacjach, że w innej organizacji wystąpił jakiś incydent bezpieczeństwa. Całościowo poziom bezpieczeństwa infrastruktury krytycznej naszego kraju oraz wielu istotnych organizacji, w tym sektora publicznego, powinien zostać rozszerzony – twierdzi Mariusz Stawowski.
Wiadomości i alerty dotyczące zagrożeń cyberbezpieczeństwa nie pozostaną jednak wyłącznie w obszarze zainteresowań wdrażających dyrektywę NIS krajów. Przyjęta w Polsce ustawa powołuje pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa prowadzony przez ministra właściwego do spraw informatyzacji. Ma on być odpowiedzialny za wymianę informacji związanych z cyberbezpieczeństwem na poziomie kraju oraz współpracę transgraniczną na poziomie Unii Europejskiej. Dyrektywa NIS jest kolejnym, po RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), sposobem na zwiększenie bezpieczeństwa wszelkiego rodzaju wrażliwych danych, w tym zwłaszcza danych osobowych.
– Do tej pory, przed RODO i przed dyrektywą NIS, tylko firmy z sektora telekomunikacyjnego miały obowiązek zgłaszania naruszeń bezpieczeństwa, chodziło tutaj o dane osobowe. W tym momencie ustawa o krajowym systemie bezpieczeństwa i RODO wprowadzają prawny obowiązek zgłaszania naruszeń bezpieczeństwa danych osobowych oraz zgłaszania incydentów poważnych, istotnych i krytycznych. Jest to prawny obowiązek wykrywania i zgłaszania incydentów do właściwych organów. Oznacza to zasadniczą zmianę, gdyż do tej pory większość organizacji nie miała obowiązku zgłaszania incydentów żadnemu formalnemu podmiotowi. Często zdarzało się, że informacje o incydentach bezpieczeństwa były zamiatane pod dywan, teraz będzie to oznaczało złamanie prawa – podsumowuje przedstawiciel firmy Clico.
Ustawa o krajowym systemie cyberbezpieczeństwa nie została jeszcze przyjęta przez Sejm. Na posiedzeniu sejmu 5 czerwca zdecydowano o skierowaniu jej do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej.
Z prognozy Cybersecurrity Ventures wynika, że do 2021 roku notowane rocznie straty wynikające z działalności cyberprzestępców wyniosą 6 bln dol. Tymczasem z raportu „Cyber Risks 2017”, dostarczonego przez FireEye i Marsh & McLennan Companies, wynika, że cyberzagrożenia dotyczą niemal każdego sektora gospodarki. Hakerów najbardziej interesują dane handlowe przedsiębiorstw, informacje dotyczące systemów kontroli i plany strategiczne.