Przyjęcie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) to początek procesu podnoszenia poziomu cyberbezpieczeństwa w administracji i gospodarce naszego kraju. Dysponujemy systemem, który umożliwia sprawne działanie na rzecz wykrywania cyberataków, zapobiegania im i minimalizowania ich skutków. Ma on być konsekwentnie rozwijany. O tym, co wynika z ustawy i związanych z nią rozporządzeń, a także o tym, jak zmaksymalizować korzyści z tej regulacji dla cyberbezpieczeństwa, rozmawiano podczas konferencji „Advanced Threat Summit 2018” oraz towarzyszącego jej spotkania CSO Council.

„Zgłaszanie incydentów to pierwszy krok. Uruchamiane są kolejne inicjatywy związane z funkcjonowaniem ustawy. Pracujemy nad przygotowaniem minimalnych standardów bezpieczeństwa, prowadzimy prace w obszarze badań i certyfikacji produktów, a także działamy na rzecz zbudowania europejskiego centrum kompetencyjnego w zakresie cyberbezpieczeństwa” – wyliczał Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji podczas spotkania CSO Council.

Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie w sierpniu br. To pierwsza kompleksowa regulacja poświęcona cyberbezpieczeństwu w Polsce, dotycząca obsługi incydentów zarówno w sektorze publicznym, jak i prywatnym. Celem stworzonego na jej podstawie systemu jest umożliwienie sprawnego działania na rzecz wykrywania cyberataków, zapobiegania im oraz minimalizowania ich skutków. Ma on przede wszystkim dawać ramy i możliwości dla współpracy, zwłaszcza międzysektorowej.

Bezpośrednim impulsem do uregulowania kwestii związanych z cyberbezpieczeństwem była dyrektywa NIS, ale pewne działania w tym obszarze były podejmowane już od chwili wstąpienia Polski do NATO. Dla organizacji, które wdrożyły ISO 27001, wymagania wynikające z ustawy o KSC nie są niczym nowym. Ustawa nie wprowadza kolejnych wymagań, pozycjonuje tylko pewne standardy funkcjonujące w sektorze prywatnym. Wynikające z niej regulacje mogą być jednak nowością dla niektórych branż albo administracji publicznej.

„Po roku funkcjonowanie ustawy zostanie poddane ocenie. W związku z tym najprawdopodobniej przygotowana zostanie nowelizacja, ponieważ system ma być ‘żywy’, odpowiadać zmieniającej się dynamicznie sytuacji” – zapowiedział Robert Kośla.

Celem stworzonego systemu jest umożliwienie sprawnego działania na rzecz wykrywania cyberataków, zapobiegania im oraz minimalizowania skutków cyberataków. Ma on przede wszystkim dawać ramy i możliwości dla współpracy, zwłaszcza międzysektorowej.

Operatorzy i CSIRT-y

Obecnie na liście operatorów usług kluczowych (OUK) znajduje się blisko 800 podmiotów. Kim jest OUK? Jest on identyfikowany na podstawie przynależności do jednego z sektorów, podsektorów i rodzajów podmiotów wymienionych w załączniku do ustawy. Jednocześnie świadczy usługę znajdującą się w wykazie usług kluczowych, której świadczenie zależy od systemów informacyjnych, a wystąpienie incydentu miałoby istotny skutek zakłócający świadczenie usługi kluczowej.

Określenie istotnego skutku zakłócającego powiązane jest: z liczbą użytkowników zależnych od świadczonej usługi, zależnością innych sektorów, z wpływem, jaki incydent może mieć na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne. Dodatkowo brane są pod uwagę: udział podmiotu świadczącego usługę kluczową w rynku, zasięg geograficzny związany z obszarem, którego może dotyczyć incydent, oraz znaczenie podmiotu dla utrzymywania wystarczającego poziomu świadczenia usługi przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia.

„Będziemy jednak iść dalej. Planujemy mapowanie tego zagadnienia na wzajemne relacje pomiędzy operatorami, ponieważ atak na jednego z operatorów usług kluczowych może kaskadowo powodować skutki u innych operatorów” – mówił Robert Kośla.

Sam sposób wyznaczania operatora usługi kluczowej jest transparentny i uwzględnia procedurę odwoławczą. Organ właściwy bada rynek, szukając potencjalnych operatorów usług kluczowych. Następnie uruchamiane jest postępowanie administracyjne i zbierane są informacje o podmiocie. Sprawdza się, czy podmiot spełnia wymogi z rozporządzenia, a następnie wskazuje OUK decyzją administracyjną. Wybrany operator ma w kolejnych terminach – 3, 6 i 12 miesięcy – dostosować się do wymogów ustawy, a następnie realizować wynikające z niej obowiązki.

Jednym z ważniejszych wyzwań związanych z ustawą o KSC było stworzenie CSIRT-u poziomu krajowego (Computer Security Incident Response Team). W wyniku długich dyskusji udało się uzyskać kompromis odnoszący się do kompetencji i właściwości poszczególnych podmiotów. W ten sposób powstały trzy zespoły tworzące CSIRT poziomu krajowego. Są to: odpowiedzialny za sferę wojskową CSIRT MON; CSIRT GOV, bazujący na strukturze CERT.gov, zbierający informacje o incydentach w administracji rządowej i sektorach kluczowych, jak również o zdarzeniach terrorystycznych w cyberprzestrzeni, oraz umieszczony w strukturze NASK CERT.pl, który zbiera informacje z pozostałych jednostek – samorządu terytorialnego, a także podmiotów, jakie nie zostały zakwalifikowane jako OUK.

Jednym z ważniejszych wyzwań związanych z ustawą o KSC było stworzenie CSIRT-u poziomu krajowego (Computer Security Incident Response Team). W wyniku długich dyskusji udało się uzyskać kompromis odnoszący się do kompetencji i właściwości poszczególnych podmiotów.

Jest ustawa, ale to nie koniec

Co dalej? Dzisiaj problemem jest brak minimalnych, nadążających za rozwojem technologii standardów bezpieczeństwa dla administracji – takich, jakie obowiązują w innych państwach. W Polsce ich nie ma. Można natomiast wykorzystać standardy bezpieczeństwa fizycznego i informatycznego opracowane przez Rządowe Centrum Bezpieczeństwa (RCB) we współpracy z Agencją Bezpieczeństwa Wewnętrznego (ABW) i Policją dla operatorów infrastruktury krytycznej.

W Ministerstwie Cyfryzacji prowadzone są prace nad metodologią zarządzania ryzykiem, która ułatwi interpretację wymagań technicznych zapisanych w rozporządzeniach. Pozyskano finansowanie na tego typu projekt i został on uruchomiony. Przygotowywane są także bazy wiedzy z wykładnią wszystkich odpowiednich organów. Dlatego – jak podkreślał Robert Kośla – wszystkie podmioty mające pytania dotyczące KSC proszone są o przesyłanie ich do Ministerstwa Cyfryzacji.

Poza tym trwają prace nad programami szkoleniowymi. Wspólnie z Naukową i Akademicką Siecią Komputerową (NASK) Ministerstwo Cyfryzacji przygotowuje szkolenia internetowe dla samorządu terytorialnego. NASK jest zaangażowany także w działania sektorowe. „Będziemy spotykać się z przedstawicielami sektorów i pracować nad regulacjami, które później przyjmą organy właściwe. Realizujemy to w ramach programu ‘Partnerstwo dla cyberbezpieczeństwa” – mówił Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa w NASK.

Marcin Maruta, Senior Partner, Kancelaria Maruta Wachta

Warto pamiętać, że dyrektywa NIS i ustawa o KSC są także początkiem większej akcji legislacyjnej związanej z cyberbezpieczeństwem w Unii Europejskiej. Mówili o tym w swoim wystąpieniu mecenas Marcin Maruta i mecenas Marcin Serafin z Kancelarii Maruta Wachta. W pierwszej kolejności w 2019 r. ma pojawić się Cybersecurity Act, który będzie regulować schematy cyberbezpieczeństwa oraz europejskie i krajowe schematy certyfikacji. W kolejnych latach mają zostać zakończone prace nad regulacją dotyczącą European Competence Network, czyli siecią agencji krajowych finansowanych z budżetu europejskiego. Zajmie się ona uspójnianiem europejskiego systemu cyberbezpieczenstwa.

 

W Ministerstwie Cyfryzacji prowadzone są prace nad metodologią zarządzania ryzykiem, która ułatwi interpretację wymagań technicznych zapisanych w rozporządzeniach.

Dobry początek, trzeba działać dalej

Ustawa o KSC, choć niesie ze sobą spore wyzwania, spotkała się z dobrym przyjęciem w środowisku menedżerów i ekspertów odpowiedzialnych za cyberbezpieczeństwo. Wszyscy mają jednak świadomość, że to dopiero początek drogi i potrzebne są dalsze działania.

Piotr Skibiński, dyrektor Biura Bezpieczeństwa Teleinformatycznego, Polkomtel

„Ustawa o KSC jest bardzo potrzebna. Uwzględnia to, że jako społeczeństwo jesteśmy narażeni na ataki. Niewiele jednak pomoże, jeśli nie będzie postępowała zmiana w postrzeganiu bezpieczeństwa przez zarządy firm. Organizacje muszą zacząć postrzegać bezpieczeństwo jako cześć działalności gospodarczej. Potrzebna jest przy tym zmiana nie tylko sposobu myślenia, ale i działania zmierzające do edukacji nowych kadr. Z tym jest ogromny problem. Sama ustawa, jeśli nie będzie poparta działaniami w obszarze edukacji, niewiele przyniesie” – mówił w trakcie dyskusji panelowej Piotr Skibiński, dyrektor Biura Bezpieczeństwa Teleinformatycznego w Polkomtelu.

Piotr Kalbarczyk, dyrektor Departamentu Cyberbezpieczeństwa, PKO Bank Polski

Uczestnicy panelu zwracali też uwagę na inne aspekty systemowe. „Przykłady takie jak Wanna Cry czy Not Petya pokazują, że kluczowe znaczenie ma szybkość wymiany informacji. Samo informowanie nie rozwiązuje jednak problemu. Ważne, jak szybko będziemy w stanie zareagować. Dlatego informacja powinna być wymieniana w sieci, która jest w stanie sama reagować w przypadku wystąpienia incydentów. To pozwoli zminimalizować straty” – oceniał Piotr Kalbarczyk, dyrektor Departamentu Cyberbezpieczeństwa w PKO Bank Polski.

Michał Ostrowski, Regional Director Eastern Europe, FireEye

Wreszcie przedstawiciele branży cybersecurity mówili o konieczności odpowiedniego przygotowania się do ogólnych wyzwań związanych z cyberbezpieczeństwem. Samo wypełnienie wymogów ustawowych nie wystarczy. „Ustawa mówi o zgłoszeniu incydentu w ciągu 24 godzin. Jeśli jednak odkrywamy incydent dziś i zgłaszamy go w ciągu 24 godzin, ale tak naprawdę wystąpił on kilka miesięcy wcześniej, a firma nie dysponuje narzędziami, żeby to wyłapać, to nie ma tak naprawdę znaczenia, czy zgłoszenie zostanie dokonane w ciągu doby” – przestrzegał Michał Ostrowski, Regional Director Eastern Europe w FireEye. Firmy muszą więc myśleć o budowaniu struktur bezpieczeństwa w szerokim kontekście.

Ustawa o KSC, choć niesie ze sobą spore wyzwania, spotkała się z dobrym przyjęciem w środowisku menedżerów i ekspertów odpowiedzialnych za cyberbezpieczeństwo. Wszyscy mają jednak świadomość, że to dopiero początek drogi i potrzebne są dalsze działania.