Operator usługi kluczowej musi zbudować mechanizm zarządzania bezpieczeństwem systemu informatycznego wspomagającego świadczenie tej usługi, również gdy bazuje ona na rozwiązaniach OT. Ustawa o krajowym systemie cyberbezpieczeństwa nie precyzuje, jakie działania mają być podjęte w odniesieniu do infrastruktury automatyki przemysłowej. Wybór odpowiednich środków leży w gestii poszczególnych operatorów. Muszą być adekwatne do oszacowanego ryzyka – mówi Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.

Światy automatyki przemysłowej i informatyki zazębiają się coraz bardziej. Nie wszyscy jednak uważają to za dobre rozwiązanie ze względów bezpieczeństwa. Pojawiają się obawy, że cyfryzacja środowisk OT i integrowanie ich z systemami IT narazi twardą infrastrukturę na większe ryzyko ataków…

Trzeba łączyć IT i OT, nie da się inaczej. Procesy cyfrowej transformacji wymuszają taką drogę postępowania. To wcale nie musi oznaczać wzrostu zagrożeń dla OT, wprost przeciwnie – będzie skutkować większym poziomem bezpieczeństwa. Pojawi się bowiem możliwość zbierania i przetwarzania większej ilości danych, co zwiększy świadomość sytuacyjną na temat potencjalnych zagrożeń i sposobów zapobiegania im. Informacje z systemów automatyki przemysłowej pomagają w analizie sytuacji w zakresie cyberbezpieczeństwa. To też przemawia za potrzebą łączenia tych dwóch światów – OT i IT. Może to być trudne, bo systemy OT nie były projektowane z myślą o bezpieczeństwie, ale dzisiaj jest to niezbędne.

Jaki wpływ na działanie przedsiębiorstw infrastrukturalnych będzie miała ustawa o krajowym systemie cyberbezpieczeństwa? Jakie wyzwania w tym kontekście stoją przed użytkownikami systemów OT?

Ustawa dotyczy operatorów usług kluczowych. Są trzy nierozłączne kryteria decydujące o uznaniu danego przedsiębiorstwa za operatora usługi kluczowej. Po pierwsze, musi świadczyć usługę wymienioną w wykazie usług kluczowych. Po drugie, świadczenie tej usługi zależy od systemów informacyjnych. I po trzecie, wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej. Jeżeli przedsiębiorstwo z twardą infrastrukturą zostanie uznane za operatora usług kluczowych, to musi się podporządkować wymogom ustawy tak jak każdy inny operator.

Dzisiaj w coraz większym zakresie korzystanie z systemów automatyki przemysłowej odbywa się z wykorzystaniem informatyki. Jeżeli więc mamy do czynienia ze stykiem OT i IT, to jest duże prawdopodobieństwo, że świadczenie usługi na bazie automatyki zależy od systemów informatycznych. Oznacza to, że są szanse, że taka firma zostanie zakwalifikowana jako operator usługi kluczowej. Tym bardziej, gdyby się okazało, że incydent z zakresu cyberbezpieczeństwa może zakłócić funkcjonowanie infrastruktury będącej podstawą świadczenia usługi.

Co to w praktyce oznacza dla firmy? Co musi zrobić, żeby być w zgodzie z przepisami?

Musi zbudować system zarządzania bezpieczeństwem dla usługi kluczowej, a właściwie dla systemu informatycznego, od którego zależy świadczenie tej usługi kluczowej. Oznacza to, że musi m.in. przeprowadzać systematyczną analizę ryzyka, a także wdrażać proporcjonalne do oszacowanego ryzyka środki techniczne i organizacyjne.

Czy są szczególne wskazania pod tym względem dla przedsiębiorstw działających na bazie twardej infrastruktury?

Ustawa nie definiuje, jak konkretnie ma to być zrobione. Tym bardziej nie określa, co dokładnie trzeba zrobić w odniesieniu do systemu automatyki przemysłowej. Wybór odpowiednich metod i sposobów działania leży w gestii poszczególnych operatorów. Wykorzystane środki mają być adekwatne do oszacowanego ryzyka. Ustawa nie wymusza konkretnych działań. Jej rolą jest natomiast stymulowanie do podnoszenia poziomu bezpieczeństwa u poszczególnych operatorów, a w konsekwencji również w skali całego kraju.

Informacje z systemów automatyki przemysłowej pomagają w analizie sytuacji w zakresie cyberbezpieczeństwa. To też przemawia za potrzebą łączenia tych dwóch światów – OT i IT. Może to być trudne, bo systemy OT nie były projektowane z myślą o bezpieczeństwie, ale dzisiaj jest niezbędne.

Operatorów usług kluczowych będą wskazywać „organy właściwe”, czyli w praktyce poszczególne resorty. Kiedy pojawią się pierwsze wykazy?

Wykaz operatorów usług kluczowych, bo będzie tylko jeden prowadzony w Ministerstwie Cyfryzacji, nie będzie upubliczniony. Nie będzie też tajny, co znaczy, że zainteresowana firma będzie mogła potwierdzić, czy została uznana za operatora usług kluczowych. Podmioty spełniające kryteria, po przeprowadzeniu transparentnego postępowania administracyjnego, otrzymają decyzję administracyjną o uznaniu za operatora usług kluczowych. Tym, którzy się nie zgodzą z decyzją organu, przysługuje odwołanie. Obecnie wskazani są niektórzy operatorzy usług kluczowych i podmioty te otrzymały już decyzje administracyjne.

Czy oddanie decyzji w sprawie uznania za operatora usług kluczowych do poszczególnych ministerstw nie spowoduje rozbieżności w traktowaniu kryteriów kwalifikacji?

Użyte parametry przy określaniu istotności skutku zakłócającego, m.in. liczba użytkowników zależnych od usługi świadczonej przez dany podmiot czy zasięg geograficzny świadczonej usługi, są wprost wskazane w dyrektywie NIS. Natomiast określenie szczegółowych progów precyzujących te parametry dla konkretnych usług kluczowych nastąpiło w rozporządzeniu wykonawczym do ustawy. Decyzje o uznaniu za operatora pozostawiliśmy w gestii organów właściwych, które najlepiej znają podległe sobie sektory i najtrafniej zidentyfikują operatorów.

Czy nie prościej i łatwiej byłoby jednak opublikować jedną, centralną listę? Czy były przeciwskazania do przyjęcia takiego rozwiązania?

Postępowanie administracyjne zostało przyjęte w Polsce jako bardziej przejrzyste. W NIS nie ma takiego wymogu. Inne kraje poszły drogą stworzenia odgórnie listy operatorów, np. w formie wskazania, bez możliwości odwołania. My wybraliśmy sposób, który daje możliwość odwołania się od decyzji, gdyby któryś z operatów się z nią nie zgadzał. W przypadku odwołania organ właściwy będzie musiał wskazać przyjęte kryteria, a podmiot odwołujący się udowodnić, że ich nie realizuje.

Resorty mogą działać skuteczniej, bo znają specyfikę podlegających im sektorów. Łatwiej im podejmować decyzje w odniesieniu do konkretnych podmiotów niż instytucji centralnej, która nie zawsze wie o specyficznych uwarunkowaniach poszczególnych dziedzin gospodarki. Ustawa jest jedna dla wszystkich, ale dotyczy różnych sektorów. Trudno zastosować jedną ocenę dla wszystkich sektorów. Wspólny jest system zarządzania bezpieczeństwem, system organizacyjny bezpieczeństwa.

Jaką rolę pełnią w nim jeszcze organy wskazujące operatorów usług kluczowych?

Ich znajomość specyfiki sektorowej będzie wykorzystywana przy tworzeniu rekomendacji. Jednemu organowi centralnemu trudno jest wniknąć tak głęboko w uwarunkowania poszczególnych sektorów. Mamy siedem organów właściwych, każdy z nich może wydawać rekomendacje dla podmiotów z podległego mu sektora, m.in. dotyczące zgłaszania incydentów. Rekomendacje może wydawać także pełnomocnik rządu ds. cyberbezpieczeństwa. Obecnie jest nim Karol Okoński, sekretarz stanu w Ministerstwie Cyfryzacji. Rekomendacje mogą być pozytywne lub negatywne. Jeżeli zaistnieją uzasadnione obawy, że jakiś sprzęt lub oprogramowanie mogą stwarzać zagrożenie, to trzy krajowe CSIRT-y będą mogły przeprowadzić badania w celu identyfikacji podatności, a następnie wnioskować do pełnomocnika rządu w sprawie wydawania odpowiednich rekomendacji.

Rolą organów właściwych jest również monitorowanie stosowania przepisów ustawy przez operatorów z podległych sobie sektorów. Będą też uczestniczyć w ćwiczeniach z cyberbezpieczeństwa, których organizacja będzie w gestii i kompetencji pełnomocnika rządu.

Podmioty spełniające kryteria, po przeprowadzeniu transparentnego postępowania administracyjnego, otrzymają decyzję administracyjną o uznaniu za operatora usług kluczowych. Tym, którzy się nie zgodzą z decyzją organu, przysługuje odwołanie. Obecnie wskazani są niektórzy operatorzy usług kluczowych i podmioty te otrzymały już decyzje administracyjne.

Czy rekomendacje będą dotyczyły też sposobów przeprowadzenia analizy ryzyka?

Analizy ryzyka mogą być prowadzone zgodnie z wymogami normy ISO 27000 i pozostałymi dokumentami. W przypadku uzasadnionych wątpliwości co do gwarancji bezpieczeństwa ze strony konkretnego rozwiązania operator może wysłać zapytanie do CSIRT-u. Jeśli analiza wykaże, że dany sprzęt lub oprogramowanie wprowadza dodatkowe zagrożenie (np. poprzez brak możliwości aktualizacji), to po badaniach będzie wydana przez pełnomocnika rekomendacja odnośnie do ich dalszego stosowania. Podmioty mogą wnosić do rekomendacji swoje zastrzeżenia w ciągu siedmiu dni od daty jej otrzymania. Zatwierdzone rekomendacje będą obligatoryjne, podmioty będące w krajowym systemie cyberbezpieczeństwa muszą je uwzględniać w swojej działalności.

Kary za niestosowanie się do przepisów ustawy nie są duże. Pojawiają się głosy, że być może ustawodawca zrezygnował zbyt łatwo z tego instrumentu egzekwowania stosownych działań od operatorów.

Kary są małe, bo ustawodawca nie chciał karać, ale wskazać kierunki działania dla budowania krajowego systemu cyberbezpieczeństwa. Nie ukrywam, proces ten jest trudny i niestety musi trwać długo. Nie wiadomo, czy np. firmy mają obecnie możliwości i środki do zbudowania u siebie od razu systemu bezpieczeństwa. Ustawa dała CSO argumenty do przekonania zarządu o potrzebie podjęcia stosownych działań.

Czym ma być Krajowy System Cyberbezpieczeństwa?

KSC ma umożliwić zbudowanie dużej świadomości dotyczącej ataków i ochrony przed nimi. Niejeden przedsiębiorca często bał się zgłaszania incydentów. Potem te same metody ataków były wykorzystywane w stosunku do innych firm. Stąd ustawa wprowadziła obowiązek zgłaszania poważnych incydentów bezpieczeństwa. Poza tym ustawodawca zachęcił firmy do dobrowolnego zgłaszania także innych incydentów.

NIS to dyrektywa dotycząca w gruncie rzeczy budowania sieci informacji o bezpieczeństwie. Polska idzie dalej. Tworzymy system, który będzie miał podstawy prawne, organy decyzyjne, struktury organizacyjne. To wszystko ma wspomagać podmioty objęte ustawą. Grupa robocza do spraw incydentów ma wypracować narzędzia informacji o incydentach, m.in. stworzyć wspólne nazewnictwo. Żeby wszyscy mieli tę samą informację o incydentach. Wskaże też awaryjne kanały komunikacji w sytuacjach kryzysowych.

Wokół KSC będzie zbudowana Narodowa Platforma Cyberbezpieczeństwa (NPC). Udostępni ona wszystkim podmiotom objętym ustawą narzędzia do analizy ryzyka. Będzie też służyła wszystkim do wymiany informacji w sytuacjach kryzysowych.

Rolą KSC jest także zidentyfikowanie powiązań między systemami. Będzie ono prowadzone m.in. w ramach Narodowej Platformy Cyberbezpieczeństwa. Wyniki mają pokazywać, jak zmiana u jednego operatora może mieć wpływ na resztę.

Jakie są relacje i zależności między operatorami usług kluczowych a podmiotami zaliczonymi do infrastruktury krytycznej?

Niektóre podmioty będą występować i tu, i tu. Podmioty z IK będą mogły zostać uznane za operatorów usług kluczowych. Jednakże, jeśli mają już zatwierdzone plany ochrony infrastruktury krytycznej (w zakresie cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej), to wystarczy, nie będą musiały robić nic więcej. Natomiast podmioty z IK, które takich planów nie mają, będą musiały je uzupełnić, m.in. o mechanizm powiadamiania o incydentach. Zgłoszenia nadal muszą przesłać do CSIRTGOV. Nie ma wobec nich dodatkowych wymogów. I tak podmioty należące do infrastruktury krytycznej muszą robić analizy ryzyka, co jest wymagane w ustawie o krajowym systemie cyberbezpieczeństwa.

Czy te, które nie posiadają, będą musiały stworzyć własny SOC?

SOC to w gruncie rzeczy zespół analityczny, monitorujący, jak IT realizuje zabezpieczenia. Chodzi głównie o to, by nie był to zespół w strukturze odpowiedzialnej za eksploatację systemów. W przedsiębiorstwach, które nie mają odpowiednich zasobów do budowania SOC-u, dopuszczalne jest kupowanie usług cyberbezpieczeństwa na rynku. Wtedy dostawca musi spełnić wymogi określone w prawie.

Wokół KSC będzie zbudowana Narodowa Platforma Cyberbezpieczeństwa (NPC). Udostępni ona wszystkim podmiotom objętym ustawą narzędzia do analizy ryzyka. Będzie też służyła wszystkim do wymiany informacji w sytuacjach kryzysowych.

Ustawa nakłada na operatorów usług kluczowych obowiązek przeprowadzania audytów. Pierwszy musi być zrobiony w terminie 12 miesięcy od otrzymania decyzji administracyjnej o uznaniu za operatora. Kto może lub kto powinien takie audyty przeprowadzać?

Wymagania, jakie ma sprawdzić audyt, pokrywają się z wymaganiami normy ISO 27000. Wszyscy, którzy mają kompetencje i uprawnienia w tym zakresie, mogą prowadzić audyty wynikające z ustawy. Jeżeli cała organizacja ma akredytację ISO 27000, to wystarczy, bo zagadnienia cyberbezpieczeństwa są elementem tej normy. Nie trzeba wtedy robić nic więcej.

Czy audyt może przeprowadzić także pracownik firmy będącej operatorem usług kluczowych?

Pracownik, który ma np. certyfikat audytora ISO 27000, może zrobić w zatrudniającej go firmie audyt wynikający z wymogów ustawy o KSC. Tu chodzi o sprawdzenie zgodności systemu z ustawą. Może tego dokonać także firma mająca odpowiednią akredytację Polskiego Centrum Akredytacji. Ustawa przewiduje wykaz certyfikatów uprawniających do przeprowadzenia audytu.

Rozmawiał Andrzej Gontarz.

Cyberbezpieczeństwu twardej infrastruktury (ICS, SCADA, OT, IoT) poświęcona będzie konferencja InfraSEC Forum 2019 (20 lutego 2019, Warszawa). Informacje o programie można znaleźć na stronie https://infrasecforum.pl/.