Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w życie w sierpniu ubiegłego roku. Jej celem jest zapewnienie możliwości sprawnego wykrywania cyberataków, zapobiegania im oraz minimalizowania ich skutków zarówno w sektorze publicznym, jak i prywatnym. Warunkiem powstania skutecznego systemu jest jednak współpraca pomiędzy wszystkimi interesariuszami, w tym konkurującymi ze sobą na co dzień firmami, a także kooperacja międzysektorowa. O wyzwaniach organizacyjnych, technologicznych, regulacyjnych i ludzkich związanych z wdrażaniem ustawy i o prowadzonych przygotowaniach do spełnienia jej wymogów będą dyskutowali uczestnicy „KSC FORUM 2019”, które odbędzie się pod koniec sierpnia w Zakopanem.

„Jako CSIRT NASK jesteśmy w stu procentach przygotowani, aby realizować rolę, którą przewidziała dla nas ustawa o KSC. A jest ona niezwykle istotna, ponieważ to do nas mają raportować incydenty operatorzy usług kluczowych, podmioty publiczne, a także wszyscy internauci. Wyjątek stanowią operatorzy w ramach infrastruktury krytycznej, którzy raportują do CSIRT GOV” – mówi Juliusz Brzostek, dyrektor ds. cyberbezpieczeństwa, NASK PIB, jeden z uczestników panelu dyskusyjnego, który odbędzie się drugiego dnia „KSC Forum 2019”.

Zespół CSIRT NASK odpowiadający za przyjmowanie zgłoszeń pracuje w systemie 24/7. Aby ułatwić zgłaszanie potencjalnych incydentów, uruchomiony został na stronie https://incydent.cert.pl/ specjalny formularz, który krok po kroku prowadzi użytkownika przez cały proces. Podobne rozwiązanie zastosowano w przypadku zgłaszania osób kontaktowych przez operatorów usług kluczowych i podmioty publiczne (https://incydent.cert.pl/osoba-kontaktowa). CSIRT zlokalizowany w NASK współpracuje także z pozostałymi dwoma CSIRT-ami poziomu krajowego, które znajdują się w ABW oraz MON. Sprawną ich współpracę mają zapewnić przygotowane Standardowe Procedury Operacyjne, które w jasny sposób regulują wzajemne relacje.

Juliusz Brzostek, dyrektor ds. cyberbezpieczeństwa, NASK PIB

„Jednym z najważniejszych wyzwań wydaje się przygotowanie operatorów usług kluczowych do pełnienia swoich ról w ramach Krajowego Systemu Cyberbezpieczeństwa. O ile w niektórych sektorach, takich jak energetyka czy finanse, świadomość zagrożeń teleinformatycznych jest wysoka, o tyle są sektory, które dotychczas nie podejmowały znaczących kroków w tym zakresie” – tłumaczy Juliusz Brzostek.

Kluczowe będzie więc zbudowanie odpowiednich kompetencji wśród organów właściwych ds. cyberbezpieczeństwa, ale również dotarcie z precyzyjną informacją do podmiotów, które otrzymały decyzję administracyjną o uznaniu za operatora usługi kluczowej, lecz nie wiedzą, co mają zrobić w praktyce. Ważne jest także budowanie kompetencji poszczególnych sektorów gospodarki. 

„W tym zakresie rekomendujemy podmiotom powoływanie ISAC, czyli ośrodków Information Sharing and Analysis Center. Jest to mechanizm który dobrze sprawdza się w innych krajach, takich jak USA czy Holandia, i pozwala integrować sektory oraz podnosić kompetencje poprzez wzajemne uczenie się. We współpracy z Narodowym Centrum Cyberbezpieczeństwa w Holandii przygotowaliśmy specjalny poradnik o budowaniu ISAC, który udostępniamy w wersji online na stronie: cyberpolicy.nask.pl” – dodaje Juliusz Brzostek.

Kluczowe będzie zbudowanie odpowiednich kompetencji wśród organów właściwych ds. cyberbezpieczeństwa, ale również dotarcie z informacją do podmiotów, które otrzymały decyzję administracyjną o uznaniu za operatora usługi kluczowej, lecz nie wiedzą, co mają zrobić w praktyce.

Odpowiedzi dostarczą audyty

Wydaje się, że prace związane z wdrażaniem wymogów ustawy o KSC są bardzo zaawansowane u większości Operatorów Usług Kluczowych (OUK). Tempo i zakres prowadzonych przygotowań związane są ściśle z poszczególnymi branżami. Bankowcy są dosyć dobrze przygotowani, zatem nie mają zbyt wiele pracy. Wykonali ją, wdrażając zalecenia rekomendacji D, a także normy ISO 27000. Problemem jest jednak to, że nie wszyscy OUK zostali już wskazani. Wciąż trwają postępowania z tym związane. Dotyczy to m.in. szpitali oraz mniejszych instytucji finansowych. 

Z nieoficjalnych rozmów wiadomo, choć bez szczegółów, bo nikt nie dzieli się takimi informacjami, że poziom zaawansowania większości OUK jest znaczny. Części branż i organizacji pomogły wcześniejsze projekty, w tym także ostatnie działania związane z RODO. W takich przypadkach wdrażanie wymagań ustawy o KSC nie będzie rewolucją. Jaki jest rzeczywisty stan przygotowania operatorów usług kluczowych, powinny pokazać audyty.

Zgodnie z KSC, operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. „Audyty powinny się koncentrować na zapewnieniu ciągłości działania usług kluczowych. To jest najważniejsze: w kontaktach musi być prąd, muszą działać szpitale, a banki zapewniać dostęp do pieniędzy zgromadzonych na rachunkach – bez względu na próby zakłócenia tego podejmowane przez cyberprzestępców” – przekonują przedstawiciele środowiska audytorów.

Audyty mają pokazać rzeczywisty stan wdrażania ustawy o KSC, ale są wątpliwości dotyczące samych audytów. Ustawa określa warunki ich prowadzenia, jednak nie zawsze są one precyzyjne. Przykładowo, z jednej strony jest mowa o konieczności przeprowadzenia audytu przez dwóch doświadczonych audytorów, a w kolejnych podpunktach ustawy ten zapis został osłabiony. Ostatecznie może się okazać, że audyty będą prowadzone przez osoby z certyfikatami, ale bez większego doświadczenia praktycznego.

Części branż i organizacji pomogły wcześniejsze projekty, w tym także ostatnie działania związane z RODO. W takich przypadkach wdrażanie wymagań ustawy o KSC nie będzie rewolucją. Jaki jest rzeczywisty stan przygotowania operatorów usług kluczowych, powinny pokazać audyty.

Przygotowania w oczekiwaniu

Przykładowo do Grupy Kapitałowej Lotos wciąż spływają decyzje administracyjne z Ministerstwa Energii dotyczące uznania poszczególnych spółek za operatorów usług kluczowych. Stan działań związanych z realizacją zadań wynikających z ustawy o KSC można jednak uznać za zaawansowany. Wdrażane są zabezpieczenia proporcjonalne do oszacowanego ryzyka. Trwają m.in. intensywne prace dotyczące powołania Security Operations Center (SOC).

dr Roman Marzec, dyrektor ds. bezpieczeństwa i kontroli wewnętrznej w Grupie Lotos

„Powołane zostały wewnętrzne struktury do zarządzania cyberbezpieczeństwem. Wyznaczono m.in. punkt kontaktowy, działa Zespół FIB, opracowano koncepcję SOC. Uruchomiony został proces zarządzania incydentami bezpieczeństwa, przygotowywana została procedura korporacyjna zgłaszania incydentów” – mówi dr Roman Marzec, dyrektor ds. bezpieczeństwa i kontroli wewnętrznej w Grupie Lotos.

W Grupie rozpoczęto także szeroko zakrojoną akcję edukacyjną użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa. Przygotowano i uruchomiono program e-learning „Cyberbezpieczeństwo” dla pracowników Grupy Kapitałowej. Planowane są również szkolenia dla kierownictwa.

„Wdrożony został program systematycznej analizy ryzyka i zarządzania ryzykiem. Powstała także formalna dokumentacja dotycząca cyberbezpieczeństwa. Składa się na nią: dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001; dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa; dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301; dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej; dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze” – wylicza dr Roman Marzec.

W Grupie Kapitałowej Lotos rozpoczęto szeroko zakrojoną akcję edukacyjną użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa. Przygotowano i uruchomiono program e-learning „Cyberbezpieczeństwo” dla pracowników. Planowane są również szkolenia dla kierownictwa.

Diabeł tkwi w szczegółach

Firmy muszą przede wszystkim dokonać pełnego, rzetelnego przeglądu systemów informacyjnych – wszystkich systemów, tych najważniejszych, ale także najmniejszych rozwiązań o stosunkowo niewielkim znaczeniu dla organizacji. Właśnie aplikacje niewielkich, mało znanych firm mogą być koniem trojańskim do całego systemu.

Piotr Kiliszek, pełnomocnik zarządu ds. bezpieczeństwa, Grupa Kapitałowa JSW

„W dużych organizacjach to ogromne wyzwanie, bo trzeba przejrzeć nawet tysiące aplikacji, nowych i starszych, gdzie trzeba wychwycić podatności, które mogą być istotne dla działania kluczowego systemu. Wyzwaniem jest także tworzenie sieci wewnętrznej i bram komunikacyjnych dla partnerów zewnętrznych. Cały czas spływają do nas prośby od partnerów dotyczące dostępów serwisowych. Musimy zapewnić, że będziemy mieć pełną kontrolę nad informacjami, do których mają dostęp partnerzy i które wypływają poza granice organizacji” – mówi Piotr Kiliszek, pełnomocnik zarządu ds. bezpieczeństwa GK JSW.

Uszczelnienie granic systemów, implementacja mocnych rozwiązań wydają się kluczowe. „Dlatego trzeba opierać się na współpracy z dużymi, doświadczonymi partnerami. To jednak nie wszystko. Konieczna jest zmiana sposobu myślenia o bezpieczeństwie. Należy zmienić podejście do systemów, w których znajdują się informacje kluczowe, dane osobowe, a w przypadku spółek giełdowych także informacje cenotwórcze” – dodaje Piotr Kiliszek

Zwraca on także uwagę na wyzwania dotyczące audytów w spółkach giełdowych, w których udziałowcem jest Skarb Państwa. Informacje zawarte we wnioskach mogą mieć wpływ na wycenę spółek giełdowych. „W wyniku audytu uzyskiwane są informacje mogące wpływać na wycenę spółek, bo ujawniane są podatności. Szczególnie istotne są podatności z obszaru OT, gdyż ich usuniecie może potrwać kilka miesięcy. W przypadku spółek wydobywczych może to być prosty sposób zablokowania kombajnów górniczych. Gdy CERT sektorowy będzie umieszczony przy ministerstwie, to w przypadku spółek giełdowych z udziałem Skarbu Państwa możemy mieć do czynienia z uprzywilejowaniem jednego z akcjonariuszy, jeśli ministerstwo otrzyma takie informacje, a z oczywistych względów nie będą podane one do powszechnej wiadomości.  Tymczasem każdy z uczestników rynku, posiadacz akcji, ma prawo do takiego samego dostępu do informacji” – tłumaczy Piotr Kiliszek.

Firmy muszą przede wszystkim dokonać pełnego, rzetelnego przeglądu wszystkich systemów informacyjnych, zarówno tych najważniejszych, jak i najmniejszych rozwiązań o stosunkowo niewielkim znaczeniu dla organizacji. Właśnie aplikacje niewielkich, mało znanych firm mogą być koniem trojańskim w całym systemie.

To dopiero początek

Przygotowania trwają, ale szeroko rozumiane środowisko ludzi związanych z cyberbezpieczeństwem wciąż czeka na obiecaną przez Ministerstwo Cyfryzacji nowelizację ustawy o KSC. Miała się ona pojawić rok po wejściu w życie ustawy, jednak dzisiaj nie wiadomo, kiedy miałaby się ona stać faktem.

Czego zatem możemy oczekiwać w drugiej połowie roku w kontekście wdrażania ustawy o KSC? „Druga połowa roku będzie czasem oceny wdrożenia i działania ustawy przez Ministerstwo Cyfryzacji. Wobec szeregu sugestii zgłaszanych przez organy właściwe ds. cyberbezpieczeństwa oraz operatorów usług kluczowych nie można wykluczyć zmian w niektórych rozporządzeniach do ustawy o KSC. Dodatkowo, ponieważ od końca czerwca br. obowiązuje Cybersecurity Act, wprowadzający certyfikacje produktów i usług ICT, konieczne jest podjęcie działań zmierzających m.in. do powołania w Polsce Krajowego Organu ds. Certyfikacji Cyberbezpieczeństwa, jednostki akredytującej i jednostek oceniających zgodność. Czekamy na decyzje strategiczne w tym zakresie” – mówi Juliusz Brzostek.

Cybersecurity Act wzmacnia także rolę ENISA (Europejskiej Agencji ds. Cyberbezpieczeństwa). NASK współpracuje z ENISA w ramach sieci NLO oraz poprzez udział w pracach zarządu. W najbliższym czasie rozpocznie się tworzenie listy ekspertów ds. cyberbezpieczeństwa i nowoczesnych technologii – lista ta powstanie właśnie na potrzeby współpracy z ENISA. NASK chce bowiem, żeby głos polskich ekspertów był słyszany w przygotowywaniu ogólnoeuropejskich wytycznych w zakresie cyberbezpieczeństwa i jednolitego rynku cyfrowego. 

Ważnym aspektem wdrażania ustawy o KSC jest też budowanie świadomości. W tym zakresie NASK podejmuje wiele aktywności. W drugiej połowie roku (październik) po raz siódmy odbędzie się Europejski Miesiąc Cyberbezpieczeństwa. Już teraz można zgłaszać różne inicjatywy na stronie https://bezpiecznymiesiac.pl. Tematem przewodnim będzie tym razem edukacja w zakresie nowoczesnych technologii ze szczególnym uwzględnieniem cyberbezpieczeństwa.

W najbliższym czasie rozpocznie się tworzenie listy ekspertów ds. cyberbezpieczeństwa i nowoczesnych technologii na potrzeby współpracy z ENISA. NASK chce, żeby głos polskich ekspertów był słyszany w przygotowywaniu ogólnoeuropejskich wytycznych w zakresie cyberbezpieczeństwa i jednolitego rynku cyfrowego.

Problematyce wdrażania wymogów ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie poświęcone „KSC Forum 2019. Wdrażanie ustawy o KSC dla praktyków” (28-30 sierpnia 2019, Zakopane). Ze szczegółami programu można zapoznać się na stronie: https://www.kscforum.pl.