Rozwiązania dziedzinowe

Wdrożenie KSC: współpraca sektorowa ma kluczowe znaczenie

W jaki sposób współpraca w ramach sektora pozwala na tańsze i efektywniejsze wdrożenia? Jakie daje korzyści? W jaki sposób pobudzić sektory do takiego działania i współpracy podmiotów, które często rynkowo są wobec siebie konkurencyjne? Jak współdziałać z regulatorem rynku (gdy jest) i jak radzić sobie, gdy go nie ma? Te zagadnienia były podczas KSC Forum 2019 tematem dyskusji w grupie roboczej „Współpraca sektorowa – klucz do budowania świadomości i efektywnej kooperacji”. Przedstawiamy wypracowane przez jej uczestników wnioski.

Co ułatwia a co utrudnia współpracę?

Czynniki determinujące udaną współpracę Czynniki utrudniające współpracę
  • Kontakty nieformalne – uczestnicy  podkreślali wagę nieformalnych kontaktów i relacji, które ułatwiają wymianę informacji i dobrych praktyk oraz pozwalają zbudować osobiste zaufanie pomiędzy przedstawicielami  instytucji. Nieformalne kontakty dają także większą pewność reakcji – uzyskania odpowiedzi na zapytanie lub informacji na temat incydentu.
  • Otwartość – otwartość na kontakty z innymi instytucjami oraz traktowanie ich na zasadzie partnerskiej wspierają realną współpracę pomiędzy organizacjami. Ważnym czynnikiem, wymienianych przez uczestników, było niekonkurowanie pomiędzy sobą w zakresie cyberbezpieczeństwa.
  • Przynależność do zamkniętej grupy/ forum – przynależność do zamkniętej grupy ułatwia zarówno kontakty osobiste jak i budowanie zaufania. Ważne jest także wsparcie technologiczne, które ułatwia komunikację w obrębie grupy i zapewnia bezpieczeństwo przekazywanych informacji. Jako przykład podawany był m.in. Program Partnerstwo dla Cyberbezpieczeństwa, prowadzony przez PIB NASK
  • Znajomość specyfiki sektorowej – ważnym elementem budującym współpracę jest znajomość specyfiki sektorowej. Ułatwia ona współpracę zarówno w obrębie sektora, jak i pomiędzy sektorami.
  • Obawa, że informacja o incydencie zostanie upubliczniona – upublicznienie informacji o incydencie może spowodować brak zaufania do firmy i znaczne szkody wizerunkowe. Dlatego większość uczestników wskazywała te obawy jako główny czynnik utrudniający współpracę.
  • Obawa, że zgłoszenie incydentu pociągnie za sobą sankcje – operatorzy mają obawy, że zgłoszenie incydentu będzie skutkowało dodatkową kontrolą ze strony organów właściwych
  • Konkurencja biznesowa – fakt, że firmy w obrębie jednego sektora konkurują ze sobą także w obszarze bezpieczeństwa, został zidentyfikowany jako czynnik znacznie utrudniający współpracę
  • Brak zaufania – brak zaufania pomiędzy instytucjami jest bezpośrednio powiązany z konkurencją biznesową i obawą ujawnienia informacji o incydencie. Uczestnicy zaznaczyli także, że zespoły CERT traktowane są przez sektor prywatny jako część administracji, a co za tym idzie: istnieje pewna „podejrzliwość” w zakresie przekazywania informacji i niechęć do przekazywania ich w większym zakresie, niż jest to zdefiniowane w ustawie.
  • Czynnik ludzki – uczestnicy wielokrotnie podkreślali, że tym co najbardziej zawodzi przy współpracy są sami ludzie, którzy często utrudnią wiele kwestii i nie mają w sobie otwartości oraz nie traktują innych w partnerski sposób. 
Regulacje prawne – uczestnicy gruoy roboczej mieli ambiwalentny stosunek do regulacji prawnych. Ich zdaniem, z jednej strony ułatwiają one współpracę, ponieważ dają jasne podstawy prawne w określonym zakresie. Jedocześnie mogą przyczyniać się do zbytniego formalizmu, który może utrudniać współpracę.

Partnerstwa publiczno – prywatne  (PPP)

PPP zostało zidentyfikowane jako forma współpracy, która może wspierać regulacje prawne i przyczyniać się do podnoszenia poziomu cyberbezpieczeństwa, zarówno w pojedynczych organizacjach, jak i w skali kraju. 

PPP było rozumiane w trzech aspektach:

  1. Współpraca w obrębie sektora publicznego – instytucje państwowe powinny mieć spójny przekaz w zakresie cyberbezpieczeństwa, a w związku z tym powinny między sobą współpracować.
  2. Współpraca w obrębie sektora prywatnego – organizacje objęte UoKSC powinny podejmować ze sobą współpracę zarówno w obrębie własnego sektora, jak i pomiędzy sektorami. 
  3. Współpraca pomiędzy sektorem prywatnym i publicznym – współpraca pomiędzy administracją publiczną i sektorem prywatnym jest łatwiejsza, kiedy sektor publiczny ma spójny komunikat, a sektor prywatny już między sobą współpracuje.

W tym zakresie uczestnicy zidentyfikowali kilka wyzwań:

  • standardy i kodeksy dobrych praktyk – określenie jasnych i precyzyjnych standardów dla współpracy oraz opracowanie kodeksów dobrych praktyk sprzyja budowaniu partnerstw publiczno – prywatnych;
  • budowanie świadomości – zwiększanie świadomości na temat potrzeby współpracy w zakresie cyberbezpieczeństwa sprawia, że łatwiej podejmować wspólne działania;
  • zarządzanie zmianą – nowe regulacje prawne są znacznym wyzwaniem dla każdej organizacji, dlatego właściwe zarządzanie zmianą jest jednym z istotniejszych czynników w budowaniu PPP;
  • systematyczne budowanie relacji – PPP opiera się na współpracy, ale musi być ona systematyczna. Warto także wydelegować do niej konkretne osoby, ponieważ ciągła rotacja nie sprzyja budowaniu relacji i zaufania;
  • jasne i precyzyjne komunikaty – ważne, aby komunikaty wymieniane miedzy różnymi organizacjami i sektorami były jasne i precyzyjne, dzięki temu łatwiej uniknąć nieporozumień i osiągnąć zamierzone cele;
  • synergia miedzy sektorami – współpraca w ramach PPP powinna być nastawiona na osiąganie synergii pomiędzy sektorami, dzięki temu może realnie przyczyniać się do podnoszenia poziomu cyberbezpieczeństwa;
  • CSIRT sektorowy – pożądaną formą współpracy w zakresie cyberbezpieczeństwa jest CSIRT sektorowy lub inne formy wspierające działania operacyjne.

Sektorowe zespoły ds. cyberbezpieczeństwa

Uczestnicy dyskutowali na temat powołania sektorowych zespołów ds. cyberbezpieczeństwa. Jako powody braku powstawania takich form współpracy zidentyfikowano:

  • czas – od przyjęcia UoKSC nie upłynęło jeszcze dość czasu. W niektórych sektorach dopiero niedawno zakończyło się wyznaczanie operatorów, którzy teraz dostosowują się do nowych wymagań ustawowych;
  • brak środków – powołanie sektorowego zespołu ds. cyberbezpieczeństwa wymaga znacznych nakładów finansowych oraz zatrudnienia ludzi o konkretnych kompetencjach, których nie jest łatwo pozyskać.

Zidentyfikowano także potrzebę tzw. „poruszyciela” sektorowego – instytucji/osoby, która zintegrowałaby sektor. 

Inicjatywa sektorowego zespołu powinna być przy tym dobrze rozumiana przez operatorów. Nie może być to tylko nakaz ze strony administracji, bo wtedy taka struktura nie doniesie sukcesu i nie spełni swojej roli. 

W kontekście sektorowego zespołu ds. cyberbezpieczeństwa dyskutowana była formuła CSIRT sektorowego oraz ISAC sektorowego jako bardziej elastycznej struktury.  


Opracowała: Magdalena Wrzosek, Kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii NASK PIB, moderator grupy roboczej „Współpraca sektorowa – klucz do budowania świadomości i efektywnej kooperacji”.  

 

Skomentuj

Proszę zalogować się jedną z tych metod aby dodawać swoje komentarze:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.