W sierpniu miną dwa lata od wejścia w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wdrożenie jej wymogów jest zadaniem każdego podmiotu, który został wyznaczony jako operator usługi kluczowej. Związanym z tym wyzwaniom poświęcone jest drugie już „KSC Forum”, tym razem odbywające się w formie wirtualnej. Wrześniową e-konferencję poprzedzą trzy zdalne spotkania tematyczne. Podczas pierwszego dyskutowano o aktualnych postępach w realizacji wymagań regulacyjnych dotyczących KSC, innych prawnych aspektach cyberbezpieczeństwa oraz technicznych możliwościach przeciwdziałania zagrożeniom w coraz bardziej cyfrowym środowisku działania biznesu.  

Ryszard Leszek Bernaś,  Port Lotniczy Kraków-Balice

Reprezentujący różne branże uczestnicy panelu dyskusyjnego byli zgodni: ustawa o KSC dała organizacjom uznanym za operatorów usług kluczowych impuls do kompleksowego zajęcia się problematyką cyberbezpieczeństwa. Obrazowo ujął to Andrzej Krzyżanek, dyrektor Departamentu Zarządzania Bezpieczeństwem Informacji w ZUS: „Działania wdrożeniowe potraktowaliśmy jako wehikuł do poprawienia ogólnego poziomu bezpieczeństwa w instytucji”. Z kolei Grzegorz Kuta, dyrektor Biura Bezpieczeństwa Informacji i Spraw Obronnych w PKP PLK, zwrócił uwagę, że prowadzone prace dostosowawcze inspirują do zajęcia się w większym stopniu problematyką cyberbezpieczeństwa również podmioty, które nie są operatorami usług kluczowych.

Andrzej Krzyżanek, ZUS

Przedsiębiorstwa podlegające wymogom ustawy starają się wymieniać informacjami i doświadczeniami oraz współpracować z podmiotami zewnętrznymi. Pierwsi operatorzy z konkretnymi zadaniami muszą jednak na ogół radzić sobie sami. Zdaniem Ryszarda Leszka Bernasia, dyrektora Pionu Infrastruktury w Międzynarodowym Porcie Lotniczym im. Jana Pawła II Kraków-Balice, wynika to po pierwsze z zupełnie nowego obszaru regulacji, w którym nikt wcześniej nie funkcjonował, a po drugie z różnorodności podmiotów realizujących wymogi ustawy. „Nawet każdy port lotniczy ma swoją specyfikę, która wpływa na charakter podejmowanych działań” – podkreślał Ryszard Leszek Bernaś.

Szacowanie ryzyka to podstawa 

Grzegorz Kuta, PKP PLK

W opinii Marcina Maruty, wspólnika w kancelarii prawnej Maruta Wachta, cyberbezpieczeństwo powinno być dzisiaj jednym z podstawowych czynników szacowania ryzyka w każdej organizacji. Na razie jest niedoceniane i niedoszacowane. Do wzrostu jego znaczenia mogą przyczynić się różne regulacje prawne, także te nie związane z KSC. Jedne już istnieją, inne dopiero będą wprowadzane. Za wzór może posłużyć sektor finansowy, który ma swoje standardy, rekomendacje, wzorce działania. „Banki nie potrzebują ustawy o KSC, żeby móc się poważnie zająć cyberbezpieczeństwem. Regulacje wprowadzane przez KNF bazują na szacowaniu ryzyka” – tłumaczył Marcin Maruta. 

Marcin Maruta, Maruta Wachta

Jego zdaniem, podejście risk-based staje się obowiązujące również w innych regulacjach. Cyberbezpieczeństwo będzie zyskiwać w firmach na znaczeniu pod presją potencjalnych roszczeń ze strony klientów. Będzie coraz większe pole do popisu dla ludzi od cyber security, bo jeśli nie zostanie zapewniona odpowiednia ochrona, to przedsiębiorstwa będą ponosić olbrzymie koszty w wyniku roszczeń zgłaszanych przez klientów. Sądy będą w takich sytuacjach standardowo badać, czy organizacje, wchodząc w środowisko cyfrowe, dochowały wszelkiej staranności, by zabezpieczyć system informatyczny. Dlatego każdy proces w organizacji powinien być analizowany pod kątem ryzyk z zakresu cyberbezpieczeństwa. 

Wspólna odpowiedzialność 

Joanna Dąbrowska, Trend Micro

„Postępujące wraz z transformacją cyfrową zmiany w środowisku technologicznym wymagają również ponownego przeanalizowania przyjętej strategii bezpieczeństwa w aspekcie narastających zagrożeń” – zwracała uwagę Joanna Dąbrowska, Sales Engineer w Trend Micro. Jej zdaniem cyberbezpieczeństwo powinno być dzisiaj podstawą wszelkich procesów biznesowych. To obszar odpowiedzialności współdzielonej. Musi dotyczyć wszystkich w firmie, nie może być przydzielone tylko do jednej osoby czy jednego działu. Tym bardziej że zagrożenia stają się coraz bardziej złożone i trudno niejednokrotnie je właściwie zakwalifikować. Dlatego też coraz większego znaczenia nabierają odpowiednie narzędzia, które pozwalają w sposób automatyczny identyfikować najważniejsze zdarzenia. 

Drugie spotkanie w ramach „KSC Forum” będzie poświęcone zagadnieniom współpracy na rzecz cyberbezpieczeństwa. Szczegółowe informacje o całym projekcie można znaleźć na stronie: https://www.kscforum.pl