03 grudzień 2018

Cyberbezpieczeństwo w firmie. Ustawa o krajowym systemie cyberbezpieczeństwa wdrażająca Dyrektywę NIS

Udostępnij

Jeszcze nie oswojono się z RODO, a już, przynajmniej przed częścią przedsiębiorców, staje nowe zadanie – konieczność dostosowania się do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2018 r. Implementuje ona do polskiego porządku prawnego Dyrektywę Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej, zwaną Dyrektywą NIS.


Jak wskażę w dalszej części artykułu, sama ustawa dotyczy tylko niektórych przedsiębiorców, jednak jej wejście w życie stanowi dobrą okazję do zastanowienia się nad przygotowaniem każdej firmy na ataki cybernetyczne.

Definicja cyberbezpieczeństwa

Na wstępie omawiania ustawy warto zatrzymać się nad definicją cyberbezpieczeństwa, które zdefiniowano jako „odporność systemów informacyjnych na wszelkie działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”.

W definicji tej mamy kilka elementów, z których każdy wymaga odrębnej analizy. Zacznijmy od „systemu informacyjnego”. Zgodnie z ustawą jest to system teleinformatyczny wraz z przetwarzanymi w nim danymi w postaci elektronicznej. Definicja ustawowa nie jest prosta, gdyż zawiera odwołanie do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, która to ustawa definiuje system teleinformatyczny. Jest to „zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego”. Z kolei sieci telekomunikacyjne oraz telekomunikacyjne urządzenia końcowe są zdefiniowane w ustawie – Prawo telekomunikacyjne. Mamy zatem do czynienia z „kilkupiętrową” definicją, co nie służy jej łatwemu zrozumieniu.

Przekładając jednak te zawiłe rozważania prawno-techniczne na bardziej zrozumiały język i odnosząc je do praktycznych aspektów działania przedsiębiorców, można stwierdzić, że systemem informacyjnym firmy są używane w tej firmie serwery, komputery, telefony, tablety (i inne podobne urządzenia przenośne) wraz z oprogramowaniem służącym do ich używania, połączone siecią teleinformatyczną (w praktyce, nieco trywializując, połączone telekomunikacyjnie, sieciowo, internetowo) oraz dane, które są przetwarzane za pomocą tych systemów.

Dalszymi elementami definicji cyberbezpieczeństwa są pojęcia ściśle związane z charakterystyką dobrze działających systemów informacyjnych, tj.:

  1. poufność danych – tzn. zapewnienie, że dane nie są ujawniane w sposób nieautoryzowany;
  2. integralność danych – czyli zapewnienie ich kompletności i dokładności;
  3. dostępność danych – tj. zapewnienie, że dane są dostępne dla każdego z firmy w miejscu i czasie, w jakim są potrzebne;
  4. autentyczność danych – to kryterium pewności, że przetwarzane dane są prawdziwe, tj. są danymi, które w sposób autoryzowany zostały wprowadzone do systemu.

W definicji cyberbezpieczeństwa najważniejsze jest określenie przedmiotu ochrony, tj. danych lub związanych z nimi usług. Co prawda w ustawie nie zdefiniowano, czym są dane, ale uznać trzeba, że chodzi o wszelkiego rodzaju dane podlegające ochronie i te, na podstawie których są świadczone różnorakie usługi.

Krajowy system cyberbezpieczeństwa

Ustawa ustanawia krajowy system cyberbezpieczeństwa, którego zadaniem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Istotna część regulacji ustawowych jest skierowana do organów państwa, na które nałożono szereg obowiązków związanych ze stworzeniem krajowego systemu cyberbezpieczeństwa. W szczególności chodzi tu o stworzenie sieci zespołów reagowania na Incydenty Bezpieczeństwa Komputerowego, tzw. CSIRT-y, czyli Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie krajowym. Utworzono ich trzy, tzn.:

  • CSIRT GOV prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego,
  • CSIRT MON prowadzony przez Ministra Obrony Narodowej,
  • CSIRT NASK prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy,

jak również określono szczegółowo ich zadania. Ponadto wyznaczono oraz określono zadania ośmiu organom właściwym do spraw cyberbezpieczeństwa, są nimi poszczególni ministrowie oraz Komisja Nadzoru Finansowego, które odpowiadają za jedenaście sektorów.

Ponadto krajowy system cyberbezpieczeństwa obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, podmioty publiczne, w tym m.in.: jednostki sektora finansów publicznych, instytuty badawcze; NBP, BGK, Urząd Dozoru Technicznego; Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej oraz spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. Do krajowego systemu cyberbezpieczeństwa zostaną włączone również, utworzone na mocy ustawy, Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa („Pojedynczy Punkt Kontaktowy”), Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa.

Operatorzy usług kluczowych

Ustawa będzie dotyczyć przede wszystkim przedsiębiorców zaliczonych do grupy tzw. operatorów usług kluczowych, czyli najważniejszych przedsiębiorstw z sektora energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. Ustawa określa przesłanki, na podstawie których organy właściwe będą, w drodze decyzji administracyjnej, uznawać danego przedsiębiorcę lub instytucję za operatora usług kluczowych:

  1. podmiot świadczy usługę kluczową w jednym z sektorów;
  2. świadczenie usługi zależy od systemów informacyjnych;
  3. wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej.

Na operatorach usług kluczowych spoczywa szereg obowiązków takich jak konieczność wdrożenia systemu zarządzania bezpieczeństwem cybernetycznym, przygotowanie do obsługi incydentu i jego obsługa, zgłoszenie incydentu, powołanie struktur wewnętrznych odpowiedzialnych za cyberbezpieczeństwo, przeprowadzanie regularnych audytów bezpieczeństwa systemu informacyjnego.

Wdrożenie systemu zarządzania bezpieczeństwem wiąże się przede wszystkim z koniecznością prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu i dostosowania do niego środków bezpieczeństwa, takich jak bezpieczna eksploatacja systemu, bezpieczeństwo fizyczne systemu (w tym kontrola dostępu), bezpieczeństwo i ciągłość dostaw usług, które mają wpływ na świadczenie usługi kluczowej, utrzymanie planów działania umożliwiających ciągłość świadczenia usługi, ciągłe monitorowanie systemu zapewniającego świadczenie usługi. Warto zwrócić uwagę, że mamy tu do czynienia z mechanizmem znanym z RODO – to na podmiocie zobowiązanym, w tym wypadku operatorze usługi kluczowej, spoczywa obowiązek dokonania oceny i analizy dotyczącej go sytuacji zarówno pod kątem istniejących ryzyk, jak i stopnia przygotowania jego samego do poradzenia sobie z tymi ryzykami.

Operator usługi kluczowej musi być gotowy do obsługi incydentu, tzn. w razie jego wystąpienia powinien dokonać jego klasyfikacji i – w razie zakwalifikowania incydentu jako poważnego – zgłosić incydent do właściwego CSIRT nie później niż w[nbsp]ciągu 24 godzin od momentu wykrycia. W następnej fazie jest zobowiązany do współdziałania z CSIRT w ramach obsługi incydentu wraz z zapewnieniem odpowiedniego dostępu do informacji oraz do usunięcia podatności systemu.

Kolejnym obowiązkiem stojącym przed operatorem usługi kluczowej jest powołanie struktury wewnętrznej odpowiedzialnej za cyberbezpieczeństwo. Alternatywnie usługi bezpieczeństwa można zakontraktować od wyspecjalizowanego podmiotu zewnętrznego.

Operator usługi kluczowej jest również zobowiązany do przeprowadzenia w terminie roku od doręczenia decyzji o uznaniu za operatora usługi kluczowej audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Następnie takie audyty ma przeprowadzać regularnie co dwa lata.

W zakresie wynikających z ustawy obowiązków operator usługi kluczowej jest nadzorowany przez organy właściwe do spraw cyberbezpieczeństwa. Są one uprawnione do przeprowadzania kontroli u operatorów usług kluczowych i do nakładania kar pieniężnych przewidzianych w ustawie.

Dostawcy usług cyfrowych

Mniejszy zakres obowiązków ma dotyczyć dostawców usług cyfrowych, tj. dostarczycieli internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych. Są oni zobowiązani do stosowania technicznych i organizacyjnych środków bezpieczeństwa. Powinny być one „właściwe i proporcjonalne” do ryzyka, na jakie są narażone te podmioty. Ocena proporcjonalności i właściwości (adekwatności) podejmowanych środków bezpieczeństwa należy do samego dostawcy. Powinien on jednak uwzględnić:

  • bezpieczeństwo systemów informacyjnych i obiektów;
  • postępowanie w przypadku obsługi incydentu;
  • zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
  • monitorowanie, audyt i testowanie;
  • najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi.

Ponadto dostawcy usług cyfrowych mają obowiązek prowadzenia czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów. W przypadku wystąpienia istotnego incydentu są oni zobowiązani do przekazania informacji do właściwego CSIRT nie później niż w ciągu 24 godzin od momentu wykrycia. Analogicznie do operatorów usług kluczowych, dostawcy usług cyfrowych zostaną objęci nadzorem przez organy właściwe, które mają uprawnienie do prowadzenia kontroli i nakładania kar pieniężnych.

Obowiązki podmiotów publicznych

Jednakże bodaj najliczniejszą grupą podmiotów objętych nowymi obowiązkami ustawowymi będą podmioty publiczne. To grupa obejmująca całą administrację, samorządy terytorialne i spółki komunalne.

Jakie zatem działania będą musiały podjąć te podmioty, aby odpowiednio wdrożyć ustawę o cyberbezpieczeństwie?

Pierwszym zadaniem będzie wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Powinien to być ktoś, kto odpowiada w danym podmiocie za bezpieczeństwo systemów teleinformatycznych i bezpieczeństwo informacji.

Jednakże wyznaczenie osoby kontaktowej to za mało. Konieczne będzie także przygotowanie struktur i procedur, które pozwolą zrealizować następujące obowiązki:

  1. zapewnienie zarządzania incydentem, tj. zapewnienie obsługi incydentu, wyszukiwania powiązań między incydentami, usuwania przyczyn ich wystąpienia oraz opracowania wniosków z obsługi incydentu;
  2. zgłoszenie incydentu do właściwego CSIRT w czasie do 24[nbsp]godzin od momentu jego wykrycia;
  3. zapewnienie obsługi incydentu i incydentu krytycznego we współpracy z właściwym CSIRT poprzez przekazanie niezbędnych danych, w tym danych osobowych;
  4. zapewnienie osobom, na rzecz których dany podmiot publiczny realizuje zadania publiczne, dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami; wspomniany dostęp do wiedzy powinien być realizowany w szczególności przez publikowanie informacji w tym zakresie na stronie internetowej podmiotu.

Koordynacja z innymi przepisami

Przed podmiotami, które będą zobowiązane do wdrożenia przepisów ustawy o krajowym systemie cyberbezpieczeństwa stanie również wyzwanie skoordynowania obowiązków wynikających z tej ustawy z obowiązkami wynikającymi z innych przepisów, w szczególności z RODO, a w przypadku sektora publicznego – z ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne (w tym aktu wykonawczego do tej ustawy – Krajowych Ram Interoperacyjności) czy z ustawą o ochronie informacji niejawnych a także przepisami sektorowymi. Wszystkie te przepisy oraz kilka innych splatają się ze sobą i wzajemnie się przenikają. Ważne jest, aby nie traktować ich odrębnie. Bezpieczeństwo systemów teleinformatycznych, zarządzanie i ochrona informacji a także ochrona danych osobowych muszą tworzyć spójny system.

Pozostali przedsiębiorcy – co robić?

Wielu z tych czytelników, którzy dobrnęli do tego miejsca, może zadać sobie pytanie – skoro moja firma nie będzie uznana za dostawcę usług kluczowych, nie jest też dostawca usług cyfrowych ani podmiotem publicznych, to czy mam się w ogóle czym się przejmować? Odpowiedź, niestety, jest pozytywna. Oczywiście taki przedsiębiorca nie ma obowiązku wdrożenia wymogów stawianych przez ustawę o krajowym systemie cyberbezpieczeństwa, jednakże powinien zastanowić się, czy kierowane przez niego przedsiębiorstwo nie jest narażone na cyberataki?; czy jest przygotowany, aby je odeprzeć? oraz czy wie, co robić, kiedy już padnie ofiarą ataku? Dla ułatwienia zadania od razu podpowiem, że w dzisiejszym cyfrowym świecie, każdy może stać się celem ataku, a żadne zabezpieczenia nie zapewniają całkowitego bezpieczeństwa. Zawirusowane mogą być nasze komputery i smartfony, przejęta może być nasza tożsamość w internecie, dane naszej firmy i pieniądze mogą zostać wykradzione, produkcja lub inne procesy biznesowe mogą być zakłócone lub zatrzymane, możemy wreszcie paść ofiarą szantażu cyfrowego. Incydenty cybernetyczne mogą mieć poważne konsekwencje finansowe, prawne i wizerunkowe dla przedsiębiorców. Powinniśmy zatem zbudować systemy cyberbezpieczeństwa. Należy przy tym odejść od strategii pancernika (budujemy silną zewnętrzną zaporę cybernetyczną) na rzecz strategii cebuli (tworzymy wiele warstw bezpieczeństwa). Cyberbezpieczeństwo nie może być domeną jedynie działów IT i wyspecjalizowanych komórek ds. bezpieczeństwa. W system cyberbezpieczeństwa firmy muszą być włączone również jednostki odpowiedzialne w firmie za prawo, complince, komunikację zewnętrzną oraz przede wszystkim – zarządy. Muszą one zdać sobie sprawę, że cyberbezpieczeństwo jest dzisiaj jednym z najważniejszych tematów, któremu muszą poświęcać swoją uwagę i czas.

Jak wskazałem, każda organizacja musi być przygotowana do odparcia ataków cybernetycznych, ale możemy być pewni, że nasze zabezpieczenia nie będą w pełni skuteczne. Ofiarami ataków padają nawet najbardziej zaawansowane technologicznie firmy na świecie. Musimy zatem być również gotowi do podjęcia działań w sytuacji skutecznego ataku cybernetycznego na naszą firmę. Musimy posiadać odpowiednie procedury, których wdrożenia pomoże uchronić firmę przed dalszymi stratami, ograniczyć straty, zachować ciągłość działania biznesowego, ale również do działania w sytuacji, kiedy atak cybernetyczny się powiedzie.

Co zatem należy czynić? Przede wszystkim zachować spokój i zdrowy rozsądek. Nie ulegać histerii oraz nie słuchać marnych, ale hałaśliwych doradców, co stało się powszechnym zjawiskiem w przypadku RODO. Należy pamiętać, że wdrożenie odpowiednich systemów bezpieczeństwa nie może służyć jedynie spełnieniu formalnych wymogów stawianych przez prawo, ale ma przede wszystkim zabezpieczać organizację przed atakami cybernetycznymi.

Jakie działania praktyczne należy podjąć? Oczywiście zadbać należy o właściwe usługi informatyczne i telekomunikacyjne. Wielu operatorów telekomunikacyjnych i firm informatycznych ma odpowiednie oferty dla biznesu z zakresu cyberbezpieczeństwa. Warto skontaktować się z bankiem, który obsługuje naszą firmę i zapoznać się z procedurami i zabezpieczeniami stosowanymi przez ten bank. Jeśli bank takich nie ma, należy zmienić bank. Można rozważyć również skorzystanie z usług doradczych z zakresu prawa i zarządzania, aby przygotować odpowiednie struktury i procedury w firmie, a także odpowiednią dokumentację tzn. regulaminy, umowy o pracę, instrukcje itd. Kolejne możliwe działanie to skorzystanie z coraz szerszej oferty ubezpieczeń od cyberataków. Należy również pamiętać o regularnych – tj. przynajmniej raz w roku – szkoleniach dla wszystkich pracowników.

Na koniec warto wspomnieć, że w razie wykrycia incydentu każdy może, a nawet powinien, zgłosić ten incydent do właściwego CSIRT-u, aby zapobiec jego rozprzestrzenianiu się i ewentualnie uzyskać wsparcie w jego usunięciu. Najlepiej skorzystać z elektronicznego formularza zgłoszeń incydentów prowadzonego przez NASK pod adresem https://incydent.cert.pl/.

Wojciech Dziomdziora

radca prawny, Counsel w kancelarii Domański, Zakrzewski, Palinka, Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..