Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Wymiana informacji w zakresie cyberbezpieczeństwa

Data publikacji: 04-02-2021 Autor: Joanna Jastrząb

Dobrem szczególnie chronionym w dzisiejszym świecie są dane – know-how, tajemnice przedsiębiorstwa, dane identyfikacyjne, autoryzacyjne i osobowe – stają się coraz częściej celem ataków cyberprzestępców. Dlatego wzmacnianie cyberbezpieczeństwa poprzez wymianę informacji i doświadczeń jest tak istotne.

 

Przekazywanie informacji w zakresie cyberbezpieczeństwa można rozważać z kilku punktów widzenia. W tym artykule skupimy się na perspektywie właścicieli systemów informatycznych, a zwłaszcza podmiotów krajowego systemu cyberbezpieczeństwa (operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów publicznych), ponieważ obowiązują je szczególne regulacje prawne, które wyznaczają ramy przekazywania i wymiany informacji. Mowa o ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Wnioski przedstawione w dalszej części artykułu, szczególnie z obszaru wymiany wiedzy i doświadczeń, można odnieść także do posiadaczy systemów IT niepodlegających tej regulacji. Omawiane zagadnienie można podzielić na kilka odrębnych wątków:

 

  • udostępnianie użytkownikom informacji o zagrożeniach dotyczących cyberbezpieczeństwa i o konkretnych zaistniałych naruszeniach;
  • przekazywanie informacji organom właściwym ds. cyberbezpieczeństwa i właściwym CSIRT (Zespołom Reagowania na Incydenty Bezpieczeństwa Komputerowego);
  • wymiana wiedzy i doświadczeń w zakresie cyberbezpieczeństwa, w tym w sposób sformalizowany, np. w ramach ISAC.


> Udostępnianie informacji użytkownikom systemów


Powszechnie wiadomo, że nawet najlepsze techniczne zabezpieczenia systemów zawiodą, jeśli ich użytkownicy – zarówno wewnętrzni (pracownicy), jak i zewnętrzni (np. użytkownicy końcowych systemów bankowych) – nie będą właściwie wyedukowani. Kwestia ta nie pozostaje jedynie w sferze dobrych praktyk czy rekomendacji – została także uregulowana przepisami prawa.


W tym zakresie przykładem jest ustawa o świadczeniu usług drogą elektroniczną (DzU z 2020 r. poz. 344), która nakłada na usługodawców obowiązek poinformowania użytkowników o „szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną”. Ze względu na pojemną definicję usługi świadczonej drogą elektroniczną tą regulacją objęte jest szerokie grono podmiotów działających w internecie. Sam obowiązek jest jednak nieskonkretyzowany – na usługodawcy spoczywa ciężar dookreślenia, jakie informacje przekaże użytkownikom. Z tych powodów rzadko spotyka się szczegółowe i przystępnie przedstawione informacje, dotyczące np. zabezpieczenia haseł czy zamykania sesji w systemie.


Ustawa o krajowym systemie cyberbezpieczeństwa również przewiduje obowiązki informacyjne i jest w tym zakresie bardziej precyzyjna – nakłada na operatorów usług kluczowych (art. 9 pkt 2) i podmioty publiczne (art. 22 ust. 1 pkt 4) obowiązek zapewnienia użytkownikowi usługi kluczowej „dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczenia się przed tymi zagrożeniami (…), w szczególności poprzez publikowanie informacji na ten temat na swojej stronie internetowej”.


Jeszcze dalej idą niektóre akty „soft law” opracowane dla poszczególnych branż. Jednym z przykładów jest sektor bankowy – Komisja Nadzoru Finansowego w Rekomendacji D (bit.ly/2Lejgv0) szczegółowo opisała oczekiwania wobec banków w kwestii edukacji zarówno pracowników, jak i użytkowników systemów bankowości internetowej. Poświęciła temu zagadnieniu dwie rekomendacje (nr 14 i 16) przedmiotowego dokumentu i wymieniła w nim listę konkretnych informacji, które powinny zostać przekazane.


Wskazane regulacje skupiają się na prewencyjnym informowaniu i edukowaniu użytkowników, nie precyzują, czy – a jeśli tak, to w jaki sposób – należy poinformować ich o zaistniałym incydencie, np. włamaniu do systemu lub wycieku danych. W ustawie o krajowym systemie cyberbezpieczeństwa brak jest mechanizmu analogicznego do określonego ogólnym rozporządzeniem o ochronie danych osobowych, który nakłada obowiązek zawiadomienia osób, których dane dotyczą, o takim naruszeniu (art. 34 rodo). Mając jednak na uwadze, że zakłócenie cyberbezpieczeństwa w większości przypadków wiąże się z naruszeniem danych osobowych, to w sytuacji kiedy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, podmiot krajowego systemu cyberbezpieczeństwa będzie musiał zawiadomić użytkowników, tyle że zgodnie z wymaganiami rodo.


> Zarządzanie incydentami i zgłaszanie ich do właściwych CSIRT


Przekazywanie informacji organom właściwym ds. cyberbezpieczeństwa i właściwym CSIRT dotyczy dwóch obszarów – zgłaszania incydentów oraz raportowania określonych ustawą informacji na temat działalności podmiotów krajowego systemu cyberbezpieczeństwa i wypełnienia nałożonych na nie obowiązków.


Zarządzanie incydentami, na które składa się również przekazywanie informacji na temat zaistniałych zagrożeń do właściwych CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON), jest najistotniejszym obowiązkiem podmiotów krajowego systemu cyberbezpieczeństwa. Wymaganie to dotyczy zarówno operatorów usług kluczowych, jak i dostawców usług cyfrowych oraz podmiotów publicznych. Zgłoszenie powinno nastąpić w ciągu 24 godzin od wykrycia incydentu i zawierać m.in. dane na temat wpływu zdarzenia na świadczenie usług, przyczynę jego zaistnienia i sposób przebiegu, jak również informacje o działaniach naprawczych i zapobiegawczych. Podmioty krajowego systemu cyberbezpieczeństwa nie są zwolnione z przekazywania informacji stanowiących ich tajemnicę przedsiębiorstwa – powinny ją jednak wyraźnie oznaczyć.
Jak wskazano w uzasadnieniu do ustawy o krajowym systemie cyberbezpieczeństwa, podstawowym założeniem systemu raportowania jest jak najszybsze zawiadomienie właściwego CSIRT i dostarczenie mu niezbędnych informacji, tak aby możliwe było ograniczenie potencjalnych skutków wobec innych podmiotów tworzących krajowy system cyberbezpieczeństwa. Jest to też spójne z rolą, która została przypisana CSIRT – jako jednostki działające centralnie są podmiotami, które posiadają ogląd na cały krajowy system cyberbezpieczeństwa i wspierają jego podmioty, również poprzez dostarczenie im niezbędnych informacji. W tym zakresie poszczególne CSIRT odpowiedzialne są za monitorowanie zagrożeń i incydentów na poziomie krajowym, a także przekazują podmiotom tworzącym krajowy system cyberbezpieczeństwa wczesne ostrzeżenia, informacje dotyczące incydentów i ryzyk oraz rekomendacje działań minimalizujących skutki incydentu. Ich szczególna rola dotyczy również najpoważniejszych zdarzeń, czyli incydentów krytycznych, mających wpływ na szerszy krąg podmiotów – tj. skutkujących znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.


Warto jednak wskazać, że system raportowania incydentów na gruncie ustawy o krajowym systemie cyberbezpieczeństwa jest niezależny od obowiązków ustanowionych w odrębnych przepisach, a zwłaszcza w ogólnym rozporządzeniu o ochronie danych osobowych oraz w prawie telekomunikacyjnym (DzU z 2019 r., poz. 2460 z późn. zm.). W pewnych skrajnych przypadkach oznacza to, że podmiot objęty regulacją ustawy o ksc i prawem telekomunikacyjnym, w sytuacji naruszenia cyberbezpieczeństwa skutkującego także wyciekiem danych osobowych, będzie musiał przekazać informację o tym naruszeniu w ramach trzech ścieżek. Takie podejście wymusza posiadanie przez ten podmiot właściwych schematów działania i koordynowania udostępniania informacji na temat incydentu różnym organom.


Omawiane podejście może jednak zostać w najbliższym czasie uproszczone – także z uwagi na zastąpienie ustawy Prawo telekomunikacyjne Prawem komunikacji elektronicznej – aktem stanowiącym implementację dyrektywy Europejskiego kodeksu łączności elektronicznej. Rząd prowadzi obecnie prace nad nowelizacją ustawy o ksc, w ramach której krajowym systemem cyberbezpieczeństwa objęci zostaliby także przedsiębiorcy komunikacji elektronicznej. Dla nich zostałby powołany CSIRT Telco (projekt dostępny pod adresem bit.ly/3nedkPO). W momencie powstawania artykułu nowelizacja nie została jednak skierowana do prac w sejmie, a jej treść może ulec zmianie.


Warto przy tym wspomnieć, że wskazana nowelizacja ma również na celu zwiększenie roli sektorowych zespołów cyberbezpieczeństwa i wprowadzenie obowiązku ich ustanowienia w danym sektorze. Obecnie ustawa przewiduje jedynie możliwość (nie obowiązek) ich powołania przez organ właściwy, a ich rola ma charakter wspierający podmioty krajowego systemu cyberbezpieczeństwa w obsłudze incydentów. Do tej pory powołany został jedynie jeden taki zespół – CSIRT KNF – a nastąpiło to prawie dwa lata od wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa. Projektodawca nowelizacji liczy, że dzięki zwiększeniu roli sektorowych CSIRT wzrośnie także ich udział w wymianie informacji pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa.

 

[...]

 

Autorka jest radcą prawnym w Kancelarii Traple Konarski Podrecki i Wspólnicy.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"