Bezpieczeństwo cybernetyczne to przede wszystkim problem globalny, związany z zapewnieniem ciągłości realizacji zadań przez poszczególne organy i instytucje państwowe. W Polsce czuwa nad tym Krajowy System Cyberbezpieczeństwa.
CYBERBEZPIECZEŃSTWO REGULOWANE PRZEZ POLITYKI NARODOWE
Jak już pisaliśmy kilka dni temu październik jest Europejskim Miesiącem Cyberbezpieczeństwa. Biorąc pod uwagę, że coraz więcej aspektów życia automatyzowanych jest i kontrolowanych przy użyciu narzędzi nowych technologii, warto przy tej okazji zwrócić uwagę na kwestie bezpieczeństwa cybernetycznego w odniesieniu do kluczowych usług realizowanych, bądź nadzorowanych przez instytucje i organy państwowe, które funkcjonują w oparciu o rozbudowane systemy informatyczne, jak chociażby dostarczanie wody, prądu, czy ciepła do pojedynczych gospodarstw domowych, a także przedsiębiorstw i organizacji. Jednocześnie systemy te nieustannie narażone są na niebezpieczeństwo pochodzące zarówno z zewnątrz, w postaci aktów sabotażu i ataków hakerów, jak również z wewnątrz w postaci różnego rodzaju awarii, wycieków danych, czy błędów ludzkich.
W efekcie, większość ustawodawstw reguluje kwestie bezpieczeństwa cybernetycznego obiektów i instytucji mających strategiczne znaczenie dla funkcjonowania całego państwa w drodze ustaw i wydawanych do nich aktów wykonawczych, tworząc możliwie szeroką ochronę przed nieprawidłowościami. W Polsce aktem tym jest stosunkowo nowa ustawa z dnia 05 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Akt ten reguluje organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, a także kwestie sprawowania kontroli i nadzoru nad wypełnianiem obowiązków wynikających z ustawy.
CYBERBEZPIECZEŃSTWO WEDŁUG USTAWY
Zgodnie z definicją zawartą w ustawie przez cyberbezpieczeństwo rozumie się odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Bezpieczeństwu tychże systemów zagrażać mogą różnego rodzaju incydenty, tj. zdarzenia, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Ustawa rozróżnia kilka stopni incydentów, w zależności od skutków jakie za sobą pociągają, tj.
- Incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi
- Incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej, tj. usługi, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej
- Incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej
USŁUGI KLUCZOWE
Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Szczególna ochrona z mocy ustawy odnosi się zatem do następujących obszarów i dziedzin gospodarki narodowej:
1. Sektor energetyczny
a) Wydobywanie kopalin
b) Energia elektryczna
c) Ciepło
d) Ropa naftowa
e) Gaz
2. Transport
a) Transport lotniczy
b) Transport kolejowy
c) Transport wodny
d) Transport drogowy
3. Bankowość i infrastruktura rynków finansowych
4. Ochrona zdrowia
5. Zaopatrzenie w wodę pitną i jej dystrybucja
6. Infrastruktura cyfrowa
OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH
Operatorami powyższych usług kluczowych są podmioty, wobec których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Do podstawowych obowiązków operatorów, oczywiście prócz świadczenia usług do których zostały powołane, jest zapewnienie bezpieczeństwa w systemach informacyjnych wykorzystywanych do świadczenia usług kluczowych, zapewniającego:
1.Prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem
2. Wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
3. Zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
4. Zarządzanie incydentami
5. Stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
6. Stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa
Kwestie bezpieczeństwa cybernetycznego to podstawowy element polityk współczesnych społeczeństw informacyjnych. Poszczególni ustawodawcy mają świadomość zagrożeń na jakie narażone są systemy informatyczne realizujące podstawowe usługi kluczowe, dlatego wprowadzają mechanizmy mające na celu ograniczanie ryzyk i minimalizowanie konsekwencji występowania różnego rodzaju incydentów.