Newsy

Dostawcy usług cyfrowych pod nadzorem krajowego systemu cyberbezpieczeństwa. Utworzone zostaną specjalne zespoły szybkiego reagowania m.in. na ataki hakerów

2018-06-12  |  06:00

Polski rząd przyjął niedawno ustawę o krajowym systemie cyberbezpieczeństwa wypełniającą założenia europejskiej Dyrektywy NIS, dotyczącej bezpieczeństwa sieci i informacji. Głównym założeniem nowych przepisów ma być zapewnienie ochrony cyberprzestrzeni na poziomie krajowym. Ustawa obejmie swoim zasięgiem przede wszystkim dostawców usług cyfrowych, którzy będą musieli szybko raportować każdy incydent związany z cyberbezpieczeństwem.

W myśl nowych przepisów NIS (Network and Information Security Directive) m.in. internetowe platformy handlowe, usługodawcy oferujący przetwarzanie w chmurze i dostawcy wyszukiwarek internetowych będą musieli spełnić szereg wymogów związanych z ochroną danych i raportowaniem incydentów zagrażających bezpieczeństwu.

– Raportowanie incydentów dla firm sektora energetycznego, transportowego, bankowości, dostawców usług cyfrowych i całego sektora publicznego będzie oznaczało, że firmy te będą musiały mieć odpowiednie osoby, procedury i narzędzia, które pozwolą na to, żeby wykrywać incydenty bezpieczeństwa, a potem klasyfikować je i w bardzo krótkim czasie, bo w ciągu 24 godzin, przedstawić raport na temat krytycznego, poważnego czy istotnego incydentu bezpieczeństwa – wyjaśnia w rozmowie z agencją informacyjną Newseria Innowacje Mariusz Stawowski z firmy Clico dostarczającej produkty zapewniające bezpieczeństwo danych.

Raporty dotyczące cyberbezpieczeństwa mają trafiać do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Zespoły CSIRT na poziomie krajowym będą współpracować ze sobą w celu zapewnienia spójnego i kompletnego systemu zarządzania ryzykiem. Mają one zapewnić też właściwą obsługę zgłoszonych incydentów. Priorytetowe będą incydenty poważne i krytyczne, które są najpoważniejsze z punktu widzenia państwa. Aby tak skonstruowany system mógł funkcjonować, podlegające dyrektywie przedsiębiorstwa będą musiały zatrudnić specjalistów od cyberbezpieczeństwa, którzy zajmą się obsługą i raportowaniem incydentów.

– Zasadniczym celem jest podwyższenie świadomości osób odpowiedzialnych za zarządzanie organizacjami w obszarze bezpieczeństwa. Osiągnięte ma to być poprzez wprowadzenie odpowiednich, lepiej działających procesów związanych z zarządzaniem bezpieczeństwem, a także wyposażenie osoby odpowiedzialnej za bezpieczeństwo w narzędzia i polepszenie koordynacji pomiędzy narodowymi organami czyli CIRT-ami, CERT-ami, a jednostkami odpowiedzialnymi za bezpieczeństwo w organizacjach. To także szansa na poprawienie współpracy mającej na celu wczesne informowanie odpowiednich osób w organizacjach, że w innej organizacji wystąpił jakiś incydent bezpieczeństwa. Całościowo poziom bezpieczeństwa infrastruktury krytycznej naszego kraju oraz wielu istotnych organizacji, w tym sektora publicznego, powinien zostać rozszerzony – twierdzi Mariusz Stawowski.

Wiadomości i alerty dotyczące zagrożeń cyberbezpieczeństwa nie pozostaną jednak wyłącznie w obszarze zainteresowań wdrażających dyrektywę NIS krajów. Przyjęta w Polsce ustawa powołuje pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa prowadzony przez ministra właściwego do spraw informatyzacji. Ma on być odpowiedzialny za wymianę informacji związanych z cyberbezpieczeństwem na poziomie kraju oraz współpracę transgraniczną na poziomie Unii Europejskiej. Dyrektywa NIS jest kolejnym, po RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), sposobem na zwiększenie bezpieczeństwa wszelkiego rodzaju wrażliwych danych, w tym zwłaszcza danych osobowych.

– Do tej pory, przed RODO i przed dyrektywą NIS, tylko firmy z sektora telekomunikacyjnego miały obowiązek zgłaszania naruszeń bezpieczeństwa, chodziło tutaj o dane osobowe. W tym momencie ustawa o krajowym systemie bezpieczeństwa i RODO wprowadzają prawny obowiązek zgłaszania naruszeń bezpieczeństwa danych osobowych oraz zgłaszania incydentów poważnych, istotnych i krytycznych. Jest to prawny obowiązek wykrywania i zgłaszania incydentów do właściwych organów. Oznacza to zasadniczą zmianę, gdyż do tej pory większość organizacji nie miała obowiązku zgłaszania incydentów żadnemu formalnemu podmiotowi. Często zdarzało się, że informacje o incydentach bezpieczeństwa były zamiatane pod dywan, teraz będzie to oznaczało złamanie prawa – podsumowuje przedstawiciel firmy Clico.

Ustawa o krajowym systemie cyberbezpieczeństwa nie została jeszcze przyjęta przez Sejm. Na posiedzeniu sejmu 5 czerwca zdecydowano o skierowaniu jej do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej.

Z prognozy Cybersecurrity Ventures wynika, że do 2021 roku notowane rocznie straty wynikające z działalności cyberprzestępców wyniosą 6 bln dol. Tymczasem z raportu „Cyber Risks 2017”, dostarczonego przez FireEye i Marsh & McLennan Companies, wynika, że cyberzagrożenia dotyczą niemal każdego sektora gospodarki. Hakerów najbardziej interesują dane handlowe przedsiębiorstw, informacje dotyczące systemów kontroli i plany strategiczne.

Czytaj także

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Polityka

Konkurencyjność UE priorytetem nowej Komisji Europejskiej. Wśród barier do eliminacji nadmierna biurokracja

Komisja Europejska w nowym składzie, pod wodzą Ursuli von der Leyen, właśnie rozpoczyna swoją kadencję. Zgodnie z zapowiedziami ma się skupić na ożywieniu stojącej w miejscu gospodarki UE, zwiększeniu konkurencyjności, odblokowaniu inwestycji i zniwelowaniu luki innowacyjnej dzielącej ją od Stanów Zjednoczonych i Chin. Dużym wyzwaniem będzie także zmniejszenie uciążliwej biurokracji, również w dostępie do europejskich funduszy.

Infrastruktura

Stan budynków w Polsce poprawia się zbyt wolno. Ma to negatywny wpływ na klimat i zdrowie mieszkańców

W ciągu ostatnich ośmiu lat kluczowe statystyki dotyczące stanu budownictwa i zdrowia publicznego na poziomie UE się nie poprawiły. Budynki nadal zużywają zbyt dużo energii, emitują coraz więcej gazów cieplarnianych, a liczba inwestycji w poprawę efektywności energetycznej wręcz maleje, co skutkuje coraz niższym rocznym wskaźnikiem renowacji. Tym samym budynki w Europie nadal nie zapewniają ich użytkownikom zdrowych i komfortowych warunków, co przekłada się na gorsze samopoczucie i problemy zdrowotne – pokazuje najnowsza, ósma edycja raportu „Barometr zdrowych budynków”.

Infrastruktura

Budowa sieci szybkiej łączności dla polskiej energetyki wchodzi w kolejny etap. Czas usuwania awarii będzie krótszy

Spółka PGE Dystrybucja podpisała z firmą Ericsson umowę na dostawę blisko 600 systemów zasilania dla radiowych stacji bazowych i transmisyjnych węzłów agregacyjnych w ramach Programu LTE450. Jest to już ostatni kontrakt na dostawę kluczowych składników sprzętu telekomunikacyjnego sieci LTE450. Jego realizacja ma umożliwić budowę sieci o kluczowym znaczeniu dla sektora energetycznego, co przyspieszy jego cyfryzację.

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.