Ryzyko w krajowym system cyberbezpieczeństwa

Krajowy system cyberbezpieczeństwa staje się bytem uregulowanym prawnie. Tym sposobem cyberbezpieczeństwo definiowane jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” uzyskuje osadzenie w ustawie nazywanej skrótowo ustawa o KSC. Regulacja jako implementacja dyrektywy NIS, ma wymiar nie tylko krajowy ale i ogólnoeuropejski. Cyberbezpieczeństwo dotyczy systemów informacyjnych, które są zdefiniowane jako: system teleinformatyczny (z ustawy o informatyzacji) wraz z przetwarzanymi w nim danymi w postaci elektronicznej.

Ustawa KSC określa krajowy system cyberbezpieczeństwa, czyli wprowadzenie mechanizmów zarządzania zapewniających cyberbezpieczeństwo. Zarządzanie cyberbezpieczeństwem ma być realizowane bazując na zarządzaniu ryzykiem, zdefiniowanym jako skoordynowane działania w odniesieniu do oszacowanego ryzyka. Szacowanie ryzyka dotyczy wystąpienia niepożądanych zdarzeń i jego konsekwencji. Jeżeli dojdzie do wystąpienia incydentu bezpieczeństwa, wymagane jest oszacowanie ryzyka, w tym prowadzenie dynamicznej analizy ryzyka, w kontekście zaistniałego incydentu.

Szacowanie ryzyka przed i po incydencie

Szacowanie ryzyka w ustawie jest zdefiniowane jako „całościowy proces identyfikacji, analizy i oceny ryzyka”, wpisuje się zatem w podstawowy model procesu zarządzania ryzykiem IT.

Przyjrzyjmy się bardziej szczegółowo kwestiom ryzyka określonym w Ustawie o krajowym systemie cyberbezpieczeństwa.

  1. Spójny i kompletny system zarządzania ryzykiem mają zapewnić CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego): CSIRT MON, CSIRT NASK i CSIRT GOV współpracując ze sobą oraz z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem  Rządu do Spraw Cyberbezpieczeństwa.
  2. Każdy z CSIRT ma za zadanie:
    • szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, w tym prowadzenie dynamicznej analizy ryzyka;
    • przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa
  3. Obowiązek zarządzania ryzykiem został przypisany operatorom usług kluczowych, którzy zostali zobowiązani do systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Operatorzy usług kluczowych zostali także zobowiązani do wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    • utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    • bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
    • wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
    • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym.
  4. Dodatkowo operator usługi kluczowej może przekazywać informacje dotyczące szacowania ryzyka do CSIRT MON, CSIRT NASK lub CSIRT GOV.
  5. Obowiązek zarządzania ryzykiem został przypisany także dostawcom usług cyfrowych. Dostawcy mają podejmować właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te mają zapewnić cyberbezpieczeństwo odpowiednie do istniejącego ryzyka.
  6. Minister właściwy do spraw informatyzacji jest odpowiedzialny za:
    • udostępnianie uzyskanych z Grupy Współpracy (współpraca na poziomie eruopejskim) informacji i dobrych praktyk związanych z procedurami postępowania przy zarządzaniu ryzykiem oraz klasyfikacji informacji, ryzyka i incydentów;
    • zapewnienie rozwoju lub utrzymania systemu teleinformatycznego wspierającego szacowanie ryzyka na poziomie krajowym;
  7. Pojedynczy Punkt Kontaktowy przekazuje:
    • Grupie Współpracy dobre praktyki w odniesieniu do identyfikowania operatorów usług kluczowych, w tym w odniesieniu do występujących w dwóch lub większej liczbie państw członkowskich Unii Europejskiej zależności dotyczących ryzyka i incydentów;
    • organom właściwym do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowym zespołom cyberbezpieczeństwa oraz innym organom władzy publicznej dobrych praktyk w zakresie identyfikowania operatorów usług kluczowych przez państwa członkowskie Unii Europejskiej, w tym w odniesieniu do transgranicznych zależności, dotyczących ryzyka i incydentów.
  8. Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa w ramach koordynowania działań i realizowania polityki rządu w zakresie zapewnienia cyberbezpieczeństwa nadzoruj proces zarządzania ryzykiem krajowego systemu cyberbezpieczeństwa z wykorzystaniem zagregowanych danych i wskaźników opracowanych z udziałem organów właściwych do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK i CSIRT GOV.
  9. Rada Ministrów przyjmuje Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, która ma uwzględniać m.in. podejście do oceny ryzyka.
  10. Informacje o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o ryzyku wystąpienia incydentów nie będą udostępniane na podstawie dostępu do informacji publicznej.
  11. Przetwarzając dane osobowe CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa mają stosować analizę ryzyka przetwarzania tych danych.
  12. Ustawa o KSC przewiduje kary pieniężne, w tym:
    1. dla operatorów usług kluczowych którzy nie przeprowadzają systematycznego szacowania ryzyka lub nie zarządzają ryzykiem wystąpienia incydentu – wysokość kary pieniężnej do 150 000 zł;
    2. dla operatorów usług kluczowych którzy nie wdrożyli środków technicznych i organizacyjnych uwzględniających wymagania – wysokość kary pieniężnej do 100 000 zł;

Podsumowanie

Określony w ustawie o KSC sposób zarządzania ryzykiem wpisuje się w podstawowy model procesu zarządzania ryzykiem IT. Ryzyko zostało zdefiniowane jako kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji, definicja ta jest zgodna z normami ISO w zakresie ryzyka, co zapewni, zaadoptowanie istniejących metod szacowania ryzykiem do zarządzania cyberbezpieczeństwem zgodnie z zapisami ustawy o KSC.

Ustawa o KSC kładzie ogromny nacisk na komunikację ryzyka. Komunikacja ryzyka ma się odbywać zarówno na poziomie krajowym i ogólnoeuropejskim. Komunikowanie ryzyka jest ważniejsze od samego oszacowania, gdyż tylko ryzyko zakomunikowane może być właściwie obsłużone.

—————Postscriptum—————

Na koniec 2 pytania, przy czym 2 dotyczy czasu odpowiedzi, a więc zanim zaczniesz czytać pytanie włącz stoper (odpowiedzi poproszę zapisać w komentarzach):

  1. Czy ta fraza jest prawdziwa „istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej”?
  2. Ile czasu zajęło Ci zrozumienie tej frazy?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *