Krajowy system cyberbezpieczeństwa. Bezpieczeństwo państwa w erze technologii

Krajowy system cyberbezpieczeństwa. Bezpieczeństwo państwa w erze technologii21.10.2023 19:47
Zespół cyberbezpieczeństwa
Źródło zdjęć: © Adobe Stock

Krajowy system cyberbezpieczeństwa jasno i wyraźnie określa role i zadania operatorów i dostawców usług oraz zespołów reagowania i organów cyberbezpieczeństwa. Jest strategią zapewniania państwu bezpieczeństwa w erze technologii.

Wojsko polskie ma ustalony plan działania na wypadek wystąpienia tego lub innego zagrożenia. Dziś jednak zagrożeniem dla funkcjonowania społeczeństwa lub bezpieczeństwa publicznego może być także incydent, uniemożliwiający korzystanie z tej lub innej usługi cyfrowej. Aby tego typu zdarzenia nie prowadziły do paraliżu, lecz były możliwie szybko rozwiązywane, powstał krajowy system cyberbezpieczeństwa.

Czym jest krajowy system cyberbezpieczeństwa i jakie są jego cele?

Krajowy system cyberbezpieczeństwa został wprowadzony ustawą, która decyzją prezydenta RP została zatwierdzona 1 sierpnia 2018 r. i weszła w życie 28 sierpnia tego samego roku. To zestaw regulacji, jasno określających, kto, kiedy i w jaki sposób powinien informować kogo i w jakim czasie o incydentach, mających istotny wpływ na funkcjonowanie społeczeństwa lub bezpieczeństwo publiczne.

Celem krajowego systemu cyberbezpieczeństwa jest zapewnianie właściwej ochrony systemów informatycznych na poziomie krajowym. Przede wszystkim ma stanowić gwarancję braku zakłóceń w kontekście świadczenia kluczowych usług cyfrowych. Do tego powinien przyczynić się do osiągnięcia możliwie wysokiego bezpieczeństwa systemów teleinformatycznych, których zadaniem jest świadczenie przed momentem wspomnianych usług.

Dalsza część artykułu pod materiałem wideo

Stacja Galaxy w Smart Kids Planet

Kogo obejmuje krajowy system cyberbezpieczeństwa?

Krajowy system cyberbezpieczeństwa obejmuje:

  • operatorów usług kluczowych (między innymi tych z sektora energetycznego, zdrowotnego, transportowego i finansowego),
  • dostawców usług cyfrowych (to internetowe platformy handlowe, usługi chmurowe i wyszukiwarki internetowe),
  • Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego,
  • organy i sektorowe zespoły cyberbezpieczeństwa,
  • usługodawców z sektora cyberbezpieczeństwa,
  • pojedynczy punkt kontaktowy do komunikacji z Unią Europejską.

Wszyscy ci członkowie powinni ze sobą współpracować w ustalonej formie. Operatorzy usług kluczowych mają za zadanie wdrażać skuteczne zabezpieczenia i na bieżąco analizować ryzyko związane z cyberbezpieczeństwem. Podobnie dostawcy usług cyfrowych, a pozostałe podmioty mają za zadanie reagować, koordynować działania i planować dalsze czynności.

Obowiązki dostawców usług cyfrowych

Tak naprawdę kluczową grupą w KSC są dostawcy usług cyfrowych, a więc platformy handlu elektronicznego, usługodawcy z zakresu przetwarzania w chmurze oraz operatorzy wyszukiwarek internetowych. Ustawa nakłada na takie podmioty szereg obowiązków, z których najważniejsze to:

  • wykrywanie, rejestrowanie, analizowanie i klasyfikowanie incydentów z obszaru cyberbezpieczeństwa,
  • zgłaszanie istotnych incydentów właściwemu CSIRT (Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego) w ciągu 24 godzin od wykrycia,
  • zapewnianie dostępu do informacji o istotnych incydentach właściwemu CSIRT oraz współpraca z tym zespołem,
  • usuwanie podatności.

Na wyżej przedstawionej liście pojawia się "incydent istotny". Jest on definiowany jako taki, który istotnie wpływa na świadczenie cyfrowej usługi. Aby określić, czy problem rzeczywiście jest poważny, należy sobie odpowiedzieć na kilka podstawowych pytań:

  • jak duży jest zasięg geograficzny incydentu?
  • jak wielu użytkowników dotyczy incydent?
  • jak duży jest zakres zakłócenia funkcjonowania usługi w wyniku incydentu?
  • jak długo trwa incydent?
  • jak duży jest wpływ incydentu na działalność gospodarczą i społeczną?

Konkretnie za incydent istotny uznaje się taki, w wyniku którego usługa była niedostępna przez co najmniej 5 mln użytkownikogodzin (to jednostka oznaczająca liczbę użytkowników w UE dotkniętych incydentem w ciągu 60 minut).

Alternatywnie "istotny incydent" prowadzi do utraty integralności, autentyczności lub poufności danych u co najmniej 100 tys. użytkowników w UE lub spowodował ryzyko dla bezpieczeństwa publicznego. "Istotny incydent" to też taki, który wyrządził stratę materialną przekraczającą 1 mln euro dla co najmniej jednej osoby w UE.

Obowiązki pozostałych członków KSC

Podobnie operatorzy usług kluczowych mają za zadanie wykrywanie, rejestrowanie, analizowanie i klasyfikowanie incydentów. Jeśli są uznane za istotne, muszą być zgłoszone do CSIRT nie później niż w ciągu 24 godzin od wykrycia. Następnie powinny zostać podjęte działania naprawcze oraz takie, których celem jest ograniczenie negatywnych skutków incydentu. Istotna jest również współpraca pomiędzy wszystkimi członkami KSC.

Na osobny akapit zasługuje jeszcze PPK, czyli Pojedynczy Punkt Kontaktowy działający przy Ministrze Cyfryzacji. Jest on odpowiedzialny za tworzenie ram prawnych dotyczących cyberbezpieczeństwa w Polsce. Pełni także funkcję łącznika pomiędzy wszystkimi podmiotami, gromadzi i przetwarza uzyskane od nich informacje oraz koordynuje współpracę na arenie międzynarodowej.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA