Krajowy system cyberbezpieczeństwa. Bezpieczeństwo państwa w erze technologii
Krajowy system cyberbezpieczeństwa jasno i wyraźnie określa role i zadania operatorów i dostawców usług oraz zespołów reagowania i organów cyberbezpieczeństwa. Jest strategią zapewniania państwu bezpieczeństwa w erze technologii.
21.10.2023 19:47
Wojsko polskie ma ustalony plan działania na wypadek wystąpienia tego lub innego zagrożenia. Dziś jednak zagrożeniem dla funkcjonowania społeczeństwa lub bezpieczeństwa publicznego może być także incydent, uniemożliwiający korzystanie z tej lub innej usługi cyfrowej. Aby tego typu zdarzenia nie prowadziły do paraliżu, lecz były możliwie szybko rozwiązywane, powstał krajowy system cyberbezpieczeństwa.
Czym jest krajowy system cyberbezpieczeństwa i jakie są jego cele?
Krajowy system cyberbezpieczeństwa został wprowadzony ustawą, która decyzją prezydenta RP została zatwierdzona 1 sierpnia 2018 r. i weszła w życie 28 sierpnia tego samego roku. To zestaw regulacji, jasno określających, kto, kiedy i w jaki sposób powinien informować kogo i w jakim czasie o incydentach, mających istotny wpływ na funkcjonowanie społeczeństwa lub bezpieczeństwo publiczne.
Celem krajowego systemu cyberbezpieczeństwa jest zapewnianie właściwej ochrony systemów informatycznych na poziomie krajowym. Przede wszystkim ma stanowić gwarancję braku zakłóceń w kontekście świadczenia kluczowych usług cyfrowych. Do tego powinien przyczynić się do osiągnięcia możliwie wysokiego bezpieczeństwa systemów teleinformatycznych, których zadaniem jest świadczenie przed momentem wspomnianych usług.
Dalsza część artykułu pod materiałem wideo
Kogo obejmuje krajowy system cyberbezpieczeństwa?
Krajowy system cyberbezpieczeństwa obejmuje:
- operatorów usług kluczowych (między innymi tych z sektora energetycznego, zdrowotnego, transportowego i finansowego),
- dostawców usług cyfrowych (to internetowe platformy handlowe, usługi chmurowe i wyszukiwarki internetowe),
- Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego,
- organy i sektorowe zespoły cyberbezpieczeństwa,
- usługodawców z sektora cyberbezpieczeństwa,
- pojedynczy punkt kontaktowy do komunikacji z Unią Europejską.
Wszyscy ci członkowie powinni ze sobą współpracować w ustalonej formie. Operatorzy usług kluczowych mają za zadanie wdrażać skuteczne zabezpieczenia i na bieżąco analizować ryzyko związane z cyberbezpieczeństwem. Podobnie dostawcy usług cyfrowych, a pozostałe podmioty mają za zadanie reagować, koordynować działania i planować dalsze czynności.
Obowiązki dostawców usług cyfrowych
Tak naprawdę kluczową grupą w KSC są dostawcy usług cyfrowych, a więc platformy handlu elektronicznego, usługodawcy z zakresu przetwarzania w chmurze oraz operatorzy wyszukiwarek internetowych. Ustawa nakłada na takie podmioty szereg obowiązków, z których najważniejsze to:
- wykrywanie, rejestrowanie, analizowanie i klasyfikowanie incydentów z obszaru cyberbezpieczeństwa,
- zgłaszanie istotnych incydentów właściwemu CSIRT (Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego) w ciągu 24 godzin od wykrycia,
- zapewnianie dostępu do informacji o istotnych incydentach właściwemu CSIRT oraz współpraca z tym zespołem,
- usuwanie podatności.
Na wyżej przedstawionej liście pojawia się "incydent istotny". Jest on definiowany jako taki, który istotnie wpływa na świadczenie cyfrowej usługi. Aby określić, czy problem rzeczywiście jest poważny, należy sobie odpowiedzieć na kilka podstawowych pytań:
- jak duży jest zasięg geograficzny incydentu?
- jak wielu użytkowników dotyczy incydent?
- jak duży jest zakres zakłócenia funkcjonowania usługi w wyniku incydentu?
- jak długo trwa incydent?
- jak duży jest wpływ incydentu na działalność gospodarczą i społeczną?
Konkretnie za incydent istotny uznaje się taki, w wyniku którego usługa była niedostępna przez co najmniej 5 mln użytkownikogodzin (to jednostka oznaczająca liczbę użytkowników w UE dotkniętych incydentem w ciągu 60 minut).
Alternatywnie "istotny incydent" prowadzi do utraty integralności, autentyczności lub poufności danych u co najmniej 100 tys. użytkowników w UE lub spowodował ryzyko dla bezpieczeństwa publicznego. "Istotny incydent" to też taki, który wyrządził stratę materialną przekraczającą 1 mln euro dla co najmniej jednej osoby w UE.
Obowiązki pozostałych członków KSC
Podobnie operatorzy usług kluczowych mają za zadanie wykrywanie, rejestrowanie, analizowanie i klasyfikowanie incydentów. Jeśli są uznane za istotne, muszą być zgłoszone do CSIRT nie później niż w ciągu 24 godzin od wykrycia. Następnie powinny zostać podjęte działania naprawcze oraz takie, których celem jest ograniczenie negatywnych skutków incydentu. Istotna jest również współpraca pomiędzy wszystkimi członkami KSC.
Na osobny akapit zasługuje jeszcze PPK, czyli Pojedynczy Punkt Kontaktowy działający przy Ministrze Cyfryzacji. Jest on odpowiedzialny za tworzenie ram prawnych dotyczących cyberbezpieczeństwa w Polsce. Pełni także funkcję łącznika pomiędzy wszystkimi podmiotami, gromadzi i przetwarza uzyskane od nich informacje oraz koordynuje współpracę na arenie międzynarodowej.