Webinar: Jak realizować zapisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa?

 

Zapis wideo webinarium, na którym odpowiadaliśmy na pytania dotyczące zakresu odpowiedzialności jednostek samorządu terytorialnego za przestrzeganie zapisów Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Odpowiadali: Wioletta Woźniak-Kubuj, Paweł Deyk.

Jak realizować zapisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Wioletta Woźniak-Kubuj, EXATEL
Paweł Deyk, EXATEL

 

Wioletta Woźniak-Kubuj:

Witamy Państwa serdecznie na kolejnym webinarze organizowanym przez EXATEL. Dzisiejsze spotkanie poprowadzę ja, Wioletta Woźniak-Kubuj, wspólnie z kolegą Pawłem Deykiem. Na dzisiejszym webinarze przybliżymy Państwu wymogi związane z ustawą o KSC i o tym jakie nakłada ona obowiązki na Państwa jako Jednostki Samorządu Terytorialnego. W pierwszej części prezentacji wspólnie z Pawłem opowiemy Państwu o ustawie i zabezpieczeniach oraz o ofercie EXATELA, która może Państwu pomóc w realizowaniu wymogów tej ustawy. Po zakończeniu pierwszego części, będziemy mieli blok pytań i odpowiedzi.

 

Dlaczego tak właściwie nasi klienci mieliby przejmować się ustawą o Krajowym Systemie Cyberbezpieczeństwa? Co jest w niej takiego szczególnego, na co powinni zwrócić uwagę?

Paweł Deyk:

Zacznijmy od tego że ustawa ta nie jest tak zupełnie nowa, ponieważ weszła w życie już w zeszłym roku i od początku znajdują się w niej pojęcia i obowiązki związane z podmiotami publicznymi. Wszystkie Jednostki Samorządu Terytorialnego wpisują się w tę konwencję, dlatego też ustawa wprost – poza operatorami usługi kluczowej, którzy utrzymują infrastrukturę związaną z bezpieczeństwem Państwa – obejmuje JST, które świadczą zadania publiczne.

Chciałbym żebyśmy teraz usystematyzowali sobie występujące w ustawie pojęcia, którymi będziemy się posługiwać. Pierwszym z nich jest incydent, czyli każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Cyberbezpieczeństwo rozumiemy jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług. Co ważne, ustawa rozróżnia także incydent w podmiocie publicznym jako specjalny rodzaj incydentu. Operatorzy usług kluczowych mają rozróżnienie na incydenty poważne i krytyczne, natomiast w podmiocie publicznym należy przede wszystkim skupić się na incydentach, które powodują lub mogą powodować obniżenie jakości świadczonych usług , czyli mówiąc wprost zadania publicznego realizowanego przez podmioty. Mogą to być e-usługi lub świadczenia związane z codzienną pracą urzędów i różnych wydziałów. Tych zadań publicznych realizują Państwo bardzo dużo.

Wszelkie incydenty, które się pojawiają należy także obsłużyć, czyli podejmować zarówno czynności, które umożliwiają wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację tych incydentów, jak i podejmowanie działań naprawczych i ograniczenie skutków w momencie gdy incydent już wystąpi. Szersze pojęcie, które jest z tym związane, to zarządzanie incydentem czyli m.in. jego obsługa ale też wyszukiwanie powiązań między różnymi incydentami, które się pojawiają, usuwanie przyczyn ich wystąpienia oraz opracowanie wniosków wynikających z obsługi incydentu. Są to pojęcia, które dobrze znać na samym początku, abyśmy mieli pewność, że mówimy o tym samym.

Mówimy również o konkretnych wymaganiach, które wynikają z ustawy i obejmują one w zasadzie cały Rozdział 5., który zajmuje się obowiązkami podmiotów publicznych. Najważniejszy z nich to zarządzanie incydentem w podmiocie publicznym. Zgłaszanie incydentów należy realizować w ciągu 24 godzin, zatem poza tym że należy zarządzać tym incydentem, to należy go niezwłocznie zgłosić, ale nie później niż w ciągu 24 godzin do właściwego CSIRT (większość przypadków to będzie CSIRT NASK). Podmiot publiczny musi zapewnić obsługę incydentu, czyli od zarejestrowania go, przez analizę, aż po ocenę skutków. Dodatkowo należy umożliwić dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa obywatelom na rzecz których realizowane są zadania publiczne. Co ważne, osoba która będzie zgłaszać i kontaktować się z CSIRT odnośnie incydentu, musi zostać wskazana CSIRT-owi w sposób formalny.

 

Wioletta:

Na kolejnych slajdach pokażemy Państwu kilka przykładowych incydentów z zakresu cyberbezpieczeństwa, które miały miejsce w sektorze publicznym. Chciałabym Pawle żebyś omawiając te przykłady, powiedział nam czy zdarzenia które widzimy, są incydentem w rozumieniu ustawy czy też nie.

 

Paweł:

Jednym z przykładów, który może być znany uczestnikom konwentów, jest przykład kiedy złośliwe oprogramowanie zainfekowało komputery w urzędzie w Oleśnicy. Tam oprogramowanie typu ransomware spowodowało zablokowanie zarówno systemów użytkowników, jak i serwery które były odpowiedzialne za przechowywanie danych związanych z usługami geoinformatycznymi. Chodziło tutaj między innymi o działki i bazę danych związanych z właścicielami tych działek i terenów. Myślę, że nie ma tu większych wątpliwości, że był to incydent w podmiocie publicznym, gdyż zablokowano działanie portalu świadczącego e-usługi dla obywateli. Co więcej, zniekształcona została integralność danych i dane które zostały zablokowane, mogły nie zostać prawidłowo odzyskane z backupów. Jest więc wątpliwość czy usługa od momentu tego incydentu będzie działała tak samo i czy gdzieś nie nastąpiło przekłamanie związane z informacjami w systemie.

Kolejny przykład to całkiem świeża i dość medialna sprawa. Mówię tu o Poznańskim Centrum Świadczeń w którym kierownik zespołu informatyki wyłudził sporą kwotę przeznaczoną dla osób posiadających wielodzietne rodziny. Informatyk wykorzystał tutaj uprawnienia, które miał w systemie i stworzył użytkowników bez prawdziwej tożsamości, aby stworzyć mechanizm wypłacania środków publicznych. Tutaj również mamy do czynienia z incydentem w podmiocie publicznym, ponieważ została naruszona zasada związana z autentycznością danych. Jeśli mówimy o danych w systemach e-usług w których widnieją osoby fikcyjne, to nie możemy tutaj mówić o prawdziwych danych. Co więcej, zostało tutaj popełnione przestępstwo komputerowe w tym rozumieniu, że nie były to uprawnienia które posiadał ten informatyk. Być może miał on uprawnienia administratora w systemie, ale na pewno nie miał uprawnień do tego by wprowadzać dane, które nie zostały zawnioskowane przez obywateli.

 

Wioletta:

Jeżeli już wykryliśmy incydent i wiemy że miał on miejsce, to co możemy zrobić, jak i gdzie powinniśmy to zgłosić? Jak wygląda proces zgłaszania incydentu?

 

Paweł:

Przede wszystkim w momencie kiedy wykryjemy incydent, powinniśmy zajrzeć na stronę CSIRT NASK, na której możemy znaleźć formularz do zgłaszania incydentów. Można tam wybrać za pomocą prostego kreatora, że jest się podmiotem publicznym. Podmiot publiczny tak jak i pozostałe podmioty, musi podać dane podmiotu który zgłasza ten incydent, informacje o tym kto jest osobą zgłaszającą, a także szeroki opis incydentu i jego wpływu. Przestawiamy tam informacje o przyczynie, starając się zrozumieć co dokładnie się stało i dlaczego. Opisujemy też w jaki sposób incydent wpłynął na zadania publiczne, a więc musimy wskazać jakiego zadania publicznego to dotyczyło, ile osób mogło zostać dotkniętych incydentem, wskazać moment wystąpienia i wykrycia incydentu, określić czas jego trwania (jeśli się już zakończył), zasięg geograficzny, przyczynę, sposób przebiegu i jego skutki. Na tyle na ile jesteśmy w stanie w ciągu tych 24 godzin ocenić skutki incydentu i działania, które podjęliśmy w celu zarówno zapobiegania (czy stosowaliśmy odpowiednie środki ochrony?), jak i działania naprawcze (co zrobiliśmy po incydencie aby sytuacja nie powtórzyła się ponownie). Wszelkie inne istotne informacje są również mile widziane. Co jeszcze może się stać po takim zgłoszeniu? Na pewno CSIRT zgłosi się do Państwa w celu uzupełnienia wszelkich informacji, których w momencie zgłaszania zabrakło. Na pewno też wskaże wszelkie brakujące informacje, jakie może posiadać podmiot, a które będą istotne z punktu widzenia np. organów ścigania.

 

Wioletta:

Czy mógłbyś nam wymienić takie najczęstsze zagrożenia z którymi się zetknęliśmy u naszych klientów z administracji publicznej, klientów samorządowych? Jakie są te najczęściej występujące?

 

Paweł:

Mówiliśmy trochę o tym na konwentach. Problemy które się najczęściej pojawiają to często zwyczajne przestępstwa komputerowe o których słyszymy, czyli działania takie jak kradzież środków finansowych, podmiana strony internetowej (kiedy mówimy o konkretnych stratach wizerunkowych) czy wycieki danych, które w każdej organizacji mogą wystąpić, natomiast dane wrażliwe trzymane w urzędach są łakomym kąskiem dla przestępców. Dodatkowo wszelkie incydenty związane z dezinformacją czy podszywaniem się pod konkretną organizację, wysyłka maili, które nie są od konkretnego podmiotu, ale podszywają się pod niego. Była niedawno taka akcja z ZUS-em, który stał się ofiarą podszywania się pod nich przestępców. Wszelkie utraty dostępu do danych i podobne problemy, wynikają właśnie ze wspomnianych ataków z wykorzystaniem oprogramowania typu ransomware albo mogą wynikać z ataków DDoS. To właśnie z tymi dwoma rodzajami ataków mamy najczęściej do czynienia z tego względu, że są one najtańsze, najprostsze do przeprowadzenia i bardzo często są świadczone jako usługi w cyberprzestępczym świecie. Usługi te kosztują coraz mniej, maja pełną obsługę klienta i dlatego tych ataków jest tak dużo i będą się Państwo z nimi często spotykać.

 

Wioletta:

Jako EXATEL dysponujemy szerokim wachlarzem usług z zakresu cyberbezpieczeństwa. Jak moglibyśmy pomóc naszym klientom bronić się przed tymi atakami? Pokazaliśmy slajd na którym widać  klientów – głównie z sektora publicznego – którzy nam już zaufali. EXATEL realizuje całą sieć OST 112. Jesteśmy z naszymi usługami bezpieczeństwa także w Sejmie, Senacie, Kancelarii Prezesa Rady Ministrów, w Krajowym Biurze Wyborczy, ARiMR i MSWiA. Nie ma tu wymienionych wielu podmiotów z sektora komercyjnego, energetycznego czy dużych kluczowych banków. Jakie usługi możemy zaoferować naszym klientom?

 

Paweł:

Ze względu na różne potrzeby różnych klientów, skupimy się tutaj na dwóch usługach, które z naszego portfolio wydają się nam najciekawsze dla urzędów, szczególnie dla JST. Jedną z nich jest ochrona przed atakami DDoS, która polega na tym, że ruch przychodzący z Internetu jest analizowany przez sondę umieszczoną w sieci. Jest to sonda, która wykrywa profile ruchu i jeśli ruch który się pojawia, ma wszelkie znamiona ataku DDoS, to jest on przekierowywany do jednostki czyszczącej w sieci EXATEL. Jednostka ta oczyszcza ruch, odrzuca ruch złośliwy i z powrotem wypuszcza do urządzeń klienta ruch prawidłowy. Dodatkowo warto tutaj wspomnieć że usługa DDoS w naszej firmie będzie niedługo świadczona na naszym autorskim rozwiązaniu TAMA. Jest to rozwiązanie w pełni stworzone w naszej firmie, mamy pełną kontrolę nad jego kodem i nad urządzeniami. To jest coś czego jest mało na rynku. Dzięki temu że piszemy to rozwiązanie od zera, możemy uwzględnić wszelkie potrzeby naszych klientów i ich doświadczenia, które dotychczas mamy z tą usługą. Dotychczas świadczyliśmy i (częściowo też) będziemy świadczyć to dalej na platformie producenta Arbor, aktualnie Netscout.

Kolejną usługą wartą rozważenia jest Managed Firewall, czyli zarządzany firewall. W pierwszym wariancie wykorzystujemy nasze centralne firewalle, które są utrzymywane przez inżynierów EXATEL w naszej firmie. Ruch jest następnie przekierowywany z urządzeń brzegowych do naszego Data Center i zawijany z powrotem po przejściu przez kontroler firewallowy. Drugi wariant jest taki, że wykorzystujemy sprzęt, który jest zainstalowany lokalnie u klienta. Poza tym że ochrona obejmuje automatyczną weryfikację na zaporach sieciowych, całe zarządzanie urządzeniem, przygotowanie konfiguracji, wdrożenia, późniejsze utrzymanie polityk reguł na firewallu i wszelkie aktualizacje, są tworzone przez inżynierów EXATEL, dzięki czemu można zaoszczędzić sobie pracy w takich codziennych zmianach w sieci.

 

Wioletta:

Na konwentach wspominaliśmy Państwu o tym, że EXATEL przygotował specjalne pakiety promocyjne na dwa rozwiązania – DDoS i Firewalla. Pierwszą ofertę stanowi zabezpieczenie przed atakami wolumetrycznymi (atakami DDoS). W pakiecie zestawiamy Państwu tę ochronę na łączu 100mbps w technologii światłowodowej, więc jest to łącze symetryczne 100/100. Umowa zawierana jest na okres 24 miesięcy. Koszt kompleksowej usługi, czyli łącza razem z ochroną, jest równy 300 zł miesięcznie. Drugą naszą ofertą dla Państwa, jest tzw. optymalna ochrona sieci. W tym przypadku również otrzymują Państwo od nas łącze światłowodowe 100mbps, , ochronę przed atakami DDoS oraz ochronę zabezpieczenia ruchu sieciowego z i do Internetu (firewall). Usługę firewalla dostają Państwo w wersji zarządzanej, co oznacza że my jako EXATEL instalujemy ją u Państwa, konfigurujemy, zarządzamy politykami, informujemy o pojawiających się tam incydentach i bierzemy na siebie całe zarządzanie usługą. Obie promocje są ważne do końca lutego przyszłego roku.

Czy jest jakaś opcja Pawle żeby nasi klienci mogli zapewnić sobie wsparcie podczas zgłaszania i obsługi incydentu? Załóżmy że mamy własne zabezpieczenia i wykryliśmy jakiś incydent, ale nie wiemy jak to zgłosić do właściwej jednostki. Czy EXATEL może jakoś w tym pomóc swoim klientom?

 

Paweł:

Tak, jak najbardziej. To czym dysponujemy i co jest naszą mocną stroną, to zespół inżynierów bezpieczeństwa EXATEL. Pracują oni w ramach Security Operations Center i zorganizowani są na trzech liniach. Pierwsza linia SOC to dział monitoringu, który w wolnym czasie zajmuje się również poszukiwaniem zagrożeń o których mówi się w Internecie. Druga linia zajmuje się reagowaniem na naruszenia, czyli również współpracą z klientami odnośnie obsługi incydentów. Trzecia linia zajmuje się wszystkim tym z czym nie poradziły sobie poprzednie i przygotowuje zaawansowaną analizę złośliwego oprogramowania, testy penetracyjne, przeglądy procesów bezpieczeństwa i realizuje inne zadania, zarówno zaplanowane, jak i te które wynikają z incydentu. Nadzorujemy tutaj wszystkich klientów, którym świadczymy usługi cyberbezpieczeństwa. Monitujemy te informacje, które możemy znaleźć rozsiane po Internecie od naszych partnerów i jako SOC dodatkowo spełniamy wszystkie wymagania stawiane operatorom, którzy pośredniczą w usługach bezpieczeństwa w ramach KSC. Czyli zgodnie z wszelkimi wymogami ustawy, możemy świadczyć usługi bezpieczeństwa zarówno operatorom usług kluczowych jak i podmiotom publicznym w ramach KSC.

Najważniejszą korzyścią z usługi SOC jest to, że jest ktoś może zająć się zarówno monitorowaniem jak i obsługą incydentów bezpieczeństwa. Można dużo dokładniej i lepiej zrozumieć jak funkcjonuje sieć i zabezpieczenia, a także uzupełnić braki kadrowe, które jak dobrze wiemy są jednym z bardziej dotkliwych problemów dla sektora publicznego. Pomaga to też spełnić wszelkie wymagania związane z nowymi regulacjami i w jest to pewna polisa na „święty spokój”, ponieważ zawsze mamy do kogo zadzwonić kiedy dzieje się coś co nas przerasta.

 

Wioletta:

Jak wiemy u klientów sektora publicznego, zawsze mamy do czynienia z mocno okrojonym budżetem na działania IT i działania związane z bezpieczeństwem. Czy naszych klientów stać na tę usługę?

 

Paweł:

Mamy świadomość tego jakie są ograniczenia zarówno budżetowe jak i trudności w przekonaniu osób na stanowiskach kierowniczych do takich wydatków. Mamy pewną skrojoną na miarę usługę SOC, którą roboczo nazwaliśmy Assistance. Usługa ta jest pewnego rodzaju pulą dni roboczych, które można wykorzystać w ramach umowy np. 24 miesięcznej. Jest to oczywiście ograniczona liczba dni roboczych, ale w zakresie działań, które można zlecić z tej puli asysty technicznej i wsparcia, jest m.in. wsparcie w reagowaniu na incydenty bezpieczeństwa w momencie kiedy taki incydent wystąpi. Mogą Państwo sami zgłosić taki incydent w ciągu 24 godzin, ale może się okazać, że informacji – którymi Państwo dysponują z logów, z urządzeń, z jakichś platform bezpieczeństwa – jest za mało i niezbędne jest wsparcie w zebraniu informacji, ustaleniu przyczyn, skutków. Wtedy jako forma uzupełnienia zgłoszenia do CSIRT, mogą Państwo skorzystać z informacji, które zbierze nasz SOC. Mamy tutaj do czynienia z taką formą śledczą, czyli zabezpieczeniem danych urządzeń, które zostały dotknięte incydentem. Dodatkowo jeżeli taki incydent się nie zdarzy, to możemy doradzać w zakresie rekonfiguracji systemów bezpieczeństwa, urządzeń sieciowych, możemy zająć się analizą oprogramowania (które podejrzewają Państwo że jest złośliwe), a także przeprowadzać audyty bezpieczeństwa i testy komunikacyjne. Wszystko to oczywiście w jakiejś ograniczonej skali, ze względu na ograniczoną pulę dni roboczych. Ostatnia rzecz to wsparcie w zakresie procesów i procedur, czyli części bardziej organizacyjnej, która jest równie istotna dla organów, które nadzorują konkretne sektory w ramach KSC. Polityka bezpieczeństwa, System Zarządzania Bezpieczeństwem Informacji – są to rzeczy, które również będą istotne z punktu widzenia późniejszej oceny spełniania wymogów; czy są przeprowadzane regularne audyty. Wszystko to będzie miało wpływ na to jak organ będzie oceniał jak bardzo organizacja przyłożyła się do bezpieczeństwa i jak dobrze ogranicza potencjalne skutki ataku cybernetycznego.

 

Q&A

 

Wioletta: Czym różni się obsługa incydentów dla podmiotu publicznego i OUK?

Paweł: Z punktu widzenia technicznego, nie ma tu zbyt wiele różnic. Operator usługi kluczowej też musi obsłużyć incydent, zgłosić go do CSIRT. Różnica polega na rozróżnianiu rodzajów priorytetów. Incydenty mogą być poważne albo krytyczne i operatorzy usług kluczowych muszą zająć się klasyfikacją tego priorytetu. W podmiocie publicznym to my musimy zgłaszać wszelkie incydenty, które mogą lub faktycznie dotknęły systemy, które wspierają zadania publiczne.

 

Wioletta: W następnym pytaniu podejrzewam, że chodzi o incydent z wyciekiem danych osobowych. Podobny incydent trzeba zgłaszać do Urzędu Ochrony Danych Osobowych w przypadku utraty lub naruszenia integralności danych osobowych. Czy w takim przypadku czekają nas dwie kontrole? Czy należy zgłosić taki incydent do CSIRT NASK i do UODO i wtedy przychodzą dwie kontrole, jedna w temacie RODO, a druga w sprawie KSC?

Paweł: Jeśli chodzi o KSC, to on w żaden sposób nie znosi obowiązku które wynikają z ustawy o ochronie danych osobowych. Dlatego sądzę, że w przypadku wycieku danych, należy zgłosić ten incydent. W przypadku innych incydentów, wystarczy być może zgłoszenie do CSIRT, ale w przypadku incydentu związanego z wyciekiem danych, na pewno trzeba to również zgłosić do UODO. Czy nastąpi kontrola? Trudno powiedzieć. Na pewno obie instytucje będą chciały uzupełnić informacje dotyczące zgłoszenia, które zostało im wysłane i w zależności od tego jak ocenią stopień bezpieczeństwa organizacji i stopień przygotowania do obsługi takich incydentów, to w zależności od tego jest potencjalnie ryzyko wystąpienia jakichś konsekwencji. Warto natomiast zgłosić ten incydent. Co więcej, CSIRT NASK zachęca podmioty publiczne do zgłaszania wszelkich incydentów, nie tylko tych które jasno są do zakwalifikowania jako incydent w podmiocie publicznym, ale wszelkich innych które budzą niepokój. Także maile które Państwo otrzymują i wyglądają na phishing albo złośliwe oprogramowanie. Do tego wszystkiego zachęca CSIRT i myślę że jest to dobre podejście. W przypadku kiedy mają Państwo naszą usługę Assistance, możemy pomóc w uzupełnieniu tych danych o informacje, których nie widać na pierwszy rzut oka, czyli że komputer jest zablokowany, czy to że ktoś próbował zalogować się do niego w sposób nieuprawniony. Być może analiza wykaże trochę więcej informacji o potencjalnych źródła, z których nastąpił atak, jakie oprogramowanie zostało użyte i oceni dodatkowo skutki w sposób profesjonalny.

Wioletta: Podsumowując: w przypadku incydentu związanego z wyciekiem danych, powinniśmy zgłosić się zarówno do UODO jak i do CSIRT NASK. Czy skończy się to dwoma kontrolami? Czy za każdym incydentem stoi kontrola? Sądzę że jest to kwestia mocno indywidualna i zależy pewnie od zakresu danego incydentu.

 

Wioletta: Jaka jest Państwa opinia w temacie ubezpieczenia od cyberbezpieczeństwa? Warto? Jeżeli tak, to w jakim zakresie?

Wioletta: Z mojego doświadczenia i spotkań z klientami wynika, że podejście klientów do cyberpolis jest różne. Część klientów wychodzi z założenia, że ma zabezpieczenia przed wyciekiem danych, firewalla, ochronę DDoS i różne inne zabezpieczenia, ale żaden system czy polityka nie daje 100% gwarancji przed zagrożeniami, bo nie ma takiego rozwiązania na chwilę obecną. W związku z czym ci klienci wykupują polisę, która ma ich wesprzeć w przypadku gdyby coś się zadziało i ochronić przed skutkami finansowymi takiego zdarzenia. Inni klienci uważają, że nie są im potrzebne jakiekolwiek zabezpieczenia, kupią sobie cyberpolisę i jeśli się cokolwiek wydarzy i będą musieli zapłacić karę, to zapłaci to ubezpieczyciel. My jako EXATEL nie zajmujemy się tymi polisami i nie jesteśmy Państwu w stanie odpowiedzieć na pytanie w jakim zakresie warto, a w jakim nie. Zawsze staram się to porównywać do ochrony AC – jedni ją wykupują, inni nie, jedni biorą z ochroną zniżek, inni bez. Każdy dobiera ochronę indywidualnie do swoich potrzeb i możliwości. Ale bez względu na to czy się Państwo zdecydują na posiadanie takiej polisy czy nie i w jakim ona będzie zakresie, to nie zwalnia to Państwa z posiadania zabezpieczeń przed incydentami cyberbezpieczeństwa.

Paweł: Wydaje mi się też że firmy, które będą sprzedawać cyberubezpieczenia, będą zwracać coraz bardziej uwagę na to czy posiadamy zabezpieczenia. Tak jak na mieszkanie bez systemu antywłamaniowego ciężko wykupić polisę, tak samo będzie w przypadku systemów bezpieczeństwa.

Wioletta: Firmy, które zajmują się cyberpolisami, zawsze weryfikują to czy i jakie zabezpieczenia posiada klient. Na tej podstawie szacują ryzyko wystąpienia takiego incydentu i od tego również uzależniona jest wartość polisy lub odstąpienie przez towarzystwo ubezpieczeniowe od je zawarcia, jeżeli organizacja nie posiada żadnych zabezpieczeń.

Paweł: Jako uzupełnienie na pewno jest to warte rozważenia. Nie ma 100% bezpieczeństwa, zawsze może coś wystąpić i warto zabezpieczyć się finansowo w ten sposób.

 

Wiola: Czy jeśli zgłosimy incydent do CERT, to jest to tylko i wyłącznie zgłoszenie, czy będzie jakaś reakcja z ich strony? Jakie mają oni prawa względem nas? Czy CERT może przeprowadzić kontrolę lub nałożyć karę?

Paweł: CERT przede wszystkim będzie starał się zebrać wszelkie informacje związane z incydentem po to aby zminimalizować skutki wystąpienia, ewentualnie poinformować pozostałe podmioty o tym że jakaś kampania ma miejsce w instytucjach publicznych.

Jest pytanie odnośnie tego co CERT może zrobić i jego rola polega przede wszystkim na koordynacji, natomiast to organy właściwe mogą przeprowadzać jakieś kontrole czy weryfikować. W przypadku KSC nie ma kar finansowych, natomiast będą na pewno jakieś konsekwencje związane z niedopełnioną należytą starannością zabezpieczeń, niedopełnieniem jakichś obowiązków służbowych. Warto tutaj pamiętać, że CSIRT jest tylko zespołem, który ma obsługiwać incydenty i pomagać jednostkom które obejmuje w radzeniu sobie z tym, natomiast organy nadzorujące – zgodnie z KSC – są odpowiedzialne za wszelkie elementy kontrolne i za przygotowywanie szkoleń. Jest to na pewno istotne z Państwa punktu widzenia. Z naszej strony również staramy się podpowiadać Państwu, natomiast jeżeli macie Państwo jakiekolwiek precyzyjne pytania, które ciężko jest rozstrzygnąć i nie są wprost napisane w ustawie, to warto też skontaktować się z Ministerstwem Cyfryzacji, które jako organ właściwy udzieli wszelkich wyjaśnień i wskaże odpowiednie informacje, które będą dla Państwa istotne.

 

Wioletta: Kto i jakie kary może nałożyć na podmiot publiczny za brak realizacji obowiązków wynikających z ustawy o cyberbezpieczeństwie?

Paweł: Nie ma tutaj nic wprost o karach finansowych dla podmiotów publicznych, ale są one i to znaczne, dla operatorów usługi kluczowej. Nie zwalnia to natomiast z obowiązków ustawowych podmiotów. Wszelkie wątpliwości związane z tym która instytucja ma jaki zakres obowiązków, można sprawdzić na stronie Ministerstwa Cyfryzacji, na której jest sporo informacji dla podmiotów publicznych. Nie jesteśmy w stanie odpowiedzieć na wszystkie pytania, tym bardziej że wiele z nich jest zależna od interpretacji i czekamy też na pierwsze jakieś poważniejsze postępowania i wtedy zobaczymy jak w praktyce organy będą reagować na zgłoszenia.

 

Wioletta: Kto prowadzi i co to jest za jednostka, do której mamy zgłaszać incydenty?

W przypadku Państwa czy jednostek samorządowych, wszelkie incydenty związane z KSC zgłaszamy  do CSIRT NASK. Oni przyjmują od Państwa zgłoszenie i współpracują z Państwem dalej przy obsłudze incydentu, mówią co i jak należy zrobić, zadają dodatkowe pytania.

Paweł: Zespół ten ma bliski kontakt z CERT NASK, więc jest pełna wymiana informacji jeśli chodzi o te zespoły. Jeśli chodzi o to, do kogo zgłaszać incydenty, to jest tylko jeden wyjątek kiedy nie zgłaszają Państwo incydentu do CSIRT NASK – jest to wtedy gdy utrzymujecie Państwo Infrastrukturę Krytyczną. Wtedy incydenty należy zgłaszać do CSIRT GOV i to jest jedyny wyjątek. Pozostałe podmioty publiczne, które nie posiadają Infrastruktury Krytycznej, będą zgłaszać incydenty do CSIRT NASK.

Paweł Deyk
EXATEL
Wioletta Woźniak-Kubuj
EXATEL