Systematyczny wzrost liczby i znaczenia incydentów zagrażających bezpieczeństwu sieci i systemów, które służą do świadczenia usług o znaczeniu krytycznym (np. dostawa wody, prądu i gazu oraz usługi transportowe), a także innych popularnych usług  (np. wyszukiwarki internetowe i platformy handlowe, które służą do dokonywania rezerwacji hotelowych) sprawił, że naruszenie bezpieczeństwa systemu lub sieci danego przedsiębiorcy nie może pozostawać już tylko i wyłącznie jego wewnętrzną sprawą.

Niedostateczne okazało się również dotychczasowe podejście regulacyjne, a raczej jego brak w myśl którego w przypadku władz publicznych była to kompetencja tylko i wyłącznie organów ścigania i innych uprawnionych służb.

Niespełna trzy miesiące temu operator komunikatora TELEGRAM świadczący usługi dla ok. 100 milionów użytkowników ujawnił informację o włamaniu do jego systemu i wycieku aż 15 milionów numerów telefonów irańskich klientów. Z kolei pod koniec 2014 r. z bazy operatora wyszukiwarki Yahoo wyciekły dane dotyczące ok. 500 milionów użytkowników o czym poinformowano całkiem niedawno czyli z niespełna dwuletnim opóźnieniem.

W związku z coraz groźniejszymi incydentami  Parlament i Rada UE przyjęły w dniu 6 lipca 2016 r. tzw. Dyrektywę NIS, która zobowiązała wszystkie państwa członkowskie UE do zwiększenia bezpieczeństwa w zakresie systemów IT. I tak przedsiębiorcy działający w krytycznych branżach takich jak energia, transport, ochrona zdrowia czy też usługi cyfrowe (np. wyszukiwarki internetowe, przechowywanie danych w chmurze, serwery DNS), będą musiały spełnić nowe unijne obowiązki dotyczące m.in. odpowiedniego zabezpieczenia ich systemów przed atakami z zewnątrz.

Jeden z takich obowiązków ma stanowić poinformowanie przez poszkodowanego przedsiębiorcę powołanego przez rząd właściwego zespołu ds. reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT) o nowym incydencie i ograniczenie jego wpływu. Dyrektywa nie precyzuje jednak tego w jaki sposób przedsiębiorcy mają ograniczać możliwość wystąpienia incydentów oraz ich wpływ na systemy i sieci w sytuacji gdy takie incydenty już rzeczywiście zaistnieją. Powyższe bowiem ma wynikać z określonych standardów oraz dobrych praktyk, które przedsiębiorca powinien stosować w ramach wykonywanej przez siebie działalności.

Co ciekawe, nowe przepisy mają również na celu zapewnienie wzajemnego przekazywania  pomiędzy CSIRT z różnych krajów UE najlepszych praktyk i doświadczeń.  Polska również podejmuje w tym zakresie działania czego przejawem może być m.in. opracowywanie i wdrażanie nowej strategii cyberbezpieczeństwa RP na lata 2016-2020. Powyższa strategia określa m.in. takie zagadnienia jak organizacja krajowego systemu cyberbezpieczeństwa oraz koordynacja działań międzynarodowych. Przykładowo, działające w trybie 24-godzinnym Narodowe Centrum Cyberbezpieczeństwa ma monitorować incydenty na poziomie krajowym oraz pełnić rolę sygnalizacyjną czyli przekazywać wczesne ostrzeżenia, ogłaszać alarmy oraz wydawać ogłoszenia i przekazywać informacje na temat ryzyka i incydentów. Ministerstwo Cyfryzacji prowadzi także prace nad projektem ustawy o krajowym systemie cyberbepieczeństwa, który ma zostać przedstawiony do kwietnia 2017 r.

Przyjęcie omawianej Dyrektywy stanowi tylko jedno z wielu działań rządów, organizacji oraz wyspecjalizowanych agend na całym świecie, które dotyczą cyberbezpieczeństwa. Przykładowo, w lutym 2014 r. działający w USA Narodowy Instytut Standardów i Technologii przyjął, w oparciu o specjalny dekret Prezydenta Baracka Obamy, ramowy dokument o poprawie cyberbezpieczeństwa infrastruktury krytycznej, który – w przeciwieństwie do unijnej Dyrektywy NIS – w precyzyjny sposób opisuje rekomendowane standardy oraz najlepsze praktyki w zarządzaniu ryzykiem w sferze cyberbezpieczeństwa.

Nie sposób się jednak oprzeć wrażeniu, że wobec skali incydentów, z którymi mamy obecnie do czynienia należy uznać, że wszystkie opisane powyżej działania mają na celu jedynie przygotowanie przedsiębiorców do sytuacji, w ramach której zarządzanie incydentami bezpieczeństwa komputerowego stanie się jednym z kolejnych działań w ramach ich bieżącej działalności operacyjnej.

 

Paweł Gruszecki ekspert ds. Cyberbezpieczeństwa KZP