Obowiązki kierownictwa związane z cyberbezpieczeństwem
Według szacunków tylko w drugiej połowie ubiegłego roku, w podmiotach publicznych, mogło dojść do kilkuset zdarzeń związanych z zagrożeniem cyberbezpieczeństwa. Znaczna część z nich wymagała wdrożenia odpowiednich procedur. Przeczytaj, jakie obowiązki wynikają z obowiązujących przepisów prawa.
Ustawa z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa nakłada na podmioty publiczne szereg obowiązków. Wynikają one z ustalonych przez ustawodawcę procedur związanych z incydentami, które mogą zakłócić funkcjonowanie podmiotu publicznego.
- Incydent w rozumieniu ustawy to zdarzenie, które może wpływać na obniżenie jakości świadczonej usługi lub jej przerwanie. Chodzi tu więc o bardzo wiele możliwych do zaistnienia zagrożeń – mówi Marcin Kominiarczyk, ekspert Centrum Bezpieczeństwa Informatycznego i współautor systemu wdrożenia zasad ksc dla podmiotów publicznych – Co ważne, ustawa odnosi się do każdego podmiotu publicznego niezależnie od jego wielkości, a więc do szkoły, biblioteki, małego urzędu gminy lub dużego urzędu miejskiego.
Ekspert CBI podaje kilka przykładów incydentów do jakich bardzo często dochodzi w podmiotach publicznych. Może być to nieuprawniony dostęp do systemu informatycznego w urzędzie, elektronicznego dziennika szkolnego, zdarzenie skutkujące brakiem możliwości prowadzenia zdalnego nauczania, przejęcie i zablokowanie strony internetowej, oprogramowanie nieświadomie uruchomione przez pracownika otwierającego zainfekowanego emaila, a skutkujące zaszyfrowaniem przestrzeni dyskowej komputera, kilku komputerów lub nawet sieci. Poważnym zagrożenie są także wszelkiego typu ataki, których celem jest wyłudzenie danych. Są to tylko pojedyncze przykłady.
- Z mojej praktyki wynika, że większość podmiotów, gdzie dochodzi do takich incydentów jest nie przygotowanych do nich proceduralnie i technicznie. Tłumaczą się, że nic podobnego się wcześniej nie zdarzyło. Nie są dużą jednostką, więc nie sądzili, że coś im grozi. Dlatego nie mieli przygotowanych żadnych procedur na taką ewentualność – wyjaśnia Kominiarczyk i dodaje, że „ataki” powodują najczęściej zautomatyzowane skrypty, a nie konkretny człowiek.
Od skali incydentu, a przede wszystkim od jego wpływu na funkcjonowanie podmiotu publicznego, uzależnione są czynności, które zgodnie z obowiązującymi przepisami prawa, muszą zostać niezwłocznie podjęte.
- Ustawa o ksc wymaga między innymi, by określone incydenty, po wcześniejszym przypisaniu ich do właściwej kategorii, były zgłaszane do odpowiednich organów państwa. Niezbędna jest także należycie sporządzona dokumentacja z incydentu, z zachowaniem wymaganych przepisami procedur. Co również bardzo ważne, podmioty publiczne mają obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami
krajowego systemu cyberbezpieczeństwa – wymienia Kominiarczyk.
Aby odciążyć kierownictwo jednostek z części tych obowiązków, a jednocześnie zapewnić im możliwość wywiązania się wymogów stosownej ustawy, Centrum Bezpieczeństwa Informatycznego opracowało system wdrożenia zasad krajowego systemu cyberbezpieczeństwa dla podmiotów publicznych. Obejmuje on między innymi wprowadzenie niezbędnych procedur i dokumentacji, sporządzenie wymaganej przepisami dokumentacji w przypadku wystąpienia incydentu, procedury związane ze zgłoszeniem incydentu i jego obsługą, doradztwo w innym zakresach zarządzania incydentem oraz usuwaniem jego skutków.
- Aby sprostać wymaganiom ustawy możliwe jest także powierzenie CBI przez podmiot publiczny obowiązku kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa. W ten sposób podmiot publiczny nie musi angażować do tych celów swojego pracownika, a korzysta ze wsparcia podmiotu zewnętrznego. Podobne rozwiązanie jest dość powszechnie stosowane dla wyznaczania inspektora ochrony danych osobowych – wyjaśnia ekspert Centrum Bezpieczeństwa Informatycznego.
Autorski projekt CBI wdrożenia zasad ksc dla podmiotów publicznych zawiera jeszcze jeden, niezwykle cenny element – szkolenie dla pracowników i kierownictwa. Składa się ono z dwóch części – pierwszej poświęconej aspektom prawnym wynikających z ustawy, drugiej obejmującej praktyczne aspekty zagrożeń cyberbezpieczeństwa i działań niezbędnych by się przed nimi chronić.
- Takie szkolenia pozwalają nie tylko ograniczyć prawdopodobieństwo wystąpienia przykrych w skutkach incydentów, ale w znacznej mierze wpływają na poziom bezpieczeństwa całej jednostki. Maja one również na celu podniesienie świadomości pracowników dotyczące zagrożeń jakie mają miejsce w cyberprzestrzeni. Dlatego z jednej strony mają one praktyczne zastosowanie, a z drugiej oddalają zarzut bezczynności w zakresie cyberbezpieczeństwa w przypadku wystąpienia niebezpiecznych zdarzeń – przekonuje Marcin Kominiarczyk.
Jako grupa ekspertów z dużym doświadczeniem pomożemy wdrożyć skuteczne procedury oraz spełnić wymogi związane z krajowym systemem cyberbezpieczeństwa.
Odpowiemy na wszelkie pytania:
tel. 82 / 570 33 03