5 min. czytania 22 gru 2022
ey-ochrona-sektorow

Ochrona sektorów kluczowych przed atakami cyberprzestępców

Autorzy
Jakub Walarus

EY Polska, Consulting, Partner Cyber Security Compliance,

Doradca z poczuciem misji. W EY prawie od zawsze. Praktyk zarządzania ryzykiem nowych technologii oraz ochrony prywatności. Mąż, ojciec dwóch synów.

Joanna Gałajda

EY Polska, Kancelaria EY Law, Manager, Senior Associate

Joanna jest managerem w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law.

Magdalena Wrzosek

EY Polska, Cyber Security & Technology, Senior Consultant

5 min. czytania 22 gru 2022

Firmy, które do tej pory nie miały prawnych obowiązków w zakresie cyberbezpieczeństwa, będą musiały zadbać o jego odpowiedni poziom. Za niedopełnienie tych obowiązków będą groziły dotkliwe kary.

W ostatnim czasie, w obliczu wojny na Ukrainie coraz więcej mówi się o zabezpieczaniu tzw. sektorów kluczowych. Nie chodzi tylko o zabezpieczenia fizyczne, ale także bezpieczeństwo teleinformatyczne, potocznie nazywane cyberbezpieczeństwem. Równocześnie rośnie także ilość cyberprzestępstw.

Dane organizacji zajmujących się analizą incydentów bezpieczeństwa (m.in. CERT Polska) wskazują, że rośnie złożoność technik stosowanych przez cyberprzestępców, a w rezultacie ich skuteczność. Zmienia się również motywacja – obecnie większość ataków jest ukierunkowana na uzyskanie korzyści finansowych poprzez zaszyfrowanie dysków zaatakowanych organizacji i żądanie okupu za odblokowanie dostępu do danych (ataki typu ransomware). Większość tego typu ataków jest nakierowana właśnie na operatorów usług kluczowych, czyli te organizacje które świadczą usługi w kluczowych dla bezpieczeństwa państw i obywateli sektorach.

Kluczowe sektory i ich operatorzy

Sektory kluczowe określa ustawa o krajowym systemie cyberbezpieczeństwa z 2018 roku. Są to: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa. Firmy działające w tych sektorach i spełniające określone kryteria, związane ze świadczeniem tzw. usługi kluczowej, wyznaczane są jako operatorzy usług kluczowych i w związku z tym muszą realizować określone zadania, mające na celu podniesienie poziomu bezpieczeństwa teleinformatycznego. Jest to m.in. szacowanie ryzyka i odpowiednie dostosowywanie do niego zabezpieczeń, powoływanie wewnętrznych zespołów odpowiedzialnych za cyberbezpieczeństwo, oraz raportowanie incydentów, które z punktu widzenia państwa i obywateli mogą zagrażać bezpieczeństwu, a więc powodować niemożliwość świadczenia usług takich jak dostarczanie energii, wody pitnej, czy możliwość wykonywania operacji finansowych. Incydenty te zgłaszane są do krajowego CSIRT (Computer Security Incident Response Team), a więc zespołu odpowiedzialnego za obsługę i reagowanie na incydenty. W Polsce istnieją trzy takie zespoły (CSIRT NASK, CSIRT ABW i CSIRT MON). 

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Budowanie dojrzałości w zakresie cyberbezpieczeństwa jest dużym wyzwaniem dla wszystkich sektorów. Z uwagi na wzajemne powiązania pomiędzy operatorami, oraz podobne wyzwania, coraz częściej mówi się o dojrzałości sektorowej, a więc możliwości wykrywania zagrożeń i incydentów teleinformatycznych w danym sektorze kluczowym. Parametrami tej dojrzałości są:

  • regulacje prawne i dobre praktyki,
  • bezpieczeństwo pojedynczych podmiotów/ operatorów,
  • współpraca pomiędzy podmiotami/ operatorów.

Regulacje europejskie…

Jednym z istotniejszych parametrów determinującym dojrzałość sektora są regulacje prawne i dobre praktyki w zakresie cyberbezpieczeństwa. Kwestie związane z cyberbezpieczeństwem i szerszą koncepcją cyberodporności są przedmiotem zwiększonej uwagi organów regulacyjnych zarówno na szczeblu europejskim, jak i krajowym. Mamy szereg inicjatyw ustawodawczych, które mają na celu zwiększenie i wyrównanie poziomu cyberbezpieczeństwa zarówno pomiędzy poszczególnymi krajami członkowskimi i jak pomiędzy krytycznymi sektorami. Wśród nich najważniejsza jest Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, czyli tzw. NIS 2. Jest to nowelizacja Dyrektywy NIS – pierwszego ogólnoeuropejskiego prawa w zakresie cyberbezpieczeństwa, której implementacją do polskiego porządku prawnego jest wspomniana już ustawa o krajowym systemie cyberbezpieczeństwa. To właśnie Dyrektywa NIS wprowadziła obowiązki dla sektorów kluczowych – raportowanie incydentów i obowiązek analizy ryzyka. Dyrektywa NIS 2 rozszerza katalog sektorów i podsektorów, które w ciągu półtora roku będą objęte nowymi obowiązkami m.in. z sektora przemysłu, ścieków, żywności, infrastruktury cyfrowej i administracji publicznej. Oznacza to, że sektory które do tej pory nie miały prawnych obowiązków w zakresie cyberbezpieczeństwa, w ciągu 18 miesięcy będą musiały zadbać o odpowiedni poziom bezpieczeństwa teleinformatycznego. Co  więcej, rozszerzony zostaje katalog obowiązków np. w zakresie obsługi incydentów i zagrożeń, zabezpieczania łańcucha dostaw czy zapewnienie ciągłości działania.

Niespełnienie obowiązków wiąże się z dotkliwymi karami, które zgodnie z nową Dyrektywą mogą wynieść co najmniej 10 mln euro lub 2 proc. całkowitego rocznego światowego obrotu firmy (w zależności od tego, która z wartości jest wyższa). Są to kare analogiczne, do tych znanych dotąd z RODO. Sektory kluczowe staną więc przed nowymi wyzwaniami, a dla tych które do tej pory nie miały żadnych obowiązków tych będzie jeszcze więcej.

Oprócz Dyrektywy NIS2, która będzie obejmować krytyczne i ważne sektory, na szczeblu unijnym powstają regulacje w zakresie odporności cyfrowej kierowane do konkretnych sektorów. Przykładem jest Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (tzw. DORA). To kolejna regulacja, która ma wyznaczyć europejski standard dla sektora finansowego w zakresie cyfrowej odporności.

… i krajowe

Oprócz europejskich regulacji, mamy przygotowywaną nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (tzw. UKSC), która pierwotnie implementowała Dyrektywę NIS. Wydaje się niestety, że pomimo całego szeregu regulacji brakuje wyraźnego skupienia się na ich harmonizacji, przez co identyfikujemy wiele sprzeczności pomiędzy poszczególnymi regulacjami (np. NIS 2 i nowelizacją UKSC) lub nakładania się obowiązków (np. DORA i Rekomendacja D KNF). Ujednolicenie wymogów cyberbezpieczeństwa jest kluczowe zwłaszcza z perspektywy podmiotów, które podlegają reżimowi kilku regulacji – w takim przypadku brak odpowiedniego zharmonizowania przepisów spowoduje niepewność prawa, a wprowadzane regulacje mogą osiągnąć odwrotny efekt od zamierzonego – zamiast stworzenia silnych ram cyberbezpieczeństwa w kluczowych sektorach, może powstać chaos regulacyjny i nieefektywne próby dostosowania się do nowych przepisów.

Dobre praktyki

Ważnym elementem budującym dojrzałość sektorów kluczowych są także dobre praktyki w zakresie cyberbezpieczeństwa. Na przykład dokumenty wydawane przez Europejską Agencje ds. Cyberbezpieczeństwa (ENISA), mimo że nie są powszechnie obowiązującym prawem, często implementowane są przez sektory kluczowe, tym samym zwiększając ich dojrzałość na przykład w obszarze reagowania na incydenty, czy zarządzania ciągłością działania.

Poziom bezpieczeństwa

Istotnym paramentem dojrzałości sektorowej jest także poziom bezpieczeństwa poszczególnych operatorów. Wyzwania w tym zakresie różnią się w zależności od poszczególnych sektorów – inne są dla energetyki, inne dla służby zdrowia, a jeszcze inne dla sektora transportu. Zawsze jednak należy brać pod uwagę trzy elementy: kulturę organizacyjną, zespół oraz technologię. O ile w przypadku każdej organizacji skala wykorzystania systemów teleinformatycznych będzie różna jak różna jest wielkość i profil działalności organizacji, to zasadniczo w każdym z sektorów nie różnić będą się podstawowe ramy (tj. strategie, polityki, procedury czy narzędzia ICT i inne) zarządzania ryzykiem cyberbezpieczeństwa na bazie których powinien zostać wdrożony system zarządzania bezpieczeństwem informacji w organizacji oparty o uznane normy międzynarodowe, takie jak ISO270001.

Ramy o których mowa powinny obejmować identyfikację i klasyfikację wszelkich funkcji biznesowych związanych z ICT, zasoby informacyjne i wzajemne powiązania systemów, mechanizmy ochrony i monitorowania bezpieczeństwa, wykrywania incydentów bezpieczeństwa jak również mechanizmy reagowania i przywracania zdolności do funkcjonowania po wystąpieniu bezpieczeństwa oraz sposobów ich raportowania.

Koniecznym jednocześnie, jak wskazuje np. DORA jest tworzenie regulacyjnych standardów technicznych, w dziedzinie zarządzania ryzykiem związanym z ICT, udostępniania informacji, testowania i kluczowych wymogów dotyczących należytego monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT.

Współpraca między podmiotami operatorów

W branży cyberbezpieczeństwa popularne jest powiedzenie, że: „jesteś o tyle bezpieczny, o ile bezpieczne jest najsłabsze ogniwo Twojej organizacji” . Powiedzenie to ma zastosowanie także do bezpieczeństwa poszczególnych sektorów – każdy z nich jest bezpieczny o tyle, o ile bezpieczne są najsłabsze w nim organizacje. Dlatego coraz istotniejsze staje się budowanie współpracy pomiędzy podmiotami w obrębie sektorów kluczowych. Nie tylko w zakresie wymiany i analizy informacji o incydentach oraz zagrożeniach, ale także wymiany dobrych praktyk i doświadczeń z wdrażania programów bezpieczeństwa.

Przykładem takiej współpracy są CSIRT sektorowe (Sektorowe Zespoły Wymiany i Analizy Informacji). Taki zespół ma za zadnie współpracować z operatorami i wspierać ich w procesie obsługi i odpowiedzi na incydenty teleinformatyczne. W odróżnieniu od CSIRT krajowego, skupia się tylko na pracy z określonym sektorem, a przez to lepiej rozumie jego specyfikę i uwarunkowania oraz wpływ zagrożeń i incydentów na poszczególne usługi. Jak dotąd w Polsce istnieje tylko jeden CSIRT sektorowy – CSIRT KNF (dla sektora bankowości i infrastruktury rynków finansowych). Jednak projektowane zapisy nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa, wprowadzają obowiązek powołania takich zespołów we wszystkich sektorach kluczowych. Mają je tworzyć tzw. organy właściwe ds. cyberbezpieczeństwa, czyli ministrowie nadzorujący konkretne sektory gospodarki.

Współpraca pomiędzy operatorami może być także realizowana w ramach ISAC (ang. Information Sharing and Analysis Center). ISAC to centra wymiany wiedzy budowane wokół różnych sektorów gospodarki (np. finansowego, lotnictwa czy energetyki). Ich zadaniem jest zrzeszanie instytucji branżowych oraz umożliwianie im wymiany doświadczeń o zagrożeniach, a także wspólny zakup konkretnych usług i dzielenie się kosztami bezpieczeństwa teleinformatycznego. Często są to organizacje nieformalne i non-profit. Z danych zebranych przez ENISA (Europejska Agencja ds. Cyberbezpieczeństwa) wynika, że powstanie ISAC wyraźnie przyczyniło się do podniesienia poziomu wiedzy na temat zagrożeń w danym państwie, a także do wzrostu kompetencji firm i instytucji w przeciwdziałaniu tym zagrożeniom. W Polsce istnieje jeden taki ISAC: ISAC-Kolej, który zrzesza organizacje z sektora transportu kolejowego i  tworzony jest obecnie kolejny w sektorze transportu lotniczego.

W przeciwieństwie do CSIRT sektorowego, który zgodnie z zapisami Ustawy o krajowym systemie cyberbezpieczeństwa ma być tworzony przez organy właściwe ds. cyberbezpieczeństwa, ISAC jest formą samoorganizacji sektora. Pozwala to podmiotom samodzielnie decydować o priorytetach działania ISAC, dzięki czemu taka organizacja faktycznie odpowiada na potrzeby sektora.

Warto dodać, że zapisy nowej europejskiej dyrektywy na temat cyberbezpieczeństwa  (tzw. Dyrektywa NIS2) nakładają na państwa członkowskie obowiązek zapewnienia warunków do wymiany informacji dotyczących cyberbezpieczeństwa. Ma się ona odbywać w „ramach zaufanych społeczności podmiotów niezbędnych i istotnych” (art. 26.). Biorąc pod uwagę zapisy, które wprowadza procedowana właśnie nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa można się spodziewać, że w Polsce przyjmą one formę ISAC.

OCHRONA SEKTORÓW KLUCZOWYCH PRZED ATAKAMI CYBERPRZESTĘPCÓW RZECZPOSPOLITA, 20.12.2022

Podsumowanie

Statystyki instytucji zajmujących się cyberbezpieczeństwem w Polsce wskazują, że liczba ataków stale rośnie. Zmienia się także ich charakter. Coraz częściej są skuteczne ponieważ cyberprzestępcy stale zmieniają techniki i modele ataków. Szczególnie narażone są tzw. sektory krytyczne. Dlatego Unia Europejska wprowadziła Dyrektywę NIS2, która nakłada na firmy świadczące usługi kluczowe szczególne obowiązki mające na celu podniesienie bezpieczeństwa teleinformatycznego.

Informacje

Autorzy
Jakub Walarus

EY Polska, Consulting, Partner Cyber Security Compliance,

Doradca z poczuciem misji. W EY prawie od zawsze. Praktyk zarządzania ryzykiem nowych technologii oraz ochrony prywatności. Mąż, ojciec dwóch synów.

Joanna Gałajda

EY Polska, Kancelaria EY Law, Manager, Senior Associate

Joanna jest managerem w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law.

Magdalena Wrzosek

EY Polska, Cyber Security & Technology, Senior Consultant

  • Facebook
  • LinkedIn
  • Twitter