Raport Specjalny. Bezpieczeństwo Banków: Podejścia do wdrożenia ustawy o krajowym systemie cyberbezpieczeństwa

BANK 2019/05

Raport Specjalny

Wdrożenie ustawy o krajowym systemie cyberbezpieczeństwa to dobra okazja, żeby przyjrzeć się jeszcze raz wewnętrznym procedurom oraz wykorzystywanym narzędziom do zapewnienia bezpieczeństwa IT i ciągłości działania.

Krajowy system cyberbezpieczeństwa

28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Stawia ona przed podmiotami realizującymi usługi kluczowe i usługi cyfrowe szereg wyzwań. Choć wymagania zapisane w ustawie osobiście oceniam jako podstawowe – odnosząc je do standardów bezpieczeństwa obowiązujących na świecie, to dla niektórych podmiotów wdrożenie wymagań ustawy może się okazać sporym wyzwaniem.

Spotkałem się z dwoma podejściami osób oceniających obecną sytuację zarządzania bezpieczeństwem w przedsiębiorstwach – charakteryzują się sporym optymizmem lub też podchodzą do tematu z pewnymi obawami.

Pierwsza grupa stoi na stanowisku, że działania związane z zarządzaniem ryzykiem, incydentami i podatnościami przeprowadza każda firma, w której bezpieczeństwo ma zauważalne znaczenie dla ciągłości biznesu i nie jest bezsensownym kosztem. Dzielenie się informacjami o incydentach to również standard w rozwiniętych cyfrowo krajach. Publikowanie informacji o zagrożeniach dla potencjalnie zainteresowanych (ustawa mówi o odbiorcach usług, „klientach”) to również podstawa funkcjonowania zespołów typu CERT. Skąd zatem głosy mówiące o tym, że nie jesteśmy gotowi?

Być może powodem takiej postawy jest fakt, że poddaliśmy się trendowi, polegającemu na wdrażaniu narzędzi i realizacji projektów w oderwaniu od aspektów biznesowych. Osoby podchodzące do tematu z obawami mówią, że trzeba teraz porzucić wzniosłe nazwy i karty projektów mówiące o naprawianiu wszystkiego, a zabrać się za realną pracę, co w skostniałych instytucjach nie będzie łatwe.

Postawa optymisty wskazuje, że wszystkie te procesy już dawno u nas funkcjonują. Mamy procedury bezpieczeństwa, plany ochrony, zarządzamy skutecznie incydentami – nie tylko na papierze. Czy wszyscy optymiści na pewno wiedzą o czym mówią? Gdzie jest granica między samozadowoleniem a skutecznym zarządzaniem problemem, jakim jest cyberbezpieczeństwo?

Wracając do realiów, mamy do czynienia z pierwszym aktem prawnym w Polsce, który niezwykle kompleksowo traktuje obszar bezpieczeństwa z nastawieniem na skuteczność. Ustawa wymaga podejmowania realnych działań dotyczących bezpieczeństwa dla infrastruktury teleinformatycznej w naszym kraju i jednocześnie mówi o sankcjach finansowych. Cytując artykuł 3 ustawy – bezpieczeństwo usług kluczowych/cyfrowych to „osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów”.

Czym (nie) jest cyberbezpieczeństwo?

Z dużą dozą pewności, biorąc pełną odpowiedzialność za słowa poniżej, jestem w stanie powiedzieć, czym cyberbezpieczeństwo nie jest:

  • nie jest tylko wdrożeniem systemu SIEM,
  • nie jest tylko ustanowieniem SOC/CSIRT,
  • nie jest tylko wdrażaniem zaawansowanych narzędzi monitorowania bezpieczeństwa,
  • nie jest tylko ustaleniem wektorów ataków i procedur reakcji,
  • nie jest tylko żadnym pojedynczym działaniem, o których dotychczas mowa była w literaturze dotyczącej wdrożenia dyrektywy NIS.

Przez dużą część podmiotów szczególnie zainteresowanych ustawą wdrożenie wymagań jest rozumiane jako skuteczne wdrożenie firmowych Security Operations Center (SOC). Zgadzam się, że jest to jeden z elementów skutecznego zapewnienia cyberbezpieczeństwa. Obserwowany w ostatnim czasie wysyp zapytań i postępowań wskazuje, że jest to nowy trend w naszym kraju.

Coraz częściej dzielimy się informacjami na temat groźnych incydentów czy też podmiotów godnych zaufania. Samo przekonanie wszystkich zainteresowanych do pokazywania słabości zajmie z pewnością dużo czasu nie tylko w naszym kraju – polska mentalność jednak dodatkowo będzie tę dobrą praktykę hamować.

Na początku trzeciego rozdziału cyberustawy, ustawodawca określa obowiązki operatorów usług kluczowych w następujący sposób: „Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej” [Art. 8]. Dalej jest mowa o tym, co ustawodawca przez to rozumie.

Wymagane jest: wdrożenie zasad zarządzania ryzykiem, wdrażanie odpowiednich i proporcjonalnych do ryzyka zabezpieczeń, zarządzanie incydentami, stosowanie bezpiecznych środków łączności, bezpieczne zarządzanie systemami, monitorowanie informacji o zagrożeniach i podatnościach. Wprawne oko dostrzeże konieczność implementacji systemu bezpieczeństwa opartego na mechanizmach międzynarodowego standardu ISO/IEC 27001 (które są podstawą dla wielu narodowych wymagań bezpieczeństwa), amerykańskich standardach NIST lub wymaganiach COBIT. Tak też była projektowana dyrektywa NIS. Celem było wprowadzenie do systemu prawnego wymagania, które dla chętnych w UE są dostępne od wielu lat – zwracam uwagę na wytyczne ENISA (17.02.2017 r.) mówiące o 27 celach bezpieczeństwa do spełnienia, a każdemu celowi służą poszczególne środki bezpieczeństwa.

„Cudowne” narzędzia

Jako inżynier, ale równocześnie osoba osadzona w biznesie, staram się być maksymalnie wiarygodny wobec klientów, z którymi przychodzi mi pracować. Ukierunkowanie na dobro klienta zmusza mnie do przyznania, że cudownych narzędzi i doskonałych cyberprocedur NIE MA. Zwracam uwagę, by z dużą ostrożnością podchodzić do haseł mówiących o pełnej automatyzacji procesów bezpieczeństwa – drogi kliencie, kupujesz, konfigurujesz i zapominasz. To nie ta bajka.

Na końcu łańcucha składającego się na cyberbezpieczeństwo organizacji jest wykwalifikowany pracownik, o którego coraz trudniej. Autorzy raportu ISC2 „Global Information Security Workforce Study” ostrzegają, że w 2019 r. na świecie zabraknie 1,5 mln pracowników działów bezpieczeństwa.* Praktyczne doświadczenie inżynierów bezpieczeństwa pomoże nam wszystkim uniknąć wdrożeń „cudownych narzędzi” i „doskonałych cyberprocedur”, a zapewni skuteczne mechanizmy radzenia sobie z problemami cyberbezpieczeństwa.

W celu szerszego zapoznania się z ofertą Passus SA w zakresie wdrożenia wymagań ustawy KSC zapraszamy do odwiedzenia strony www.passus.com lub do kontaktu bezpośredniego z przedstawicielem firmy:

Bartłomiej Chojnowski
Specjalista ds. Bezpieczeństwa IT
telefon: +48 786 227 834
e-mail: bartlomiej.chojnowski@passus.com

1 Źródło: https://www.enisa.europa.eu/publications/minimum-securitymeasures- for-digital-service-providers/at_download/fullReport)
2 Źródło: https://www.isc2.org/Research/Workforce-Study#

Udostępnij artykuł: