Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Broadcom upraszcza ofertę i model licencjonowania VMware
Broadcom upraszcza ofertę i model licencjonowania VMware

W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...

Czytaj więcej...

Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7
Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7

Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...

Czytaj więcej...

FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji
FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji

Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...

Czytaj więcej...

Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy
Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy

Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...

Czytaj więcej...

Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji
Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji

Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...

Czytaj więcej...

Historia oszukiwania ludzi przez sztuczną inteligencję
Historia oszukiwania ludzi przez sztuczną inteligencję

Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...

Czytaj więcej...

Aktualności

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa

CybersecurityNa stronie Kancelarii Prezesa Rady Ministrów pojawił się projekt, na który czekała branża cyberbezpieczeństwa w Polsce, obejmujący zmiany w ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowelizacja wdrażająca między innymi dyrektywę NIS 2, została wpisana do wykazu prac legislacyjnych Rady Ministrów.

"Niedługo rozpoczną się konsultacje publiczne oraz uzgodnienia" - poinformował Marcin Wysocki, wicedyrektor w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji.

Poniżej prezentujemy komentarze ekspertów Stormshield i Dagma Bezpieczeństwo IT dot. przedstawionego projektu.

Paweł Śmigielski, country manager Stormshield w Polsce:

Opublikowanie projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw wraz z załącznikami to niewątpliwie ważny krok, którego wyczekiwała branża cyberbezpieczeństwa w Polsce. Po pierwszej lekturze dokumentów zwróciłem uwagę na kilka elementów, które za sprawą przedłożonego projektu mają szansę po raz pierwszy pojawiać się w systemie prawnym lub takich, których wprowadzenie ma istotne znaczenie dla całego ekosystemu bezpieczeństwa cyfrowego.
 
1. Pozytywnie należy ocenić założenie tworzenie nowych sektorowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego tzw. CSIRTów. Aktualnie funkcjonowały jedynie dwa: CSIRT KNF i Centrum e-zdrowie, co nie odpowiadało rzeczywistym potrzebom wynikającym ze skali zagrożeń. Powstanie nowych CSIRTów pozwoli na usprawnienie zarządzania incydentami w danym sektorze, szybsze reagowanie i wymianę wiedzy istotnej z punktu widzenia specyfiki samego sektora.

W tym kontekście istotne jest również ujęcie w projekcie ustawy kwestii odpowiedniego poziomu finansowania działalności organów właściwych ds. cyberbezpieczeństwa. Jest mowa o ponad 370 nowych etatach w podziale na ponad 20 sektorów. Zakłada się systematyczny wzrost finansowania w kolejnych 10 latach a koszty wynagrodzeń szacuje się w oparciu o średnie wynagrodzenia w sektorze prywatnym, a także - co jest niezwykle ważne - bazując na średnich wynagrodzeniach w sektorze IT. Wobec faktu, że w tym ostatnim poziom wynagrodzeń jest wyższy, to takie podejście zwiększa szanse w rywalizacji o pozyskanie specjalistów. Ich niedobór jest naszą bolączką.

2. Nowym aspektem będą postępowania o wydanie decyzji o dostawcach wysokiego ryzyka. Postępowaniami mogą zostać objęci dostawcy produktów, usług i procesów ICT wykorzystywanych przez podmioty kluczowe lub podmioty ważne. Dostawcą może być producent, importer oraz dystrybutor. Jeśli podmiot taki otrzyma decyzję, że jest dostawcą wysokiego ryzyka, będzie to oznaczać dla podmiotów krajowego systemu cyberbezpieczeństwa konieczność wycofania z użytkowania produktów, usług i procesów objętych decyzją w ciągu 7 lat.

3. Dyrektywa NIS2 określiła maksymalny poziom kar dla podmiotu, który nie wykonuje obowiązków z niej wynikających. Natomiast przedstawiony projekt określa ich minimalny poziom na poziomie 20000 zł w przypadku podmiotów kluczowych oraz 15000 zł w przypadku podmiotów ważnych.

4. Kolejnym nowym obszarem jest Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe, opisujący cele i sposoby zarządzania incydentami oraz zarządzania kryzysowego w cyberbezpieczeństwie. Jego przyjęcie pozwoli, jak wierzę, na uporządkowanie tej niezwykle istotnej materii z poziomu strategicznego.

5. Zwraca również moją uwagę propozycja powołania Połączonego Centrum Operacyjne Cyberbezpieczeństwa (PCOC), mającego być organem pomocniczym przy koordynacji działań i realizowania polityki rządu w zakresie zapewnienia cyberbezpieczeństwa.

6. Zespoły CSIRT MON, CSIRT NASK i CSIRT GOV będą mogły przeprowadzać badania urządzeń i produktów ICT. W czasie badań, będą mogły zażądać od dostawcy dokumentacji i nie będą związane postanowieniami umów licencyjnych.

W ten sposób ustawodawca po raz pierwszy chce zagwarantować sobie możliwość przeprowadzenia badań na swoich warunkach, nie będąc ograniczonym umowami licencyjnymi producentów. W projekcie ustawy jest mowa m.in. o odtwarzaniu kodu źródłowego oprogramowania i przełamywaniu zabezpieczeń producenta przed badaniem.

Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT:

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wyraźnie określa cele jakimi jest dostosowanie polskiego prawa do wymogów dyrektywy NIS2, wprowadza przy tym szereg istotnych zmian mających na celu wzmocnienie krajowych mechanizmów cyberbezpieczeństwa. Rozszerza m.in. zakres podmiotów, wprowadza bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem i zgłaszania incydentów cybernetycznych czy końcowego raportowania. Przykładowo zmiana pierwotnej wersji "operator usługi kluczowej" na "podmiot kluczowy lub ważny" podkreśla szerszy zakres podmiotów, odpowiedzialności i rozliczalności w zarządzaniu ryzykiem cybernetycznym. To pozytywny krok.

Z inżynierskiego punktu widzenia podobają mi się precyzyjne obowiązki określonego zachowania technicznego, w tym instrukcje dotyczące nakazów, np. wobec podmiotów dotkniętych incydentem cybernetycznym dotyczący identyfikacji źródła ataku i czasowego ograniczenie ruchu sieciowego z adresów IP lub adresów URL, wchodzącego do infrastruktury. W praktyce te uprawnienia są kluczowe dla skutecznej i efektywnej reakcji na incydent. Do tej pory pojawiały się wątpliwości co do prawnych podstaw takich działań, które mogły potencjalnie naruszać prawa innych podmiotów. Jednak detekcja źródła ataku często jest niezbędna do jego zatrzymania i przywrócenia normalnej operacyjności systemów. Dlatego niezbędne stało się ustanowienia wyraźnych, jednoznacznych regulacji w tych kwestiach, a proponowane rozwiązania w moim przekonaniu pomogą zlikwidować nieścisłości.

Pomimo, że ustawa jest dość obszerna i adresuje wiele aspektów, to 6 miesięczny okres dostosowawczy dla podmiotów kluczowych i ważnych może ujawnić wiele niezaadresowanych szczegółowych wątpliwości. Wobec tego wydaje się zasadnym, nałożenie wobec osób kierujących tymi podmiotami obowiązku by raz do roku przejść szkolenie z zakresu cyberbezpieczeństwa i posiadać aktualną wiedzę merytoryczną potrzebną do podejmowania decyzji. Wprowadzona zostanie weryfikacja personelu m.in. co do przestępstwa przeciwko ochronie informacji, przed przydzieleniem zadań z zakresu cyberbezpieczeństwa, co jest zgodne z normą techniczną, np. normę ISO 27001.

Kolejnym aspektem mającym pomóc w implementacji właściwych rozwiązań zabezpieczeń jest obowiązek dla podmiotów kluczowych i ważnych przeprowadzenie raz na 2 lata audytu bezpieczeństwa systemu informacyjnego przez osoby, które są bezstronne w podmiocie przez co najmniej rok przed rozpoczęciem audytu.

Dostosowanie się do nowych przepisów nie tylko zwiększy skuteczność działań w obszarze cyberbezpieczeństwa, lecz także przyczyni się do bezpieczniejszego prowadzenia działalności i zminimalizowania ryzyka niepożądanych zdarzeń. Rząd podkreśla, że choć koszty adaptacji mogą być wyzwaniem dla niektórych podmiotów, długofalowe korzyści, w postaci zwiększonej ochrony danych i systemów, znacznie przewyższą początkowe nakłady. W opinii mojej i wielu innych specjalistów, dodatkowe nakłady finansowe na cyberbezpieczeństwo są uzasadnione i kluczowe dla ochrony infrastruktury krytycznej i danych obywateli. Zapewnienie zgodności z nowymi przepisami to nie tylko kwestia prawna, a strategiczne działania na rzecz stabilności i rozwoju naszej gospodarki.

Piotr Zielaskiewicz, menadżer produktu w Dagma Bezpieczeństwo IT:

Ustawa z 2018 roku o krajowym systemie cyberbezpieczeństwa stanowiła ważny krok w kierunku zabezpieczenia przestrzeni cyfrowej Polski, jednak rozwój technologiczny sprawia, że pojawiają się nowe wyzwania w tej dziedzinie. Pamiętajmy, że w obliczu stale rosnącej liczby cyberataków oraz ich zaawansowania, inwestycja w cyberbezpieczeństwo jest inwestycją w przyszłość firmy. Szkody wynikające z cyberataków, takie jak zaszyfrowanie danych czy utrudnienie świadczenia usług publicznych, często niosą ze sobą poważne konsekwencje. Wprowadzenie dyrektywy NIS2 jest odpowiedzią na rosnące potrzeby związane z cyfrowym bezpieczeństwem. Aby efektywnie wdrożyć dyrektywę i tym samym znacząco wzmacniać naszą odporność, niezbędna jest nowelizacja prawodawstwa, której musimy dokonać do 17 października 2024 roku. Proponowane rozwiązania dają nadzieję na wprowadzenie szeregu istotnych zmian, czego efektem będzie wzmocnienie krajowych mechanizmów cyberbezpieczeństwa.

Źródło: Dagma

Logowanie i rejestracja