Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać
12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać

Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...

Czytaj więcej...

AI as-a-service: jak chmura przyczyni się do powszechnego dostępu do AI?
AI as-a-service: jak chmura przyczyni się do powszechnego dostępu do AI?

W dynamicznie rozwijającym się świecie technologii, szczególną uwagę przykuwa wzrost rynku AI as-a-service, który, według prognoz Technavio, ma osiągnąć wzrost o 28 miliardów dolarów do 2027 roku. Ten imponujący rozwój jest bezpośrednio powiązany z rosnącym zapotrzebowaniem na rozwiąz...

Czytaj więcej...

Test wzmacniacza WiFi FRITZ!Repeater 3000 AX
Test wzmacniacza WiFi FRITZ!Repeater 3000 AX

Dzięki uprzejmości firmy AVM mieliśmy okazję przetestować kolejne urządzenie marki FRITZ! Tym razem do naszych rąk trafił jeden z najnowszych wzmacniaczy Wi-Fi od AVM, wspierający technologię Mesh - FRITZ!Repeater 3000 AX. Urządzenie to zagościło u nas na dłużej, ponieważ po kilku latach postanowiliśmy zmodyfikować śro...

Czytaj więcej...

VMware Tanzu Platform 10
VMware Tanzu Platform 10

Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...

Czytaj więcej...

Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej
Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej

Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...

Czytaj więcej...

Trójtorowe podejście do monitorowania centrów danych
Trójtorowe podejście do monitorowania centrów danych

Firmy korzystają z centrów danych, aby sprawnie obsłużyć duże ilości ruchu przychodzącego i wychodzącego oraz umożliwić płynną komunikację między partnerami biznesowymi. Centra danych są jednak mocno rozproszone geograficznie. Umożliwia to szybsze i bardziej niezawodne połączenie użytkownikom z całego świata, of...

Czytaj więcej...

Aktualności

Analiza zmian w Ustawie o Krajowym Systemie Cyberbezpieczeństwa

CybersecuritySkala wyzwań rośnie a dbałość o odpowiednie zabezpieczenie systemów informatycznych oraz sieci przemysłowych po stronie przedsiębiorstw i instytucji za nią nie nadąża. „Ministerstwo Cyfryzacji chce zadbać o podniesienie poziomu cyberbezpieczeństwa w naszym kraju, mając świadomość w jakim miejscu układanki geopolitycznej aktualnie się znajdujemy”, mówi ekspert Stormshield, wytwórcy rozwiązań bezpieczeństwa IT. Dodaje, że mimo wyzwań jakie pojawiają się w związku z nową ustawą, należy ocenić te działania ocenić pozytywnie.

"Zmiany ogłoszone 7 października nie są rewolucyjne względem pierwotnego projektu i w związku z tym szacowana liczba podmiotów objętych nowelizacją wciąż pozostaje duża, jak wynika z informacji Ministerstwa oscylując wokół ok. 38 tysięcy przedsiębiorstw i instytucji. Warto przy tym zwrócić uwagę, że znacząca ich część, około 28 tys., to podmioty administracji publicznej (rządowej i samorządowej). Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa pozostaje swoistą mapą drogową w obszarze cyberbezpieczeństwa" - mówi Paweł Śmigielski, country manager Stormshield w Polsce.

Świadczy o tym opisanie w dokumencie obowiązków m.in. odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej.

Zmiany w projekcie nowelizacji ustawy Krajowy System Cyberbezpieczeństwa
1. Jedną z bardziej istotnych zmian w projekcie nowelizacji, w porównaniu do wersji ogłoszonej wiosną bieżącego roku, jest zmniejszenie liczby sektorów uznawanych za kluczowe i uwzględnienie ich jako ważnych. Głównie chodzi tutaj o sektor produkcji, chemikaliów i żywności.
2. Nastąpiło również złagodzenie kryteriów wielkości przy kwalifikowaniu podmiotu jako kluczowy lub ważny. Projekt zmienia wymogi w kontekście mikro i małych przedsiębiorców m.in. podmiotami kluczowymi jako dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa nie będą mikroprzedsiębiorstwa, czyli firmy zatrudniające mniej niż 10 pracowników oraz jednoosobowe działalności gospodarcze, które najczęściej dostarczają wyspecjalizowane usługi np. audyty systemów informacyjnych lub testy bezpieczeństwa.
3. Pośrednio z kryterium wielkości przedsiębiorstwa wiąże się również złagodzenie wymogów dla podmiotów należących do grup kapitałowych. Nawet jeśli podmiot spełnia kryterium wielkościowe będąc częścią grupy kapitałowej, to podstawą do oceny czy podlega on obowiązkowi wdrożenia określonych środków bezpieczeństwa, będzie powiązanie jego systemów IT z systemami grupy. W przypadku braku takowego podmiot taki nie zostanie uznany za kluczowy lub ważny, a tym samym ustawa go nie obejmie.
4. W trakcie konsultacji pojawiały się głosy, w których interpretowano zapisy projektu odnoszące się do norm ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 jako obligatoryjnych. Ministerstwo Cyfryzacji zdecydowało się usunąć te odniesienia, aby jednoznacznie wskazać na brak wymogu obowiązkowej certyfikacji.
5. Innym usuniętym z projektu ustawy wymogiem jest ten dotyczący aspektu znajomości przez personel podmiotu kluczowego i ważnego przepisów prawa z zakresu cyberbezpieczeństwa. Obecnie wprowadzono konieczność znajomości wewnętrznych regulacji podmiotu w tym zakresie, co jest bardzo dobrym krokiem. Specjaliści cyberbezpieczeństwa, na niedobór których mamy prawo narzekać, będą mogli skupić się na przygotowywaniu do implementacji wymogów nakładanych przez ustawę i szkoleniu zespołów w zakresie cyberhigieny, zamiast zmuszać pracowników do studiowania aktów prawnych związanych z cyberbezpieczeństwem.

Środki bezpieczeństwa powinny być adekwatne do ryzyka ocenianego indywidualnie
Warto również zwrócić uwagę, że przedstawiciele Ministerstwa Cyfryzacji odnosząc się do uwag zgłaszanych podczas konsultacji społecznych wielokrotnie podkreślali, że podmioty kluczowe lub ważne mają wdrożyć środki techniczne oraz organizacyjne odpowiednie i proporcjonalne do oszacowanego ryzyka, co uwzględnia m.in. koszty wdrożenia i wielkość podmiotu. Innymi słowy mniejsze podmioty nie będą musiały posiadać rozwiązań i procedur na takim samym poziomie jak duże podmioty kluczowe (siłą rzeczy droższych, których implementacja wymaga więcej czasu).

"Wyjaśnienie tej kwestii jest istotne, bo brak jednoznaczności mógł powodować niepewność. W mojej opinii zupełnie nie uzasadnionym jest, gdy mniejsze podmioty (co do liczby pracowników) porównują się do dużych, w kontekście wdrażania technologii bezpieczeństwa. W ich przypadku, ze względu na skalę działalności, najczęściej wygląda to przecież zupełnie inaczej. Powinny się one skupić na analizie ryzyka związanej z własnymi zasobami i wdrażać rozwiązania adekwatne do zidentyfikowanych obszarów wymagających zabezpieczenia" - mówi Paweł Śmigielski, ekspert z 20-letnim doświadczeniem w branży cyberbezpieczeństwa.

Obawy wyrażane z tego tytułu uwypuklają problem, że wciąż za mało uwagi poświęcane jest kwestii implementacji założeń dyrektywy, a wiele podmiotów, które wkrótce zostaną objęte obowiązkami nie jest ich świadoma.

"Podczas naszych spotkań z przedsiębiorcami z różnych branż wciąż pojawiają się nawet pytania czy kierowany przez nich podmiot w ogóle będzie objęty ustawą. To pokazuje, że niestety pod względem upowszechniania wiedzy wciąż jest wiele pracy do wykonania" - dodaje przedstawiciel europejskiego producenta technologii bezpieczeństwa IT.

Niestety, wydłużenie się prac na projektem będzie miało konsekwencje
Konsekwencja jaką widzimy po stronie rządowej pokazuje, że wejście w życie ustawy jest tylko kwestią czasu. Pytanie brzmi od kiedy firmę lub instytucję obejmą obowiązki np. w zakresie audytu czy szkoleń, pokłosiem których będzie także instalacja odpowiednich technologii wzmacniających bezpieczeństwo, jak nowoczesne firewalle czy system SIEM lub stworzenie SOC (czyli centrum monitorowania, wykrywania i reagowania na zagrożenia cybernetyczne). To wymaga zasobów - ludzi i środków. Niestety wydłużenie procedowania ustawy może utrudnić części podmiotów uwzględnienie wydatków na ten cel w swoich budżetach. Szczególnie w przypadku administracji publicznej czy samorządów, które funkcjonują w oparciu o uchwalane corocznie plany finansowe a elastyczność co do ich modyfikowania jest ograniczona.

"Ważne jest zatem by mądrze planować wydatki na przyszły rok, w sytuacji gdy nie ma pewności co do tego jak ostatecznie obowiązki te będą wyglądać. Z pewnością nie będzie to najprostszym zadaniem, a rolą branży cyberbezpieczeństwa jest obecnie mądre doradztwo. Wierzę, że staniemy na wysokości zadania" - podsumowuje Paweł Śmigielski, ze Stormshield.

Źródło: Stormshield

Logowanie i rejestracja