Skala wyzwań rośnie a dbałość o odpowiednie zabezpieczenie systemów informatycznych oraz sieci przemysłowych po stronie przedsiębiorstw i instytucji za nią nie nadąża. „Ministerstwo Cyfryzacji chce zadbać o podniesienie poziomu cyberbezpieczeństwa w naszym kraju, mając świadomość w jakim miejscu układanki geopolitycznej aktualnie się znajdujemy”, mówi ekspert Stormshield, wytwórcy rozwiązań bezpieczeństwa IT. Dodaje, że mimo wyzwań jakie pojawiają się w związku z nową ustawą, należy ocenić te działania ocenić pozytywnie.
"Zmiany ogłoszone 7 października nie są rewolucyjne względem pierwotnego projektu i w związku z tym szacowana liczba podmiotów objętych nowelizacją wciąż pozostaje duża, jak wynika z informacji Ministerstwa oscylując wokół ok. 38 tysięcy przedsiębiorstw i instytucji. Warto przy tym zwrócić uwagę, że znacząca ich część, około 28 tys., to podmioty administracji publicznej (rządowej i samorządowej). Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa pozostaje swoistą mapą drogową w obszarze cyberbezpieczeństwa" - mówi Paweł Śmigielski, country manager Stormshield w Polsce.
Świadczy o tym opisanie w dokumencie obowiązków m.in. odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej.
Zmiany w projekcie nowelizacji ustawy Krajowy System Cyberbezpieczeństwa
1. Jedną z bardziej istotnych zmian w projekcie nowelizacji, w porównaniu do wersji ogłoszonej wiosną bieżącego roku, jest zmniejszenie liczby sektorów uznawanych za kluczowe i uwzględnienie ich jako ważnych. Głównie chodzi tutaj o sektor produkcji, chemikaliów i żywności.
2. Nastąpiło również złagodzenie kryteriów wielkości przy kwalifikowaniu podmiotu jako kluczowy lub ważny. Projekt zmienia wymogi w kontekście mikro i małych przedsiębiorców m.in. podmiotami kluczowymi jako dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa nie będą mikroprzedsiębiorstwa, czyli firmy zatrudniające mniej niż 10 pracowników oraz jednoosobowe działalności gospodarcze, które najczęściej dostarczają wyspecjalizowane usługi np. audyty systemów informacyjnych lub testy bezpieczeństwa.
3. Pośrednio z kryterium wielkości przedsiębiorstwa wiąże się również złagodzenie wymogów dla podmiotów należących do grup kapitałowych. Nawet jeśli podmiot spełnia kryterium wielkościowe będąc częścią grupy kapitałowej, to podstawą do oceny czy podlega on obowiązkowi wdrożenia określonych środków bezpieczeństwa, będzie powiązanie jego systemów IT z systemami grupy. W przypadku braku takowego podmiot taki nie zostanie uznany za kluczowy lub ważny, a tym samym ustawa go nie obejmie.
4. W trakcie konsultacji pojawiały się głosy, w których interpretowano zapisy projektu odnoszące się do norm ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 jako obligatoryjnych. Ministerstwo Cyfryzacji zdecydowało się usunąć te odniesienia, aby jednoznacznie wskazać na brak wymogu obowiązkowej certyfikacji.
5. Innym usuniętym z projektu ustawy wymogiem jest ten dotyczący aspektu znajomości przez personel podmiotu kluczowego i ważnego przepisów prawa z zakresu cyberbezpieczeństwa. Obecnie wprowadzono konieczność znajomości wewnętrznych regulacji podmiotu w tym zakresie, co jest bardzo dobrym krokiem. Specjaliści cyberbezpieczeństwa, na niedobór których mamy prawo narzekać, będą mogli skupić się na przygotowywaniu do implementacji wymogów nakładanych przez ustawę i szkoleniu zespołów w zakresie cyberhigieny, zamiast zmuszać pracowników do studiowania aktów prawnych związanych z cyberbezpieczeństwem.
Środki bezpieczeństwa powinny być adekwatne do ryzyka ocenianego indywidualnie
Warto również zwrócić uwagę, że przedstawiciele Ministerstwa Cyfryzacji odnosząc się do uwag zgłaszanych podczas konsultacji społecznych wielokrotnie podkreślali, że podmioty kluczowe lub ważne mają wdrożyć środki techniczne oraz organizacyjne odpowiednie i proporcjonalne do oszacowanego ryzyka, co uwzględnia m.in. koszty wdrożenia i wielkość podmiotu. Innymi słowy mniejsze podmioty nie będą musiały posiadać rozwiązań i procedur na takim samym poziomie jak duże podmioty kluczowe (siłą rzeczy droższych, których implementacja wymaga więcej czasu).
"Wyjaśnienie tej kwestii jest istotne, bo brak jednoznaczności mógł powodować niepewność. W mojej opinii zupełnie nie uzasadnionym jest, gdy mniejsze podmioty (co do liczby pracowników) porównują się do dużych, w kontekście wdrażania technologii bezpieczeństwa. W ich przypadku, ze względu na skalę działalności, najczęściej wygląda to przecież zupełnie inaczej. Powinny się one skupić na analizie ryzyka związanej z własnymi zasobami i wdrażać rozwiązania adekwatne do zidentyfikowanych obszarów wymagających zabezpieczenia" - mówi Paweł Śmigielski, ekspert z 20-letnim doświadczeniem w branży cyberbezpieczeństwa.
Obawy wyrażane z tego tytułu uwypuklają problem, że wciąż za mało uwagi poświęcane jest kwestii implementacji założeń dyrektywy, a wiele podmiotów, które wkrótce zostaną objęte obowiązkami nie jest ich świadoma.
"Podczas naszych spotkań z przedsiębiorcami z różnych branż wciąż pojawiają się nawet pytania czy kierowany przez nich podmiot w ogóle będzie objęty ustawą. To pokazuje, że niestety pod względem upowszechniania wiedzy wciąż jest wiele pracy do wykonania" - dodaje przedstawiciel europejskiego producenta technologii bezpieczeństwa IT.
Niestety, wydłużenie się prac na projektem będzie miało konsekwencje
Konsekwencja jaką widzimy po stronie rządowej pokazuje, że wejście w życie ustawy jest tylko kwestią czasu. Pytanie brzmi od kiedy firmę lub instytucję obejmą obowiązki np. w zakresie audytu czy szkoleń, pokłosiem których będzie także instalacja odpowiednich technologii wzmacniających bezpieczeństwo, jak nowoczesne firewalle czy system SIEM lub stworzenie SOC (czyli centrum monitorowania, wykrywania i reagowania na zagrożenia cybernetyczne). To wymaga zasobów - ludzi i środków. Niestety wydłużenie procedowania ustawy może utrudnić części podmiotów uwzględnienie wydatków na ten cel w swoich budżetach. Szczególnie w przypadku administracji publicznej czy samorządów, które funkcjonują w oparciu o uchwalane corocznie plany finansowe a elastyczność co do ich modyfikowania jest ograniczona.
"Ważne jest zatem by mądrze planować wydatki na przyszły rok, w sytuacji gdy nie ma pewności co do tego jak ostatecznie obowiązki te będą wyglądać. Z pewnością nie będzie to najprostszym zadaniem, a rolą branży cyberbezpieczeństwa jest obecnie mądre doradztwo. Wierzę, że staniemy na wysokości zadania" - podsumowuje Paweł Śmigielski, ze Stormshield.
Źródło: Stormshield