Użytkownikom laptopów czy smartfonów zdarza się zauważyć, że po uruchomieniu nowego sprzętu od innego producenta pojawiają się na nim aplikacje, których nie było na poprzednim. Dzieje się tak mimo tego, że urządzenia pracują na tym samym systemie operacyjnym. Większość producentów preinstalu...
Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...
Stworzony w 2005 roku, Endpoint Central (wcześniej znany jako Desktop Central) miał na celu zrewolucjonizowanie sposobu, w jaki firmy zarządzają swoim IT. Przez prawie dwie dekady rozwijał się wraz z dynamicznie zmieniającymi się potrzebami nowoczesnych przedsiębiorstw. Jest dowodem na siłę nieustannej innowacji, oferu...
Dzięki uprzejmości firmy AVM w nasze ręce trafiło kolejne urządzenie marki FRITZ! Tym razem po raz pierwszy mieliśmy okazję przetestować produkt z ekosystemu FRITZ! Smart Home - bramkę FRITZ!Smart Gateway, wprowadzoną na rynek polski w marcu bieżącego roku. Urządzenie rozszerza ekosystem inteligentnego domu od AVM o ob...
Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...
Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...
Skala wyzwań rośnie a dbałość o odpowiednie zabezpieczenie systemów informatycznych oraz sieci przemysłowych po stronie przedsiębiorstw i instytucji za nią nie nadąża. „Ministerstwo Cyfryzacji chce zadbać o podniesienie poziomu cyberbezpieczeństwa w naszym kraju, mając świadomość w jakim miejscu układanki geopolitycznej aktualnie się znajdujemy”, mówi ekspert Stormshield, wytwórcy rozwiązań bezpieczeństwa IT. Dodaje, że mimo wyzwań jakie pojawiają się w związku z nową ustawą, należy ocenić te działania ocenić pozytywnie.
"Zmiany ogłoszone 7 października nie są rewolucyjne względem pierwotnego projektu i w związku z tym szacowana liczba podmiotów objętych nowelizacją wciąż pozostaje duża, jak wynika z informacji Ministerstwa oscylując wokół ok. 38 tysięcy przedsiębiorstw i instytucji. Warto przy tym zwrócić uwagę, że znacząca ich część, około 28 tys., to podmioty administracji publicznej (rządowej i samorządowej). Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa pozostaje swoistą mapą drogową w obszarze cyberbezpieczeństwa" - mówi Paweł Śmigielski, country manager Stormshield w Polsce.
Świadczy o tym opisanie w dokumencie obowiązków m.in. odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej.
Zmiany w projekcie nowelizacji ustawy Krajowy System Cyberbezpieczeństwa
1. Jedną z bardziej istotnych zmian w projekcie nowelizacji, w porównaniu do wersji ogłoszonej wiosną bieżącego roku, jest zmniejszenie liczby sektorów uznawanych za kluczowe i uwzględnienie ich jako ważnych. Głównie chodzi tutaj o sektor produkcji, chemikaliów i żywności.
2. Nastąpiło również złagodzenie kryteriów wielkości przy kwalifikowaniu podmiotu jako kluczowy lub ważny. Projekt zmienia wymogi w kontekście mikro i małych przedsiębiorców m.in. podmiotami kluczowymi jako dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa nie będą mikroprzedsiębiorstwa, czyli firmy zatrudniające mniej niż 10 pracowników oraz jednoosobowe działalności gospodarcze, które najczęściej dostarczają wyspecjalizowane usługi np. audyty systemów informacyjnych lub testy bezpieczeństwa.
3. Pośrednio z kryterium wielkości przedsiębiorstwa wiąże się również złagodzenie wymogów dla podmiotów należących do grup kapitałowych. Nawet jeśli podmiot spełnia kryterium wielkościowe będąc częścią grupy kapitałowej, to podstawą do oceny czy podlega on obowiązkowi wdrożenia określonych środków bezpieczeństwa, będzie powiązanie jego systemów IT z systemami grupy. W przypadku braku takowego podmiot taki nie zostanie uznany za kluczowy lub ważny, a tym samym ustawa go nie obejmie.
4. W trakcie konsultacji pojawiały się głosy, w których interpretowano zapisy projektu odnoszące się do norm ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 jako obligatoryjnych. Ministerstwo Cyfryzacji zdecydowało się usunąć te odniesienia, aby jednoznacznie wskazać na brak wymogu obowiązkowej certyfikacji.
5. Innym usuniętym z projektu ustawy wymogiem jest ten dotyczący aspektu znajomości przez personel podmiotu kluczowego i ważnego przepisów prawa z zakresu cyberbezpieczeństwa. Obecnie wprowadzono konieczność znajomości wewnętrznych regulacji podmiotu w tym zakresie, co jest bardzo dobrym krokiem. Specjaliści cyberbezpieczeństwa, na niedobór których mamy prawo narzekać, będą mogli skupić się na przygotowywaniu do implementacji wymogów nakładanych przez ustawę i szkoleniu zespołów w zakresie cyberhigieny, zamiast zmuszać pracowników do studiowania aktów prawnych związanych z cyberbezpieczeństwem.
Środki bezpieczeństwa powinny być adekwatne do ryzyka ocenianego indywidualnie
Warto również zwrócić uwagę, że przedstawiciele Ministerstwa Cyfryzacji odnosząc się do uwag zgłaszanych podczas konsultacji społecznych wielokrotnie podkreślali, że podmioty kluczowe lub ważne mają wdrożyć środki techniczne oraz organizacyjne odpowiednie i proporcjonalne do oszacowanego ryzyka, co uwzględnia m.in. koszty wdrożenia i wielkość podmiotu. Innymi słowy mniejsze podmioty nie będą musiały posiadać rozwiązań i procedur na takim samym poziomie jak duże podmioty kluczowe (siłą rzeczy droższych, których implementacja wymaga więcej czasu).
"Wyjaśnienie tej kwestii jest istotne, bo brak jednoznaczności mógł powodować niepewność. W mojej opinii zupełnie nie uzasadnionym jest, gdy mniejsze podmioty (co do liczby pracowników) porównują się do dużych, w kontekście wdrażania technologii bezpieczeństwa. W ich przypadku, ze względu na skalę działalności, najczęściej wygląda to przecież zupełnie inaczej. Powinny się one skupić na analizie ryzyka związanej z własnymi zasobami i wdrażać rozwiązania adekwatne do zidentyfikowanych obszarów wymagających zabezpieczenia" - mówi Paweł Śmigielski, ekspert z 20-letnim doświadczeniem w branży cyberbezpieczeństwa.
Obawy wyrażane z tego tytułu uwypuklają problem, że wciąż za mało uwagi poświęcane jest kwestii implementacji założeń dyrektywy, a wiele podmiotów, które wkrótce zostaną objęte obowiązkami nie jest ich świadoma.
"Podczas naszych spotkań z przedsiębiorcami z różnych branż wciąż pojawiają się nawet pytania czy kierowany przez nich podmiot w ogóle będzie objęty ustawą. To pokazuje, że niestety pod względem upowszechniania wiedzy wciąż jest wiele pracy do wykonania" - dodaje przedstawiciel europejskiego producenta technologii bezpieczeństwa IT.
Niestety, wydłużenie się prac na projektem będzie miało konsekwencje
Konsekwencja jaką widzimy po stronie rządowej pokazuje, że wejście w życie ustawy jest tylko kwestią czasu. Pytanie brzmi od kiedy firmę lub instytucję obejmą obowiązki np. w zakresie audytu czy szkoleń, pokłosiem których będzie także instalacja odpowiednich technologii wzmacniających bezpieczeństwo, jak nowoczesne firewalle czy system SIEM lub stworzenie SOC (czyli centrum monitorowania, wykrywania i reagowania na zagrożenia cybernetyczne). To wymaga zasobów - ludzi i środków. Niestety wydłużenie procedowania ustawy może utrudnić części podmiotów uwzględnienie wydatków na ten cel w swoich budżetach. Szczególnie w przypadku administracji publicznej czy samorządów, które funkcjonują w oparciu o uchwalane corocznie plany finansowe a elastyczność co do ich modyfikowania jest ograniczona.
"Ważne jest zatem by mądrze planować wydatki na przyszły rok, w sytuacji gdy nie ma pewności co do tego jak ostatecznie obowiązki te będą wyglądać. Z pewnością nie będzie to najprostszym zadaniem, a rolą branży cyberbezpieczeństwa jest obecnie mądre doradztwo. Wierzę, że staniemy na wysokości zadania" - podsumowuje Paweł Śmigielski, ze Stormshield.
Źródło: Stormshield
