Magdalena Sławińska – Rządowe Centrum Bezpieczeństwa

1 sierpnia minie rok od kiedy Prezydent RP podpisał ustawę o krajowym systemie cyberbezpieczeństwa[1]. Ustawa ta jest wdrożeniem do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. Dyrektywa NIS). Zobowiązuje ona państwa członkowskie do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych oraz pojedynczych punktów kontaktowych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcie krajowych strategii w zakresie cyberbezpieczeństwa.

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 28 sierpnia 2018 r., ale żeby w pełni wdrożyć Dyrektywę NIS w Polsce, potrzebne było przyjęcie dodatkowych rozporządzeń Rady Ministrów jako aktów wykonawczych[2].

Dyrektywa nakłada obowiązki służące zapewnieniu cyberbezpieczeństwa w sektorach usług, mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej państwa. Do tych sektorów zalicza się: energetykę, transport, bankowość, instytucje finansowe, sektor ochrony zdrowia, zaopatrzenie w wodę i infrastrukturę cyfrową. Ustawa wprowadziła pojęcie systemu cyberbezpieczeństwa, który ma na celu zapewnienie cyberbezpieczeństwa[3] na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych, służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Podmioty tworzące Krajowy System Cyberbezpieczeństwa (KSC):

  • Operatorzy usług kluczowych;
  • Dostawcy usług cyfrowych;
  • Podmioty publiczne;
  • Organy właściwe;
  • CSIRT poziomu krajowego,
  • Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa;
  • Podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Za sprawą nowego prawa pojawiły się także nowe pojęcia: incydenty (krytyczne, poważne, istotne, w podmiocie publicznym), usługi (kluczowe i cyfrowe), podatność czy zarządzanie incydentem.

Incydentem jest zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Ustawodawca wyróżnił ich kilka rodzajów. Incydent krytyczny – skutkuje kluczową szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych lub gospodarczych, funkcjonowania instytucji publicznych, praw i wolności obywatelskich lub zdrowia czy życia ludzi. Incydenty takie klasyfikowane są przez odpowiedni CSIRT  – o których mowa będzie poniżej. Incydent poważny – może powodować duże obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej. Incydent istotny – znacząco wpływa na świadczenie usługi cyfrowej. Incydent w podmiocie publicznym  – może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.

Wystąpienie incydentu może zakłócić funkcjonowanie usługi cyfrowej – świadczonej drogą elektroniczną i usługi kluczowej – mającej zasadnicze znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Wykaz usług kluczowych zawarty jest w Rozporządzeniu Rady Ministrów z 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.

W związku z nowymi przepisami wyodrębnia się także operatorów usługi kluczowej (załącznik nr 1 do ustawy, wykaz usług z rozporządzenia oraz nierozłączność świadczenia usługi od systemów informacyjnych) oraz nakłada na nich obowiązki, m.in.:

  • prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem, wdrożenie odpowiednich środków technicznych i organizacyjnych, zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty, zarządzanie incydentami oraz stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów informacyjnych;
  • opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej oraz ustanowienie nadzoru nad tą dokumentacją;
  • powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
  • zapewnienie przeprowadzenia, minimum raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego.

W przypadku wystąpienia incydentu, zgodnie z ustawą, powinna nastąpić jego obsługa. Rozumie się przez to czynności polegające na wykrywaniu, rejestrowaniu, analizowaniu, klasyfikowaniu, priorytetyzacji, podejmowaniu działań naprawczych i ograniczeniu skutków incydentu. Ustawa usankcjonowała trzy podmioty na poziomie krajowym, które zajmują się reagowaniem na incydenty komputerowe i zarządzanie nim. Zgodnie z terminologią przyjętą w dyrektywie 2016/1148 zostały one określone jako CSIRT (ang. Computer Security Incident Response Teams). W Polsce są to CSIRT GOV, CSIRT MON, CSIRT NASK.

CSIRT GOV czyli Rządowy Zespół Reagowania na Incydenty Komputerowe prowadzony przez Szefa ABW – do zadań którego należy obsługa lub koordynacja obsługi incydentów zgłaszanych przez najistotniejsze dla ciągłości państwa jednostki sektora finansów publicznych, jednostki podległe Prezesowi Rady Ministrów i przez niego nadzorowane (m.in. RCB, KNF, UZP, URE, PGRP), Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz podmioty objęte ustawą o zarządzaniu kryzysowym, czyli podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne wpisane są do jednolitego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej.

CSIRT MON to System Reagowania na Incydenty Komputerowe resortu Obrony Narodowej. Koordynuje obsługę zgłaszanych incydentów przez podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane oraz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym.

CSIRT NASK prowadzony jest przez Naukową i Akademicką Sieć Komputerową. Obsługuje incydenty zgłaszane m.in. przez: instytuty badawcze, Polską Agencję Żeglugi Powietrznej czy osoby fizyczne.

Zespoły CSIRT zapewniają spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym – są w europejskiej sieci CSIRT oraz przekazują do innych Państw i innych Punktów Kontaktowych informacje o incydentach. Zespoły realizują te zadania poprzez współpracę pomiędzy sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem. Monitorują zagrożenia cyberbezpieczeństwa i incydenty na poziomie krajowym, szacują ryzyko z nimi związane. Mogą również wydawać komunikaty o zidentyfikowanych zagrożeniach.

CSIRT mają obowiązek informować się wzajemnie oraz Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego. Zespoły wspólnie opracowują główne elementy procedur postępowania w przypadku incydentu, w ramach którego współpracują ze sobą.

Ustawa wprowadza również pojęcie sektorowego zespołu cyberbezpieczeństwa, a więc zespołu ustanowionego przez organ właściwy dla danego sektora lub podsektora (wymienionego w załączniku do ustawy). Zespół ten odpowiedzialny jest za obsługę lub wsparcie obsługi incydentów w swoim sektorze lub podsektorze.

Kolejnym organem ustanowionym nowym prawem jest Zespół ds. Incydentów Krytycznych, który pełni rolę pomocniczą w sprawach obsługi incydentów krytycznych zgłoszonych przez sieć CSIRT. W skład Zespołu wchodzą przedstawiciele Rządowego Centrum Bezpieczeństwa oraz CSIRT MON, CSIRT NASK i Szefa ABW. Kierowany jest przez dyrektora RCB.

W myśl europejskiej Dyrektywy utworzono Pojedynczy Punkt Kontaktowy (PKK), który funkcjonuje przy Ministrze Cyfryzacjii jest odpowiedzialny za:

  • tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością;
  • pełnienie funkcji łącznika w celu zapewnienia współpracy z podmiotami odpowiedzialnymi za cyberbezpieczeństwo;
  • gromadzenie i przetwarzanie informacji otrzymanych od m.in. operatorów usług kluczowych;
  • kontrolowanie spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymagań organizacyjnych i technicznych;
  • przekazywanie, na wniosek właściwego CSIRT, zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych innych państwa członkowskich UE;
  • zapewnienie udziału przedstawiciela RP w Grupie Współpracy;
  • zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa;
  • koordynację współpracy między organami właściwymi ds. cyberbezpieczeństwa RP z odpowiednimi organami w państwach członkowskich UE;
  • współpracę z innymi organami np. organami ścigania i organem właściwym do spraw ochrony danych[4].

Podmiotem odpowiedzialnym za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w RP jest Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa. Obecnie jego funkcję pełni minister Karol Okoński. Główne zadania Pełnomocnika to m.in.: analiza i ocena funkcjonowania krajowego systemu cyberbezpieczeństwa, nadzór nad procesem zarządzania ryzykiem krajowego systemu cyberbezpieczeństwa, opiniowanie projektów aktów prawnych oraz innych dokumentów rządowych mających wpływ na realizację zadań z zakresu cyberbezpieczeństwa, wydawanie rekomendacji, a także inicjowanie krajowych ćwiczeń z zakresu cyberbezpieczeństwa. Pełnomocnik ma obowiązek przedłożyć Radzie ministrów do 31 marca każdego roku sprawozdanie za poprzedni rok kalendarzowy, zawierające informacje o prowadzonej działalności w zakresie zapewniania cyberbezpieczeństwa w kraju.Przy Radzie Ministrów powołano Kolegium do Spraw Cyberbezpieczeństwa. Jest to organ opiniodawczo-doradczy w sprawach planowania, nadzorowania i koordynowania działalności zespołów CSIRT, sektorowych zespołów cyberbezpieczeństwa oraz organów właściwych. Powołanie Kolegium miało na celu zachowanie większej spójności systemu i jego transparentność oraz nadanie zagadnieniom cyberbezpieczeństwa odpowiedniej rangi jak i umożliwienie formułowania spójnych kierunków i planów na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa.Opracowanie i przyjęcie Strategii Cyberbezpieczeństwa jest narzucone przez zapisy ustawy z 5 lipca 2018 r. (rozdział 13). Natomiast art. 90 określa termin wprowadzenia Strategii uchwałą do 31 października 2019 r. Dokument określa cele strategiczne oraz odpowiednie środki polityczne, których celem jest osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa RP. Pojawiła się również konieczność dokonania oceny i przeglądu w 2019 r. dotychczasowego dokumentu o charakterze strategicznym, czyli przyjętych uchwałą Nr 52/2017 Rady Ministrów z 27 kwietnia 2017 r. Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 oraz wynikającego z tego Planu działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022. Stale zmieniające się uwarunkowania związane z bezpieczeństwem, szczególnie w cyberprzestrzeni, wymagają szybkiej i zdecydowanej reakcji organów państwa. Jak dowiadujemy się ze strony Kancelarii Prezesa Rady Ministrów: Projektowana uchwała ma na celu ustanowienie Strategii Cyberbezpieczeństwa. Strategia ma charakter polityczno-strategiczny, natomiast na poziomie operacyjnym realizację jego zapisów zapewni szczegółowy plan działań. Plan działań opisze podmioty zaangażowane w realizację Strategii oraz środki pozwalające na jej wdrożenie. Przy opracowywaniu Strategii korzystano z dobrych praktyk i rozwiązań proponowanych przez Międzynarodowy Związek Telekomunikacyjny oraz doświadczeń innych państw[5].

W 2018 r. NIK przeprowadziła kontrolę w zakresie zarządzania bezpieczeństwem informacji w jednostkach samorządu terytorialnego. Wyniki kontroli wykazały brak dostatecznej świadomości wśród osób pełniących funkcję organu KSC, jak istotna jest tematyka bezpieczeństwa informacji. Wykazano także brak środków finansowych, aby realizować niezbędne przedsięwzięcia oraz niedostateczną liczbę fachowców z zakresu bezpieczeństwa informacji.

DZIAŁANIA MINISTERSTWA CYFRYZACJI

Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym. Aby stało się to rzeczywistością, Pełnomocnik Rządu współpracuje z różnymi podmiotami w ukierunkowanych działaniach, np.:

  • z organami właściwymi w zakresie szkoleń;
  • z zespołami CSIRT w zakresie wytycznych;
  • z jednostkami samorządu terytorialnego
    w zakresie szkoleń i e-learningu;
  • z partnerami technologicznymi w zakresie wymiany informacji o nowych zagrożeniach i technologiach.
  • NASK-PIB dostał za zadanie przeprowadzenie działań podnoszących świadomość o cyberzagrożeniach wśród kadr administracji publicznej. Realizowane będą dwa podzadania:

 

1. Budowa platformy e-learningowej (e-CTP – Cyber Training Platform) dla kadr administracji publicznej, w tym jednostek samorządu terytorialnego.

Testy platformy mają odbywać się jesienią tego roku w chętnym do współpracy urzędzie marszałkowskim, a pełne uruchomienie platformy ma nastąpić w 2020 r. Urzędy będą sukcesywnie zapraszane do korzystania z e-learningu zgodnie z harmonogramem ustalonym przez MC. Zakłada się, że platforma będzie udostępniana czasowo dla danego urzędu. W tym czasie nie będzie dostępna dla innych. Planowane jest także uruchomienie do projektu call center wspierającego platformę.

2. Stacjonarne szkolenia dla wybranych jednostek samorządu terytorialnego z obowiązków wynikających z ustawy o KSC.

Celem szkoleń jest zwiększenie poziomu bezpieczeństwa w organach administracji publicznej i instytucjach samorządowych poprzez podnoszenie świadomości i budowanie kompetencji w zakresie cyberbezpieczeństwa. Zakłada się organizację czterech spotkań informacyjnych (zorganizowane poprzez cztery wybrane/chętne do współpracy urzędy marszałkowskie), które obejmą łącznie ok. czterystu pracowników urzędów na szczeblu gminy i powiatu odpowiedzialnych za cyberbezpieczeństwo. Termin realizacji to wrzesień-grudzień 2019 r. Kolejne urzędy mają dołączyć do szkoleń stacjonarnych w 2020 r.Obydwa zadania projektu wspierane będą przez trzy zespoły NASK-PIB: Akademię NASK, IT Szkołę i CSIRT NASK. Koordynację zapewnia Departament Cyberbezpieczeństwa MC.

Następnym aspektem działań rozwijających KSC jest współpraca technologiczna. Jest ona szczególnie ważna ze względu na nawiązywane umowy dwustronne z partnerami technologicznymi i wymianę informacji (podatność, zagrożenia, narzędzia monitoringu stanu cyberbezpieczeństwa). Jednak to nie wszystkie zabiegi na rzecz budowy silnego systemu cyberbezpieczeństwa w Polsce. W ramach projektu badawczego utworzona została Narodowa Platforma Cyfrowa, która zakłada stworzenie prototypu kompleksowego, zintegrowanego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach cyberprzestrzeni państwa, ocenę potencjalnych skutków oraz skoordynowane reagowanie na incydenty komputerowe na poziomie krajowym. Poprzez ten projekt Minister Cyfryzacji zapewnia rozwój lub utrzymanie systemu teleinformatycznego wspierającego:

  • wymianę informacji na potrzeby współpracy podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa;
  • generowanie i przekazywanie rekomendacji dotyczących działań podnoszących poziom cyberbezpieczeństwa;
  • zgłaszanie i obsługę incydentów, szacowanie ryzyka na poziomie krajowym;
  • ostrzeganie o zagrożeniach cyberbezpieczeństwa.

NASK opracowuje ponadto poradniki, które poruszają tematykę organizacji KSC, zasad zgłaszania incydentów i ochronę danych osobowych. Publikowane są również na stronach MC, a ich celem jest szerokie rozpowszechnienie wiedzy i budowanie kompetencji.

Kolejną inicjatywą jest Partnerstwo dla Cyberbezpieczeństwa – narzędzie dobrowolnej współpracy i wymiany doświadczeń oraz informacji o zagrożeniach cyberbezpieczeństwa i incydentach. Podstawowym założeniem partnerstwa jest: wymiana informacji z zakresu cyberbezpieczeństwa, wymiana informacji o incydentach i istotnych zagrożeniach, które wykraczają (wg Partnera) poza zdarzenia wewnętrzne, zapewnienie odpowiedniej reakcji i postępowania w rozwiązywaniu problemów. W ramach uczestnictwa w programie, członkowie mogą:

  • przekazywać do NASK informacje o incydentach;
  • informować koordynatora programu (NASK) o zaobserwowanych zagrożeniach;
  • dzielić się wiedzą z zakresu cyberbezpieczeństwa;
  • zainicjować powołanie zespołu zadaniowego.

W ramach programu, na który obecnie składa się ponad pięćdziesiąt trójstronnych porozumień, podpisano siedem umów z samorządami na poziomie wojewódzkim (urzędy marszałkowskie).

Komentarz

Zapewnianie cyberbezpieczeństwa w Polsce i budowanie odpornego systemu to nieustanny proces. Warto zauważyć, że staje się on coraz bardziej świadomy i zaplanowany, mimo pojawiających się wyzwań i trudności. Oprócz tych wskazanych po kontroli NIK, można mówić także o braku dostatecznej liczby ekspertów na rynku, trudnościach z ujednoliceniem przepisów związanych z różnorodnością sektorów, różnych interpretacjach prawa i stawianych wymaganiach. Niemniej jednak wprowadzenie Strategii na jesieni tego roku oraz działania podjęte przez Ministerstwo Cyfryzacji mogą przyspieszyć wypracowanie odpowiednich mechanizmów zapewniających cyberbezpieczeństwo w Polsce.

 

[1] Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560).

[2] Rozporządzenie Rady Ministrów z 31 października 2018 r. w sprawie progów uznania incydentu za poważny, Dz. U. 2018 poz. 2180; Rozporządzenie Rady Ministrów z 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, Dz. U. 2018 poz. 2080; Rozporządzenie Ministra Cyfryzacji z 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, Dz. U. 2018 poz. 1999; Rozporządzenie Rady Ministrów z 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa, Dz. U. 2018 poz. 1952; Rozporządzenie Rady Ministrów z 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, Dz. U. 2018 poz. 1806; Rozporządzenie Ministra Cyfryzacji z 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo, Dz. U. 2018 poz. 1780.

[3] Cyberbezpieczeństwo to odporność systemów informatycznych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzania danych lub związanych z nimi usług oferowanych przez te systemy.

[4] https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-

[5] https://bip.kprm.gov.pl/kpr/wykaz/r953654207552,Projekt-uchwaly-Rady-Ministrow-w-sprawie-Strategii-Cyberbezpieczenstwa-Rzeczypos.html.