Krajowy system cyberbezpieczeństwa opiera się na ustawie z dnia 5 lipca 2018, dotyczącej właśnie owego systemu. To prawo wspiera się z kolei na tzw. dyrektywie NIS - przyjętym w 2016 roku, pierwszym akcie prawnym dotyczącym cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa ta, choć daje państwom członkowskim pewną swobodę, zaznacza także obowiązki, przed którymi stoją.

Podział

Ustawa o krajowym systemie cyberbezpieczeństwa wyszczególnia różne rodzaje podmiotów, których role nawzajem się uzupełniają. Można do nich zaliczyć:

• Operatorów usług kluczowych,
• Dostawcy usług cyfrowych,
• Podmioty publiczne.

Warto zapoznać się z krótką charakterystyką każdego z nich.

Operatorzy usług kluczowych

Do tej grupy zaliczają się firmy i instytucje, których działalność jest istotna dla poprawnego działania państwa i samorządów. Ustawa o krajowym systemie cyberbezpieczeństwa wyróżnia konkretne obszary, do których przypisuje się operatorów usług kluczowych. Są to następujące sektory:

• Energetyczny,
• Transportowy,
• Bankowy i infrastruktury rynków finansowych,
• Ochrony zdrowia,
• Zaopatrzenia w wodę pitną,
• I infrastruktury cyfrowej.

Aby system działał sprawnie, minister właściwy ds. informatyzacji prowadzi wykaz takich operatorów. Nie mogliby oni jednak trafić do tego wykazu, gdyby nie organy właściwe do spraw cyberbezpieczeństwa. Ich zadaniem jest rozpoznanie takich operatorów i wydanie w tym zakresie decyzji administracyjnej. Do takich organów możemy zaliczyć ministrów, którym podlegają dane sektory działalności.

Choć może się to wydawać skomplikowane, podział na osobne obszary został wykonany całkiem rozsądnie. Na przykład, ministrowi właściwemu ds. energii podlega obszar energetyki, a sektorem ochrony zdrowia opiekuje się minister ds. zdrowia.

Można zapytać: w jaki sposób dana firma zostaje uznana za operatora usług kluczowych? Tutaj odpowiedzi również udziela nam wspomniana ustawa. Przede wszystkim - musi świadczyć usługi, które są zależne od działania lub awarii systemów informatycznych. Jeśli wystąpi incydent w funkcjonowaniu takich systemów, skutkiem może być wystąpienie zakłóceń w świadczeniu usług.

No dobrze, ale jak szacuje się, czy skutki danego incydentu mogą być mniej lub bardziej poważne? Jest to zależne od tak zwanych progów istotności skutku zakłócającego. Wyznaczyła je Rada Ministrów, a dotyczą przede wszystkim oceny wielu czynników. Należą do nich między innymi: ilość osób zależnych od funkcjonowania tej usługi i wpływ awarii na bezpieczeństwo publiczne.

Jeśli podmiot zostaje uznany za operatora usług kluczowych, musi liczyć się z obowiązkami, które nakłada na niego prawo. Przede wszystkim, musi wdrożyć system zarządzania bezpieczeństwem, czyli stale szacować ryzyko wystąpienia incydentów i dbać o bezpieczeństwo swoich systemów informatycznych. Gdyby taki incydent wystąpił, operator musi umieć go zidentyfikować na podstawie odpowiednich wytycznych. W określonych przypadkach powiadomia właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego - CSIRT, o którym więcej można przeczytać w dalszym tekście. Operator powinien też posiadać wewnętrzne struktury odpowiadające za cyberbezpieczeństwo i raz na dwa lata przeprowadzać kontrolę bezpieczeństwa swoich systemów.

Dostawcy usług cyfrowych

Przechodząc do kwestii dostawców usług cyfrowych, sprawa staje się prostsza, niż w przypadku operatorów usług kluczowych. Do grupy dostawców możemy bowiem zaliczyć po prostu sklepy internetowe, strony internetowe zapewniające przetwarzanie danych w chmurze i wyszukiwarki internetowe. Nie oznacza to jednak, że absolutnie każda platforma internetowa tego typu jest dostawcą usług kluczowych. Prawo wyklucza bowiem z tego zakresu mikro i małe przedsiębiorstwa.

Dostawcy usług cyfrowych również mają liczne obowiązki, nałożone na nich przez wspomnianą ustawę. Podobnie jak w przypadku usług kluczowych, muszą dbać o bezpieczeństwo systemów i umieć zająć się incydentem, jednak środki, które trzeba tutaj zastosować są mniej restrykcyjne. W gruncie rzeczy dostawcy usług różnią się od operatorów usług kluczowych tym, że ci drudzy prowadzą działalność, której przerwanie może przynieść niebezpieczne skutki dla dużej ilości osób, gospodarki lub administracji państwowej.

Podmioty publiczne

Sama kwestia administracji państwowej płynnie kieruje nas do ostatniej kategorii podmiotów wyszczególnionych przez ustawę. Są nimi podmioty publiczne, wymienione jeden po drugim w samej ustawie. Należy do nich między innymi Narodowy Bank Polski, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej i wiele innych.

Stoją one przed koniecznością wyznaczenia osoby, której zadaniem jest utrzymywanie kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa. Podmioty te muszą również poradzić sobie z incydentami oraz zgłaszać je do odpowiedniego CSIRT-u.

Czym jest CSIRT?

Jak już wspomnieliśmy, CSIRT to skrót od nazwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (ang. Computer Security Incident Response Team). Według zapisów ustawy o krajowym systemie bezpieczeństwa, w Polsce funkcjonują trzy CSIRT-y.

Obsługę zagrożeń związanych z terroryzmem i bezpieczeństwem państwa zapewniają CSIRT GOV i CSIRT MON. Pierwszy z nich podlega Agencji Bezpieczeństwa Wewnętrznego, natomiast drugi Ministerstwu Obrony Narodowej. Ich kompetencje dzielą się w zależności od innych, osobnych ustaw, jednak główną różnicą jest to, że CSIRT MON reaguje w przypadku zagrożenia obronności kraju - zgodnie z działaniem w strukturach wojskowych.

Trzecim zespołem jest tzw. CSIRT NASK, działający w ramach Państwowego Instytutu Badawczego NASK. To właśnie do niego spływają doniesienia o incydentach od operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów publicznych. Co ciekawe, swoje zgłoszenie do tego zespołu może wysłać każdy obywatel. Obsługuje je zespół CERT, który w kontekście takich działań pełni obowiązki CSIRT NASK.

Podsumowanie

Krajowy system cyberbezpieczeństwa to zaawansowana struktura, w skład której wchodzą podmioty w większym bądź mniejszym stopniu wpływające na bezpieczeństwo obywateli - nie tylko w sieci, ale i w świecie rzeczywistym. Działania podejmowane przez zaangażowane w nią podmioty i zespoły CSIRT pomagają w przygotowywaniu się na nadchodzące zagrożenia i ich zwalczaniu w przypadku wystąpienia.

Artykuł powstał na podstawie treści zamieszczonych w serwisie NASK: Ustawa o krajowym... (cyberpolicy.nask.pl). Zachęcamy do zapoznania się z informacjami i aktualnościami, znajdujących się na tej stronie internetowej, które mogą być interesujące także dla tych osób, które na co dzień nie są zainteresowane zagadnieniami kojarzącymi się z informatyką.

Cykl porad o bezpieczeństwie w internecie powstał z inicjatywy Biura Cyfryzacji i Cyberbezpieczeństwa Urzędu Miasta Poznania. Zachęcamy do obserwowania Infoteki (poznan.pl/smartcity/infoteka), żeby nie przegapić kolejnych porad i wielu innych, ciekawych informacji z Poznania.

KS