Kiedy można, a kiedy trzeba wdrożyć politykę zarządzania incydentami bezpieczeństwa informacji?
Warto zacząć od dokonania wyraźnego rozróżnienia na te podmioty, które mogą oraz te, które są zobligowane do wdrożenia polityki zarządzania incydentami bezpieczeństwa informacji. Stworzenie planu, który pomaga z wyprzedzeniem zidentyfikować zagrożenia cybernetyczne, a w razie awarii usunąć problem i jak najszybciej przywrócić stabilne działanie systemu jest istotne dla każdej spółki, która w bieżącej działalności bazuje na rozwiązaniach z zakresu IT. Jest to kluczowe zwłaszcza dla software house’ów, sklepów internetowych czy agencji marketingowych, które ze swoimi klientami współpracują przede wszystkim na płaszczyźnie on-line. Zwykle polityka zarządzania incydentami bezpieczeństwa informacji stanowi dopełnienie innych procedur wewnętrznych, jak zarządzanie ryzykiem lub podatnościami.
Ustawa o krajowym systemie cyberbezpieczeństwa w załączniki nr 1 wymienia również operatorów usługi kluczowej, którzy są zobligowani do wdrożenia zarówno odpowiedniego systemu, jak i dokumentacji (w tym polityki zarządzania incydentami bezpieczeństwa informacji). O przyznaniu takiego statusu decyduje, zgodnie z art. 5 ust. 2 ustawy:
- świadczenie przez podmiot usługi kluczowej;
- zależność świadczenia usługi kluczowej od systemów informatycznych;
- istotny skutek zakłócający incydentu dla świadczenia usługi kluczowej przez operatora.
Lista operatorów usługi kluczowej jest obszerna i obejmuje sektor energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję oraz infrastrukturę cyfrową. Łącznie jest to kilkadziesiąt rodzajów podmiotów, wśród których można wymienić, w szczególności z branży FinTech m.in. instytucje płatnicze oraz inne podmioty świadczące usługi płatnicze (np. Biuro Usług Płatniczych), podmioty prowadzące działalność gospodarczą w zakresie wydobywania kopalin, przesyłu energii, wytwarzania paliw, a także banki, SKOK-i i firmy prowadzące działalność leczniczą.
Wszyscy operatorzy usług kluczowych są wpisywani do właściwego wykazu, jeżeli minister odpowiedzialny za dany działa administracji rządowej uzna, że określony podmiot spełnia warunki ustawowe.
Na czym polega wdrożenie polityki zarządzania incydentem bezpieczeństwa informacji?
We wszystkich przypadkach, kiedy przedsiębiorcę można zakwalifikować jako operatora usługi kluczowej niezbędne będzie wdrożenie odpowiedniej polityki wewnętrznej oraz wyposażenie się we właściwe zasoby. Zgodnie z art. 8 ustawy o krajowym systemie cyberbezpieczeństwa operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. System ten musi gwarantować:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu bezpieczeństwa informacji oraz zarządzania tym ryzykiem;
- wdrożenie odpowiednich i proporcjonalnych do oszacowania ryzyka środków technicznych i organizacyjnych, uwzględniający najnowszy stan wiedzy, w tym:
- utrzymanie i bezpieczną eksploatację systemu informacyjnego;
- bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrolę dostępu;
- bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej;
- wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiające ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji;
- objęcie systemu informacyjnego monitorowaniem w trybie ciągłym (tzw. threat hunting);
- zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty bezpieczeństwa informacji oraz zarządzanie tymi incydentami;
- stosowanie środków zapobiegających i ograniczających wpływ incydentów bezpieczeństwa informacji na bezpieczeństwo systemu informacyjnego;
- stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.
Wymagania względem systemu wykorzystywanego do świadczenia usług kluczowych są bardzo surowe, a co więcej nakładają na przedsiębiorcę obowiązek nieustannej aktualizacji zabezpieczeń oraz stosowania rozwiązań uwzględniających ewolucję zagrożeń cyfrowych. Dla firm oznacza to nie tylko wysokie koszty związane z wdrażaniem rozwiązań technicznych i szkoleniem personelu, ale także dbanie o sprawne działania sektora compliance, którego zadaniem jest zapewnienie zgodności obowiązujących procedur z aktualnymi wymaganiami.
System powinien być audytowany nie rzadziej niż raz na 2 lata przez jednostkę akredytowaną, co najmniej 2 certyfikowanych audytorów lub sektorowy zespół cyberbezpieczeństwa. Audyt można wykorzystać również jako okazję do aktualizacji polityki zarządzania incydentami bezpieczeństwa informacji oraz późniejszej poprawy obsługi incydentów.
W jaki sposób w takim razie przedsiębiorca może zadbać o aktualizację polityki zarządzania incydentami bezpieczeństwa informacji? Ustawodawca wymienia jedynie kilka przykładowych działań, choć warto pamiętać, że nie jest to lista wyczerpująca:
- stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych;
- aktualizacja oprogramowania;
- ochrona przed nieuprawnioną modyfikacją danych w systemie;
- niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa.
Warto pamiętać, że poza systemem każdy operator usługi kluczowej musi opracować i aktualizować dokumentację dotyczącą cyberbezpieczeństwa, wyznaczyć dla niej nadzór oraz przechowywać minimum 2 lata po wycofaniu z użytkowania.
Czym jest incydent bezpieczeństwa informacji?
Ustawa o krajowym systemie cyberbezpieczeństwa w art. 2 pkt 5 definiuje incydent bezpieczeństwa informacji jako zdarzenie, która ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Ustawodawca rozróżnił kilka rodzajów incydentów, w tym:
- krytyczne – skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw lub wolności obywatelskich lub życia i zdrowia ludzi;
- poważne – powodujące lub mogące spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;
- istotne – mające istotny wpływ na świadczenie usługi cyfrowej.
W praktyce incydenty bezpieczeństwa informacji na płaszczyźnie informatycznej mogą przybrać jedną z wielu postaci. Można do nich zaliczyć np. udostępnianie hasło i loginu do konta osobie niepowołanej lub kradzież danych zrealizowaną zarówno przez pracownika, jak i osobę trzecią. Incydentem bezpieczeństwa informacji są też wszelkiego rodzaju próby wtargnięcia do systemu, przełamania zabezpieczeń lub przejęcia kontroli albo zniszczenia, lub zmodyfikowania przechowywanych zasobów poprzez takie techniki, jak implementacja oprogramowania typu malware, zastosowanie szantażu poprzez cryptolocker albo bardziej klasyczne metody, w tym DoS lub DDoS.
Należy pamiętać, że techniki stosowane przez hakerów stale ewoluują, dlatego na przedsiębiorcach ciąży obowiązek aktualizacji zabezpieczeń tak, aby chroniły przed jak największą ilością zagrożeń. Wymaga to nie tylko zakupu nowoczesnych platform usługowych i technologii, ale również nieustannych testów, które pozwolą wykryć ewentualne braki i luki w systemie.
Jakie elementy powinny znaleźć się w polityce zarządzania incydentami bezpieczeństwa informacji?
Polityka zarządzania incydentami powinna przewidywać protokoły zachowania podczas każdej fazy zagrożenia. Punktem wyjścia jest zawsze plan infrastruktury, który zwykle tworzą osoby odpowiedzialne za utrzymanie integralności architektury IT. Incydenty bezpieczeństwa informacji mogą być wykryte na wiele sposobów (np. zgłoszone przez pracownika, osobę trzecią, a także automatyczny software rejestrujący naruszenia).
Jeżeli już doszło do incydentu bezpieczeństwa informacji, polityka zarządzania incydentami powinna regulować:
- identyfikację zagrożenia, napastnika oraz ewentualne skutki problemu;
- powstrzymanie zagrożenia, np. poprzez odcięcie połączenia internetowego, usunięcie szkodliwego oprogramowania;
- przywrócenie integralności systemu, jeżeli doszło do jej zachwiania;
- wprowadzenie zmian w procedurze, które pozwolą na uniknięcie podobnych problemów w przyszłości; może być to np. przeszkolenie pracowników, aktualizacja lub zmiana oprogramowania albo instalacja dodatkowych zabezpieczeń.
Klasyfikacja incydentu bezpieczeństwa informacji zwykle odbywa się z wykorzystaniem matrycy, która uwzględnia obszar incydentu (np. infrastruktura lub aplikacja) oraz jego istotność (od niskiej do wysokiej).
W razie wystąpienia incydentu bezpieczeństwa informacji należy zadbać też o przechowywanie dowodów, które pomogą ustalić odpowiedzialność sprawcy w razie jego identyfikacji i ujęcia. Dzięki temu wykazanie winy oraz uzyskanie wyroku zasądzającego odszkodowanie w toku procesu sądowego będzie łatwiejsze. Takimi dowodami mogą być logi z systemu, które pozwalają na prześledzenie aktywności na serwerze, ale też faktury wystawiane przez specjalistów IT w ramach wykonania usługi czy nadzór wideo, który pozwoli ustalić ingerencję osoby trzeciej z poziomu zakładu pracy.
Jakie jeszcze ustawy regulują bezpieczeństwo teleinformatyczne podmiotów?
Ustawa o krajowym systemie cyberbezpieczeństwa to nie jedyny akt prawny, który reguluje kwestię incydentów cyfrowych. Warto zwrócić uwagę na art. 32g ustawy o usługach płatniczych, która nakłada na podmioty świadczące usługi płatnicze (m.in. Małe Instytucje Płatnicze (MIP) oraz Krajową Instytucją Płatniczą (KIP) obowiązek przekazania informacji o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem (w tym teleinformatycznym). Zgłoszenie powinno zostać przekazane do KNF lub innego właściwego organu nadzoru. Dodatkowo w sytuacji, kiedy incydent może mieć wpływ na sytuację użytkowników, dostawca usług powinien powiadomić również ich, wskazując jednocześnie środki, z których mogą skorzystać w celu ograniczenia skutków incydentu.
Obowiązek zgłaszania incydentów bezpieczeństwa informacji w zakresie naruszenia danych osobowych przewiduje również rozporządzenie RODO. Stosownie do art. 33 w przypadku naruszenia ochrony danych administrator bez zbędnej zwłoki (w miarę możliwości w czasie do 72 godzin od stwierdzenia naruszenia) zgłasza je organowi nadzorczemu. Zgłoszenie może być dokonane przez skrzynkę ESP, poprzez wypełnienie formularza lub tradycyjną pocztą. Należy zadbać o udokumentowania procesu oceny ryzyka na potrzeby zgłoszenia lub jego zaniechania.
Zaniechanie obowiązku zgłoszenia incydentu bezpieczeństwa informacji na gruncie RODO podlega wysokiej karze pieniężnej. W praktyce decyzje GIODO opiewają nawet na kilkaset tysięcy złotych (ponad 545 tysięcy złotych kary dla Santander Banku czy ponad 360 tysięcy kary dla Banku Millennium).
Sankcje za niedochowanienieodchowanie obowiązków w zakresie cyberbezpieczeństwa, w tym obejmujące incydenty bezpieczeństwa informacji
Utrata kontroli nad infrastrukturą IT oraz straty biznesowe to nie jedyne ryzyko, które spoczywa na przedsiębiorcy zaniedbującym swoje obowiązki w zakresie ochrony cyfrowej. Zgodnie z art. 73 ustawy o krajowym systemie cyberbezpieczeństwa operator usługi kluczowej musi liczyć się z nałożeniem na niego kary pieniężnej, jeśli m.in.:
- nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu bezpieczeństwa informacji;
- nie wdrożył środków technicznych lub organizacyjnych gwarantujących bezpieczeństwo infrastruktury;
- nie przeprowadza audytów wymaganych ustawą
W zależności od naruszenia wysokość kary pieniężnej może wynieść od kilku do nawet 200 tysięcy złotych. Sankcja jest nakładana w drodze decyzji administracyjnej.
Tworząc politykę zarządzania incydentem, oczywiście nie sposób uniknąć wszystkich zagrożeń, dlatego warto skupić się na najważniejszych obszarach. Przede wszystkim należy zminimalizować wpływ incydentu na relacje z klientami, a także zadbać o ochronę poufności oraz integralności krytycznych danych (np. umowy, bazy klientów, dokumentacja projektowa z kodem źródłowym). Znaczenie ma jak najkrótszy recovery time, czyli przywrócenie pełnej funkcjonalności systemu.
Projektując politykę zarządzania incydentem bezpieczeństwa informacji, warto zasięgnąć rady specjalistów posiadających wiedzę zarówno z zakresu prawa, jak i nowych technologii. Dzięki temu procesy wewnątrz organizacji są tworzone z zachowaniem zgodności z obowiązującymi przepisami, przedsiębiorca ma możliwość ograniczenia swojej odpowiedzialności oraz efektywnego dochodzenia praw przed sądem powszechnym lub organami ścigania.
Pytania i odpowiedzi
Zgłoszenia należy dokonać za pośrednictwem elektronicznej skrzynki podawczej ESP. Zgłoszenie wymaga skorzystania z profilu zaufanego. Do formularza powinno zostać dołączone sprawozdanie zawierające specyfikę incydentu.Zgodnie z art. 11 ust. 1 pkt 4 ustawy o krajowym systemie cyberbezpieczeństwa zgłoszenie powinno nastąpić nie później niż w 24 godziny od momentu jego wykrycia.
Zaniechanie zgłoszenia jest dopuszczalne wyłącznie w sytuacji, kiedy zostanie stwierdzone niskie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Nadal jednak administrator ponosi odpowiedzialność za ewentualne skutki naruszenia.Jest to dopuszczalne pod warunkiem, że jest to niezbędne do realizacji zadań ustawowych, przy czym dane informacje powinny zostać oznaczone jako chronione.
Zaufali nam: