Geotechnology Systemy bezpieczeństwa
Każda firma – niezależnie od wielkości i profilu działalności – potrzebuje odpowiednich systemów bezpieczeństwa. Takie systemy to gotowe rozwiązania, które pozwalają przedsiębiorcy spać spokojnie. Dzięki nim firma jest bezpieczna na wielu poziomach.
Wspólnym mianownikiem wszystkich systemów bezpieczeństwa jest korzystanie z osobnego źródła zasilania. Dodatkowo mają one możliwość tworzenia bezprzewodowych i przewodowych sieci komputerowych tam, gdzie nie da się stworzyć klasycznej sieci lokalnej LAN.
Systemy bezpieczeństwa są często implementowane w halach przemysłowych oraz magazynowych, w obiektach użyteczności publicznej, a także w mniejszych i większych biurowcach. Można powiedzieć, że są wręcz niezbędne w każdym przedsiębiorstwie.
W ramach naszych usług oferujemy wykonanie i projekt systemów kontroli dostępu (KD), systemów alarmowych (SSWiN) oraz systemów monitoringu (CCTV).
Ustawa o KSC, a incydenty bezpieczeństwa komputerowego
Powołując się na Ustawę o Krajowym Systemie Cyberbezpieczeństwa, warto zwrócić uwagę, na fakt, iż ustanowionym Operatorom Usług Kluczowych, zostały przydzielone określone zadania i funkcje, które muszą wykonywać, aby zapewnić optymalny poziom bezpieczeństwa świadczonych usług. Jednym z głównych zadań, które zostały im przydzielone, jest obsługa incydentów bezpieczeństwa oraz współpraca w tym zakresie z odpowiednimi CSIRT-ami (GOV, NASK oraz MON).
CSIRT GOV, CSIRT NASK oraz CSIRT MON, są to zespoły reagowania na incydenty bezpieczeństwa komputerowego, które są uprawnione do działania na poziomie krajowym. Podlegają one kolejno pod:
Szefa Agencji Bezpieczeństwa Wewnętrznego;
Naukową i Akademicką Sieć komputerową – Państwowy Instytut Badawczy;
Ministra Obrony Narodowej.
Określone CSIRTy są zobligowane współpracować ze sobą. Celem tej współpracy jest zapewnienia spójnego systemu zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa, a także zapewniając koordynację obsługi zgłoszonych przez Operatorów Usług Kluczowych incydentów. CSIRTy w uzasadnionych przypadkach na wniosek Operatorów Usług Kluczowych, mogą zapewnić wsparcie w obsłudze incydentów bezpieczeństwa.
Krajowy system cyberbezpieczeństwa
1 sierpnia 2018 r. Prezydent RP podpisał ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS. Ustawa została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. i zacznie obowiązywać po 14 dniach od jej ogłoszenia tj. od 28 sierpnia br. Pełne wdrożenie Dyrektywy NIS wymaga ponadto przyjęcia dwóch rozporządzeń Rady Ministrów: w sprawie uznania incydentu za poważny, jak i w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Obecnie zakończony został etap konsultacji społecznych, uzgadniania oraz opiniowania, dotyczących rozporządzeń, na tą chwilę prowadzone są konsultacje wewnątrz-rządowe.
Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym .
Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności :
niezakłóconego świadczenia usług kluczowych i usług cyfrowych
osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.
Budowany system obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.
Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.
Dostawcy usług cyfrowych - obowiązki
przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów
zapewnia w niezbędnym zakresie dostęp do informacji właściwemu CSIRT o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT
klasyfikuje incydent jako istotny
zgłasza incydent istotny niezwłocznie, nie poźniej jednak niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT
zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane
usuwa podatności
przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.
Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:
liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług
czas trwania incydentu
zasięg geograficzny obszaru, którego dotyczy incydent
zakres zakłócenia funkcjonowania usługi
zakres wpływu incydentu na działalność gospodarczą i społeczną
Incydent istotny: incydent, który ma istotny wpływ na świadczenie usługi cyfrowej.
Kim jest Dostawca Usług Cyfrowych?
Osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe;
Powinni zapewnić poziom bezpieczeństwa współmierny do stopnia ryzyka, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług cyfrowych, ze względu na znaczenie tych usług dla działalności innych przedsiębiorców w Unii;
Zharmonizowane podejście na poziomie Unii mają zapewnić akty wykonawcze, w tym rozporządzenie wykonawcze 2018/151. W rozporządzeniu doprecyzowano elementy, jakie mają zostać uwzględnione przez dostawców usług cyfrowych przy określaniu i przedsiębraniu środków mających na celu zapewnienie poziomu bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez nich w kontekście oferowania usług, jak również parametry, które należy wziąć pod uwagę w celu ustalenia, czy incydent ma istotny wpływ na świadczenie tych usług
Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.
Incydent uznaje się za mający istotny wpływ, jeżeli zaistniała co najmniej jedna z następujących sytuacji:
usługa świadczona przez dostawcę usług cyfrowych była niedostępna przez ponad 5 000 000 użytkownikogodzin, przy czym pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut; incydent doprowadził do utraty integralności, autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy informatyczne dostawcy usług cyfrowych, która dotknęła ponad 100 000 użytkowników w Unii; incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych; incydent wyrządził co najmniej jednemu użytkownikowi w Unii stratę materialną, której wysokość przekracza 1 000 000 EUR.
Do zadań ministra właściwego do spraw informatyzacji należy m.in. opracowanie Strategii Cyberbezpieczeństwa, prowadzenie polityki informacyjnej na temat krajowego systemu cyberbezpieczeństwa, realizacja obowiązków sprawozdawczych wobec instytucji unijnych oraz uruchomienie z dniem 1 stycznia 2021 r. systemu teleinformatycznego, umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego, ostrzeganie o zagrożeniach cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego będą współpracować ze sobą, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, w tym zwłaszcza incydentów poważnych i krytycznych, najpoważniejszych z punktu widzenia państwa.
Do zadań CSIRT NASK, CSIRT GOV i CSIRT MON, należy koordynacja obsługi incydentów zgłaszanych przez:
CSIRT NASK:
jednostki samorządu terytorialnego
jednostki budżetowe,samorządowe zakłady budżetowe
agencje wykonawcze, instytucje gospodarki budżetowej
uczelnie publiczne i Polska Akademia Nauk
Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji
Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, których celem jest bieżące i nieprzerwane zaspokajanie zbiorowych
obywateli.
CSIRT GOV:
organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały
ZUS, KRUS, NFZ
Narodowy Bank Polski, Bank Gospodarstwa Krajowego
CSIRT MON:
podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne objęte są jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej
przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej
Organ właściwy - kim jest
ORGAN WŁAŚCIWY
Minister właściwy ds. energii i gospodarki wodnej (Ministerstwo Klimatu i Środowiska) - dla sektora energii i gospodarki wodnej,
Minister właściwy ds. transportu (Ministerstwo Infrastruktury) - dla sektora transportu (włącznie z podsektorem transport wodny),
Komisja Nadzoru Finansowego - dla sektora bankowego i infrastruktury rynków finansowych,
Minister właściwy ds. zdrowia (Ministerstwo Zdrowia) - dla sektora ochrony zdrowia,
Minister właściwy ds. informatyzacji (Kancelaria Prezesa Rady Ministrów) - dla sektora infrastruktury cyfrowej,
Minister obrony narodowej (Ministerstwo Obrony Narodowej) - dla sektora zdrowia i infrastruktury cyfrowej w zakresie podmiotów podległych Ministrowi obrony narodowej.
Ustawa powołuje także organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.
ZADANIA ORGANU WŁAŚCIWEGO (OW)
na bieżąco prowadzi analizę podmiotów w danym sektorze lub podsektorze pod katem uznania ich za operatora usługi kluczowej;
wydaje decyzje o uznaniu podmiotu za operatora usługi kluczowej;
przygotowuje rekomendacje działań mających na calu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące działania incydentów (współpraca z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa);
prowadzi kontrole operatorów usług kluczowych i dostawców usług cyfrowych (monitoruje stosowanie przez nich przepisów ustawy);
na wniosek CSIRT NASK, CSIRT GOV LUB CSIRT MON wzywa operatorów usług kluczowych lub dostawców usług cyfrowych do usunięcia w wyznaczonym terminie podatności które doprowadziły lub mogły doprowadzić do incydentu poważnego, istotnego lub krytycznego;
uczestniczy w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w RP lub UE;
dla danego sektora lub podsektora może ustanowić, sektorowy zespół cyberbezpieczeństwa (SCZ to opcjonalne zadanie OW, tylko one decydują jak je ustanawiają i w jakiej formie prawnej
Procedura zakwalifikowania podmiotu jako operatora usługi kluczowej.
Organ Właściwy bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych
Organ Właściwy zaczyna postepowanie administracyjne i zbiera informacje o podmiocie
Organ Właściwy sprawdza, czy podmiot spełnia wymogi rozporządzenia
Organ Właściwy wskazuje Operatora Usługi Kluczowej (DECYZJA ADMINISTRACYJNA)
Operator Usługi Kluczowej ma od 3 do 12 miesięcy na dostosowanie się do wymogów zawartych w rozporządzeniu
Operator Usługi Kluczowej realizuje obowiązki wynikające z ustawy
OBOWIĄZKI OPERATORA USŁUGI KLUCZOWEJ zgodnie z Ustawą (terminy biegną od momentu otrzymania decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej) W terminie 3 miesięcy W terminie 6 miesięcy W terminie 12 miesięcy dokonuje szacowania ryzyka dla swoich usług kluczowych wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne przygotowuje pierwszy audyt w rozumieniu ustawy zarządza incydentami zbiera informacje o zagrożeniach i podatnościach wyznacza osobę kontaktową z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego prowadzi działania edukacyjne wobec użytkowników stosuje wymaganą dokumentację przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom obsługuje incydenty we własnych systemach zgłasza incydenty poważne usuwa wskazywane podatności
Za niewykonanie wyżej wymienionych obowiązków, w rozdziale 14 Ustawy, przewidziano zastosowanie kar finansowych.
Rodzaje incydentów:
Incydent krytyczny - incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi;
- incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi; Incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;
- incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej; Incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej;
- incydent, który ma istotny wpływ na świadczenie usługi cyfrowej; Incydent o podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;
- incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny; Incydent zwykły - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – ten incydent nie podlega zgłoszeniu, ale też należy go obsługiwać.
PRZEKAZYWANIE INFORMACJI O INCYDENCIE PRZEZ OPERATORA USŁUGI KLUCZOWEJ
Operator zgłasza incydent niezwłocznie, nie później niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV
Operator współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane
Operator usuwa wskazane podatności oraz informuje o ich usunięciu organ właściwy
Ustawa przedstawia szczegółowo klasyfikację incydentów oraz zakres kompetencji CSIRT MON, CSIRT NASK, CSIRT GOV.
OBSŁUGA INCYDENTU
Wykrywanie
Rejestrowanie
Analizowanie
Klasyfikowanie
Priorytetyzowanie
Podejmowanie działań naprawczych
Ograniczenie skutków inctdentu
SEKTOROWY ZESPOŁ CYBERBEPIECZEŃSTWA (SCZ)
przyjmowanie zgłoszeń o incydentach poważnych oraz wsparcie w ich obsłudze
wspieranie operatorów usług kluczowych w wykonywaniu obowiązków
analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami oraz opracowywanie wniosków z ich obsługi
współpraca z właściwym CSIRT NASK, CSIRT GOV, CSIRT MON w zakresie koordynowania obsługi incydentów poważnych
SZC może przekazywać do innych państw i przyjmować od nich informacje o incydentach poważnych, w tym dot. dwóch lub większej liczby państw członkowskich UE
SZC może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego UE, dot. dwóch lub większej liczby państw. Takie zgłoszenia przekazuje do właściwego CSIRT NASK, CSIRT GOV, CSIRT MON oraz PPK.
Przy Ministrze Cyfryzacji działa Pojedynczy Punkt Kontaktowy (PKK), który jest odpowiedzialny m.in. za:
tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością;
pełnienie funkcji łącznika w celu zapewnienia współpracy podmiotami odpowiedzialnymi za cyberbezpieczeństwo;
gromadzenie i przetwarzanie informacji otrzymanych od m.in. operatorów usług kluczowych;
kontrolowanie spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymagań organizacyjnych i technicznych;
przekazywanie na wniosek właściwego CSIRT, zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych innych państwa członkowskich UE;
zapewnienie reprezentacji RP w Grupie Współpracy;
zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa;
koordynację współpracy między organami właściwymi ds. cyberbezpieczeństwa RP z odpowiednimi organami w państwa członkowskich UE.
Współpraca PPK z innymi organami:
w uzasadnionych przypadkach współpracują z organami ścigania i organem właściwym do spraw ochrony danych osobowych;
W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich UE, organ właściwy w toku postępowania administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej.
Przygotowanie ustawy poprzedzone zostało wstępnymi konsultacjami z przedstawicielami resortów kluczowych z punktu widzenia funkcjonowania krajowego systemu cyberbezpieczeństwa, przewidzianych w projekcie ustawy organów właściwych oraz z reprezentantami sektorów wskazanymi w załączniku do projektu. Ustawa realizuje zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.
