Cyberbezpieczeństwo w kontekście obowiązujących norm i regulacji prawnych

Tomasz 17 sierpnia 2021

Krzysztof Mizerski
Ekspert współpracujący z Platformą Przemysłu Przyszłości

Rewolucja cyfrowa, zwana także czwartą rewolucją przemysłową oraz związany z nią rozwój nowoczesnych technologii, oznacza dynamiczne i przełomowe zmiany gospodarcze i społeczne na całym świecie.

Wsparcie prawne w obszarze cyberbezpieczeństwa kluczem do sukcesu Przemysłu 4.0

Można przypuszczać, iż w ciągu kolejnych lat dalsze zmiany, wynikające z transformacji cyfrowej, docelowo będą dotyczyć przede wszystkim usprawnienia systemów produkcji i zarządzania w przedsiębiorstwach, bez względu na sektor działalności czy charakter danej branży. Również perspektywa podłączenia do sieci miliardów użytkowników, za pośrednictwem urządzeń mobilnych, oferuje nieograniczone możliwości i perspektywy rozwoju biznesu. Nowe technologie, takie jak sztuczna inteligencja, robotyka, medycyna precyzyjna, pojazdy autonomiczne, drukowanie 3D, zastosowanie Internetu rzeczy, mają ogromny potencjał dla zwiększenia jakości życia ludzi oraz efektywności biznesu.

Z drugiej strony, coraz powszechniejsze zastosowanie nowoczesnych technologii cyfrowych, powoduje liczne zagrożenia, których należy być świadomym i którym trzeba przeciwdziałać. Cyberzagrożenia i cyberataki mogą przybierać różnorodną formę – od kradzieży danych, po oprogramowania typu ransomware, czy też incydenty przejęcia kontroli nad systemami operacyjnymi. Według Global Risks Report z 2020 r., cyberprzestępczość i kradzież danych, obok katastrof środowiskowych i zmian klimatycznych, będą stanowiły największe wyzwania światowego biznesu w ciągu najbliższych dziesięciu lat [1].

Zastosowanie nowoczesnych technologii i rozwiązań IT w polskich przedsiębiorstwach przynosi szereg korzyści, lecz wywołuje także poważne niebezpieczeństwa. Według raportu Vecto, Cyberbezpieczeństwo w polskich firmach 2020 [2], Polska znajduje się w gronie 20 państw najbardziej zagrożonych cyberatakami. Wynika to przede wszystkim ze specyfiki położenia geopolitycznego naszego kraju oraz dość niskiego poziomu inwestowania w zabezpieczanie infrastruktury informatycznej. Ciężko natomiast oszacować w rzetelny sposób rzeczywiste koszty cyberincydentów w naszym kraju w ciągu ostatnich lat. Według [3], globalny koszt ataków hakerskich przekraczał w 2018 roku 600 mld USD, co stanowi blisko 1% globalnego PKB. Rzeczywiste koszty cyberataków na świecie mogą być jeszcze większe. Firmy, które stają się obiektem cyberataków, również polskie, niechętnie dzielą się tego typu informacjami.

Obecnie wśród zarządzających w polskich firmach wciąż powszechne jest przeświadczenie, iż nakłady na profesjonalną infrastrukturę zapewniającą cyberbezpieczeństwo są zbyt wysokie lub zbędne. Tymczasem zapewnienie bezpieczeństwa cyfrowych zasobów przedsiębiorstwa wynika przede wszystkim z kwestii organizacyjnych wewnątrz podmiotu oraz ze znajomości krajowych i międzynarodowych regulacji prawnych w zakresie cyfryzacji danych. Stworzenie strategii cyberbezpieczeństwa z uwzględnieniem prawnego punktu widzenia sprawia, iż firma jest lepiej przygotowana do radzenia sobie z ryzykiem cybernetycznym. Niniejsze opracowanie zawiera opis najważniejszych norm i regulacji prawnych, które mają na celu zapewnienie systemu bezpieczeństwa cyfrowego w naszym kraju. Ich uwzględnienie w procesie budowania indywidualnej strategii cyberbezpieczeństwa, jest kwestią kluczową w odniesieniu do każdego przedsiębiorstwa lub instytucji, prowadzącej działalność w obrębie naszego kraju. Pozwala na zrozumienie i należytą realizację obowiązków danej firmy w kontekście obowiązujących przepisów prawa. Jest także podstawą do zapewnienia najwyższego poziomu bezpieczeństwa cyfrowych zasobów organizacji oraz wypracowania schematów sprawnego reagowania na zagrożenia.

Normy i regulacje prawne, istotne do celów zapewnienia cyberbezpieczeństwa podmiotów sektora prywatnego i publicznego w Polsce

Otoczenie prawe, zarówno na poziomie krajowym, jak i międzynarodowym, ulega ciągłym zmianom. Ustawodawcy krajowi usiłują nadążyć za szybkimi zmianami technologicznymi, a regulacje dotyczące cyberprzestrzeni są stanowione nie tylko przez państwa, lecz również organizacje międzynarodowe.

W celu utworzenia spójnego systemu, zapewniającego cyberbezpieczeństwo podmiotów na terenie Rzeczypospolitej Polskiej, powstała ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Ustawa weszła w życie 28 sierpnia 2018 r. W ten sposób stworzony został zbiór wytycznych, który miał na celu umożliwienie sprawnego działania na rzecz wykrywania, zapobiegania i minimalizowania skutków incydentów sieciowych (takich jak np. ataki sieciowe lub awarie), naruszających cyberbezpieczeństwo państwa i jego obywateli. Krajowy system cyberbezpieczeństwa, zbudowany w oparciu o przepisy ustawy z 5 lipca 2018 r., określa ramy prawne niezbędne do zapewnienia ochrony przed różnego rodzaju zagrożeniami, występującymi w cyberprzestrzeni. Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożyły do polskiego porządku prawnego postanowienia tzw. dyrektywy NIS (dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii).

Ustawa o krajowym systemie cyberbezpieczeństwa definiuje cyberbezpieczeństwo jako odporność systemów informacyjnych na wszelkie działania, naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Celem działań ustawodawczych w zakresie cyberbezpieczeństwa było zbudowanie skoordynowanego mechanizmu wykrywania, powiadamiania i reagowania na zagrożenia bezpieczeństwa w cyberprzestrzeni. W ustawie wyodrębniono dwie grupy podmiotów tj. operatorów usług kluczowych oraz dostawców usług cyfrowych, na których spoczywa ciężar monitorowania cyberprzestrzeni oraz inicjowania działań zmierzających do neutralizowania zagrożeń i przywracania stanu bezpieczeństwa. Należy także podkreślić, że ustawa o krajowym systemie cyberbezpieczeństwa zawiera wykaz sankcji w postaci kar pieniężnych w stosunku do podmiotów, organów i instytucji, które nie realizują zadań w zakresie cyberbezpieczeństwa.

Jednym z założeń tej ustawy jest utworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC), którego zadaniem jest wykrywanie, zapobieganie i minimalizowanie skutków ataków, mających wpływ na bezpieczeństwo informatyczne kraju. Zapisy ustawy dotyczą administracji rządowej i samorządowej, ale także największych przedsiębiorstw z wybranych sektorów tzw. operatorów kluczowych. Rozwiązania wynikające z ustawy muszą wdrażać m.in. przedsiębiorstwa należące do sektorów:

  • energii – podmioty, prowadzące działalność gospodarczą w zakresie wydobywania kopalin, dostawy energii elektrycznej i ciepła, produkcji i dostawy gazu,
  • transportu – podmioty prowadzące działalność gospodarczą w zakresie transportu lotniczego, kolejowego, wodnego oraz drogowego,
  • bankowości i infrastruktury rynków finansowych – podmioty, takie jak banki, spółdzielcze kasy oszczędnościowo-kredytowe oraz instytucje kredytowe,
  • ochrony zdrowia – dotyczy szpitali, hurtowni farmaceutycznych, importerów oraz wytwórców leków, a także aptek,
  • zaopatrzenia w wodę pitną i jej dystrybucji – przedsiębiorstwa wodociągowo-kanalizacyjne,
  • infrastruktury cyfrowej – podmioty świadczące różne usługi, w tym usługi DNS (ang. Domain Name System).

Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli świadczy on usługi z wymienionych zakresów, wykorzystuje systemy informatyczne w ramach swojej działalności oraz świadczy usługi o charakterze krytycznym dla działalności społecznej lub gospodarczej.

W celu podniesienia poziomu odporności na cyberzagrożenia oraz ochrony informacji w sektorach: publicznym, militarnym i prywatnym opracowano Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024; dokument ten określa strategiczne cele oraz odpowiednie środki polityczne i regulacyjne, które trzeba zrealizować aby systemy informacyjne, operatorzy usług kluczowych, operatorzy infrastruktury krytycznej, dostawcy usług cyfrowych oraz administracja publiczna były odporne na cyberzagrożenia. Zapisy zawarte we wspomnianej strategii odnoszą się do zasad zapewnienia bezpieczeństwa zarówno w obszarze administracji publicznej, jak i podmiotów sektora prywatnego.

Cyberbezpieczeństwo powinno odgrywać strategiczną rolę zarówno w instytucjach publicznych, podmiotach zarządzających infrastrukturą krytyczną, jak i w przedsiębiorstwach, działających na rynku komercyjnym. W kontekście zapewnienia bezpieczeństwa zasobów cyfrowych w organizacjach sektora publicznego i prywatnego należy zwrócić uwagę na przepisy prawne związane z ochroną danych osobowych. Podstawowym aktem prawnym w tym kontekście jest RODO (ogólne rozporządzenie o ochronie danych). Jest to rozporządzenie Unii Europejskiej, wprowadzone w 2018 r., które ustanawia kompleksowe ramy dotyczące przetwarzania i ochrony danych osobowych. Rozporządzenie to określa zakres obowiązków administratorów oraz podmiotów przetwarzających dane. Przepisy wynikające z RODO stanowią również podstawę do skutecznego reagowania osób fizycznych oraz organów nadzorujących na incydenty naruszenia zapisów Rozporządzenia. Bardzo istotną kwestią dla przedsiębiorców, związaną z ochroną danych osobowych, jest określenie maksymalnego poziomu kar za naruszenia przepisów, które to kary mogą sięgnąć nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku kalendarzowego poprzedzającego naruszenie. Rozporządzenie jest wiążące dla wszystkich, którzy przetwarzają dane osobowe w związku z prowadzeniem działalności gospodarczej.

 Zgodnie z RODO (Rozporządzenie o ochronie danych osobowych), naruszeniem ochrony danych osobowych jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszeniem prawa będzie zatem nie tylko sytuacja, w której następuje „wyciek” danych w niepowołane ręce (np. na skutek incydentu hakerskiego), lecz także np. utrata dostępu do danych wskutek zagubienia dokumentów czy też uszkodzenie nośnika danych (np. pendrive’a z danymi służbowymi). W niektórych sytuacjach  konieczne może okazać się zgłoszenie naruszenia Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia incydentu. Zgłoszenie powinno zawierać m.in. opis charakteru naruszenia oraz jego możliwe konsekwencje. W takich przypadkach kluczową sprawą jest efektywna komunikacja z pracownikami, aby możliwa była właściwa ocena ryzyka związanego z naruszeniem. Konsekwencją może być również konieczność powiadomienia o incydencie i możliwych skutkach osób dotkniętych naruszeniem.

W spełnieniu wymagań, dotyczących zapewnienia bezpieczeństwa cyfrowego, szczególnie pomocne jest uzyskanie certyfikatu ISO/IEC 27001. Normy ISO27K są zbiorem najlepszych praktyk w obszarze zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27001 może mieć zastosowanie we wszystkich organizacjach, dla których informacje stanowią wymierną wartość lub gdy wymóg ich ochrony wynika z odpowiednich przepisów prawa. Posiadanie certyfikatu ISO/IEC 27001 stanowi przekonujący dowód na to, iż dana firma podjęła niezbędne działania w celu spełnienia wymogów bezpieczeństwa danych w związku z ustawą o krajowym systemie cyberbezpieczeństwa. Wdrożenie tej normy oznacza zapewnienie poufności, integralności i dostępności danych, a także zapewnienie odporności systemów przetwarzania danych. Uzyskanie certyfikatu ISO/IEC 27001 daje pewność, iż wdrożony system zarządzania bezpieczeństwem informacji jest przetestowany i zgodny z uznanymi międzynarodowymi standardami dobrych praktyk bezpieczeństwa informacji.

Kolejna norma: ISO 22301, polega na wdrożeniu systemu zarządzania ciągłością biznesu oraz zapewnia minimalizowanie skutków ataków, naruszających bezpieczeństwo informatyczne. Została zaprojektowana tak, aby zapewnić ciągłość działania organizacji, nawet podczas najbardziej nieoczekiwanych okoliczności. Organizacje, które mają wdrożony i certyfikowany system ISO 22301 mają możliwość utrzymania ciągłości operacji biznesowych w przypadku wielu incydentów, w tym również cyberataków. System ten zapewnia schemat postępowania w celu szybkiej oceny potencjalnego wpływu zakłóceń operacyjnych oraz pozwala bezzwłocznie podjąć odpowiednie kroki prowadzące do ustabilizowania kryzysowej sytuacji. Wdrożenie tego systemu oznacza, iż możliwe będzie zachowanie ciągłości dostarczania produktów i usług oraz kontynuowanie kluczowych obszarów działalności w przypadku różnych incydentów. W praktyce daje to również możliwość obniżenia kosztów ubezpieczenia danej organizacji.

Przykładem systemowego podejścia do kwestii cyberbezpieczeństwa jest norma ISO/IEC 27032. Standard ten wywodzi się z rodziny norm ISO/IEC serii 27000, natomiast znacząco różni się od ISO/IEC 27001. Norma ta zawiera szereg rekomendacji, dotyczących zapewnienia bezpieczeństwa w cyberprzestrzeni. Została opracowana w celu wypełnienia luk, występujących pomiędzy rożnymi domenami bezpieczeństwa. Zawiera wskazówki odnośnie odpowiedniego przetwarzania informacji w systemach teleinformatycznych oraz ochrony sieci i krytycznej infrastruktury informatycznej organizacji. Wdrożenie zasad niniejszego standardu ma minimalizować zagrożenia nieautoryzowanego dostępu do informacji, ich wykorzystania lub modyfikacji w wyniku, przykładowo, ataków dotyczących inżynierii społecznej oraz rozprzestrzenianiem się złośliwego oprogramowania i programów szpiegujących. Norma określa także zasady współpracy w zakresie określenia wymagań technicznych dotyczących integracji systemów i interoperacyjności. Wyznacza schemat współpracy podczas rozwiązywania wspólnych problemów interesariuszy, związanych z bezpieczeństwem cybernetycznym. Dostarcza rozwiązań, które są niezbędne do wydajnej i skutecznej wymiany informacji, zarządzania incydentami wśród interesariuszy oraz ochrony ich danych. System ISO/IEC 27032 nie podlega certyfikacji, a jedynie stanowi praktyczny zbiór dobrych praktyk, pozwalających organizacji na sprawne zarządzanie obszarem cyberprzestrzeni [4].

Norma ISO/IEC 27032 skierowana jest przede wszystkim do usługodawców w cyberprzestrzeni. Ponadto grupą docelową są klienci korzystający z usług dostawców. Wdrożenie zawartych w niej zaleceń może pomóc zainteresowanym stronom w rozwiązywaniu problemów związanych z cyberbezpieczeństwem poprzez stosowanie istniejących najlepszych praktyk w zakresie roli, polityki, metod, procesów oraz zabezpieczeń technicznych. Przyjęcie w 2018 r. ustawy o krajowym systemie cyberbezpieczeństwa stworzyło podstawy prawne i organizacyjne służące do zbudowania, po raz pierwszy w historii, kompleksowego systemu cyberbezpieczeństwa w Polsce. Dwa lata doświadczeń w zakresie funkcjonowania przepisów ustawy pozwoliły na identyfikację wielu obszarów wymagających usprawnień. Równocześnie miały miejsce istotne dla cyberbezpieczeństwa zmiany na poziomie prawa europejskiego. Efektem dwuletnich obserwacji obszaru bezpieczeństwa cyfrowego w Polsce i na świecie było opracowanie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Można zatem spodziewać się, że dynamiczne zmiany technologiczne, społeczne i gospodarcze będą w dalszym ciągu wpływać na ciągłe poszukiwanie efektywnych metod wsparcia prawnego i normalizacyjnego  polskich przedsiębiorstw i instytucji publicznych w zakresie zapewnienia cyberbezpieczeństwa.

[1] The Global Risks Report 2020: 15th Edition, World Economic Forum, online: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf, dostęp: 10.11.2020.

[2]  Cyberbezpieczeństwo w polskich firmach 2020: III edycja, Vecto, online: https://vecto.pl/doc/Vecto-Cyberbezpieczenstwo-polskich-firm-2020.pdf, dostęp: 10.11.2020.

[3]    The Economic Impact of Cybercrime—No Slowing Down, McAfee, Luty 2018

[4] P. Radanliev, D. De Roure, J.R.C. Nurse, R. Nicolescu, M. Huth, S. Cannady, R.M. Montalvo, Integration of Cyber Security Frameworks, Models and Approaches for Building Design Principles for the Internet-of things in Industry 4.0., Living in the Internet of Thing: Cybersecurity of the IoT-2018, IET, London, https://doi.org/10.1049/cp.2018.0041. dostęp: 12.11.2020.

Sprawdź też:
Kategorie Artykuły eksperckie

Podobne artykuły

Skip to content