Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 28 sierpnia 2018 roku. Nakłada ona na tzw. operatorów usług kluczowych, czyli firmy i instytucje kluczowe dla działania państwa, np. wielkie firmy energetyczne, kopalnie, koleje, lotniska, banki, duże szpitale czy wodociągi obowiązek wdrożenia ochrony przed cyberatakami. Lista tych instytucji i firm, którą stworzono na podstawie rozporządzenia do ustawy, jest niejawna i są one zawiadamiane specjalnymi pismami z Ministerstwa Cyfryzacji. Według szacunków, przepisy ustawy obejmą od trzystu do ponad pięciuset podmiotów.

"Firmy i instytucje przygotowały się do budowy systemu cyberbezpieczeństwa w kontekście proceduralnym oraz prawnym ze względu na RODO i nowe wymagania dotyczące ochrony danych osobowych. Ale często nie szło za tym wdrożenie praktycznych rozwiązań czy zamówieniem usług cyberbezpieczeństwa" - zauważa Bończa Tomaszewski. Jego zdaniem, przejście od uporządkowania systemu w sensie koncepcyjno-proceduralnym do praktycznej ochrony przed cyberatakami, będzie dla wielu podmiotów dużym wyzwaniem.

Według ustawy, po otrzymaniu zawiadomienia z resortu cyfryzacji firmy i instytucje mają trzy miesiące na oszacowanie ryzyka, zarządzenie incydentami i wyznaczenie osoby kontaktowej z Ministerstwem Cyfryzacji. Pół roku po otrzymaniu zawiadomienia powinno nastąpić wdrożenie środków technicznych adekwatnych do ryzyka i rozpoczęcie zbierania danych o wszystkich zagrożeniach dotyczących organizacji. Po roku - czyli w listopadzie-grudniu 2019 r. - operatorzy usług kluczowych powinni być przygotowani na audyt, który będzie odbywać się potem co dwa lata.

Według Bończa Tomaszewskiego najlepiej do nowych wymagań przygotowany jest sektor bankowy.

Reklama

"W instytucjach finansowych potencjalnych wektorów ataku jest bardzo dużo: bankowość internetowa, mobilna, bankomaty. Dlatego banki szybko nauczyły się bezpiecznie funkcjonować w cyberprzestrzeni. Ponadto banki współpracują ze sobą: jeśli jeden znajdzie lukę w systemie bezpieczeństwa, komunikuje to innym. Część problemów rozwiązywana jest wspólnie - to jest siła grupy" - ocenił prezes Exatel. Jego zdaniem dobrze przygotowane są także firmy z szeroko rozumianej branży zajmującej się infrastrukturą cyfrową, np. operatorzy telekomunikacyjni czy spółki branży IT.

"Jeśli chodzi o pozostałych, to z naszego doświadczenia wynika, że poziom jest bardzo nierówny. Są podmioty świetnie przygotowane, o bardzo wysokich kompetencjach. Takie, z którymi możemy rozmawiać jak ekspert z ekspertem. Ale są i takie, które dopiero „się uczą" - zauważył prezes Exatela. Jak dodał, wiele firm uznaje wydatki związane z cyberbezpieczeństwem za koszt nieprzynoszący natychmiastowych korzyści. To koszt, który ponoszą bardzo niechętnie w ramach polityki zarządzania ryzykiem.

"Zazwyczaj budżety cyberbezpieczeństwa są łączone z budżetami telekomunikacyjnymi, które - przy obecnych cenach na rynku - są względnie małe i nie wystarczą na adekwatną ochronę. Mieliśmy np. doczynienia z bardzo dużą firmą , która ograniczyła miesięczny budżet na cyberbezpieczeństwo do 10.000 zł" - zauważył Bończa Tomaszewski. Jak mówił, zarządy firm i instytucji nie zdają sobie po prostu sprawy z realności zagrożeń.

"Wydaje im się np., że system IT sterujące maszynami na terenie fabryki nie potrzebują dodatkowych zabezpieczeń. Bo zakład jest otoczony murem, chroniony przez ochroniarzy, nie podłączony do Internetu i odcięty od biurowej sieci IT. Ale podczas realizowanych przez nas testów penetracyjnych często okazuje się, to teorią. Okazuje się na przykład, że upgrade firmowych maszyn wymagał chwilowego podłączania do Internetu. Połączenia, którego nikt nie wyłączył po wyjściu ekipy serwisowej" – zauważa prezes Exatela.

W ocenie Bończa Tomaszewskiego doświadczenia z różnych krajów pokazują, że oczekiwanie na oddolne, samodzielne tworzenie krajowych systemów cyberbezpieczeństwa przez firmy nie przynosi efektów. Dlatego potrzebne są regulacje takie jak ustawa o cyberbezpieczeństwie.

"Ustawa jest dla wielu instytucji koniecznym bodźcem do działania. A do jej niewątpliwych zalet należy to, że harmonogram jest liczony w miesiącach, a nie w latach. Narzuca więc szybki tryb i realistyczne ramy działania. Pcha też w kierunku praktyki, co zresztą widzimy po zainteresowaniu potencjalnych klientów. Ważnym elementem ustawy jest też cykliczność audytów, dzięki czemu trzeba nie tylko wdrożyć cyberbezpieczeństwo, ale też weryfikować ich efektywność" - dodał.

Zdaniem Bończa Tomaszewskiego ten rok będzie prawdziwym rokiem weryfikacji i dla twórców ustawy, i dla operatorów kluczowych.

"Zawsze jest teoria i praktyka. Trzeba sobie zdawać sprawę, że cyberbezpieczeństwo to wojna, która trwa permanentnie. To nie jest tak, ze wdrożymy jakiś drogi system i nic nam nie grozi. Bo już następnego dnia cyberprzestępcy mogą wymyśleć coś nowego" - podkreślił. (PAP)

autor: Małgorzata Werner-Woś