W sierpniu miną dwa lata od wejścia w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wdrożenie jej wymogów jest zadaniem każdego podmiotu, który został wyznaczony jako operator usługi kluczowej. Związanym z tym wyzwaniom poświęcone jest drugie już „KSC Forum”, tym razem odbywające się w formie wirtualnej. Wrześniową e-konferencję poprzedzą trzy zdalne spotkania tematyczne. Podczas pierwszego dyskutowano o aktualnych postępach w realizacji wymagań regulacyjnych dotyczących KSC, innych prawnych aspektach cyberbezpieczeństwa oraz technicznych możliwościach przeciwdziałania zagrożeniom w coraz bardziej cyfrowym środowisku działania biznesu.
Reprezentujący różne branże uczestnicy panelu dyskusyjnego byli zgodni: ustawa o KSC dała organizacjom uznanym za operatorów usług kluczowych impuls do kompleksowego zajęcia się problematyką cyberbezpieczeństwa. Obrazowo ujął to Andrzej Krzyżanek, dyrektor Departamentu Zarządzania Bezpieczeństwem Informacji w ZUS: „Działania wdrożeniowe potraktowaliśmy jako wehikuł do poprawienia ogólnego poziomu bezpieczeństwa w instytucji”. Z kolei Grzegorz Kuta, dyrektor Biura Bezpieczeństwa Informacji i Spraw Obronnych w PKP PLK, zwrócił uwagę, że prowadzone prace dostosowawcze inspirują do zajęcia się w większym stopniu problematyką cyberbezpieczeństwa również podmioty, które nie są operatorami usług kluczowych.
Przedsiębiorstwa podlegające wymogom ustawy starają się wymieniać informacjami i doświadczeniami oraz współpracować z podmiotami zewnętrznymi. Pierwsi operatorzy z konkretnymi zadaniami muszą jednak na ogół radzić sobie sami. Zdaniem Ryszarda Leszka Bernasia, dyrektora Pionu Infrastruktury w Międzynarodowym Porcie Lotniczym im. Jana Pawła II Kraków-Balice, wynika to po pierwsze z zupełnie nowego obszaru regulacji, w którym nikt wcześniej nie funkcjonował, a po drugie z różnorodności podmiotów realizujących wymogi ustawy. „Nawet każdy port lotniczy ma swoją specyfikę, która wpływa na charakter podejmowanych działań” – podkreślał Ryszard Leszek Bernaś.
Szacowanie ryzyka to podstawa
W opinii Marcina Maruty, wspólnika w kancelarii prawnej Maruta Wachta, cyberbezpieczeństwo powinno być dzisiaj jednym z podstawowych czynników do szacowania ryzyka w każdej organizacji. Na razie jest niedoceniane i niedoszacowane. Do wzrostu jego znaczenia mogą przyczynić się różne regulacje prawne, także te niezwiązane z KSC. Jedne już istnieją, inne dopiero będą wprowadzane. Za wzór może posłużyć sektor finansowy, który ma swoje standardy, rekomendacje, wzorce działania. „Banki nie potrzebują ustawy o KSC, żeby móc się poważnie zająć cyberbezpieczeństwem. Regulacje wprowadzane przez KNF bazują na szacowaniu ryzyka” – tłumaczył Marcin Maruta.
Jego zdaniem, podejście risk-based staje się obowiązujące również w innych regulacjach. Cyberbezpieczeństwo będzie w firmach zyskiwać na znaczeniu pod presją potencjalnych roszczeń ze strony klientów. Na specjalistach cybersecurity będzie ciążyła większa odpowiedzialność, bo jeśli nie zostanie zapewniona odpowiednia ochrona, to przedsiębiorstwa będą ponosić olbrzymie koszty w wyniku roszczeń zgłaszanych przez klientów. Sądy będą w takich sytuacjach standardowo badać, czy organizacje wchodząc w środowisko cyfrowe, dochowały należytej staranności, by zabezpieczyć system informatyczny. Dlatego każdy proces w organizacji powinien być analizowany pod kątem ryzyk z zakresu cyberbezpieczeństwa.
Wspólna odpowiedzialność
„Postępujące wraz z transformacją cyfrową zmiany w środowisku technologicznym wymagają również ponownego przeanalizowania przyjętej strategii bezpieczeństwa w aspekcie narastających zagrożeń” – zwracała uwagę Joanna Dąbrowska, Sales Engineer w Trend Micro. Jej zdaniem cyberbezpieczeństwo powinno być dzisiaj podstawą wszelkich procesów biznesowych. To obszar odpowiedzialności współdzielonej. Musi dotyczyć wszystkich w firmie, nie może być przydzielone tylko do jednej osoby czy jednego działu. Tym bardziej że zagrożenia stają się coraz bardziej złożone i niejednokrotnie trudno je właściwie zakwalifikować. Dlatego też coraz większego znaczenia nabierają odpowiednie narzędzia, które pozwalają w sposób automatyczny identyfikować najważniejsze zdarzenia.
Zachęcamy do zapoznania się z prezentacją Joanny Dąbrowskiej zarejestrowaną podczas pierwszego spotkania z cyklu KSC FORUM 2020.
Dostęp do nagrania całego spotkania można uzyskać logując się na stronie https://www.kscforum.pl/agenda/#spotkanie-i
Serdecznie zapraszamy do wzięcia udziału w drugim spotkaniu w ramach „KSC Forum”, które będzie poświęcone zagadnieniom współpracy na rzecz cyberbezpieczeństwa. Agenda spotkania oraz link do rejestracji znajduje się na stronie https://www.kscforum.pl/agenda/#spotkanie-ii