Home       Strefa Klienta      Praca       Kontakt    

Cyberbezpieczeństwo

Ustawa o Krajowym Systemie Cyberbezpieczeństwa zacznie obowiązywać lada chwila. Po podpisie Prezydenta oczekujemy obecnie na opublikowanie tekstu Ustawy w Dzienniku Ustaw. Po 14 dniach od opublikowania ustawa zacznie obowiązywać. 

Jakie z tego rodzą się konsekwencje dla firmy i obywateli?

Identyfikuje tutaj dwie szkoły oceniające obecną sytuację zarządzania bezpieczeństwem w przedsiębiorstwach. Szkoła optymistów i szkoła realistów.

Aby dobrze zrozumieć podejście z jakim możemy się spotkać za chwilę należy się kilk słów wyjaśnień odnośnie samej ustawy. Treści ustawy nie będę tutaj wyjaśniał - kazdy może sobie ją przeczytać i wyrobić własną opinię, lub zajrzeć do “tego” artykułu.

Co mnie najbardziej uderza to to że wymagania zapisane w Ustawie dla operatorów usług kluczowych i usług cyfrowych są jak na standardy bezpieczeństwa obowiązujące na świecie, dosyć podstawowe. Zarządzanie ryzykiem, incydentami i podatnościami robi każda poważna firma, w której bezpieczeństwo ma znaczenie. Dzielenie się informacjami o incydentach to też standard w rozwiniętych cyfrowo krajach. Obecnie poświęca się tam sporo wysiłku na usprawnianie, doskonalenia skutecznej wymiany danych a nie na jej budowanie. Publikowanie informacji o zagrożeniach dla potencjalnie zainteresowanych *ustawa mówi o odbiorcach usług, klinentach” to również podstawa funkcjonowania zespołów typu Cert (np. ICS CERT USA). Dlaczego więc słychać głosy o tym że nie jesteśmy przygotowani, że ustawa to wiele wysiłku który musi być wdrożony w jej implementacje.

Może dlatego że bezpieczeństwo do tej pory polegało na wdrażaniu narzędzi, realizacji projektów i było w niektórych miejscach oderwane od biznesu? Nie mówiąc o możliwościach zajęcia się poważnymi incydentami po godzinie 17.00. Głos realisty mówi że trzeba teraz porzucić wzniosłe nazwy i karty projektów mówiące o naprawianiu wszystkiego a zabrać się za realną pracę. W końcu teraz jest to obowiązek ustawy a nie widzimisię oficera bezpieczeństwa.

Optymiści wskazują dla odmiany że przecież wszystkie te procesy już dawno u nas funkcjonują. Mamy procedury bezpieczeństwa, plany ochrony, zarządzamy skutecznie incydentami. Na pewno na papierze. Ale czy optymiści na pewno wiedzą o czym mówią? Gdzie jest granica między propagandą a skutecznym zarządzaniem problemem jakim jest cyberbezpieczeństwo?

Chciałbym aby kiedyś nastał dzień, w którym będę mógł na stronach firmy X przeczytać o najnowszych podatnościach zidentyfikowanych w ich produktach, potwierdzonych przez CSIRT oficjalnym komunikatem wydanym o 23.08 dnia poprzedniego. Chciałbym widzieć szeroko zakrojone akcje przeciwko kampaniom phishingowym koordynowane przez kogoś innego niż banki i portale zarabiające na bezpieczeństwu.

Na koniec ciekawostka. Według moich analiz, ustawa o krajowym systemie cyberbezpieczeństwa jest pierwszą ustawą w naszym systemie prawnym, która wymaga podejmowania realnych działań dotyczących bezpieczeństwa dla infrastruktury teleinformatycznej w naszym kraju, która jednocześnie mówi o sankcjach finansowych. Zgadzacie się?

Pozdrawiam

Wiesław Kasprzak

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

www.cyberustawa.pl

RODO i co dalej?

RODO to nowe unijne rozporządzenie odnośnie ochrony danych osobowych, wydane w maju 2016 roku z czasem na dostosowanie dla Organizacji do 25 maja 2018 roku. Wszystkie podmioty, niezależnie od ich lokalizacji na świecie, przetwarzające dane osobowe mieszkańców UE (stałych, tymczasowych oraz emigrantów) muszą spełnić wymagania GDRP albo staną przed perspektywą gigantycznych kar pieniężnych i utratą reputacji.

Zapewnienie zgodności z RODO wymaga wdrożenia zabezpieczeń zarówno organizacyjnych jak i technicznych. Działania jakie należy podjąć to między innymi:

Zabezpieczenia organizacyjne:

  • Powołanie inspektora ochrony danych osobowych;
  • Udokumentowania obszaru ochrony danych osobowych;
  • Zapewnienia szkoleń dla pracowników;
  • Realizacja analizy ryzyka ochrony danych osobowych;
  • Klasyfikacja danych osobowych;
  • Prowadzenie rejestru czynności przetwarzania;
  • Zarządzanie zmianą w systemach teleinformatycznych.

Zabezpieczenia techniczne (przykładowe):

  • System klasy DLP;
  • Kopie zapasowe danych;
  • Szyfrowanie danych;
  • Szyfrowanie wiadomości e-mail;
  • Ograniczenia transferu danych;
  • Pseudonimizacja danych;
  • System klasy SIEM;
  • Testy penetracyjne (nadzór nad podatnościami);
  • System klasy MDM;
  • Nadzór nad uprzywilejowanymi użytkownikami;
  • System anti-malware.

Należy pamiętać, że wszystkie wdrożone w związku z RODO zabezpieczenia mogą obniżyć wysokość kar nałożonych na organizację w związku z niespełnieniem wymagań RODO.

RODO jest skupione na kompleksowej ochronie danych osobowych, a nie jedynie na zapewnieniu ich poufności. Zgodności z nowymi regulacjami unijnymi wymaga więc działań proaktywnych i daleko idącego wysiłku organizacyjnego.

Zapraszamy do zapoznania się ze sposobem wdrożenia - Dowiedz się więcej!