Home       Strefa Klienta      Praca       Kontakt    

Cyberbezpieczeństwo

Ustawa o Krajowym Systemie Cyberbezpieczeństwa zacznie obowiązywać lada chwila. Po podpisie Prezydenta oczekujemy obecnie na opublikowanie tekstu Ustawy w Dzienniku Ustaw. Po 14 dniach od opublikowania ustawa zacznie obowiązywać. 

Jakie z tego rodzą się konsekwencje dla firmy i obywateli?

Identyfikuje tutaj dwie szkoły oceniające obecną sytuację zarządzania bezpieczeństwem w przedsiębiorstwach. Szkoła optymistów i szkoła realistów.

Aby dobrze zrozumieć podejście z jakim możemy się spotkać za chwilę należy się kilk słów wyjaśnień odnośnie samej ustawy. Treści ustawy nie będę tutaj wyjaśniał - kazdy może sobie ją przeczytać i wyrobić własną opinię, lub zajrzeć do “tego” artykułu.

Co mnie najbardziej uderza to to że wymagania zapisane w Ustawie dla operatorów usług kluczowych i usług cyfrowych są jak na standardy bezpieczeństwa obowiązujące na świecie, dosyć podstawowe. Zarządzanie ryzykiem, incydentami i podatnościami robi każda poważna firma, w której bezpieczeństwo ma znaczenie. Dzielenie się informacjami o incydentach to też standard w rozwiniętych cyfrowo krajach. Obecnie poświęca się tam sporo wysiłku na usprawnianie, doskonalenia skutecznej wymiany danych a nie na jej budowanie. Publikowanie informacji o zagrożeniach dla potencjalnie zainteresowanych *ustawa mówi o odbiorcach usług, klinentach” to również podstawa funkcjonowania zespołów typu Cert (np. ICS CERT USA). Dlaczego więc słychać głosy o tym że nie jesteśmy przygotowani, że ustawa to wiele wysiłku który musi być wdrożony w jej implementacje.

Może dlatego że bezpieczeństwo do tej pory polegało na wdrażaniu narzędzi, realizacji projektów i było w niektórych miejscach oderwane od biznesu? Nie mówiąc o możliwościach zajęcia się poważnymi incydentami po godzinie 17.00. Głos realisty mówi że trzeba teraz porzucić wzniosłe nazwy i karty projektów mówiące o naprawianiu wszystkiego a zabrać się za realną pracę. W końcu teraz jest to obowiązek ustawy a nie widzimisię oficera bezpieczeństwa.

Optymiści wskazują dla odmiany że przecież wszystkie te procesy już dawno u nas funkcjonują. Mamy procedury bezpieczeństwa, plany ochrony, zarządzamy skutecznie incydentami. Na pewno na papierze. Ale czy optymiści na pewno wiedzą o czym mówią? Gdzie jest granica między propagandą a skutecznym zarządzaniem problemem jakim jest cyberbezpieczeństwo?

Chciałbym aby kiedyś nastał dzień, w którym będę mógł na stronach firmy X przeczytać o najnowszych podatnościach zidentyfikowanych w ich produktach, potwierdzonych przez CSIRT oficjalnym komunikatem wydanym o 23.08 dnia poprzedniego. Chciałbym widzieć szeroko zakrojone akcje przeciwko kampaniom phishingowym koordynowane przez kogoś innego niż banki i portale zarabiające na bezpieczeństwu.

Na koniec ciekawostka. Według moich analiz, ustawa o krajowym systemie cyberbezpieczeństwa jest pierwszą ustawą w naszym systemie prawnym, która wymaga podejmowania realnych działań dotyczących bezpieczeństwa dla infrastruktury teleinformatycznej w naszym kraju, która jednocześnie mówi o sankcjach finansowych. Zgadzacie się?

Pozdrawiam

Wiesław Kasprzak

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

www.cyberustawa.pl

W trosce o jeszcze wyższy poziom bezpieczeństwa i ułatwienie współpracy podczas realizacji projektów wprowadzmy nową strefę Klienta.

 

Przepraszamy za utrudnienia!

 

Do zobaczenia!