12.07.2018 | 07:54

Gosia Fraser

Gdy zabraknie pieniędzy na bezpieczeństwo, ograniczymy obsługę incydentów

Jak Polska ma bronić się przed atakami komputerowymi? Z ustawy wynika, że w miarę możliwości jak najtaniej. A jeśli zabraknie środków, to metodą ograniczenia wydatków ma być… ograniczenie obsług incydentów.

5 lipca Sejm RP uchwalił ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC). Ma ona wdrażać unijną dyrektywę NIS (Network and Information Systems Directive) znaną w Polsce częściej pod nazwą dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Ustawa o KSC została przygotowana przez Ministerstwo Cyfryzacji. Teraz czeka ją jeszcze głosowanie w Senacie RP.

Jak ma działać Krajowy System Cyberbezpieczeństwa?

W założeniu nowej ustawy Krajowy System Cyberbezpieczeństwa ma przyczynić się do lepszego radzenia sobie z atakami cybernetycznymi oraz ma zminimalizować straty wynikające z ataków, które będą naruszały cyberbezpieczeństwo kraju. Adresatami ustawy o KSC są tzw. operatorzy usług kluczowych oraz dostawcy usług cyfrowych.

Do pierwszej grupy należy zaliczyć przede wszystkim przedsiębiorstwa z sektora bankowości, infrastruktury cyfrowej, ochrony zdrowia i sektora energetycznego. Unia Europejska pozostawiła furtkę dla krajów członkowskich, która umożliwia samodzielne tworzenie listy takich operatorów kluczowych.

W myśl ustawy operatorem usługi kluczowej jest podmiot “wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej”. W tym przypadku państwo bierze pod uwagę m.in. czy dane przedsiębiorstwo jest zależne od systemów informatycznych, jaki jest jego udział w rynku lub jakie jest znaczenie przedsiębiorstwa dla działalności danego sektora. Obecnie Ministerstwo Cyfryzacji szacuje, że zostanie wyznaczonych ok. 335 operatorów usług kluczowych.

Operator usługi kluczowej będzie miał obowiązek niezwłocznie zgłosić poważny incydent do właściwego Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT – Computer Security Incident Response Teams),  jednak nie później niż w ciągu 24 godzin od momentu jego wykrycia.

Na poziomie krajowym powołano trzy takie zespoły, do których należą:

  1. CSIRT MON – prowadzony przez Ministra Obrony Narodowej,
  2. CSIRT NASK – prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy,
  3. CSIRT GOV – prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego.

Druga grupa to dostawcy usług cyfrowych, na których spoczywać będzie obowiązek podejmowania środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości świadczenia usługi. Dostawcy usług cyfrowych będą musieli także zgłaszać istotne incydenty z zakresu cyberbezpieczeństwa, nie później niż w ciągu 24 godzin do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.

Pełnomocnik ds. Cyberbezpieczeństwa – w mundurze czy nie?

Ustawa wymienia również Pełnomocnika Rządu do spraw Cyberbezpieczeństwa, który już w marcu br. został powołany przez Prezesa Rady Ministrów Mateusza Morawieckiego na mocy rozporządzenia w sprawie ustanowienia Pełnomocnika Rządu do spraw Cyberbezpieczeństwa. Do jego zadań należeć będzie m.in. realizowanie polityki rządu, aby zapewnić bezpieczeństwo kraju. Otwarte pozostaje pytanie, czy Pełnomocnik będzie faktycznie łącznikiem pomiędzy resortami, czy też jego powiązanie z konkretnym ministerstwem spowoduje, że cyberbezpieczeństwo na stałe założy mundur.

Polska wreszcie ma strategię cyberbezpieczeństwa. Czy czujemy się bezpieczniej?

W dyrektywnie NIS przewidziano także przyjęcie na poziomie krajowym Strategii Cyberbezpieczeństwa. Ma ona w swoim założeniu doprowadzić do osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa. Do tej pory nasz kraj nie mógł się pochwalić własną strategią cyberbezpieczeństwa. Chociaż podejść do tego tematu było już bardzo wiele, to nie udało się jak do tej pory stworzyć spójnej koncepcji, która zarówno opinii publicznej, jak i innym krajom komunikowałaby jasno, że sfera cyberbezpieczeństwa jest przez Polskę traktowana serio. Polska została zmuszona do tego dopiero przez wdrażanie unijnej dyrektywy. Jak będzie wyglądała strategia? Zobaczymy. Jedno jest pewne – z punktu widzenia zwykłego użytkownika powstanie strategii absolutnie niczego nie zmieni. Strategia Cyberbezpieczeństwa w myśl ustawy ustalana jest na okres pięcioletni; zostanie przyjęta do dnia 31 października 2019 r.

Wady ustawy o KSC

Pewnym mankamentem ustawy o KSC jest wymiar nakładanych kar przez organy nadzorujące. W art. 73 określono maksymalny wymiar kary pieniężnej na 1 mln złotych i to tylko w przypadku, jeśli właściwy organ stwierdzi, że operator usługi kluczowej lub dostawca usługi cyfrowej uporczywie będzie naruszać przepisy powodując zagrożenie dla  bezpieczeństwo państwa lub życia i zdrowia ludzi. Wymiar kary wydaje się jednak mały, biorąc pod uwagę skalę zagrożenia i skutki, jakie może wywołać niewłaściwe działanie operatora lub dostawcy.

Należy się zastanowić, dlaczego posłowie z Komisji nie chcieli skorzystać z rozwiązań znanych już w polskim prawie, chociażby w ustawie o ochronie konkurencji i konsumentów z 2007 r.  Zgodnie z nią prezes UOKIK w drodze decyzji może nałożyć na przedsiębiorcę karę pieniężną w wysokości do 10% obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary. Byłaby to zdecydowanie dotkliwsza kara niż zaproponowany przez ustawę maksymalny milion złotych, który dla wielu podmiotów będzie odczuwalny tak mocno, jak ukąszenie komara.

Podczas prac komisji pojawiły się zarzuty ze strony pewnego członka Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii (CNT), że ustawa o KCS będzie nieskuteczna przez wprowadzone niedawno przepisy GDPR (RODO) nakładające m.in. obowiązek informacyjny na administratora danych osobowych. Postulowano przyjęcie poprawki, która będzie wyłączała (na kształt wyłączenia blokowego) taki obowiązek informowania w przypadku osób popełniających przestępstwa na szkodę operatorów usług kluczowych.

Pokazuje to jednak dobitnie, że dalej jest duże niezrozumienie społeczne (i to na poziomie poselskim – sic!), czym jest i jak działa ogólne rozporządzenie o ochronie danych osobowych. Należy podkreślić, że wobec osób, co do których prowadzi się czynności operacyjne, nie ma czegoś takiego jak obowiązek informacyjny.

Co z polskim budżetem na cyberbezpieczeństwo?

Na całym świecie wydatki na cyberbezpieczeństwo są coraz większe. Do stopniowego powiększania budżetów wzywają organizacje przedsiębiorców, media, rozumieją to również same rządy – martwi więc, że w polskiej ustawie o Krajowym Systemie Cyberbezpieczeństwa budżetowanie jest zorganizowane „na sztywno”. Co więcej, stały poziom finansowania zapisano… do roku 2027. Poniżej przykład dla jednego z organów, Komisji Nadzoru Finansowego.

Jeżeli zatem między rokiem 2018 a rokiem 2027 potrzeby w zakresie finansowania cyberbezpieczeństwa wzrosną, to trzeba będzie… je ograniczyć. Ustawa przewiduje takie rozwiązania jak np.:

  • rezygnacja z organizowania bądź uczestnictwa w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w Rzeczypospolitej Polskiej lub w Unii Europejskiej,
  • ograniczenie finansowania działalności sektorowego zespołu cyberbezpieczeństwa powołanego przez dany organ właściwy,
  • ograniczenie wydatków związanych z realizacją zadań ustawowych dotyczących obsługi incydentów,
  • ograniczenie wydatków związanych z zapewnieniem wyposażenia niezbędnego do obsługi Zespołu do spraw Incydentów Krytycznych.

Oznacza to, że w praktyce najprawdopodobniej, jeśli w budżecie w danym roku zabraknie środków, to cyberbezpieczeństwo będzie można „wyłączyć” i przestać reagować na incydenty, jak i brać udział w międzynarodowych ćwiczeniach z zakresu cyberobronności. 

Budżetowanie „na sztywno” polskiego cyberbezpieczeństwa każe jednak myśleć, że uchwalenie ustawy niewiele zmieni w temacie tego, czy cyberobronę traktujemy poważnie, czy nie. Pokazuje natomiast dobitnie, że w razie zagrożenia potencjalnie narażone podmioty będą musiały radzić sobie same – na wypadek, gdyby w państwowej kasie zabrakło cyberpieniędzy.

Powrót

Komentarze

  • 2018.07.12 08:12 Lopez

    Przecież taki budżet to koszty wdrożenia jednego/dwóch systemów bezpieczeństwa w większej organizacji. I to ma być budżet szanującego kraju należącego do NATO?

    Odpowiedz
    • 2018.07.12 08:43 nom

      Utf-8/none…
      No i wez tu wspomnij o budzetach bankow, niejednokrotnie wiekszych niz Pkb niektorych panstw.
      I dlaczego policja ma mieszac sie w ochrone prywatnych bankow a nie obywateli..

      Odpowiedz
      • 2018.07.12 10:57 esti

        [quote]I dlaczego policja ma mieszac sie w ochrone prywatnych bankow a nie obywateli..[/quote]

        W cyberataku na Estonię, gdy ludzie nie mogli płacić kartami i wypłacać kasy z bankomatów, faktycznie banki miały duże straty. Ale weź to pytanie zadaj obywatelom estońskim, którzy nie mogli kupić z tego powodu chleba, czy opłacić na czas rachunków.

        Odpowiedz
        • 2018.07.12 11:39 klakier

          A podobno gotówka to takie straszne zło, którego używają tylko terroryści. ;)

          Odpowiedz
        • 2018.07.14 10:34 John Sharkrat

          Ro ilu Estończyków zmarło z głodu lub zostało bankrutami?

          Odpowiedz
          • 2018.07.17 12:03 ktos

            Czyli musisz umrzeć z głodu lub zbankrutować by poczuć się na tyle niekomfortowo, by przeznaczyć publiczne pieniądze na wspomożenie rozwiązania tego problemu?

      • 2018.07.13 09:43 Janusz

        Taki budżet to pensja roczna mniej więcej 3-4 specjalistów. Jak na cały kraj, to nieco mało. A gdzie koszty wytworzenia stosownego oprogramowania, a gdzie koszty szkolenia?

        Odpowiedz
        • 2018.07.14 10:35 John Sharkrat

          Pieniądze na takie bzdet pochodzą z twoich podatków. Chcesz VAT na poziomie 25%? A może dodatkową opłatę na wzmocnienie cyberbezpieczeństwa?

          Odpowiedz
          • 2018.07.17 12:04 ktos

            A może po prostu mniej rozdawać (500+) a więcej przeznaczyć na właśnie takie sensowne „bzdety”?

        • 2018.07.17 19:54 T.

          3-4
          max 2 jeśli mówimy o specjalistach bez „”

          Odpowiedz
  • 2018.07.12 09:14 Test

    A czemu mieliby wydawac wiecej? nic takiego sie nie stalo w sferze bezp. gdzie panstwo ucierpialo. Zaloze sie, ze dopiero jesli bedzie jakis grubszy hack to sie i kasa znajdzie.

    Odpowiedz
  • 2018.07.12 09:35 rumbaje

    Ano dlatego kary będą do miliona, bo przytłaczająca liczba podmiotów będzie państwowa. Dlatego wspomniane 10% nie jest dobrym przykładem, bo będzie to przenoszenie kasy z jednego miejsca do innego w tym samym budżecie. Czyli państwo samo siebie nie będzie dotkliwie karało, mijałoby się to po prostu z celem.
    A budżet ustalany na sztywno jest tylko w celach poglądowych. Ramowe kosztorysy mogą być w każdym momencie zmienione, zwłaszcza te wybiegające kilka lat naprzód. Poza tym w budżecie są też zapisane środki w rezerwie budżetowej, które są wydatkowane m.in. na podobne nieprzewidziane sytuacje.
    Art to niestety stek bzdur.

    Odpowiedz
  • 2018.07.12 09:58 Michał

    Od 2020 budżet będzie wynosił 404, ponieważ się nie znajdzie :P

    Odpowiedz
    • 2018.07.12 13:19 Prowirus

      Powyższy komentarz wygrywa Internety :)
      I całkiem poważnie mówiąc to nie jest nierealne, bo zwracam uwagę na słowo „maksymalny” przed „limit”. Może to być coś jak maksymalna deklarowana prędkość Neostrady, która istnieje tylko w zapisie papierowym :)

      Odpowiedz
  • 2018.07.12 13:57 Audytor

    był taki dowcip, jak partyzanci schowali się przed Niemcami w studni i odpowiadali echem na pytania:
    – byli tu? – byli tu?
    – w domu ich nie ma? – w domu ich nie ma?
    – a może w stodole? – a może w stodole?
    – a może poszli do lasu? – a może poszli do lasu?
    – a może wrzucimy granaty do studni?
    ….
    a może poszli do lasu?

    No cóż, to już nie czas na dowcipy z czasów prl, a jak zdarzy się prawdziwy problem apt, paylod, malware etc. to może zadziała zasada: czego oczy nie widzą, tego sercu nie żal?

    Odpowiedz
  • 2018.07.12 14:58 TakaPrawda

    404k – budżet not found :D

    Odpowiedz
    • 2018.07.13 22:18 Arni

      Ja bym się bał o 404 Poland not found …

      Odpowiedz
  • 2018.07.12 21:25 Przemek

    Budżet ciekawy, dla porównania budżet roczny na wymianę komputerów w UM x wynosi 320 :)

    Odpowiedz
  • 2018.07.13 09:46 alan

    NA razie wygląda to na zwykłe pozorowanie. MOże jest inny pomysł na to ale trzeba było dać coś na sztukę, albo co i jak się zobaczy później, bo teraz mamy ważniejsze sprawy na głowie (jakiś szabrek na gospodarce?). Potem to się poprawi. Ja bym się nie podniecał.

    Odpowiedz
  • 2018.07.13 15:56 jasc

    Państwo teoretyczne nadal ma się świetnie – nawet jak się państwo obwiesi wszelkimi możliwymi sztandarami i poświęci :P

    Odpowiedz
  • 2018.07.15 13:55 shill z vihena

    Prawda jest taka, że nie muszę się martwić o takie rzeczy, bo wszystko mają pod kontrolą i każdy ruch każdego użytkownika jest śledzony. Skala inwigilacji jest niesamowita, wszystskie wykopki i inne „podziemne” fora hakierskie, nawet za cebulką, to pełen matrix. Nie potrzebna była do tego wiedza o IT, ale zwykła psychologia i stworzenie armii lojalnych TW z administratorów, tak jak zrobili to z dyrmą albo czaxem. Na waszym miejscu zwyczajnie odłączyłbym kabel i poczytał jakąś książkę.

    Odpowiedz
    • 2018.07.20 00:16 alan

      @”poczytał jakąś książkę”
      i obudził już w matrixie? Polecam Ci L.Jęczmyk „Nowe średniowiecze”. Trzeba myśleć a nie się wyłączać.

      Odpowiedz
  • 2018.07.31 18:47 Obserwator

    Niezależnie od wykorzystania bużdetu rocznego na Linuxa i BSD stać ich zawsze. xD
    A jak będą nakładać kary za naruszenia na prywatne instytucje jak PlusBank, to jeszcze mogą zarobić na swoje utrzymanie, co w administracji państwowej jest bardzo rzadkim zjawiskiem. xD

    Pozdro

    Odpowiedz

Zostaw odpowiedź do jasc

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Gdy zabraknie pieniędzy na bezpieczeństwo, ograniczymy obsługę incydentów

Komentarze