Zintegrowana obsługa incydentu bezpieczeństwa

Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa incydentem w podmiocie publicznym jest każde zdarzenie, które wpływa na jakość lub ciągłość realizacji zadania publicznego. Kierownik jednostki jest zobowiązany zapewnić warunki umożliwiające bezzwłoczne ich zgłaszanie i obsługę.

Według Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2018 r., przygotowanego przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV, najczęściej zgłaszane przez podmioty publiczne zdarzenia dotyczą obecności wirusa, błędnej konfiguracji urządzeń, różnych prób skanowania systemu, a dopiero na piątym miejscu phishingu. Dostawcy rozwiązań antywirusowych twierdzą jednak, że to właśnie od nich zaczyna się 90 proc. wszystkich ataków cybernetycznych. Analitycy firmy McAfee szacują z kolei, że urzędy i instytucje znajdują się na drugim miejscu na liście zainteresowania cyberprzestępców. Podobnie uważa Fundacja Bezpieczna Cyberprzestrzeń, która wskazuje, że blisko 18 proc. takich grup swoje kampanie kieruje właśnie na sektor publiczny.


Zrzut ekranu z raportu firmy McAfee -przestępcy najbardziej interesują się podmiotami publicznymi

W 2019 r. było widać wyraźnie – choćby po doniesieniach medialnych – wzrost liczby ataków na rodzime jednostki sektora finansów publicznych. Wielu z nich dałoby się zapewne uniknąć, gdyby wymagania rozporządzenia o Krajowych Ramach Interoperacyjności (z 2012 r.!) były przez te podmioty wdrożone i egzekwowane. Tymczasem kontrole NIK wykazały, że aż 70 proc. jednostek samorządowych jest na bakier z zarządzaniem bezpieczeństwem informacji, a przeważająca większość z nich nie podchodzi do tego zagadnienia systemowo.

Przeprowadzone ok. trzech lat temu przez Polskie Towarzystwo Informatyczne badanie wykazało, że 46 proc. placówek w ogóle nie prowadzi rejestrów incydentów komputerowych. Co więcej, tam, gdzie je uruchomiono w aż 40 proc. przypadków przez co najmniej rok nie odnotowano żadnego niepokojącego zdarzenia w obszarze bezpieczeństwa. Jest to niepokojące, ponieważ oznacza, że w praktyce nikt z tego narzędzia nie korzysta.

Podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego zapewnia zarządzanie incydentem w podmiocie publicznym. art. 22. ustawy o krajowym systemie cyberbezpieczeństwa

Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa incydentem w podmiocie publicznym jest każde zdarzenie, które powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego. W sytuacji, gdy jest ono zależne od systemu informatycznego (a zazwyczaj jest), to dodatkowo podmiot ten jest zobowiązany do zarządzania takim incydentem oraz do zgłoszenia go w ciągu doby do właściwego CSIRT-u.

Jeśli dodatkowo doszło do naruszenia ochrony danych osobowych i istnieje ryzyko naruszenia praw lub wolności osób fizycznych, to na mocy art. 33 rodo bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – należy zgłosić taką sytuację organowi nadzorczemu. Warto zatem po raz kolejny przypomnieć, że na mocy art. 20 ust 2 KRI to kierownik podmiotu publicznego jest zobowiązany zapewnić warunki umożliwiające bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.



O serwisie