Zintegrowana obsługa incydentu bezpieczeństwa
Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa incydentem w podmiocie publicznym jest każde zdarzenie, które wpływa na jakość lub ciągłość realizacji zadania publicznego. Kierownik jednostki jest zobowiązany zapewnić warunki umożliwiające bezzwłoczne ich zgłaszanie i obsługę.
Według Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2018 r., przygotowanego przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV, najczęściej zgłaszane przez podmioty publiczne zdarzenia dotyczą obecności wirusa, błędnej konfiguracji urządzeń, różnych prób skanowania systemu, a dopiero na piątym miejscu phishingu. Dostawcy rozwiązań antywirusowych twierdzą jednak, że to właśnie od nich zaczyna się 90 proc. wszystkich ataków cybernetycznych. Analitycy firmy McAfee szacują z kolei, że urzędy i instytucje znajdują się na drugim miejscu na liście zainteresowania cyberprzestępców. Podobnie uważa Fundacja Bezpieczna Cyberprzestrzeń, która wskazuje, że blisko 18 proc. takich grup swoje kampanie kieruje właśnie na sektor publiczny.
W 2019 r. było widać wyraźnie – choćby po doniesieniach medialnych – wzrost liczby ataków na rodzime jednostki sektora finansów publicznych. Wielu z nich dałoby się zapewne uniknąć, gdyby wymagania rozporządzenia o Krajowych Ramach Interoperacyjności (z 2012 r.!) były przez te podmioty wdrożone i egzekwowane. Tymczasem kontrole NIK wykazały, że aż 70 proc. jednostek samorządowych jest na bakier z zarządzaniem bezpieczeństwem informacji, a przeważająca większość z nich nie podchodzi do tego zagadnienia systemowo.
Przeprowadzone ok. trzech lat temu przez Polskie Towarzystwo Informatyczne badanie wykazało, że 46 proc. placówek w ogóle nie prowadzi rejestrów incydentów komputerowych. Co więcej, tam, gdzie je uruchomiono w aż 40 proc. przypadków przez co najmniej rok nie odnotowano żadnego niepokojącego zdarzenia w obszarze bezpieczeństwa. Jest to niepokojące, ponieważ oznacza, że w praktyce nikt z tego narzędzia nie korzysta.
Podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego zapewnia zarządzanie incydentem w podmiocie publicznym. art. 22. ustawy o krajowym systemie cyberbezpieczeństwa
Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa incydentem w podmiocie publicznym jest każde zdarzenie, które powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego. W sytuacji, gdy jest ono zależne od systemu informatycznego (a zazwyczaj jest), to dodatkowo podmiot ten jest zobowiązany do zarządzania takim incydentem oraz do zgłoszenia go w ciągu doby do właściwego CSIRT-u.
Jeśli dodatkowo doszło do naruszenia ochrony danych osobowych i istnieje ryzyko naruszenia praw lub wolności osób fizycznych, to na mocy art. 33 rodo bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – należy zgłosić taką sytuację organowi nadzorczemu. Warto zatem po raz kolejny przypomnieć, że na mocy art. 20 ust 2 KRI to kierownik podmiotu publicznego jest zobowiązany zapewnić warunki umożliwiające bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.