Krajowy System Cyberbezpieczeństwa oczami praktyka

26/06/19

Dbałość o cyberbezpieczeństwo to już nie tylko kwestia dobrych praktyk poszczególnych organizacji, to także wymóg prawny, któremu trzeba sprostać.

Przykładowo, Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC), z sierpnia 2018 roku, nakłada na Operatorów Usług Kluczowych (OUK) cały wachlarz obowiązków związanych z zarządzaniem bezpieczeństwem w systemie informatycznym wykorzystywanym do świadczenia usługi kluczowej. Kto zalicza się do tej grupy? Między innymi podmioty z sektora energetycznego, transportowego, zdrowotnego czy bankowości.

Wspomniany akt prawny ma ogromne znaczenie, ponieważ celem powołanego do życia krajowego systemu cyberbezpieczeństwa jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Szansa na aktualizację

Naturalnie zapewnienie poufności, integralności, dostępności i autentyczności informacji przetwarzanych przez operatorów jest wymogiem definiowanym nie tylko przez UKSC - wynika przede wszystkim z potrzeb biznesowych każdej organizacji. To właśnie informacje przetwarzane przez operatorów, szczególnie związane z usługami kluczowymi, stanowią najcenniejszy zasób organizacji. Implementując dyrektywę NIS, polski ustawodawca skupił się co prawda na kwestiach związanych z incydentami bezpieczeństwa, niemniej jednak dokument daje operatorom szansę przyjrzenia się całościowo systemowi zarządzania bezpieczeństwem informacji wdrożonemu w ich organizacjach.

Dzięki temu wdrożenie środków organizacyjno-technicznych będące następstwem przeprowadzonej analizy może podnieść poziom bezpieczeństwa całej infrastruktury teleinformatycznej, zapewniając wyższy poziom ochrony informacji przetwarzanych w organizacji, w tym danych osobowych. Takie działania mogą także pozwolić osiągnąć efekt synergii, w postaci minimalizacji ryzyk związanych z niezgodnością z innymi aktami prawnymi, np. RODO. Warto przy tym odnotować, że wyniki przeprowadzonej analizy ryzyka mogą doprowadzić do rewizji przyjętych planów rozwoju infrastruktury i usług, a nawet nowelizacji przyjętej strategii cyberbezpieczeństwa.

Efektywne zarządzanie incydentami

Na rynku dostrzegamy też od pewnego czasu wzmożone zainteresowanie wdrażaniem Security Operation Center (SOC) w celu skutecznego zbierania informacji o zagrożeniach z zakresu cyberbezpieczeństwa oraz efektywnego zarządzania incydentami. Tego typu projekty, są impulsem do wdrożenia lub nowelizacji metodyki klasyfikacji informacji oraz nowego spojrzenia na systemy informatyczne, pod kątem ich krytyczności dla działania organizacji. Proces reagowania na incydent, w szczególności jego zgłaszanie, ocena i wyciąganie wniosków z zaistniałych zdarzeń powinno wywoływać potrzebę wdrożenia całego procesu podnoszenia świadomości pracowników w obszarze bezpieczeństwa. Może być to doskonałym przykładem współdziałania wielu, czasem pozornie niezwiązanych z cyberbezpieczeństwem jednostek organizacyjnych, takich jak departamenty kadr i szkoleń. Kluczowe znaczenie ma oczywiście zapewnienie bezpieczeństwa informacji nie tylko w środowisku wewnętrznym operatorów.

Nie tylko wewnątrz

Elementem skutecznego zarządzania incydentami, jest efektywny system zarządzania ryzykami związanymi z zewnętrznymi dostawcami. Co oczywiste, operatorzy mają mniejszy wpływ na procesy zapewnienia poufności czy integralności informacji przetwarzanych przez swoich dostawców usług, stąd proces efektywnej komunikacji ze środowiskiem zewnętrznym nie może obejmować jedynie organów publicznych powołanych do reagowania na incydenty. Musi również uwzględniać wszelkie organizacje współpracujące z operatorami.  Jak widać zapewnienie zgodności z ustawą, choć pozornie związane jedynie z zarządzaniem incydentami może być impulsem dla rozwoju całej organizacji i skutkować podniesieniem jej poziomu dojrzałości nie tylko w sferze stricte technicznej, ale także wzrostem kompetencji związanych z komunikacją wewnątrz i na zewnątrz organizacji czy procesem jej doskonalenia.


Dowiedz się więcej i pobierz raport “Wyzwania w cyberprzestrzeni. Przykłady rozwiązań, zagrożenia, regulacje”. Publikacja została opracowana wspólnie przez Instytut Kościuszki, PwC i Microsoft. To głos w debacie poświęconej konieczności podejmowania wspólnych i odpowiedzialnych działań w obliczu różnorodnych cyberzagrożeń, jak i realnych strat z nimi związanymi, które zgodnie z szacunkami w 2017 roku, przekroczyły 600 miliardów dolarów.

Skontaktuj się z nami

Malina Jankowska

Malina Jankowska

Dyrektor, Sektor publiczny, PwC Polska

Tel.: +48 519 508 126

Obserwuj nas