„My mamy informatyków”, czyli o problemach operatorów usług kluczowych

„My mamy informatyków”, czyli o problemach operatorów usług kluczowych

Ustawa o krajowym systemie cyberbezpieczeństwa[1] oraz stojąca za nią Dyrektywa NIS[2] postawiły sektor prywatny przed zadaniem wdrożenia szeregu wymagań, w tym wynikających z dwóch norm ISO/IEC 27001 – odnoszącej się do zarządzania bezpieczeństwem informacji oraz ISO 22301 – odnoszącej się do zarządzania ciągłością działania. Firmy identyfikujące i analizujące te przepisy na etapie legislacyjnym były w stanie podjąć pewne kroki ułatwiające im działania w przyszłości, lecz wiele podmiotów zobowiązanych zostało niejako zaskoczonych nowymi obowiązkami.

„U nas pracuje 100 informatyków”

Z punktu widzenia firmy doradczej część podmiotów nie do końca zdawały – lub nawet nadal zdaje – sobie sprawę z charakteru wymagań w przepisach odnoszących się do cyberbezpieczeństwa. Należy tu podkreślić fakt, że przepisy o krajowym systemie cyberbezpieczeństwa kładą bardzo duży nacisk na organizacyjny aspekt bezpieczeństwa, przez co ich realizacja raczej nie ogranicza się do osób technicznych w organizacji, a reakcją dużej części podmiotów w zakresie wsparcia we wdrożeniu wymagań ustawy było odwołanie do posiadanych służb IT. Po analizie wymagań, czy dedykowanym audycie wewnętrznym, okazywało się jednak, że niezbędne jest wsparcie zewnętrzne w dostosowanym do organizacji wdrożeniu rozwiązań opartych na normach ISO. Dość wspomnieć, że nierzadko jądrem usługi kluczowej w organizacji okazywał się być obszar automatyki OT, a nie klasycznego IT.

Człowiek najsłabszym ogniwem cyberbezpieczeństwa

Wymagania organizacyjne odwołujące się do analizy ryzyka, czy wielopoziomowej dokumentacji można oczywiście spełnić na wiele sposób, ale z punktu widzenia firmy najważniejsze, aby – jeśli nie ma takiej potrzeby – nie dokonywać rewolucji oraz na tyle na ile to możliwe spróbować wykorzystać zmiany do uporządkowania wymagających tego procesów. Niekiedy trudny do zrozumienia jest również fakt, że „cyberbezpieczeństwo” to nie tylko atak hackerski, ale również inne czynniki, jak np. utrata zasilania, czy błąd konfiguracyjny. Co najważniejsze to właśnie obszar związany z błędami – ludzkimi – stanowi największe wyzwanie we wdrażaniu bezpieczeństwa technicznego czy organizacyjnego. Stąd istotne jest również wyróżnienie obszaru bezpieczeństwa osobowego, opartego przede wszystkim na budowaniu świadomości

„Te przepisy można wykorzystać”

Podsumowując powyższym cytatem z rozmowy kończącej audyt jednego z operatorów usług kluczowych należy podkreślić, że podmioty zobowiązane same dostrzegają w realizacji wymagań przepisów o krajowym systemie cyberbezpieczeństwa szansę na doskonalenie. Wynikiem tego jest wdrażanie – dla całych organizacji a nie tylko obszarów usługi kluczowej jak wymagają tego przepisy – systemów zarządzania bezpieczeństwem informacji, zarządzania ryzykiem, czy ciągłości działania, a nawet testowanie reakcji na incydent w ramach zarządzania kryzysowego.

 

Jacek Knopik
Konsultant ds. cyberbezpieczeństwa w PBSG SA

 

[1] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560)

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii