Podczas wtorkowej konferencji CYBERGOV zorganizowanej w Warszawie eksperci zastanawiali się nad skutkami wprowadzenia w Polsce unijnych przepisów dotyczących cyberbezpieczeństwa. Dyrektywa NIS (Network and Information Security) ma na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii Europejskiej. Dyrektywa stanie się obowiązującym prawem w ciągu dwóch – trzech lat. Podczas panelu dyskusyjnego specjaliści odpowiadali na pytanie: Jakie są najpilniejsze zadania w związku z jej wdrożeniem?
Trudna współpraca z biznesem
- Według mnie będzie to próba zmierzenia się z identyfikacją usług kluczowych. To jest coś, co już uruchomiliśmy na potrzeby infrastruktury krytycznej. Chodzi o przejście z obiektowego podejścia do podejścia usługowego. To, co dyrektywa NIS nazywa usługami podstawowymi będzie kojarzona z infrastrukturą krytyczną. Musimy zmierzyć się z tym, jakie wymagania bezpieczeństwa postawić wobec usługodawców – mówił podczas debaty Maciej Pyznar z Rządowego Centrum Bezpieczeństwa. - Zapewnienie bezpieczeństwa teleinformatycznego to jeden z tych elementów. Po lekturze szeregu planów wiemy, że różnie to bywa w różnych sektorach. Są branże, jak energetyka czy banki, gdzie świadomość wyzwań jest dość duża. Są też takie sektory, np. dostarczanie wody, gdzie świadomość zagrożeń teleinformatycznych nie jest wysoka – dodał.
Zastępca dyrektora CERT NASK Krzysztof Silicki tłumaczył, że dyrektywa NIS to szansa stworzenia krajowego systemu ochrony cyberprzestrzeni, który będzie zanurzony we współpracy międzynarodowej. Jest jednak pewne ryzyko.
- Można sobie wyobrazić, że spełnienie wymogów dyrektywy to wydanie aktów prawnych, a w praktyce wszystko pozostanie po staremu. Trzeba się skoncentrować na praktycznych sposobach działania – tak, by poziom bezpieczeństwa faktycznie wzrósł. Takie działania to np. powołanie krajowego CERT – mówił Silicki.
Tomasz Chodor z departamentu bezpieczeństwa PGNiG mówił o trudnej współpracy między administracją a biznesem. - Na tym etapie prac nad dyrektywą ważne jest budowanie relacji z jednostkami, które będą nią objęte. Do jej wdrożenia będą wymagane znaczne nakłady finansowe. Jeżeli mówimy o wydatkach, to my jako biznes chcielibyśmy mieć informację, co możemy zyskać ze strony państwa, które będzie organizowało struktury, definiowało wymogi. Istotne jest nawiązanie właściwych relacji między uczestnikami programu, budowa zaufania. Mówimy tu o przekazywaniu różnych informacji, również takich, które nie powinny ujrzeć światła dziennego. Kwestie bezpieczeństwa również są istotne – wyjaśniał.
Czym zajmie się narodowy CERT?
Padło też pytanie – jaka będzie rola CERT-u działającego obecnie w ramach NASK w implementacji dyrektywy? Wiadomo, że CERT Polska w przyszłości ma pełnić funkcję CERT-u narodowego.
– NASK jest obecnie nadzorowane przez ministerstwo cyfryzacji. Ważne, jakie ramy wyznaczy nam resort. NASK jest w stanie w kilku obszarach dotarczyć swoją wiedzę i doświadczenie. Jako przykład można podać m.in. analitykę, obraz sytuacyjny zagrożeń, pogłębione analizy, reagowanie na incydenty, dostarczanie różnorakiej wiedzy o tym, co się dzieje. Można też wyznaczyć usługi podstawowe, stworzyć kryteria, schematy reagowania na incydenty, zapewnić mechanizmy współpracy - tłumaczył Krzysztof Silicki.
Piotr Januszewicz, zastępca dyrektora departamentu cyberbezpieczeństwa w ministerstwie cyfryzacji rozwinął tę kwestię - CERT Polska zostanie przekształcony w instytucję, która będzie zbierała informacje od wszystkich jednostek. Stanie się takim CERT-em narodowym. Jego głównym zadaniem będzie koordynacja zdarzeń i incydentów bezpieczeństwa i przekazywanie i dystrybucja zdarzeń dalej. Pion analityczny w zajmie się sposobami obejścia problemów – mówił dyrektor.
Uczestnicy spotkania pytali, czy powstaną osobne CERT-y w ramach instytucji państwowych. Piotr Januszewicz wyjaśniał, że to zły pomysł. - Państwo musi optymalizować koszty funkcjonowania. Ile możemy zbudować CERT-ów? Lepiej zorganizować jeden duży, dobry ośrodek - niż tworzyć dziesięć bytów udających, że są CERT-ami i nie mających zdolności do operacyjnego działania - wyjaśnił.
Czytaj też: Szef NIK zarzuca administracji brak polityki cyberbezpieczeństwa
CERT Narodowy na razie przy NASK