Anna Cuch – Rządowe Centrum Bezpieczeństwa

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług. Staje się on równocześnie ogromnym zagrożeniem głównie, ze względu na coraz powszechniejsze i wyrafinowane ataki na sieci informatyczne. Przygotowany przez firmę Check Point Software Technologies Ltd. „2016 Security Report”1 pokazuje, że co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400%. [1]

W trosce o poziom cyberbezpieczeństwa, starając się zmniejszyć podatności poszczególnych krajów na zagrożenia w cyberprzestrzeni, Parlament Europejski przyjął 6 lipca ub. roku dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE), dalej jako Dyrektywa NIS. Weszła ona w życie w sierpniu ub. roku, a kraje UE mają 21 miesięcy na jej implementację.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa,
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT),
  • stworzenie grupy współpracy zapewniającej strategiczne współdziałanie oraz wymianę informacji,
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów,
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Zgodnie z informacjami Ministerstwa Cyfryzacji (MC), projekt Strategii Cyberbezpieczeństwa Polski na lata 2017-2022 poddano uzgodnieniom międzyresortowym oraz przedstawiono na Komitecie Rady Ministrów ds. Cyfryzacji. Obecnie procedura legislacyjna jest kontynuowana. Według zapowiedzi MC, dokument powinien zostać przyjęty w drodze uchwały RM na początku drugiego kwartału br. Jednak to dopiero początek drogi do osiągnięcia pełnej zdolności państwa do wykonywania nałożonych na nie funkcji. Istotne są dalsze działania, które będą prowadziły do stworzenia efektywnego systemu zarządzania cyberbezpieczeństwem. Tu główną rolę będzie odgrywała sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (sieć CSIRT). Na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych oraz dostawcy usług cyfrowych (sektor prywatny), zgłaszali właściwemu organowi krajowemu lub CSIRT [2] incydenty związane z bezpieczeństwem ich sieci informatycznych. Utworzone 1 lipca 2016 r. Narodowe Centrum Cyberbezpieczeństwa NASK (NC CYBER NASK) ma pełnić rolę security operation center (SOC) w dziedzinie cyberbezpieczeństwa, realizując audyty tych przedsiębiorstw i organów administracji publicznej, w których znajdują się elementy infrastruktury krytycznej.

Ponadto w ramach struktury NC CYBER NASK działa CERT Polska, do którego zadań należą:

  • rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci,
  • aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla użytkowników,
  • współpraca z innymi zespołami CERT w Polsce i na świecie,
  • udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego,
  • działalność badawcza z zakresu metod wykrywania incydentów bezpieczeństwa,
  • analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach;
  • rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń,
  • regularne publikowanie Raportu CERT Polska o bezpieczeństwie polskich zasobów internetu,
  • działania informacyjno-edukacyjne zmierzające do wzrostu świadomości w zakresie bezpieczeństwa teleinformatycznego, w tym:
  • publikowanie informacji o bezpieczeństwie na blogu cert.pl oraz w serwisach społecznościowych Facebook i Twitter,
  • organizacja cyklicznej konferencji SECURE,
  • niezależne analizy i testy rozwiązań z dziedziny bezpieczeństwa teleinformatycznego.

Pozostałe wyznaczone Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego zakresem swojego działania objęłyby wszystkich wyznaczonych operatorów usług kluczowych i dostawców usług cyfrowych. Wymagania i zadania dla tych zespołów zawiera załącznik do Dyrektywy NIS. Zespoły te mają stanowić kolejną linię wsparcia dla operatorów i dostawców. Warto zaznaczyć, że dyrektywa nie ustanawia obowiązku wyznaczenia jednego zespołu o charakterze narodowym. Dlatego też można dostrzec potrzebę powołania sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego lub sektorowych centrów wymiany i analizy danych (Information Sharing and Analysis Center, ISAC)[3].

Jednocześnie na poziomie europejskim utworzona zostanie sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego. W tym przypadku rolę sekretariatu będzie pełnić Europejska Agencja Bezpieczeństwa Sieci i Informacji ENISA[4]. Do europejskiej sieci zespołów należeć będą CSIRT wybrane przez władze krajów członkowskich, a także CERT-EU.

W zakresie organizacji systemu cyberbezpieczeństwa, skupiającego poszczególne zespoły reagowania na incydenty bezpieczeństwa komputerowego, należy przywołać opinie ekspertów, którzy wskazują na możliwość wykorzystania doświadczeń Stanów Zjednoczonych, gdzie sektorowe zespoły reagowania na incydenty już funkcjonują. Tego typu rozwiązania systemowe pozwalają oszczędzić czas i pieniądze, gdyż są budowane i finansowane przez sektor prywatny. Z uwagi na większą elastyczność w zakresie zatrudniania i wynagradzania gromadzą najlepsze kadry, na których utrzymanie nie mogłyby pozwolić sobie pojedyncze firmy czy też administracja rządowa. Chodzi zarówno o specjalistów analizy wstecznej złośliwego oprogramowania, jak i ekspertów zajmujących się testami penetracyjnymi, aż do osób, których jedynym zadaniem jest prowadzenie działań wywiadowczych w Internecie i darknecie[5]. Zdaniem ekspertów problematyki, powołanie takich zespołów powinno być obowiązkowe i stanowić jeden z podstawowych punktów implementacji Dyrektywy NIS. Takie też zapisy znajdują się w projekcie Strategii Cyberbezpieczeństwa Polski na lata 2017-2022.

Koncepcja budowy CSIRT sektorowych jest jak najbardziej słuszna. Problemem może stać się wyegzekwowanie udziału poszczególnych sektorów w jej realizacji. Często są to firmy i instytucje konkurujące ze sobą. Utworzenie jednego wspólnego dla nich ośrodka skupiającego dane wrażliwe, informującego m.in. o podatnościach, atakach, incydentach w użytkowanych przez nie systemach i sieciach teleinformatycznych, może stać się czynnikiem uniemożliwiającym budowę takiego zespołu. Dlatego też konieczne wydaje się nałożenie ustawowego obowiązku tworzenia sektorowych CSIRT na poszczególnych operatorów usług kluczowych oraz dostawców usług cyfrowych.

Reasumując, przed Polską, a w szczególności przedstawicielami instytucji zaangażowanych w opracowanie Strategii Cyberbezpieczeństwa RP oraz ustawy o krajowym systemie cyberbezpieczeństwa wiele zadań. Wśród najistotniejszych dla realizacji projektu można wyróżnić:

  • uchwalenie Strategii Cyberbezpieczeństwa RP na lata 2017-2022 – to zadanie jak już wspomniano jest prawie zrealizowane,
  • rzetelną implementację Dyrektywy NIS – jakość jej wdrożenia będzie świadczyć o determinacji w budowaniu cyberbezpieczeństwa,
  • klarowne i jednoznaczne określenie ról, odpowiedzialności oraz kompetencji poszczególnych podmiotów w zakresie cyberbezpieczeństwa,
  • uchwalenie ustawy o krajowym systemie cyberbezpieczeństwa regulującej najważniejsze kwestie związane z tym obszarem (projekt jest opracowywany w Ministerstwie Cyfryzacji),
  • aktywny udział Polski na arenie międzynarodowej w najważniejszych debatach odnoszących się do cyberbezpieczeństwa,
  • rozbudowę niezależnych, narodowych zdolności w obszarze cyberbezpieczeństwa (np. program Park Enigma),
  • dostosowanie systemu kształcenia w celu pozyskiwania większej ilości specjalistów w obszarze cyberbezpieczeństwa,
  • zaprojektowanie mechanizmów dobrze funkcjonującej współpracy prywatno-publicznej,
  • zapewnienie odpowiednich środków finansowych w budżecie państwa [6].

  1. http://pages.checkpoint.com/security-report.html.
  2. CSIRT – Computer Security Incident Response Team.
  3. https://www.cybsecurity.org/9-faktow-o-dyrektywie-nis-ktore-powinienes-znac/.
  4. Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA, ang. European Network and Information Security Agency) – agencja Unii Europejskiej odpowiedzialna za zapewnienie wysokiego i efektywnego poziomu bezpieczeństwa w sieciach i systemach informatycznych w Unii Europejskiej. Formalnie powołana do życia 15 marca 2004 roku na mocy Rozporządzenia (WE) nr 460/2004 Parlamentu Europejskiego i Rady służyć ma jako centrum doradztwa państwom członkowskim Unii Europejskiej w kwestiach związanych z szeroko rozumianym bezpieczeństwem w Internecie oraz przyczyniać się do rozwoju społeczeństwa informacyjnego.
  5.  jw.
  6. http://www.cyberdefence24.pl/288295,10-przykazan-dla-polskiego-rzadu-w-zakresie-cyberbezpieczenstwa.