Strona główna Bezpieczeństwo biznesu Cyberbezpieczeństwo w firmach branży security & safety. Cz. 1

Cyberbezpieczeństwo w firmach branży security & safety. Cz. 1

Marek Ryszkowski

Nie było zapewne najlepiej w państwach członkowskich Unii Europejskiej z cyberbezpieczeństwem1), skoro w 2016 r. wprowadzono do europejskiego zbioru aktów prawa powszechnego dyrektywę2), której celem jest poprawa istniejącej w tym zakresie sytuacji. Dyrektywa zaleca ujednolicenie i zintensyfikowanie działań poprawiających zabezpieczenia przed cyberatakami ważnych unijnych i krajowych sieci LAN (o zasięgu lokalnym) i WAN (o zasięgu ponadlokalnym), a także ważnych3) autonomicznych systemów teleinformatycznych, połączonych lub niepołączonych z Internetem.

Branża S&S (Safety & Security -bezpieczeństwo i ochrona)  grupuje firmy ochrony osób i mienia, firmy zabezpieczenia technicznego, a także wywiadownie gospodarcze i firmy świadczące usługi detektywistyczne.

Dyrektywa zobligowała państwa UE do inkorporacji wielu jej przepisów do krajowych aktów prawa powszechnego, a także powołania organów i instytucji władzy publicznej, zapewniających wdrożenie tych regulacji oraz przekazywanie do organów i instytucji unijnych – w ściśle określonym trybie – informacji o stanie cyberbezpieczeństwa w ich narodowych cyberprzestrzeniach. Dla ułatwienia dalszych rozważań problemu cyberbezpieczeństwa przywołam ustawową definicję tego terminu:

cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

Praktykujący sztukę zarządzania dobrze wiedzą, że jeżeli pojawia się jakiś poważny problem do uregulowania, to najskuteczniejszym sposobem dokonania tego jest – po wykonaniu niezbędnych analiz i syntez takiego problemu – zastosowanie metod teorii systemów. Zatem, trywializując nieco, można stwierdzić, że dla zapewnienia bezpieczeństwa danym przetwarzanym w systemach teleinformatycznych oraz sieciach LAN i WAN najlepiej zorganizować – na bazie teorii systemów – system cyberbezpieczeństwa składający się z trzech podsystemów: sterującego, wykonawczego i alimentacyjnego. Ich nazwy jednoznacznie mówią, do jakich zadań zostaną powołane. Wprowadzona dyrektywa unijna niedwuznacznie zaleca powołanie takiego systemu, którego celem będzie zapewnienie wymaganego poziomu cyberbezpieczeństwa w unijnej i krajów członkowskich cyberprzestrzeniach. Określa także w sposób ramowy, jak tego dokonać na szczeblu unijnym i poszczególnych krajów członkowskich UE.

Zapewnienie bezpieczeństwa danych (aktywom informacyjnym) podlegających obligatoryjnej lub fakultatywnej ochronie w polskim systemie prawnym, przetwarzanych w systemach i sieciach teleinformatycznych jest obowiązkiem nie tylko decydentów unijnych i krajowych, lecz także zarządców podmiotów prawa handlowego i podmiotów o innym statusie prawnym, działających w polskiej, zatem także unijnej przestrzeni prawnej.
O podsystemie sterującym (część normatywno-prawna) systemu cyberbezpieczeństwa w naszej cyberprzestrzeni pomyśleli już polscy prawodawcy, wprowadzając do systemu prawa powszechnego RP ustawę o krajowym systemie cyberbezpieczeństwa i – na podstawie jej dyspozycji – kilka rozporządzeń wykonawczych. Zarządcy podmiotów prawa handlowego, także z branży S&S, jeżeli są do tego zobowiązani lub zamierzają (dla rozwoju rynkowego kierowanego przez siebie podmiotu) zorganizować systemy cyberbezpieczeństwa w swoich firmach, powinni zacząć od przestudiowania wspomnianej ustawy i wydanych na podstawie jej dyspozycji aktów wykonawczych – rozporządzeń. W ramce obok podajemy ich pełne nazwy i dane o sposobie opublikowania w Dzienniku Ustaw RP.

  1. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r., poz. 1369 tekst jednolity). Obowiązuje od 25 sierpnia 2020 r.
  2. Rozporządzenie Rady Ministrów z 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. z 2018 r., poz. 1806. Obowiązuje od 22 września 2018 r.
  3. Rozporządzenie Rady Ministrów z 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa (Dz.U. z 2018 r., poz. 1952). Obowiązuje od 13 października 2018 r.
  4. Rozporządzenie Ministra Cyfryzacji z 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. z 2018 r., poz. 1999). Obowiązuje od 19 października 2018 r.
  5. Rozporządzenie Rady Ministrów z 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r., poz. 2080). Obowiązuje od 31 października 2018 r.
  6. Rozporządzenie Rady Ministrów z 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz.U. z 2018 r., poz. 2180). Obowiązuje od 22 listopada 2018 r.
  7. Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. z 2019 r., poz. 2479). Obowiązuje od 7 stycznia 2020 r.

Ten zestaw aktów prawa powszechnego, stanowiący istotną część podsystemu sterującego systemu cyberbezpieczeństwa w polskiej cyberprzestrzeni, nie jest lekturą lekką ani łatwą dla osób podejmujących trud ich przestudiowania. Zatem przed podjęciem decyzji o przystąpieniu do organizowania firmowego systemu cyberbezpieczeństwa siłami własnymi firmy warto się zastanowić, czy nie będzie lepiej zaangażować do wykonania tego zadania (tzn. analizy i syntezy, o których była mowa wyżej) wyspecjalizowanej firmy zewnętrznej, która ma doświadczenie w tego rodzaju zleceniach i może okazać wiarygodne listy polecające od innych zleceniodawców, potwierdzających ich autentyczność.

Ponadto warto wiedzieć, że Urząd Dozoru Technicznego4), który otrzymał niemałe kompetencje ustawowe do działania w polskim systemie cyberbezpieczeństwa, w tym prawo do prowadzenia audytu cyberbezpieczeństwa w tzw. podmiotach – operatorach usług kluczowych, opracował innowacyjną metodykę Framework UDTCyber5). Metodyka ta ma być lub już jest wykorzystywana do prowadzenia wspomnianych audytów.

Definicję pojęcia usługa kluczowa zawiera ww. ustawa w art. 2, pkt 16 i brzmi ona następująco:
Usługa kluczowa – [oznacza] usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych.

Natomiast definicję terminu operator usługi kluczowej zawiera art. 5, ust. 1 wspomnianej ustawy i ma ona brzmienie:
Operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej.

Przywołana ustawa zawiera (w art. 17, ust. 1) także definicję terminu dostawca usług cyfrowych:
Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczącą usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców, o których mowa w art. 7 ust. 1 pkt 1 i 2 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. poz. 646 i 1479). Rodzaje usług cyfrowych określa załącznik nr 2 do ustawy.

Z kolei wykaz rodzajów usług kluczowych znajduje się w załączniku do rozporządzenia, które wyszczególniono wyżej pod poz. [2]. Wykaz ten powinien uważnie przestudiować zarządca każdego podmiotu, także ten, który świadczy usługi z zakresu ochrony osób i mienia. Świadcząc bowiem te usługi podmiotowi, który został uznany za operatora usług kluczowych lub dostawcę usług cyfrowych w rozumieniu przywołanej ustawy, może być uznany za część systemu cyberbezpieczeństwa tego operatora albo dostawcy, co nie pozostanie bez konsekwencji, np. ekonomicznych, sprzętowych czy organizacyjnych dla takiej firmy z branży S&S.

Wiedza o tym, co zawierają ww. akty prawa powszechnego i co zapisał UDT w swojej metodyce audytowania stanu cyberbezpieczeństwa podmiotów – operatorów usług kluczowych i dostawców usług cyfrowych, jest zatem niezbędna głównie zarządcom podmiotu audytowanego, a niewątpliwie będzie potrzebna także zarządcom jego kooperantów i outsourcingowców. Jak to zwykle przebiega, wiedzą wszyscy, którzy podlegali już różnego rodzaju audytom, certyfikacjom lub np. postępowaniu bezpieczeństwa przemysłowego. Znajomość metodyki wykonywania czynności w ramach tych przedsięwzięć przez inspektorów, audytorów czy kontrolerów (co mogą, a czego nie), zwłaszcza przez zarządców i pracowników objętych tymi czynnościami podmiotów, może okazać się istotnym czynnikiem do uzyskania pozytywnego dla podmiotu audytowanego (kontrolowanego) zakończenia tych czynności.

Kluczowy dla każdego podmiotu prawa handlowego, a także dla firm o innym statusie prawnym, jest wynik analizy i syntezy problemu, jak zapewnić wymagany poziom cyberbezpieczeństwa w cyberprzestrzeni firmy własnej i firmy ochranianej. Dla firm z branży S&S głównie, brak należytego poziomu cyberbezpieczeństwa w firmie tej branży zwykle może bowiem mieć negatywny wpływ na poziom cyberbezpieczeństwa w ochranianej firmie – zwłaszcza gdy jest ona operatorem lub dostawcą, o których była już mowa. Jakie zatem mogą być wyniki takiej analizy i syntezy wspomnianego problemu? Oto one:

  1. Nie zajmować się w firmie cyberbezpieczeństwem, gdyż ze względu na specyfikę i profil jej działalności biznesowej nie ma ona takiego obowiązku wynikającego z postanowień przywołanych wyżej (unijnego i krajowych) aktów prawa powszechnego. Może to dotyczyć tylko mikro- i miniprzedsiębiorstw, także tych z branży S&S. Firmy te powinny trzymać się z daleka od np. ofert ochrony fizycznej, wysyłanych do nich przez podmioty prawa handlowego i wszystkie inne, którym nadano status prawny ww. operatorów lub dostawców. „Zlekceważenie” cyberbezpieczeństwa w tych firmach nie oznacza oczywiście, że są one zwolnione z zapewnienia ochrony informacjom podlegającym obligatoryjnej lub fakultatywnej ochronie w unijnej i/lub polskiej przestrzeni prawnej przed dostępem osób nieuprawnionych.
  2. Kondycja ekonomiczna firmy i/lub perspektywa wzrostu pozycji rynkowej w sektorze jej działalności rynkowej mogą być zachwiane po poniesieniu kosztów budowy w niej systemu cyberbezpieczeństwa, chociaż nie można wykluczyć, że w sprzyjającej koniunkturze może być odwrotnie. W tym przypadku decyzja kierownictwa firmy – wchodzimy w to lub nie wchodzimy – może być trudna. Menedżerowie firm, które na budowę systemu ochrony informacji niejawnych i uzyskanie świadectwa bezpieczeństwa przemysłowego poniosły duże koszty, a które nigdy im się nie zwróciły finansowo, mogą coś na ten temat powiedzieć.
  3. Budowa systemu cyberbezpieczeństwa w firmie może – z dużym niekiedy prawdopodobieństwem – korzystnie wpłynąć na jej pozycję rynkową i rynkowy wizerunek. Może to dotyczyć zwłaszcza dużych firm, także tych z branży S&S, które udźwigną finansowo koszty tego przedsięwzięcia i – co ważne – już ochraniają lub są outsourcingowcami firm, które uzyskały status ww. operatorów lub dostawców.

Dla zarządców firm, które uzyskały wyniki analizy i syntezy problemu cyberbezpieczeństwa wyszczególnione w punktach 2 i 3, poza zbudowaniem jak najmniejszym kosztem systemu cyberbezpieczeństwa, ważne jest uzyskanie jego akredytacji przez UDT. Budując ten system, warto więc wiedzieć, wg jakiej metodyki audytorzy UDT będą działać i co sprawdzać w procesie jego akredytacji. Zatem dogłębna znajomość metodyki Framework UDTCyber jest dla zarządców tych firm bezcenna.

Czym jest wspomniana wyżej metodyka UDT, co zawiera i jakie problemy cyberbezpieczeństwa audytowanej firmy obejmą audytorzy UDTCert audytem zostanie przedstawione w drugiej części tego artykułu.

1) Definicję terminu „cyberbezpieczeństwo” zawiera art. 2, pkt 4 Ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
2) Dyrektywa PE i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. UE L 194 z 19.07.2016).
3) Kryteria ważności określa ustawa przywołana w artykule pod pozycją [1].
4) Urząd Dozoru Technicznego wymieniony został w art. 4 pkt 11 ww. ustawy jako istotny składnik polskiego Krajowego Systemu Cyberbezpieczeństwa.
5) O metodyce tej szerzej w Biuletynie Urzędu Dozoru Technicznego INSPEKTOR – TECHNIKA I BEZPIECZEŃSTWO, nr 2/2020, s. 7-8. Metodykę tę umieszczono w całości na stronie internetowej www.udt.gov.pl. Jej pobranie w całości przez zainteresowane osoby opatrzone jest warunkami, których akceptacja może być dla niektórych trudna do przyjęcia.

 

Marek Ryszkowski
dr inż., ekspert KSOIN, autor licznych artykułów i kilku książek z zakresu prawa ochrony informacji niejawnych, były pełnomocnik ochrony informacji niejawnych w kilku podmiotach prawa handlowego.

POWIĄZANE ARTYKUŁYWIĘCEJ TEGO AUTORA