CyberbezpieczeństwoBiznesPolecane tematy

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa: utracona szansa

Mirosław Maj, założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń, wieloletni kierownik CERT Polska, komentuje projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (uKSC): zaprzepaszczona szansa na przedstawienie spójnego rozwiązania strategicznego, które mogłoby by być praktycznym przewodnikiem dla dziesiątek tysięcy podmiotór, które będą podlegały proponowanej regulacji.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa: utracona szansa

Dobrze oceniam próbę wydzielenia kwestii tak ważnych jak certyfikacja do osobnej regulacji. Błędem poprzedniej nowelizacji było forsowanie ujęcia w jednym akcie prawnym wszystkich palących spraw, które wykazują pokrewieństwo z cyberbezpieczeństwem. Zawiniło być może dobre doświadczenie w procedowaniu pierwszej ustawy z 2018 roku, kiedy szybko zbudowano konsensus.

Jak ocenia Pan różnice pomiędzy NIS2 polską adaptacją dyrektywy zawartą w obecnym projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (uKSC)?

Różnice same w sobie nie są niczym złym. Kluczowa jest oczywiście sama implementacja dyrektywy, ale warto przy okazji uwzględnić własne dobre pomysły i uwarunkowania. W ramach implementacji NIS1 w 2018 roku zrealizowano na przykład oryginalny pomysł na trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT-y). Pamiętam, że nie byłem zwolennikiem tego rozwiązania – uważałem, że potrzebny jest jeden centralny ośrodek operacyjny.

Mimo to, od początku wiedziałem, że w tych trzech ośrodkach, czyli NASK, MON i ABW, są nie tylko ambicje, ale też historycznie ugruntowane kompetencje oraz możliwości działania. Właśnie w zasadniczej mierze dzięki kompetencjom nie zrealizowały się ryzyka, które tworzeniu sieciowej organizacji towarzyszyły. Dziś zresztą dostrzegam sporo zalet tego rozwiązania, w szczególności uwzględnienie polskich uwarunkowań. Autonomia i oddziaływanie poszczególnych ośrodków są bardzo silne. Wiemy jak mocny ośrodek w ostatnich latach zbudowało Ministerstwo Obrony Narodowej. Z kolei historycznie taki podmiot powołano w Agencji Bezpieczeństwa Wewnętrznego, gdzie powstał pierwszy CERT.GOV.PL z ambicjami wykreowania podstawowego centrum zagadnień i operacji cyberbezpieczeństwa.

Czy zatem obecny projekt dobrze wykorzystuje podobną szansę na rozszerzenie i uzupełnienie tekstu dyrektywy?

Odnoszę wrażenie, że obecna wersja projektu ma strukturę patchworku. Przypadkowy dobór spraw, mniej lub bardziej ważnych, mniej lub bardziej dokładnie opisanych i w konsekwencji wielki nieporządek. W efekcie mam raczej poczucie straconej szansy.

Dlaczego?

Już w samej warstwie tekstowej ta ustawa budzi rozczarowanie. Znam poprzedni projekt, konsultowałem go, powinienem znać ten tekst… Tymczasem mamy do czynienia z bardzo trudną, często niezbyt schludnie zapisaną treścią. Od strony gramatycznej czy logicznej są tu zapisy, które przy uważnej redakcji nie powinny się w projekcie znaleźć.

Prawnicze teksty mają oczywiście swoją specyfikę, ale tekst ustawy liczy ponad 130 stron, w wersji ujednoliconej stron 88. Samo przeczytanie go jest trudne. W miarę lektury narastało jednak we mnie przykre poczucie, że nie składa się w spójny, konsekwentny pomysł na wykorzystanie NIS2.

Same drobne błędy budują przekonanie o niechlujności, pośpiechu jaki musiał towarzyszyć powstawaniu dokumentu. I rodzi podejrzenie, że jeśli w małych sprawach nie dochowano staranności, to tym bardziej w zasadniczych… Niestety szybko się to potwierdza. Co chwila w zapisach powstaje nowy wektor oddziaływania i zmienia się kierunek myślenia. Nie buduje to solidnego, skonsolidowanego obrazu działania KSC po nowelizacji. Brakuje poczucia siły w całej propozycji… ona się wręcz rozjeżdża.

Przyjmuję, że to efekt działania pod presją czasu. Ale uprawnione są także polityczne interpretacje rozmaitych rozstrzygnięć. Biorąc pod uwagę te uwarunkowania, obawiam się, że atmosfera wokół nowelizacji może ulec pogorszeniu. Zastanawiam się, czy na przykład CSIRT-y krajowe nie zaczną się mocno bronić przed odpowiedzialnością jaka towarzyszy ich działaniom. Takie sygnały już docierają – np.: z ABW. Ze względu na presję czasową, wewnętrzną presję polityczną oraz presję uwarunkowań geopolitycznych, w jakich przychodzi nam implementować NIS2 – obawiam się, że zabraknie dyskusji nad możliwym skorygowaniem fundamentalnych słabości tej ustawy, a każdy krytyk dostanie łatkę sabotażysty, który stopuje wprowadzenie witalnych dla cyber przepisów.

Obawiam się też, że mamy w tym projekcie propozycję systemu, który będzie niezwykle trudny do przyjęcia. Do rzetelnego zastosowania przez firmy, sektory i instytucje administracji, instytucje nadzorcze. I to jest właśnie w moim przekonaniu wielka utracona szansa. Ten system bowiem dotknie nawet 40 tys. podmiotów, które tworzą prawdziwy krwioobieg organizmu cyberbezpieczeństwa. Jeśli one go nie przyjmą – bo będzie dla nich niezrozumiały, nieprzejrzysty, nielogiczny – to nie będzie prawdziwie działającym systemem, na który czekamy, tylko tworem pozostającym w sferze papierologii.

To wspomniane uczucie utraconej szansy jeszcze się wzmogło, kiedy przypomniałem sobie, że mogliśmy tę nowelizację mieć za sobą, w pełniejszym kształcie, bez obecnych amputacji.

W obecnym projekcie nowelizacji dostrzegam poważne ryzyko, że znowu możemy stracić szansę budowy sieci sektorowych CSIRT-ów. Jeżeli wprowadzono zapisy pozwalające konsolidować CSIRT sektorowe, to sądzę, że będziemy obserwować to zjawisko. Jedne CSIRT-y będą konsolidowane na poziomie sektorów i obsługiwać kilka na raz, a rolę innych będzie przejmować CSIRT krajowy. Sprzyjać będzie temu deficyt specjalistów.

Czego zatem z wcześniej planowanych elementów brakuje Panu w nowym projekcie?

Brakuje mi odniesień do okrzepłych na rynku pojęć, takich już kulturowych w cyberbezpieczeństwie kotwic, jak na przykład SOC. One mają utrwaloną, identyfikowalną pozycję – są punktem odniesienia: wiadomo, że to działa, że można zbudować lub wynająć takie rozwiązanie. Można SOC monitorować, można ulepszać jego działanie, poprawiać błędy w jego organizacji – ale jest korpus wiedzy i doświadczenia, do którego można się odwołać.

Brakuje mi takiego stałego punktu odniesienia, czegoś konkretnego w wirtualnym świecie. Ja nie odnajduję w tym projekcie właściwie ani jednego takiego pomysłu.

Można to zakwalifikować jako celowe lub nieintencjonalne pominięcie takich odniesień i skupienie na implementacji.

Są też jednak ewidentne błędy. W moim przekonaniu takim właśnie jest zapis o normie ISO, której wdrożenie wyłącza spod „kurateli” zapisów NIS2. To jest ewidentny błąd w redakcji. Te dwa systemy referencyjne nie są tożsame. Nie ma propozycji, jest szereg działań, które nie wiadomo właściwie jak realizować. To szczególnie utrudni dostosowanie podmiotom niedoświadczonym a zakwalifikowanym do grona ważnych i kluczowych.

Nie wróży to dobrze w kontekście wątków, które są obligatoryjne i trudniejsze. Doświadczenie z poprzedniej próby nowelizacji wykazało jakie spory budzi np. kwestia dostawców wysokiego ryzyka czy polecenia zabezpieczającego. Brak porozumienia w tych obszarach uniemożliwił moim przekonaniu poprzednią próbę nowelizacji. One są bardzo ważne z punktu widzenia bezpieczeństwa państwa i jestem ich zwolennikiem, ale ogólny chaos jaki wprowadza cała nowelizacja, nie ułatwi adaptacji tych rozwiązań do systemu prawa. Będąc członkiem poprzedniej kadencji Rady ds. Cyfryzacji, widziałem jakie tym zapisom towarzyszyły naciski zewnętrzne, lobbystyczne. Podsumowując – w perspektywie obecnej noweli – powstaje model binarny, w którym albo jesteś za ustawą albo jesteś wrogiem. Wiele stracimy z tego powodu.

Obecny projekt zawiera jednak opis procedury wskazywania dostawców wysokiego ryzyka, jest ona ułożona w sposób kompromisowy, nie jest rezerwowana do podmiotów z określonych krajów, może dotyczyć wybranej linii produktowej czy produktu, jest obwarowana szeregiem „bezpieczników”, które mają utrudniać jej wprowadzanie ad hoc. A zarazem dowodzi, że państwo działa.

Jestem przeciwny ukrywaniu zasad, nieprzejrzystości procedur. Jednocześnie, jestem też przeciwny traktowaniu cyberbezpieczeństwa, całej sfery bezpieczeństwa, w oderwaniu od sytuacji państwa. Podczas szczytu NATO w Warszawie w 2016 roku stwierdzono, że cyber jest kolejną domeną prowadzenia konfliktu. Nie można budować systemów w oderwaniu o tych faktów o charakterze geopolitycznym, powołując się tylko na argumenty natury biznesowej.

W tym leży problem obecnego projektu nowelizacji – w próbie ściśle technokratycznego podejścia do analizy i identyfikacji ryzyka technologii. Oczywiście – posługujemy się zobiektywizowaną procedurą, dajemy szansę wszystkim bez wstępnych uprzedzeń. Tylko czy to, aby nie jest oderwane od rzeczywistości – od strategicznego podejścia do cyberbezpieczeństwa?

Przecież tak jak w każdej innej sferze, działa kontekst geopolityczny, nasze zaangażowanie w określonym sojuszu i systemie współpracy. W hipotetycznej sytuacji, kiedy nawet nie mamy dowodów na istnienie jakiejś luki bezpieczeństwa w rozwiązaniu dostawcy – to pozostaje jeszcze kwestia, czy nasz sojusznik pozwoli nam na dołączenie do systemu zarządzania naszej sieci, jeśli znajdują się urządzenia nieakceptowanego przezeń dostawcy. Z punktu widzenia naszego sojusznika, jest to potencjalna słabość całego układu. Mamy się obrazić? Wypisać z sojuszu dlatego, że ktoś nam nie pozwoli podłączyć się routerem określonej marki?

Podobny problem jest z certyfikacjami. Badanie urządzeń i rozwiązań jest bardzo dobre. Ale musimy także dysponować mechanizmem jakiegoś hamulca bezpieczeństwa. Wobec strategicznych powodów wyższego poziomu, w odniesieniu do pewnych obszarów.

To poniekąd, w mojej ocenie, jest już w uzusie, aczkolwiek, co ciekawe, nie wobec tych podmiotów, o których myślimy jako potencjalnie najbardziej ryzykowanych, tj. dostawców technologii chińskich. Okazuje się, że w momencie, kiedy cały świat rozwiązań cyberbezpieczeństwa przesuwa się z rozwiązaniami do chmury, nad którą właściwie my tracimy kontrolę, podmioty obsługujące infrastrukturę krytyczną, same często nakładają na siebie samoograniczenia. Nie zgadzają się na takie rozwiązania mniej lub bardziej świadomie, albo regulacyjnie, ponieważ w tle pojawiają się w wewnętrzne regulacje albo na przykład zalecenia Agencji Bezpieczeństwa Wewnętrznego.

Takim narzędziem dającym elastyczność w ocenie kontekstu wydaje się zapis o mechanizmie rekomendacji sektorowych lub rozporządzeń dotyczących sektorów, pozostających w gestii administracji.

Jestem zwolennikiem rozwiązań sektorowych, w szczególności teraz, kiedy będziemy musieli wyskalować system do dziesiątek tysięcy podmiotów. Na taką liczbę trzy krajowe CSIRT-y z pewnością nie wystarczą. W obowiązującej ustawie mamy zresztą możliwość powoływania CSIRT-ów sektorowych, ale od czasu jej wejścia w życie w 2018 roku powstały raptem dwa CSIRT-y sektorowe, z czego jeden dopiero ostatnio.

W obecnym projekcie nowelizacji dostrzegam poważne ryzyko, że znowu możemy stracić szansę budowy sieci sektorowych CSIRT-ów. Jeżeli wprowadzono zapisy pozwalające konsolidować CSIRT sektorowe, to sądzę, że będziemy obserwować to zjawisko. Jedne CSIRT-y będą konsolidowane na poziomie sektorów i obsługiwać kilka na raz, a rolę innych będzie przejmować CSIRT krajowy. Sprzyjać będzie temu deficyt specjalistów. Jest to oczywiście działanie bez sensu z punktu widzenia efektywności i budowy sieciowego charakteru CSIRT-ów, ale niestety mam obawę, że ktoś wykorzysta taką furtkę.

Niebezpieczne jest także zaburzanie hierarchiczności działania operacyjnego, w myśl której CSIRT-y sektorowe mają inną rolę niż CSIRT-y poziomu krajowego. Wymieszanie tych funkcji zniweczy pionowy przepływ informacji. I znowu nachodzi mnie refleksja – po co rozpisywać się w projekcie ustawy o specyfice CSIRT-u sektorowego, jeśli na koniec okazuje się, że jego rolę może też pełnić CSIRT poziomu krajowego?

One mają także swoje ograniczenia możliwości rozbudowy, więc nie zdołają przejąć zadań wszystkich sektorów.

Być może skończy się na tym, że CSIRT-y krajowe dostaną większe budżety do ich obsługi. Ale oczywiście są fizyczne granice ich możliwości obsługi zdarzeń. Nawiasem mówiąc, w zapisach ustawy, odzwierciedla się pewien układ sił na „scenie” cyberbezpieczeństwa. Widać, że niektóre podmioty potrafiły zadbać o odpowiednie budżety i one są wprost tam wpisane. A inne chyba jeszcze nie wiedzą o tym, że czeka je dużo nowych obowiązków. Przypuszczam, że na biurko ministra cyfryzacji trafiło sporo pism z różnych resortów z treścią „Nie wnoszę uwag”.

Chce Pan powiedzieć, że projekt ma kilku wiodących „autorów”, których zainteresowanie skupiało się na określonych tematach?

Są po temu przesłanki. Znowu wrócę do mojej generalnej tezy, że cały obraz projektu jest niespójny, i to jest zasadniczy metodyczny problem z punktu widzenia jakości. Widać to w zróżnicowaniu szczegółowości rozwiązań. Niekiedy rozwiązania, które mają drugo- czy trzeciorzędne znaczenie opisane są szczegółowo. Na przykład zapisy precyzujące, że jeśli jakiś zespół nie będzie miał szefa, to zastąpi go sekretarz, albo zastępca sekretarza. I to jest na poziomie ustawy. A za chwilę, w następnym punkcie podano, że sposób w jaki będzie działał ten zespół, będziemy regulowali w rozporządzeniu.

Za to kwestie, które są kluczowe – jak ćwiczenia – skwitowane są ogólnikowym zapisem: ileś tam różnych podmiotów będzie brało udział w różnych ćwiczeniach w kraju i za granicą, a pełnomocnik „zainicjuje ćwiczenia Krajowego Systemu Cyberbezpieczeństwa”. Przyzna Pan, że dość ogólne to stwierdzenie. Nie wiadomo co to znaczy, że zainicjuje, czy jest wymóg ich przeprowadzenia.

Tymczasem od 2018 roku przeprowadziliśmy raptem jedne ćwiczenia Krajowego Systemu Cyberbezpieczeństwa – w 2020 roku, za kadencji ministra Marka Zagórskiego. Nieskromnie powiem, że udały się przy mocnym udziale Fundacji Bezpieczna Cyberprzestrzeń, we współpracy z NASK i Ministerstwem. W mojej ocenie, jeśli mamy poważnie podchodzić do tematu, to takie ćwiczenia powinny się powtarzać w cyklu co najmniej dwuletnim.

Nie twierdzę, że te kwestie powinny być bardzo szczegółowo określone, ale przynajmniej powinna z tych zapisów wynikać determinacja regulatora do wdrożenia reżimu ćwiczeń, testowania odporności naszej cybersfery. Jeżeli mówimy, że kierownik podmiotu, który obowiązuje ustawa, musi raz na rok przejść szkolenie, a jednocześnie projekt ustawy nie wspomina nawet, jak często warto zorganizować sprawdzenie Krajowego Systemu Cyberbezpieczeństwa, to jest to metodycznie niepoprawne.

I znowu mam nieodparte wrażenie, że może zabrakło czasu na dobre przemyślenie co jest ważne i co chcemy osiągnąć dzięki implementacji NIS2. Jestem daleki od formułowania prostych zarzutów, sądzę raczej, że aby sprawczość i sterowność odzyskać, w trybie poprawek trzeba by wprowadzić zasadniczą, strategiczną i architektoniczną myśl w tę ustawę.

Czy tryb konsultacji projektu daje miejsce i czas na korekty o charakterze systemowym?

Formalnie rzecz biorąc tak, w trybie konsultacji można poprawić wszystko. Obawiam się jednak, że kilkadziesiąt podmiotów zgłosi swoje uwagi liczone raczej w setkach, to na próbę takich poważnych korekt pod presją czasu autorzy projektu po prostu się nie zdecydują. Może najodważniej byłoby siąść do tego projektu jeszcze raz, w szerszym gremium i pokusić się o zbudowanie naprawdę dobrej ustawy?

Może tej harmonizacji i spójności dodadzą inne legislacje, jak wyjęty do osobnej ustawy rozdział dotyczący certyfikacji?

Dobrze oceniam próbę wydzielenia kwestii tak ważnych jak certyfikacja do osobnej regulacji. Błędem poprzedniej nowelizacji było forsowanie ujęcia w jednym akcie prawnym wszystkich palących spraw, które wykazują pokrewieństwo z cyberbezpieczeństwem. Zawiniło być może dobre doświadczenie w procedowaniu pierwszej ustawy z 2018 roku, kiedy szybko zbudowano konsensus.

Kiedy pojawiły się kontrowersyjne zapisy dotyczące, na przykład, rozdawania częstotliwości, operatora strategicznej sieci bezpieczeństwa – zaczęły się dyskusje, byłem świadkiem podczas poprzedniej kadencji rady ds. cyfryzacji uruchomienia poważnych sił lobbystycznych.

Dlatego strategia klastryzacji regulacji wokół tematu cyberbezpieczeństwa jest dobra. Powstaje jednak pytanie, co jest aktem nadrzędnym, narzucającym wizję i strategię. Nie da się namaścić obecnej nowelizacji uKSC na taki akt pośrednio, poprzez inne ustawy.

W odpowiedzi na Pana krytyczne wypowiedzi może pojawić się zarzut, że siedząc z boku łatwo jest krytykować. Wiem, że byłoby to niesprawiedliwe. Zapytam więc raczej: jaką rolę NGO-sów w budowaniu prawa i całego systemu cyberbezpieczeństwa w Polsce by Pan widział?

Rzeczywiście, przedstawiam krytyczną ocenę, ale o zarzut bezczynności się nie obawiam. Jako Fundacja od 2012 roku organizujemy w Polsce ćwiczenia Cyber-EXE Polska, nie musimy nikomu udowadniać, że poważnie podchodzimy do tematu. Trzeba jednak zrozumieć, jak rozłożone są siły sprawcze do stworzenia tak kompleksowego tworu, jak system prawno-organizacyjny cyberbezpieczeństwa.

Wierzę, że czwarty sektor mógłby się przysłużyć dobrze temu projektowi. Dzisiaj jednak nikt tego od nas nie oczekuje. Wymaga to oczywiście pieniędzy, ale środki przeznaczone na cel takiej szerokiej konsultacji ze strony neutralnych gremiów i organizacji – z pewnością by się zwróciły.

Podkreślę – neutralnych, ponieważ jak w każdym obszarze, jest także grono organizacji pozarządowych, które zdecydowały się przyjmować granty od stron sporu o kształt cyberbezpieczeństwa, jawnie lub niejawnie wchodząc w rolę adwokatów np. wielkich dostawców zainteresowanych określonym kształtem zapisów polecenia zabezpieczającego czy analizy ryzyka w odniesieniu do dostawców itd. Ich udział oczywiście groziłby degeneracją, korupcją całego procesu prawodawczego.

Dzisiaj nie ma schematu, który pozwoliłby rozłożyć pracę nad ustawą taką, jak implementacja NIS 2 także na czwarty sektor. Zastrzegam, że poważnych NGO’s nie interesuje układ: najlepiej sami napiszcie nam projekt. Schemat i reżim współpracy są jednak do pomyślenia i byłoby to korzystne dla cyberbezpieczeństwa w naszym kraju.

Pojawiają się pewne zręby takiego podejścia. Jako przykład podam uaktywnienie się i stworzenie pewnych możliwości międzynarodowych przez agendy Ministerstwa Spraw Zagranicznych. Można też pewne rzeczy inicjować w określonych zakresach i wątkach, np. dotyczących sieci CSIRT-ów sektorowych i krajowych.

Jestem adwokatem we własnej sprawie, ale mówię o tym otwarcie, ponieważ jestem przekonany, że byłoby to w interesie nie tylko naszej Fundacji, sektora NGO, ale całej sfery cyberbezpieczeństwa w Polsce.

Może rolę takiej platformy mogłyby odgrywać Centra Wymiany i Analizy Informacji, czyli ISAC-i?

Cóż, w projekcie nie mamy już ISAC-ów. Jest to kolejny dowód na to, że nie ma punktów zaczepienia, nie ma myślenia strukturalnego, organizacyjnego, gdzie funkcjonowałyby pojęcia ISAC czy SOC. Pozostały jedynie CSIRT-y sektorowe, wymuszone przez NIS2, ale w mojej ocenie, jak to już mówiłem – rozmyte.

W rozmowie z nami dyrektor Łukasz Wojewoda argumentuje, że udział w ISAC z definicji jest dobrowolny, więc regulowanie tej kwestii byłoby nadmierne. A z kolei nadmiernego entuzjazmu dla tej idei na rynku nie widać.

Trzeba jednak oddać sprawiedliwość, że powstał w Polsce ISAC kolejowy. Podobny charakter w moim przekonaniu ma Bankowe Centrum Cyberbezpieczeństwa. Nie zgodzę się natomiast z panem dyrektorem Wojewodą, że ujęcie w ustawie definicji i roli ISAC nie miałoby znaczenia. Zresztą, przecież CSIRT-y sektorowe w Polsce jak dotąd także się nie rozwinęły. W moim przekonaniu ustawa może inicjować różne pozytywne działania, więc także stwarzać zachęty do budowy ISAC.

Takie rozwiązanie mogłoby spełnić dobrą rolę dla wielu sektorów, szczególnie że niejasne jest, czy CSIRT-y sektorowe spełnią swoje zadanie sieciowe. Dla sektorów mniej dojrzałych, które będą konsolidować albo cedować zadania CSIRT, ośrodki takie jak ISAC mogłyby służyć budowaniu korpusu wiedzy, który z czasem pozwoliłby na stworzenie własnymi siłami CSIRT. Ponadto taki ISAC może realizować pewne zadania operacyjne.

Dla sektorów zaawansowanych z kolei, jak energetyczny czy finansowy, ISAC służący wymianie praktyk i wiedzy musiałby mieć więcej ograniczeń, aby nie dzielić się na przykład wiedzą stanowiącą o przewagach konkurencyjnych.

Natomiast w obu tych modelach byłoby miejsce, aby formuła ISAC uwzględniła udział czwartego sektora – w sposób służący efektywności.

W ustawie mamy także zapis, który umożliwia zgłaszanie prośby o wsparcie operacyjne w obsłudze incydentów w sytuacji, kiedy mamy do czynienia z podmiotem kluczowym lub ważnym, będącym w naszym systemie cyberbezpieczeństwa, który jednak siedzibę główną ma poza granicą Polski. To przypadek wielu filii komercyjnych organizacji. Taki mechanizm oceniam bardzo pozytywnie, spodziewam się, że poprawi skuteczność oddziaływania CERT-ów krajowych, ponieważ lokalny CERT będzie traktowany na danym rynku inaczej, lepiej, niż zagraniczna instytucja dobijająca się działania w sferze cyber.

Zapytam jeszcze o przyszłość. Czy wdrożenie NIS2 w krajach Unii Europejskiej pozwoli stworzyć wspólny obszar bezpieczeństwa?

Trzeba to rozpatrywać na poziomie strategicznym i operacyjnym. Implementacja NIS2 pośrednio wspiera działanie istniejącej już sieci CSIRT Network. Łączy ona CSIRT-y na poziomie krajowym ze wszystkich krajów członkowskich. Mówiąc zupełnie otwarcie funkcjonują one na różnym poziomie jakościowym. Wynika to po trosze z doświadczenia – mamy dużo młodych CERT-ów/CSIRT-ów, podczas gdy np. CERT NASK obsługujący CSIRT krajowy dobiega już 30-lecia działalności i jest jednym z bardziej rozpoznawalnych i szanowanych w Europie i na świecie.

Sieć współpracy pozwala wyrównywać wiedzę. Między innymi w oparciu o mechanizm peer review, czyli wzajemnej oceny sytuacji dokonywanej w modelu Security Incident Management Maturity Model (SIM3). Mechanizm budowy dojrzałości oparty o ten model i wzajemnej oceny został wypracowany przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Zawiera on interesującą mapę rozwoju poprzez trzy etapy dojrzałości. Niezależnie od tego, CERT-y należą do różnych gremiów i przestrzeni wymiany wiedzy, te najlepsze oczywiście do najbardziej zaawansowanych, do których aspirują te młodsze.

Zakładamy, że poziom będzie się wyrównywał, ale warto, aby te najlepsze także doskonaliły się. Wspierałoby to zadanie istnienie sieci CSIRT-ów sektorowych, dostarczających świeżej, interesującej informacji w przekrojach branżowych. Wspomniałem jednak, że zapisy ustawy stawiają pod znakiem zapytania szansę stworzenia takiej struktury, przynajmniej w polskiej implementacji NIS2.

W ustawie mamy z kolei także zapis, który umożliwia zgłaszanie prośby o wsparcie operacyjne w obsłudze incydentów w sytuacji, kiedy mamy do czynienia z podmiotem kluczowym lub ważnym, będącym w naszym systemie cyberbezpieczeństwa, który jednak siedzibę główną ma poza granicą Polski. To przypadek wielu filii komercyjnych organizacji. Taki mechanizm oceniam bardzo pozytywnie, spodziewam się, że poprawi skuteczność oddziaływania CERT-ów krajowych, ponieważ lokalny CERT będzie traktowany na danym rynku inaczej, lepiej, niż zagraniczna instytucja dobijająca się działania w sferze cyber.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *