Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA
Ustawa o Krajowym Systemie Cyberbezpieczeństwa Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz. 1560) obowiązuje od 28 sierpnia 2018 roku zapewnia implementację dyrektywy NIS*, ustanawia ramy prawne funkcjonowania Krajowego Systemu Cyberbezpieczństwa (KSC), - w wielu kluczowych sektorach: energia, bankowość/finanse, transport, zdrowie, rozszerza obszar oddziaływania w stosunku do dyrektywy NIS, np.: - włącza sektor administracji publicznej, - włącza (pośrednio) sektor telekomunikacyjny, - nakłada obowiązek zgłaszania poważnych incydentów które MOGĄ spowodować negatywny skutek (nie tylko te, które coś spowodowały), Implementacja Dyrektywy NIS to istotny krok działań zmierzających do podniesienia poziomu cyberbezpieczeństwa w Europie. * Dyrektywa Parlamentu Europejskiego i Rady UE 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
Cyberbezpieczeństwo a regulacje Pakiet telekomunikacyjny UE Prawo telekomunikacyjne Dyrektywa NIS Ustawa o Krajowym Systemie Cyberbezpieczeństwa GDPR RODO e-idas Ustawa o usługach zaufania i identyfikacji elektronicznej PSD2 Ustawa o usługach płatniczych
W planach UE: Cybersecurity Act Propozycja UE dotyczy powstania w UE wspólnego systemu certyfikacji cyberbezpieczeństwa produktów, usług i procesów Commission requests ENISA ENISA drafts scheme involving all stakeholders and ECCG Commission adopts scheme by means of implementing acts MS or ECCG propose to Commission the drafting of a scheme
Wracając do Dyrektywy NIS Wybrane obowiązki nałożone na państwa członkowskie: Identyfikacja operatorów usług kluczowych w kilku sektorach oraz określenie wymagań bezpieczeństwa teleinformatycznego. Wyznaczenie organów właściwych dla operatorów usług kluczowych i dostawców usług cyfrowych. Wyznaczenie pojedynczego punktu kontaktowego. Wyznaczenie CSIRT* dla bezpieczeństwa operatorów usług kluczowych i dostawców usług cyfrowych (min. zgłaszanie incydentów). Wymiana informacji i raportowanie na poziomie UE na temat poważnych incydentów u operatorów usług kluczowych oraz istotnych incydentów u dostawców usług cyfrowych. Przyjęcie krajowej strategii bezpieczeństwa sieci i informacji. * zespół reagowania na incydenty bezpieczeństwa komputerowego
Ustawa o Krajowym Systemie Cyberbezpieczeństwa Celem wprowadzenia ustawy o Krajowym Systemie Cyberbezpieczeństwa, było również: - wyraźne rozdzielenie obowiązków pomiędzy poszczególne CSIRT poziomu krajowego, - ustanowienie nadzoru w zakresie cyberbezpieczeństwa, - stworzenie polityczno strategicznych ram zarządzania cyberbezpieczeństwem (strategia cyberbezpieczeństwa RP, powołanie Pełnomocnika i Kolegium ds. Cyberbezpieczeństwa).
Ustawa o KSC: definicje incydentu Pojęcia dotyczące incydentu: Incydent zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo, incydent krytyczny incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV, incydent poważny incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej, incydent istotny incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018 r., str. 48), zwanego rozporządzeniem wykonawczym 2018/151,
Ustawa o KSC: definicje dot. incydentów incydent w podmiocie publicznym incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, obsługa incydentu czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu, zarządzanie incydentem obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowanie wniosków z obsługi incydentu.
Podstawowe zadania CSIRT CSIRTy: przekazują informacje dotyczące incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa; wydają komunikaty o zidentyfikowanych zagrożeniach cyberbezpieczeństwa. CSIRTy monitorują zagrożenia cyberbezpieczeństwa i incydenty na poziomie krajowym; reagują na zgłoszone incydenty; dokonują szacowania ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami; współpracują z innymi państwami UE w zakresie wymiany informacji o incydentach poważnych i istotnych; CSIRT w uzasadnionych przypadkach, może zapewnić wsparcie w obsłudze incydentów. CSIRT może przekazywać informacje o podatnościach i sposobie ich usunięcia w wykorzystywanych technologiach.
CSIRT-y poziomu krajowego Dyrektywa NIS daje państwom członkowskim swobodę w zakresie liczby powołanych CSIRT, z zastrzeżeniem, że operatorzy usług kluczowych i dostawcy usług cyfrowych muszą mieć wyznaczony CSIRT do którego będą raportować. Ustawa o KSC wyznacza trzy CSIRT poziomu krajowego: - CSIRT NASK w strukturach Państwowego Instytutu Badawczego NASK, - CSIRT GOV w strukturach Agencji Bezpieczeństwa Wewnętrznego, - CSIRT MON w strukturach Ministerstwa Obrony Narodowej (MON). Każdy CSIRT poziomu krajowego ma jasno określone constituency zakres podmiotów, które zobowiązane są raportować i którym świadczy on wsparcie.
CSIRT-y POZIOMU KRAJOWEGO CSIRT MON koordynuje obsługę incydentów zgłaszanych przez podmioty podległe Ministrowi Obrony Narodowej i przedsiębiorstwa o szczególnym znaczeniu gospodarczo obronnym. CSIRT GOV koordynuje incydenty zgłaszane przez administrację rządową, Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz operatorów infrastruktury krytycznej. CSIRT NASK koordynuje natomiast incydenty zgłaszane przez pozostałe podmioty, w tym m. in. operatorów usług kluczowych*, dostawców usług cyfrowych, samorząd terytorialny, osoby fizyczne. W przypadku incydentów o charakterze terrorystycznym właściwe są CSIRT GOV i CSIRT MON**. * nie będących operatorami infrastruktury krytycznej ** zgodnie z zapisami ustawy o działaniach antyterrorystycznych i ustawy o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego.
Architektura KSC ARCHITEKTURA KRAJOWEGO SYSTEMU CYBERBEPZIECZEŃSTWA Współpraca Międzynarodowa PPK innych krajów Grupa Współpracy Prezes Rady Ministrów Kolegium ds. cyberbezpieczeńst wa Pełnomocnik ds. cyberbezpieczeńst wa Pojedynczy Punkt Kontaktowy/MC Sektor /Podsektor Bankowy, infrastruktura rynków finansowych Energia Organy właściwe ds. cyberbezpieczeńst wa KNF ME Zespoły CSIRT poziomu krajowego Infrastruktura cyfrowa i dostawcy usług cyfrowych MC SIEĆ CSIRT CSIRT MON CSIRT GOV CSIRT NASK Transport i transport wodny Ochrona Zdrowia MliR + MGMiŻŚ MZ Współpraca Krajowa Zaopatrzenia w wodę pitną i jej dystrybucję MŚ Organy ścigania Organy właściwe ds. ochrony danych osobowych Sektorowe Zespoły Cyberbezpieczeńst wa Podmioty świadczące usługi cyberbezpieczeńst wa Obywatele UKE Administracja Publiczna Sektor telekomunikacyjn y
Architektura KSC warstwa operacyjna i strategiczna Prezes Rady Ministrów Kolegium ds. cyberbezpieczeństwa Pełnomocnik ds. cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy/MC Poszczególne CSIRT poziomu krajowego CSIRT MON CSIRT GOV CSIRT NASK Sektorowe Zespoły Cyberbezpieczeństwa Podmioty świadczące usługi cyberbezpieczeństwa
Architektura KSC organizacja w sektorach SEKTOR /PODSEKTOR Bankowy, infrastruktura rynków finansowych ORGANY WŁAŚCIWE DS. CYBERBEZPIECZEŃSTWA KNF Energia ME Infrastruktura cyfrowa i dostawcy usług cyfrowych MC Transport i transport wodny MliR + MGMiŻŚ Ochrona Zdrowia Zaopatrzenia w wodę pitną i jej dystrybucję MZ MŚ Administracja Publiczna Obywatele Sektor telekomunikacyjny UKE
Architektura KSC współpraca Współpraca Międzynarodowa PPK innych krajów Pojedynczy Punkt Kontaktowy / Minister ds. Informatyzacji Grupa Współpracy SIEĆ CSIRT Współpraca Krajowa CSIRT poziomu krajowego Organy ścigania Organy właściwe ds. ochrony danych osobowych
OPERATORZY USŁUG KLUCZOWYCH Operatorzy Usług Kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Usługa kluczowa jest zależna od systemów informatycznych*. Ustawa wskazuje sektory, w których dokonana zostanie identyfikacja operatorów usług kluczowych. Są to sektor energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej**. * Operatorzy usług kluczowych (OUK) nie są więc tożsami z operatorami infrastruktury krytycznej (IK). Kwestie ochrony infrastruktury krytycznej regulowane są na mocy ustawy z 27 kwietnia 2007 roku o zarządzaniu kryzysowym. Zawarta tam definicja określa Infrastrukturę Krytyczną (IK), jako systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. ** W ramach infrastruktury cyfrowej wymieniono Punkty Wymiany Ruchu Internetowego, rejestry nazw domen najwyższego poziomu i usługi DNS.
OPERATORZY USŁUG KLUCZOWYCH Identyfikacji operatorów usług kluczowych dokonają organy właściwe*, które wydadzą w tym zakresie decyzję administracyjną**. Podstawą do wydania decyzji są następujące kryteria: - podmiot świadczy usługę kluczową w jednym z sektorów, - świadczenie usługi zależy od systemów informacyjnych, - wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej. Dz. U. 2018 poz. 1806 Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. * art. 5 Ustawy o Krajowym Systemie Cyberbezpieczeństwa. ** przy czym jeśli dany operator został już wcześniej zidentyfikowany jako operator infrastruktury krytycznej, realizowane przez niego obowiązki wynikające z Ustawy o zarządzaniu kryzysowym, takie jak przygotowanie dokumentacji bezpieczeństwa zostaną uznane za zrealizowane.
PODSTAWOWE OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH Operatorzy usług kluczowych zobowiązani są: 1. Wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, wykorzystywanym do świadczenia usługi kluczowej zapewniający: prowadzenie systematycznego szacowania i zarządzania ryzykiem wdrożenie proporcjonalnych do oszacowanego ryzyka środków bezpieczeństwa (technicznych i organizacyjnych - bezpieczna eksploatacja systemu, - bezpieczeństwo fizyczne systemu (w tym kontrola dostępu), - bezpieczeństwo i ciągłość dostaw usług wpływajacyh na świadczenie usługi - utrzymanie planów działania umożliwiających ciągłość świadczenia usługi, - ciągłe monitorowanie systemu zapewniającego świadczenie usługi, - zarządzanie incydentami. 2. Stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zarządzać incydentami 3. Zgłaszać incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH Obsługa i zgłaszanie incydentów: Klasyfikuje incydent na podstawie kryteriów określonych przez Radę Ministrów w drodze rozporządzenia * Współdziałanie w przypadku zakwalifikowania incydentu jako poważny - zgłoszenie do właściwego CSIRT nie później niż w ciągu 24 godzin od momentu wykrycia, współdziałanie z CSIRT w ramach obsługi incydentu wraz z zapewnieniem odpowiedniego dostępu do informacji, usunięcie podatności systemu. W przypadku powołania sektorowego zespołu cyberbezpieczeństwa operator dodatkowo przekazuje zgłoszenie do zespołu. Współdziała z zespołem wysyłając niezbędne dane i zapewnia zespołowi dostęp do informacji o rejestrowanych incydentach. * (Dz. U. 2018 poz. 1806) Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.
OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH Operator ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata*, przy czym pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Pisemne sprawozdanie z audytu wraz z dokumentacją jest przechowywane przez operatora i może być udostępnione na uzasadniony wniosek organu właściwego do spraw cyberbezpieczeństwa, Dyrektora RCB i Szefa ABW. Organy właściwe do spraw cyberbezpieczeństwa są upoważnione do nadzoru operatorów usług kluczowych w zakresie wynikających z ustawy obowiązków, dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych. W ramach nadzoru organy właściwe mogą przeprowadzać kontrolę, a także nakładać kary pieniężne. *wytyczne do audytu zostały określone w Ustawie.
OBOWIĄZKI DOSTAWCÓW USŁUG CYFROWYCH Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Zgodnie z art. 17 ustawy Dostawcą usługi cyfrowej (DSP) jest osoba prawna albo jednostka organizacyjna świadcząca usługę cyfrową, która: - nie posiada osobowości prawnej, - ma siedzibę lub zarząd na terytorium Polski lub, - ma przedstawiciela, który prowadzi jednostkę organizacyjną na terytorium RP. Z zakresu ustawy zostały wyjęte małe i mikroprzedsiębiorstwa*. *Art. 104 ustawy o swobodzie gospodarczej z dnia 2 lipca 2004 r. określa mikroprzedsiębiorcę jako przedsiębiorcę, który w co najmniej jednym z dwóch ostatnich lat obrotowych zatrudniał średniorocznie mniej niż 10 pracowników oraz osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nieprzekraczający równowartości w złotych 2 milionów Euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów Euro. Art. 105 ustawy o swobodzie gospodarczej z dnia 2 lipca 2004 r. określa małego przedsiębiorcę jako przedsiębiorcę, który zatrudniał średniorocznie mniej niż 250 pracowników oraz osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nieprzekraczający równowartości w złotych 50 milionów Euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 43 milionów Euro.
DOSTAWCY USŁUG CYFROWYCH (DUC) Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Ze względu na transgraniczny charakter usług cyfrowych i międzynarodową specyfikę podmiotów świadczących tego rodzaju usługi, DUC zostały objęte lżejszą regulacją, niż operatorzy usług kluczowych a ich obowiązki są zharmonizowane w UE Jednak podstawowe wymogi obejmują: wdrażanie systemów bezpieczeństwa proporcjonalnych do ryzyka, raportowanie o istotnych incydentach do właściwego CSIRT DUC zostały objęte nadzorem przez organ właściwy (MC), który ma w stosunku do nich uprawnienia kontroli ex post.
PRZEPISY, REGULACJE W ZWIĄZKU Z KSC Zgodnie z art. 64 uoksc przy Radzie Ministrów będzie działało Kolegium do Spraw Cyberbezpieczeństwa będące organem opiniodawczo-doradczym w sprawach cyberbezpieczeństwa oraz działalności w tym zakresie CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych.
PRZEPISY, REGULACJE W ZWIĄZKU Z KSC Wprowadzono w systemie prawa rozporządzenia: Dz. U. 2018 poz. 1806 Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Dz. U. 2018 poz. 1780 Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Przykład - obsługa incydentów krytycznych PROCES OBSŁUGI INCYDENTÓW KRYTYCZNYCH Współpraca Międzynarodowa PPK innych krajów Grupa Współpracy Prezes Rady Ministrów Kolegium ds.cyberbezpieczeństwa Pełnomocnik ds. cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy/MC Rządowy zespół zarządzani a kryzysoweg o RCB Sektory/podsektory Organy właściwy ds. cyberbezpieczeństwa Bankowy, infrastruktura rynków finansowych Energia KNF ME SIEĆ CSIRT Współpraca krajowa Zespoły CSIRT poziomu krajowego CSIRT MON CSIRT GOV CSIRT NASK INCYDENT KRYTYCZ NY Zespół incydentó w krytycznyc h INF. CYFRFOWA + DUC Transport Zdrowie Zaopatrzenie w wodę pitną i jej dystrybucja MC MliR + MGMiŻ Ś MZ MŚ Obywatele Organy ścigania Organy właściwe ds. ochrony danych osobowych Sektorowe zespoły cyberbezpieczeństw a Podmioty świadczące usługi cyberbezpieczeństw a UKE Administracja Publiczna Sektor telekomunikacyjn y
Dziękuję za uwagę Krzysztof.Silicki@nask.pl