Bezpieczeństwo infrastruktury krytycznej.

Podobne dokumenty
Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Dr Michał Tanaś(

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

REGULAMIN PRACY MIEJSKIEGO ZESPOŁU ZARZĄDZANIA KRYZYSOWEGO MIASTA RADOMIA (MZZK) Rozdział I Postanowienia wstępne

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

Zbiór dobrych praktyk w zakresie współpracy sektorów telekomunikacyjnego oraz energetycznego

Świat 2050 ĆWICZENIA Z POLITICAL FICTION. wizje

ZARZĄDZENIE NR 14 MINISTRA CYFRYZACJI. z dnia r.

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

ZARZĄDZANIE KRYZYSOWE PODSTAWOWE POJĘCIA, PODSTAWY PRAWNE

TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO

NOWOCZESNE ZARZĄDZANIE W INSTYTUCJACH RYNKU PRACY Z WYKORZYSTANIEM ZARZĄDZANIA PROCESOWEGO

Kazimierz Kraj. Katedra Bezpieczeństwa Wewnętrznego WSIiZ Rzeszów. Katowice 29 listopada 2013 r.

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

ZARZĄDZANIE KRYZYSOWE

i infrastruktury krytycznej.

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Ochrona biznesu w cyfrowej transformacji

5 filarów rozwoju gospodarczego Polski

Wsparcie przedsiębiorców w latach możliwości pozyskania dofinansowania w nowej perspektywie unijnej

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

POWIATOWY PLAN ZARZĄDZANIA KRYZYSOWEGO

Elżbieta Komarnicka, Zamość, r.

Prezentacja Modułu Międzynarodowego

ROZPORZĄDZENIE MINISTRA PRACY I POLITYKI SPOŁECZNEJ 1) z dnia w sprawie profilowania pomocy dla bezrobotnego

II Polskie Forum Cyberbezpieczeństwa - CYBERSEC PL

Rozdział I Postanowienia Ogólne

Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Handel z Polską :07:08

Co dzieje się w Polsce w zakresie CSR?

Włączający system edukacji i rynku pracy rekomendacje dla polityki publicznej Wnioski z badania

CYBERBEZPIECZEŃSTWO krytycznej infrastruktury elektroenergetycznej

Program ochrony cyberprzestrzeni RP założenia

400 SPOSOBÓW ZMNIEJSZANIA OBCIĄŻEŃ DLA BENEFICJENTÓW FUNDUSZY UE -ROLA ORGANIZACJI POZARZĄDOWYCH W WYKORZYSTANIU WIEDZY PŁYNĄCEJZ EWALUACJI

Zespół do spraw Transformacji Przemysłowej Departament Innowacji

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP

REGULAMIN POWIATOWEGO CENTRUM ZARZĄDZANIA KRYZYSOWEGO W NOWYM SĄCZU

ANALIZA FUNKCJONOWANIA OPŁATY INTERCHANGEW TRANSAKCJACH BEZGOTÓWKOWYCH

PROGRAM STYPENDIALNY INSTYTUTU KOŚCIUSZKI THE KOSCIUSZKO INSTITUTE CYBERSEC FELLOWSHIP PROGRAMME WE WSPÓŁPRACY Z

Stymulowanie innowacyjności i konkurencyjności przedsiębiorstw poprzez klastry propozycja działań

Ocena kosztów zakłóceń dostaw energii elektrycznej i ich wpływ na system elektroenergetyczny, gospodarkę oraz społeczeństwo w Polsce.

Rekomendowany model systemu alternatywnego rozpatrywania sporów konsumenckich (ADR) w Polsce

NORWESKI MECHANIZM FINASOWY

Europejska inicjatywa dotycząca przetwarzania w chmurze. budowanie w Europie konkurencyjnej gospodarki opartej na danych i wiedzy

ŚWIATOWA GOSPODARKA W CZASACH NIEPEWNOŚCI

10130/10 mik/kt/kd 1 DG C IIB

DOKUMENT ROBOCZY SŁUŻB KOMISJI STRESZCZENIE OCENY SKUTKÓW. Towarzyszący dokumentowi: wniosek dotyczący ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY

TRANSSEKTOROWY CHARAKTER CYBERBEZPIECZEŃSTWA:

Warszawa, dnia 7 czerwca 2016 r. Poz. 799 ROZPORZĄDZENIE MINISTRA ŚRODOWISKA 1) z dnia 18 maja 2016 r.

Materiał na konferencję prasową Prezesa Urzędu Regulacji Telekomunikacji i Poczty 4 stycznia 2006 r.

Europejski Rok Dziedzictwa Kulturowego Kultura

Tarnów, 20 grudnia 2011r. SMWI, 2011 Nazwa wydarzenia, miejsce, data

Global Compact i Akademia Program: PRME

R E G U L A M I N P R A C Y

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Działalność badawcza i rozwojowa w Polsce w 2011 r.

Uchwała Nr 72 Komitetu Monitorującego Program Rozwoju Obszarów Wiejskich na lata z dnia 24 czerwca 2016 roku

Chemss2016 Seminarium. Zintegrowana Ocena Wpływu wprowadzenie dla nowych i istniejących przedsiębiorstw

Iran: nowe otwarcie w relacjach z Zachodem

Możliwość wspierania rozwoju sieci ostatniej mili z funduszy europejskich Program Operacyjnego Polska Cyfrowa i założenia Narodowego Planu

POWIATOWY PROGRAM PRZECIWDZIAŁANIA BEZROBOCIU, PROMOCJI ZATRUDNIENIA ORAZ AKTYWIZACJI LOKALNEGO RYNKU PRACY - DO 2020 ROKU

Koncepcja cyfrowej transformacji sieci organizacji publicznych

WIELOWYMIAROWOŚĆ (KOMPLEKSOWOŚĆ) CYBERBEZPIECZEŃSTWA

ZARZĄDZENIE Nr 99/2014 Starosty Limanowskiego z dnia 30 września 2014 r.

Polacy w instytucjach UE: diagnoza i perspektywy

Prezentacja Dokumentu Strategii Zarządzania Zmianą Gospodarczą

31. Organem właściwym w sprawach zarządzania kryzysowego na terenie województwa jest a) wojewoda, b) Marszałek województwa, c) Sejmik województwa.

ZDROWIE A BEZPIECZEŃSTWO NARODOWE: UJĘCIE STRATEGICZNE

Szczegółowe nakłady na realizację Regionalnej Strategii Innowacji dla Wielkopolski na lata , w tym programów strategicznych.

Matryca usług i problemów społecznych

RAPORT Z PRAC GRUPY ROBOCZEJ SPOŁECZNIE ODPOWIEDZIALNY BIZNES

System Powiadamiania Ratunkowego

REGULACJE PRAWNE W ZARZĄDZANIU KOMUNIKACJĄ I INFORMACJĄ MEDIALNĄ

CallforBusiness biuletyn

OGÓLNOPOLSKI SYSTEM WSPARCIA DORADCZEGO DLA SEKTORA PUBLICZNEGO, MIESZKANIOWEGO ORAZ PRZEDSIĘBIORCÓW W ZAKRESIE EFEKTYWNOŚCI ENERGETYCZNEJ ORAZ OZE

Rada nadzorcza w procesie nadzoru i zarządzania. przedsiębiorstwem

I. POSTANOWIENIA OGÓLNE

Działania Rządu na rzecz CSR w Polsce. Zespół do spraw Społecznej Odpowiedzialności Przedsiębiorstw

Konferencja Sektor 3.0

Powiatowy Program Profilaktyczny na lata

Przepływy finansowe Telekomunikacji Polskiej i operatorów MNO przy obecnych stawkach MTR oraz w wyniku ich obniżenia

Infrastruktura Krytyczna Miejskiego Przedsiębiorstwa Wodociągów i Kanalizacji w m. st. Warszawie Spółka Akcyjna

Specjalizacje lokalne, lokalne bieguny wzrostu. Gospodarka i przedsiębiorczość. Instytucje otoczenia biznesu i administracja Kultura innowacji.

Ministerstwo Administracji i Cyfryzacji. Europejska Agenda Cyfrowa: stan realizacji przez Polskę.

Uniwersytet Kardynała Stefana Wyszyńskiego. Katedra Teologii Pastoralnej i Nauk Pomocniczych WT

bezpieczeństwo regulowane na różne sposoby

Ministerstwo Administracji i Cyfryzacji. Europejska Agenda Cyfrowa: stan realizacji przez Polskę.

Strategia Rozwoju Społeczeństwa Informacyjnego w Polsce

Art. 131a ust. 1a ustawy Pzp stosowanie przepisów z dziedzin obronności i bezpieczeństwa do zamówień dotyczących infrastruktury krytycznej

Miejsce na podium i nowe wyzwania

- o zmianie ustawy o zarządzaniu kryzysowym.

PARLAMENT EUROPEJSKI

Transkrypt:

Bezpieczeństwo infrastruktury krytycznej. krytycznej. Jak JAK JE je ZAPEWNIĆ zapewnić W w WARUNKACH warunkach cybernetycznego CYBERNETYCZNEGO DZIKIEGO dzikiego ZACHODU? zachodu? relacje 10/2015 www.csm.org.pl Zapewnienie bezpieczeństwa w cyberprzestrzeni, którą amerykański prezydent Barack Obama lubi porównywać do Dzikiego Zachodu, wymaga zdecydowanych działań państwa i podmiotów prywatnych. Jednak dla polityków temat bezpieczeństwa w sieci nie należy do atrakcyjnych, bo trudno go dostrzec i sprzedać medialnie. Tymczasem postępująca urbanizacja i rosnąca złożoność infrastruktury współczesnego państwa dramatycznie zwiększają skalę potencjalnych skutków jej uszkodzenia (tzw. efekt kaskadowy).

2 Infrastruktura krytyczna w erze współzależności Głęboką współzależność poszczególnych elementów współczesnej kluczowej infrastruktury państwa uwidocznił niedawny pożar Mostu Łazienkowskiego w Warszawie. Oprócz oczywistych niedogodności odczuwanych przez mieszkańców stolicy, pociągnął bowiem za sobą znacznie mniej oczekiwane konsekwencje. Uszkodzenie przebiegających pod mostem linii telefonicznych i światłowodów spowodowało m.in. odcięcie od komunikacji telefonicznej Urzędu Miejskiego w Białymstoku. Z kolei coraz powszechniejsze podłączanie systemów kontroli jej elementów do Internetu przynosi dodatkowe zagrożenia ze sfery cyberprzestrzeni. Jednym z najbardziej spektakularnych przykładów było zainfekowanie irańskiej elektrowni atomowej wirusem Stuxnet, który spowodował czasową utratę kontroli nad wirówkami wzbogacającymi uran. Choć powszechne jest przekonanie o znaczeniu infrastruktury krytycznej jako fundamentu stabilnego i bezpiecznego funkcjonowania państw i społeczeństw, więcej trudności nastręcza pytanie, co w erze głębokiej współzależności i ekspansji technologii teleinformatycznych powinno być uznane za krytycznie ważne. Obowiązująca w Polsce ustawa o zarządzaniu kryzysowym definiuje infrastrukturę krytyczną jako systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania administracji publicznej, a także instytucji i przedsiębiorców. Do jej elementów zaliczone zostały systemy: zaopatrzenia w energię, surowce energetyczne i paliwa, łączności sieci teleinformatycznych, finansowe, zaopatrzenia w żywność, zaopatrzenia w wodę, ochrony zdrowia, transportowe, ratownicze, zapewniające ciągłość działania administracji publicznej, produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych. Nie mniej ważną kwestią praktyczną jest identyfikacja najbardziej zagrożonych elementów tej infrastruktury oraz tych,

3 których uszkodzenie może wywołać najpoważniejsze zagrożenia. W tym kontekście często wskazywana jest energetyka, w której szczególnie rozpowszechnione jest stosowanie automatyki przemysłowej (uważanej za szczególnie wrażliwą na cyberataki). Ujawnione niedawno informacje na temat cyberataku na turecki odcinek ropociągu Baku-Tbilisi-Ceyhan, który spowodował wybuch i poważny pożar, są na to dowodem. Ze względu na wysoki poziom uzależnienia technologicznego oraz stopień współzależności, wśród najbardziej wrażliwych na cyberataki elementów infrastruktury krytycznej wymieniany jest także sektor finansowy. Już teraz ponosi on największe straty z powodu ataków w cyberprzestrzeni. Jeszcze większą szkodę może wyrządzić spadające zaufanie klientów. Lista sektorów jest znacznie dłuższa. Współpraca na linii państwo - biznes oraz na poziomie międzynarodowym Wypracowanie podejścia do zapewnienia cyberbezpieczeństwa infrastruktury krytycznej komplikuje fakt, że jej część (a w wielu krajach nawet zdecydowana większość) znajduje się w rękach prywatnych lub prywatne firmy są jej operatorami. Oznacza to konieczność współpracy państwa z podmiotami prywatnymi. Jak taka współpraca powinna jednak wyglądać w szczegółach? Czy niezbędne jest nakładanie na prywatne firmy zobowiązań w dziedzinie cyberbezpieczeństwa, czy też lepsze efekty przynosi podejście dobrowolne? W tym pierwszym kierunku zmierzają przepisy unijnej Dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w UE (Dyrektywa NIS). W jej projekcie na podmioty zaliczone do infrastruktury krytycznej został nałożony obowiązek (pod groźbą sankcji) spełnienia określonych wymogów bezpieczeństwa. Jednocześnie kontrowersje, a przez to opóźnienie przyjęcia regulacji wywołuje pytanie o to, czy do infrastruktury krytycznej włączyć dostawców usług świadczonych drogą elektroniczną, w tym np. portale społecznościowe i sprzedawców internetowych. Jak operatorzy infrastruktury krytycznej powinni reagować na zagrożenia bezpieczeństwa cyfrowego? Wciąż największym zagrożeniem dla bezpieczeństwa w sferze cybernetycznej jest

4 nieodpowiedzialna postawa pracowników, w tym ustawianie łatwych do złamania haseł. Być może stosunkowo prostym, ale efektywnym rozwiązaniem byłoby wprowadzenie zabezpieczeń biometrycznych (np. odciski palców)? Bardziej ofensywnym rozwiązaniem, mającym przeciwdziałać wykradaniu danych przez osoby z wewnątrz, jest tropienie anomalii w codziennych zachowaniach pracowników, których wykrycie mogłoby stanowić ostrzeżenie przed niebezpieczeństwem. Stawiający na pierwszym miejscu bezpieczeństwo nazwą to budowaniem systemu immunologicznego instytucji, obrońcy praw obywatelskich niedopuszczalną inwigilacją. Kolejnym wyzwaniem jest kwestia dzielenia się przez firmy informacjami na temat zagrożeń płynących z cyberprzestrzeni zarówno z instytucjami państwowymi, jak również między sobą. Z powodu obaw przed stratami reputacyjnymi czy też negatywnym wpływem na kurs akcji, ale też nie chcąc dawać wskazówek odnośnie do słabszych elementów swoich systemów teleinformatycznych firmy niechętnie ujawniają informacje na ten temat, często bagatelizując skalę szkód. Poważnym wyzwaniem jest więc przepływ informacji na temat rzeczywistych strat powodowanych przez cyberataki. Wnioski i rekomendacje Zarysowane dylematy posłużyły do dyskusji na temat cyberbezpieczeństwa infrastruktury krytycznej podczas tegorocznego Europejskiego Forum Nowych Idei w Sopocie. Z debaty w której wzięli udział przedstawiciele administracji rządowej, prywatnych i państwowych operatorów infrastruktury krytycznej, a także firm informatycznych wyłania się kilka kluczowych wniosków i rekomendacji: 1] Zapewnienie bezpieczeństwa infrastruktury krytycznej wymaga współpracy wielu podmiotów, w tym zarówno ze sfery państwowej, jak i prywatnej. Stąd rolą państwa powinno być zapewnienie przywództwa, ale próba wzięcia na siebie pełnej odpowiedzialności skazana jest na porażkę. Koordynacja i współpraca potrzebne są nie tylko na linii państwa operatorzy infrastruktury krytycznej, lecz także wewnątrz poszczególnych sektorów, nie tylko na poziomie kraju, ale również międzynarodowym. 2] Poziom cyberbezpieczeństwa zależny jest od ogólnych kompetencji cyfrowych użytkowników. Oznacza to konieczność wprowadzania obowiązkowych procedur bezpieczeństwa,

5 które choć mają kluczowe znaczenie, spotykają się z oporem pracowników. Ważną kwestią jest także rozwijanie świadomości i kompetencji cyfrowych w społeczeństwach. Dostrzegają to instytucje europejskie w obecnej perspektywie finansowej (na najbliższe 7 lat) na działania w tym zakresie przeznaczono 360 mln zł. 3] Kolejnym zadaniem dla twórców polityki zapewniania cyberbezpieczeństwa jest znalezienie balansu między wysokością nakładów a poziomem bezpieczeństwa. Biorąc pod uwagę wymienność tych dwóch wartości, dążenie do osiągnięcia 100 proc. bezpieczeństwa wymagałoby poniesienia nieskończonych nakładów finansowych. Z tego powodu tak ważne jest przeprowadzenie oceny zagrożenia (risk assessment). W ramach tej procedury należy odpowiedzieć na pytania o kluczowe punkty infrastruktury krytycznej, które państwo musi chronić, bieżącą sytuację geopolityczną, czynniki zwiększające zagrożenia, a także motywacje potencjalnych agresorów (ciekawość, zyski finansowe, interes narodowy). 4] W odniesieniu do cyberbezpieczeństwa infrastruktury krytycznej w Polsce pilnym zadaniem jest poprawa koordynacji działań instytucji i wyznaczenie jednej z nich jako wiodącej. Obecnie firmy składają raporty na temat incydentów w cyberprzestrzeni do trzech różnych podmiotów (Ministerstwa Administracji i Cyfryzacji, Urzędu Komunikacji Elektronicznej, Biura Bezpieczeństwa Narodowego), co rozmywa odpowiedzialność po stronie administracji publicznej i wprowadza dezorientację po stronie podmiotów prywatnych. Konieczne jest także zbudowanie mechanizmu wymiany danych i doświadczeń między podmiotami rządowymi i prywatnymi, w tym doprecyzowanie i standaryzacja form komunikacji. Stopień zagrożenia i rozmiar potencjalnych szkód powinny skłaniać zainteresowane podmioty do szybkiego wdrażania rekomendacji przedstawianych przez ekspertów. O powadze kwestii cyberbezpieczeństwa, w tym infrastruktury krytycznej, świadczą wyniki badań Pew Research Center. Ośrodek ten zapytał ponad 1600 ekspertów, czy do 2025 roku przewidują potężny atak w cyberprzestrzeni, w wyniku którego może zginąć duża liczba ludzi lub który przyniesie straty materialne na poziomie dziesiątek miliardów dolarów. Ponad 60 proc. pytanych odpowiedziało twierdząco. Opracował Andrzej Turkowski

Centrum Stosunków Międzynarodowych CSM jest jest niezależnym, pozarządowym ośrodkiem ośrodkiem analitycznym analitycznym zajmującym zajmującym się się polską polską polityką zagraniczną i i najważniejszymi problemami polityki polityki międzynarodowej. Fundacja została zarejestrowana w 1996 w 1996 r. CSM r. prowadzi CSM prowadzi działalność działalność badawczą badawczą i edukacyjną, wydaje publikacje, organizuje organizuje konferencje konferencje i spotkania, i spotkania, uczestniczy uczestniczy w międzynarodowych projektach we współpracy we współpracy z podobnymi z podobnymi instytucjami instytucjami w wielu w wielu krajach. Tworzy forum forum debaty debaty i wymiany i wymiany idei w idei sprawach w sprawach polityki polityki zagranicznej, zagranicznej, relacji między państwami oraz oraz wyzwań wyzwań globalnego globalnego świata. świata. Działalność Działalność CSM CSM jest adresowana przede przede wszystkim wszystkim do samorządowców samorządowców i przedsiębiorców, i przedsiębiorców, a także administracji centralnej, polityków, polityków, dyplomatów, dyplomatów, politologów politologów i mediów. i mediów. W Od 2009 2009 r. CSM r. CSM został jest uznany uznawany za jeden za jeden z najlepszych z najlepszych think tanków think Europy tanków Środkowo- Europy Środkowo- Wschodniej w w badaniu The The Leading Leading Public Public Policy Policy Research Research Organizations Organizations In The World In The World przeprowadzonym przeprowadzanym przez przez Uniwersytet Pensylwanii. Pensylwanii. Centrum Stosunków Międzynarodowych ul. Mińska 25, 03-808 Warszawa t: +48 22 646 52 67 www.twitter.com/cir_csm www.facebook.com/cir.csm

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres