Cyberbezpieczeństwo to ochrona sieci, systemów i usług IT przed zagrożeniami. Są to np. złośliwe ataki hakerów, spamerów, cyberprzestępców. W dzisiejszym świecie istnienie każdej organizacji jest o wiele bardziej niż kiedykolwiek wcześniej zależne od technologii. Korzyści płynące z tego trendu sięgają od niemal natychmiastowego dostępu do informacji obecnej w Internecie po nowoczesne udogodnienia zapewniane przez technologię inteligentnej automatyki przemysłowej czy Internetu Rzeczy. Przy wielu dobrodziejstwach płynących z technologii trudno uwierzyć, że potencjalne zagrożenia czają się za każdym urządzeniem i platformą podłączoną do sieci publicznej, w związku z czym należy pamiętać, iż zagrożenia bezpieczeństwa cybernetycznego stanowią dziś główny element ryzyka dla bezpieczeństa informacji chronionych w różnych rodzajach organizacji. Stały wzrost cyberprzestępczości uwidacznia wady urządzeń, systemów, aplikacji i usług, z których korzystamy. Pojawia się więc pytanie: czym jest cyberbezpieczeństwo i dlaczego jego zapewnienie na najwyższym poziomie jest obecnie niezbędne?
Cyberbezpieczeństwo polega przede wszystkim na zapewnianiu bezpieczeństwa danych i ciągłości działania biznesu. Do najważniejszych zasobów każdej organizacji zalicza się 3 główne elementy: kapitał, infrastrukturę IT oraz informacje. Aby zapewnić ich bezpieczeństwo organizacja powinna zaimplementować szereg zabezpieczeń, do których możemy zaliczyć zarządzanie ryzykiem, uświadamianie pracowników organizacji czy opracowanie i wdrożenie skutecznych procedur reagowania na incydenty bezpieczeństwa. W praktyce obecnie organizacje starają się uchronić przede wszystkim przed:
- phishingiem,
- atakami ransomware,
- kradzieżą tożsamości pracowników i klientów,
- naruszeniami danych, którymi administrują
- stratami finansowymi oraz wizerunkowymi.
W obecnych czasach osoba Pełnomocnika ds. Cyberbezpieczeństwa jest istotnym elementem budowania bezpieczeństwa informacji w średnich i dużych organizacjach, ponieważ przetwarzają one zazwyczaj duże ilości danych, a zaawansowanie ich infrastruktury informatycznej rośnie z czasem w miarę potrzeb. Człowiek taki ma za zadanie przede wszystkim działać niezależnie, monitorować stan cyberbezpieczeństwa we wszystkich jego aspektach (jak choćby obszar ciągłości działania czy stanu sieci sieci), co wymaga od niego również wiedzy z tematyki IT security. Jednocześnie Pełnomocnik ma za zadanie na bieżąco informować najwyższe kierownictwo oraz raportować wszystkie istotne z punktu widzenia działalności organizacji fakty.
Co więcej, na wszystkie podmioty, których funkcjonowanie jest istotne z punktu widzenia bezpieczeństwa państwa Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada konkretne obowiązki. Organizacje objęte tą regulacją powinny wdrożyć nowe procedury, przeprowadzić audyty wewnętrzne oraz opracować lub zaktualizować dokumentację. Dotyczy to w szczególności operatorów usług kluczowych, ale nie tylko – wraz z wejściem w życie ustawy nowe obowiązki obejmą także inne organizacje, które wykonują zadania z zakresu użyteczności publicznej.
Krajowy System Cyberbezpieczeństwa, którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i dostarczania usług cyfrowych, obejmuje m.in.:
- podmioty publiczne;
- operatorów usług kluczowych;
- dostawców usług cyfrowych;
- spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu ustawy z dnia 20 grudnia 1996 r. ustawy o gospodarce komunalnej.
Przy realizacji swoich obowiązków Pełnomocnik ds. Cyberbezpieczeństwa współpracuje z przedstawicielami poszczególnych procesów organizacji w celu zapewnienia prawidłowej realizacji funkcji nadzoru cyberbezpieczeństwa w obszarze prawnym, organizacyjnym i technicznym, w szczególności wypełniając następujące zadania:
- Nadzór nad dokumentacją cyberbezpieczeństwa na etapie jej opracowywania, weryfikacji, aktualizacji, udostępniania i przechowywania;
- Akceptację zmian w dokumentacji cyberbezpieczeństwa;,
- Planowanie, koordynacja i nadzór nad opracowywaniem, wdrażaniem i funkcjonowaniem Systemu Zarządzania Cyberbezpieczeństwem;
- Nadzorowanie audytów wewnętrznych, nadzór nad realizacją ustaleń wynikających z audytów;
- Nadzór nad procesem zarządzania ryzykiem;
- Prowadzenie rejestru incydentów cyberbezpieczeństwa;
- Współudział w akceptacji oraz wdrażaniu działań naprawczych wynikających z szacowania ryzyka oraz zaistniałych incydentów cyberbezpieczeństwa;
- Kontakt z podmiotami Krajowego Systemu Cyberbezpieczeństwa;
- Przedstawianie sprawozdań dotyczących funkcjonowania systemu cyberbezpieczeństwa oraz realizacji celów, jak również informowanie o skuteczności tego systemu;
- Dokonywanie przeglądów zarządzania Systemu Cyberbezpieczeństwa min. 1 raz w orku oraz raportowanie wyników przeglądów.
Pełnomocnik ds. Cyberbezpieczeństwa może zostać powołany na dowolnym etapie wdrożenia wymagań UoKSC: przed wdrożeniem, w jego trakcie lub po jego zakończeniu. Na każdym ze wspomnianych etapów jego rola jest bardzo istotna:
- Przed wdrożeniem – przeprowadzenie audytu „0” (stanu obecnego) w organizacji, określenie celu i zakresu wdrożenia oraz oszacowanie czasu jego trwania;
- W trakcie wdrożenia – przygotowanie i aktualizacja dokumentacji, szkolenia pracowników, wydawanie rekomendacji;
- Po wdrożeniu – utrzymywanie aktualności dokumentacji i rejestrów, pełnienie funkcji Punktu Kontaktowego dla CSIRT, bieżące utrzymywanie Systemu Zarządzania Cyberbezpieczeństwem, nadzorowanie corocznych audytów.
Pełnomocnik ds. Cyberbezpieczeństwa w szczególności powinien znać treść norm ISO 27001, 27002, 22301, 27005 oraz 27035 oraz Ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. Ponadto, powinien posiadać umiejętności techniczne oraz doświadczenie w obszarze IT i cyberbezpieczeństwa, w tym np.:
- Wykrywanie włamań: chociaż głównym celem zapewnienia cyberbezpieczeństwa jest zapobieganie atakom, musi wiedzieć, jak je wykrywać, gdy się pojawią. Powinien znać takie zagadnienia jak monitorowanie sieci, analiza dziennika zdarzeń i czy znajomość SIEM i SOC.
- Zarządzanie punktami końcowymi: coraz więcej osób pracuje z domu lub innych miejsc poza siedzibą organizacji, w związku z czym powinien wiedzieć jak zabezpieczyć wiele punktów końcowych, takich jak komputery, smartfony i inne urządzenia mobilne. Wykorzystywane w tym celu narzędzia to np. dobrze skonfigurowany firewall, oprogramowanie antywirusowe, segmentacja sieci VLAN, kontrola dostępu do sieci i wirtualne sieci prywatne (VPN).
- Bezpieczeństwo danych: dane stanowią jeden z najcenniejszych zasobów każdej organizacji. Wiedza o tym, jak je chronić obejmuje pojęcia kryptografii, zarządzania dostępem, kontroli transmisji i protokołów internetowych (TCP i IP) oraz zapewnienia trzech atrybutów bezpieczeństwa informacji (poufność, integralność, dostępność).
- Zarządzanie ryzykiem: musi być w stanie zweryfikować, czy proces zarządzania ryzykiem jest adekwatny do potencjalnych zagrożeń, zapewnia wystarczającą ochronę aktywów (zasobów) i informacji oraz czy system kontroli w obszarze całej infrastruktury informatycznej jest efektywny i skuteczny, zgodnie z przyjętymi standardami i kryteriami.
- Sieć i bezpieczeństwo sieci: Większość ataków dotyczy systemów sieciowych. Aby chronić się przed tego typu zagrożeniami, musi wiedzieć, jak działają sieci, a także poznać ich konkretne podatności.
Podsumowując, Pełnomocnik ds. Cyberbezpieczeństwa powinien biegle poruszać się w zakresie tematyki IT i funkcjonowania systemów informatycznych, a także na bieżąco identyfikować wszelkie podatności i ryzyka pojawiające się w systemach oraz podejmować odpowiednie działania zapobiegawcze i naprawcze. Istotnym jest więc nie tak bardzo wykształcenie danego kandydata na to stanowisko, jak jego dopasowane doświadczenie w obszarze bezpieczeństwa informacji, informatyki i cyberbezpieczeństwa.
Autor: Tomasz Cieślik