Cyberbezpieczeństwo. Projekt Rozporządzenia w sprawie organizacji operatorów usług kluczowych. Jakie zmiany czekają instytucje finansowe?

Cyfryzacja naszego życia to nie tylko ułatwienie, ale również potencjalne zagrożenie. Wiele z czynności, które do tej pory wykonywaliśmy „manualnie” może być zautomatyzowana i odbywać się w kanale zdalnym. Jednym z takich przykładów są usługi bankowe (w tym zakładanie konta osobistego z użyciem wideoweryfikacji), które dotyczą naszych finansów, a które dzisiaj są znacznie bardziej „przystępne” i jednocześnie bardziej narażone na ataki z zewnątrz. Świadczenie usług drogą elektroniczną, jakkolwiek bardzo atrakcyjne i efektywne z punktu widzenia użytkownika końcowego, wymaga po stronie dostawców spełnienia szeregu obowiązków w zakresie cyberbezpieczeństwa. Jest to spójne z wizją Unii Europejskiej, która również stawia na bezpieczeństwo cyfrowe, czego emanacją ma być m.in. Cybersecurity Act.

Ustawa o krajowym systemie bezpieczeństwa nałożyła na instytucje finansowe, w tym banki, dodatkowe wymogi w tym zakresie (co wynika z faktu, że banki świadczą usługi kluczowe). Stały się one bowiem operatorami usług kluczowych. Kilka dni temu opublikowano projekt Rozporządzenia w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Rozporządzenie ma również znaczenie dla innych podmiotów, które świadczą usługi cyfrowe (np. w ramach outsourcingu dla banków). Jakie to obowiązki? Odpowiedź poniżej.

Po pierwsze organizacja

Projektowane rozporządzenie nakłada na instytucje finansowe określone wymogi organizacyjne (nieco szersze dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa). Po pierwsze taka instytucja musi posiadać system zarządzania bezpieczeństwem informacji zgodny z wymaganiami PN-EN ISO/IEC 27001, która określa m.in. wymogi w zakresie szacowania ryzykiem, a więc jest to element szerszego systemu risk management.

Co istotne wymogi organizacyjne, o których mowa w projekcie rozporządzenia odnosi się do „wewnętrznych struktur organizacyjnych operatora usługi kluczowej”. Zazwyczaj będzie to więc biuro ds. bezpieczeństwa.

Reagowanie na incydenty oraz ich rejestracja

Ustawa o cyberbezpieczeństwie definiuje czym jest incydent (oraz incydent krytyczny). Incydentem jest więc zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Jest to definicja zasadniczo zgodna z wytycznymi EBA w zakresie raportowania incydentów.

Bank musi więc zapewnić takie rozwiązania, które gwarantują ciągłość działania w zakresie obsługi incydentów informatycznych. Oznacza to m.in. konieczność uwzględnienia tego typu rozwiązań w Business Continuity Process (Plan) czy procedurach i regulaminach wewnętrznych dotyczących bezpieczeństwa. Odpowiednia jednostka wewnętrzna banku zapewniać odpowiednie (z odpowiednim czasem reakcji) wsparcie innym jednostkom, które narażone są na wystąpienie tego typu incydentów, np. płatności elektroniczne etc.

Jednostki, które odpowiadają za reagowanie na incydenty muszą posiadać odpowiedni sprzęt komputerowy i narzędzia, które umożliwiają m.in. automatyczne rejestrowanie incydentów czy badania odporności systemów i złośliwego oprogramowania. Sieć komunikacji za pomocą takie jednostki komunikują się m.in. z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (np. przy NASK) również muszą być odpowiednio zabezpieczone.

Personel

Projekt rozporządzenia zakłada, że biuro/departament bezpieczeństwa powinien dysponować odpowiednim personelem. Oznacza to, że osoby wspierające bank w walce z zagrożeniami z cyberbezpieczeństwem powinny posiadać odpowiednie umiejętności i doświadczenie m.in. w zakresie identyfikowania zagrożeń czy analizowania szkodliwego oprogramowania oraz umiejętności „hakerskie” (J). Takie osoby, choć nie wynika to wprost z treści projektu, muszą posiadać odpowiednie certyfikaty i uczestniczyć w regularnych szkoleniach (tym bardziej, że otoczenie dynamicznie się zmienia).

Pomieszczenia

Dokument nakłada na wewnętrzne jednostki organizacyjne wymogi w zakresie posiadania odrębnych pomieszczeń z odpowiednimi zabezpieczeniami technicznymi adekwatnymi do przeprowadzonego szacowania ryzyka. W praktyce obejmowało to będzie m.in. wydzielenie pomieszczeń z ograniczonym dostępem oraz inne zabezpieczenia techniczne w serwerowaniach etc.

Takie pomieszczenia muszą spełnić bardzo restrykcyjne wymogi m.in. w zakresie systemu kontroli dostępu czy sygnalizacji włamania i napadu. Szafy, w których przechowywane są ważne dokumenty i nośniki informacji również muszą spełniać rygorystyczne wymagania, m.in. w zakresie normy PN-EN 14450.

Poufność, integralność i dokumentacja wewnętrzna

Projekt rozporządzenia zobowiązuje instytucje finansowe do zapewnienia zabezpieczeń dających pewność co do poufności, integralności, dostępności i autentyczności przetwarzanych informacji zgodnie z oszacowanym ryzykiem. Jednocześnie dokument nie precyzuje w jaki sposób tego dokonać, a więc odpowiednie zasady powinny być określone w procedurach i politykach wewnętrznych banku.

Praca zdalna…

O ile coraz więcej instytucji decyduje się na umożliwienie pracy zdalnej swoim pracownikom, to w przypadku zapewnienia cyberbezpieczeństwa, ten typ prac może nie być pożądany (m.in. ze względu na umiejscowienie infrastruktury technicznej – chociaż wraz z rozwojem cloud computing w sektorze finansowym może się to zmienić). Niemniej jednak, projekt rozporządzenia dopuszcza pracę zdalną w tym obszarze, o ile zasady jej świadczenia podlegać będzie odpowiednim procedurom bezpieczeństwa, np. w zakresie minimalizacji danych przechowywanych poza infrastrukturą wewnętrzną instytucji.

Od kiedy?

Rozporządzenie jest jeszcze dopracowywane i założyć należy, że wraz z dalszymi konsultacjami będą wprowadzane dalsze zmiany. Projekt przewiduje, że rozporządzenie wejdzie w życie w ciągu 30 dni od dnia wejścia w życie rozporządzenia (to jak zakładam jeszcze się zmieni), bo zmiany – nawet jeżeli są już wprowadzane – wymagają czasu i audytu bezpieczeństwa.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *