Ustawa KSC wchodzi w życie, a eksperci cyberbezpieczeństwa wyjaśniają czy wdrożenie opisanych w niej wymagań będzie aż tak dużym wyzwaniem dla polskich firm i instytucji.
Jak zwracają uwagę specjaliści z firmy Stormshield, niemałe grono objętych obowiązkami podmiotów nie będzie musiało robić wiele by osiągnąć zgodność z przepisami, a dla tych które dopiero zabierają się do działania powodem do zmartwień może być m.in. czas dostosowania się do ustawy i koszty. najważniejszy dla nich będzie pierwszy rok, a odpowiedzią na wyzwania może być outsourcing.
Spełniasz normy ISO – będzie ci łatwiej
Duża część organizacji, de facto już jest przygotowana na wymogi wchodzącej w życie ustawy. Dotyczy to podmiotów, których dotychczasowe działania w obszarze bezpieczeństwa wiązały się na przykład z wdrożeniem norm ISO 27001 / ISO 27002, 27005 czy NIST SP 800-53 / 30, czyli katalogami kontroli bezpieczeństwa i prywatności oraz oceny ryzyka, stosowanymi jako standard w systemach informatycznych.
– Duży wpływ na stopień przygotowania do implementacji wymagań ustawy KSC ma świadomość dyrektorów ds. bezpieczeństwa informacji w organizacjach. Jej odpowiednio wysoki poziom przekłada się na kulturę cybersecurity, świadomość istnienia regulacji, a w konsekwencji bieżącą dbałość o zapewnienie zasobów finansowych i know-how – mówi Aleksander Kostuch, inżynier Stormshield.
Zagrożenia cyfrowe nie są przecież wymysłem dnia dzisiejszego i by się przed nimi bronić firmy podejmują stosowne działania.
– Dlatego w przypadku całkiem niemałego grona podmiotów do zapewnienia zgodności z nowymi przepisami wystarczy ogólnie mówiąc aktualizacja oprogramowania, a także przegląd oraz weryfikacja istniejących rozwiązań i zabezpieczeń. W praktyce oznacza to, iż dostosowanie do wymagań KSC nie będzie rewolucją, a raczej uporządkowaniem i formalizacją procesów bezpieczeństwa, które już funkcjonują w ich środowiskach IT – dodaje ekspert europejskiego producenta technologii bezpieczeństwa IT.
Początkujący będą mieli trudniej – co i kiedy zrobić
Osobną kategorią są podmioty, które dopiero po wejściu w życie ustawy będą mogły upewnić się czy w ogóle i w jakim stopniu jej podlegają. Wpływ na taką sytuację miał przedłużających się proces legislacyjny w trakcie, którego zmianie ulegały tak istotne kwestie jak np. definicja i katalog podmiotów ważnych i kluczowych. W przypadku tych przedsiębiorstw i instytucji aktualność zachowują ogólne porady dotyczące wdrażania wymagań ustawy KSC.
5 kroków, które firmy i instytucje powinny zrobić już teraz
- Organizacja działu cyberbezpieczeństwa. Należy podjąć decyzję, czy organizacja powołuje dział wewnętrzny bądź będzie chciała skorzystać ze wsparcia zewnętrznego dostawcy.
- Wyznaczenie osoby/osób odpowiedzialnych za utrzymywanie kontaktu z podmiotami Krajowego Systemu Cyberbezpieczeństwa (m.in. z Ministerstwem Cyfryzacji oraz CSIRT-ami).
- Inwentaryzacja sprzętu i oprogramowania. Niezależnie od tego, czy zostaniemy objęci wymogami znowelizowanej ustawy regularna inwentaryzacja pozostaje dobrą praktyką, będąc jednym z fundamentów bezpieczeństwa.
- Szacowanie ryzyka wystąpienia incydentów. Korzystając ze wsparcia specjalistów można wykonać kolejny istotny krok, czyli określić, które obszary wynikające ze specyfiki działalności naszej organizacji wymagają wdrożenia dodatkowych rozwiązań, procedur i szkoleń, aby zapobiegać i ograniczać ewentualny wpływ incydentów. Pozwoli to również oszacować koszty i ustalić priorytety przyszłych zakupów i wdrożeń sprzętu czy technologii.
- Zarządzanie incydentami. Mowa zarówno o wykrywaniu i zgłaszaniu incydentów do odpowiednich podmiotów. W tej procedurze kluczową rolę odgrywać będą osoby wskazane do kontaktu z KSC oraz odpowiedzialne za działanie aż do momentu usunięcia skutków incydentu.
By optymalizować koszty jedną z opcji outsourcing
W przypadku najbardziej opóźnionych podmiotów wdrożenie wymagań może być dość długotrwałym, wymagającym i kosztownym procesem. Jednak rekomendowane działania nie powinny być analizowane wyłącznie jako „koszt regulacyjny”, ale element budowy odporności firmy.
– Mam nadzieję, iż kwestia nakładania kar pozostanie przede wszystkim straszakiem, mającym na celu mobilizację kluczowych decydentów do podjęcia działań. Osobiście oceniam, iż zasadnym byłoby przyjąć kryteria pozwalające określić, czy podmiot i osoby nim kierujące dołożyły starań by dostosować organizację do przepisów. I z uwzględnieniem tej kwestii nakładać kary, jeżeli zaistnieje sytuacja ich wymagająca – wyjaśnia Aleksander Kostuch. – Jeszcze innym rozwiązaniem byłby mechanizm, w którym środki zaliczone na poczet kar byłyby obligatoryjnie przeznaczane na poprawę bezpieczeństwa IT. W ten sposób, można by niejako „zmusić” do działania podmiot, który uprzednio się przed tym wzbraniał, czego skutkiem byłby incydent naruszenia bezpieczeństwa – dodaje ekspert.
Opcją dla firm i instytucji pozwalającą skutecznie dopasowywać się do nowych wymagań pozostaje outsourcing usług.
– Obszarami, w których można uzyskać wsparcie ze strony podmiotów działających w sektorze cyberbezpieczeństwa jest choćby opracowanie Systemu Zarządzania Bezpieczeństwem Informacji czy usługa SOC, czyli zespołu obsługującego podmiot w zakresie monitorowania i reagowania na potencjale zagrożenia przez 24 godziny na dobę – mówi Piotr Piasecki z firmy DAGMA Bezpieczeństwo IT.
Taki model wiąże się z niższym kosztem początkowym, pozwala szybciej osiągnąć cele i ogranicza ryzyka związane z rotacją pracowników a w konsekwencji brakami kompetencyjnymi.
– Jednak korzystanie z outsourcingu nie zwalnia z odpowiedzialności w zakresie wypełnienia regulacji. To oznacza, iż w podstawowym zakresie niezbędne jest poleganie na własnych zasobach, choćby z myślą o bieżącej kontroli jakości świadczonych przez outsourcera usług – uzupełnia Aleksander Kostuch.
