Nowe wymogi w zakresie cyberbezpieczeństwa dla Operatorów Usług Kluczowych
W tym miejscu należy zwrócić uwagę, że choć Rozporządzenie będzie miało charakter „nadrzędny”, to jednak nie sposób zignorować najnowszych wytycznych Europejskiego Urzędu Nadzoru Bankowego w sprawie zarządzania ryzykami IT oraz bezpieczeństwa, które choć formalnie nie zostały jeszcze przyjęte to niewątpliwie będą stosowane.
Warto również zwrócić uwagę na fakt, że przy okazji publikacji Cyfrowej Agendy Nadzoru planowana jest rewizja Rekomendacji D i/lub opracowanie nowej. Cenną wskazówką mogą tutaj być rekomendacje grupy ds. PolishAPI przy Związku Banków Polskich.
Zakres stosowania
Rozporządzenie adresowane jest nie tylko do wewnętrznych struktur podmiotów będących operatorami usług kluczowych, ale również podmiotów świadczących usługi z zakresu cyberbezpieczeństwa.
Z tego względu nie wszystkie warunki organizacyjne stosuje się do tych struktur (np. departamentów bezpieczeństwa). Stosowne ograniczenia przewiduje par. 1 ust. 2 Rozporządzenia.
Organizacja wewnętrzna
Podstawowym wymogiem jest obowiązek utrzymywania i regularnego aktualizowania systemu zarządzania bezpieczeństwem. Obowiązującym standardem jest Norma PN-EN ISO/IEC 27001 określająca wymogi w zakresie bezpieczeństwa informacji. Jest to niezwykle istotne z punktu widzenia KNF, o czym jej przedstawiciele wielokrotnie zapewniali.
Dodatkowo, co jest bardzo istotne w przypadku zagrożeń cyberbezpieczeństwa, operator usługi kluczowej musi zapewnić odpowiednie procedury i procesy w zakresie obsługi incydentów operacyjnych. Należy to skorelować z komunikatem KNF w sprawie zarządzania incydentami.
Personel
Kolejnym istotnym obowiązkiem jest zapewnienie, że zatrudniony personel posiada stosowne umiejętności. Do tej kwestii odnoszą się również Wytyczne EBA w sprawie zarządzania ryzykami IT oraz bezpieczeństwa wskazując, że to na zarządzie ciąży obowiązek zapewnienia odpowiedniego personelu.
Rozporządzenie jest bardziej szczegółowe i wskazuje konkretnie jakie kompetencje muszą posiadać osoby odpowiedzialne za cyberbezpieczeństwo (pełny wykaz znajduje się w par. 1 ust. 1 pkt 4).
Nadmienić tutaj należy, że personel ten powinien nieustannie się dokształcać (szkolenia zewnętrzne i wewnętrzne). Co istotne, choć Rozporządzenie nie wskazuje tego wprost, zasadnym jest, aby zatrudnione osoby posiadały stosowne certyfikaty.
Jeżeli chodzi o konkretną wiedzę i umiejętności, to ustawodawca wskazał m.in. identyfikowanie zagrożeń dla systemów IT, w tym luk bezpieczeństwa i ataków hakerskich oraz zabezpieczenia informacji na potrzeby analizy po przełamaniu zabezpieczeń,co pokrywa się z obowiązkami w zakresie zarządzania incydentami. Może warto pomyśleć o tzw. white hat’ach?
Pomieszczenia
W banku należy zapewnić wydzielone pomieszczenia lub zespoły pomieszczeń, które posiadają odpowiednie zabezpieczenia fizyczne i techniczne, np. dostęp na odcisk palca, PIN czy kartę. W celu dobrania odpowiednich środków należy przeprowadzić analizę ryzyk związanych z poszczególnymi usługami pod kątem ich krytyczności, m.in. ze względu na przetwarzanie danych stanowiących tajemnicę zawodową/bankową.
Warto pamiętać, że dostęp do tych pomieszczeń powinien być możliwie wąski i ograniczony do osób „koniecznych”.
Należy też zwrócić uwagę na dodatkowe wymagania dla pomieszczeń służących realizacji obowiązków w zakresie przekazywania informacji o incydentach. Tutaj ustawodawca zastosował bardzo rygorystyczne wymagania określone w par. 2 ust. 2 Rozporządzenia.
Do takich obowiązków należy m.in. kontrola dostępu, również z wykorzystaniem metod biometrycznych, czy też zapewnienie odpowiednich zabezpieczeń przeciwpożarowych i antywłamaniowych.
Sprzęt, oprogramowanie
Tutaj nie ma już odstępstw. Sprzęt komputerowy, wraz ze stosownym oprogramowaniem, wykorzystywany do realizacji zadań w zakresie cyberbezpieczeństwa musi spełniać wysokie standardy i posiadać odpowiednie narzędzia m.in. w zakresie rejestrowania zgłoszeń incydentów, analizy złośliwego kody czy badania odporności systemów na konkretne ataki.
Operator usługi kluczowej (jednostka lub podmiot) musi posiadać również odpowiednie środki łączności zapewniające bezpieczną komunikację z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (jeden z trzech CSIRT).
Ważne jest również wprowadzenie odpowiednich rozwiązań w zakresie zdalnego dostępu. Taki zdalny dostęp powinien chronić dane (np. szyfrowanie), ale również – choć nie wybrzmiało w samym Rozporządzeniu – mieć charakter wyjątkowy.
„Inne” środki bezpieczeństwa
W przypadku wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, ale nie realizujących zadań w zakresie zarządzania incydentami (w pewnym uproszczeniu), Rozporządzenie przewiduje nieco mniejszy rygor w zakresie bezpieczeństwa.
Środki te powinny być adekwatne do oszacowanego ryzyka i powinny wykorzystywać dobre praktyki, np. wspomniane już rekomendacje PolishAPI, ale przede wszystkim publikowane przez ENISA.
Celem stosowania tych zabezpieczeń jest przede wszystkim zapobieganie incydentom oraz efektywne i niezwłoczne reagowanie na nie (a także wyciąganie stosownych wniosków).
I to tyle…
Rozporządzenie nieco uprościło dostosowywanie się przed podmioty, które mają swoje rozwiązania sektorowe nie zawsze mogące w pełni odpowiadać wymaganiom niektórych norm.
Nie ma tutaj jednak rewolucji, choć jest też kilka istotnych zmian, jak np. dodanie zasad w zakresie przydzielania zdalnego dostępu.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.