Raport Specjalny Bezpieczeństwo Banków: Młot na cyberłotrów
Powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie zapobiegał, wykrywał oraz minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju – to cel ustawy o KSC. Przepisy wdrażają dyrektywę Unii Europejskiej, która zobowiązuje państwa Wspólnoty do przyjęcia krajowych strategii cyberbezpieczeństwa, do wskazania lub ustanowienia organów właściwych do spraw cyberbezpieczeństwa oraz powołania tzw. zespołów reagowania na incydenty komputerowe (CSIRT). Dyrektywa zobowiązuje też do zapewnienia cyberbezpieczeństwa systemów informacyjnych w sektorach usług tzw. kluczowych – m.in. w energetyce, transporcie, bankowości i ochronie zdrowia.
– Pozytywnie oceniamy wprowadzenie ustawy oraz stworzenie systemu ochrony cyberbezpieczeństwa na poziomie krajowym. Również fakt, że uchwalona ustawa jest rezultatem wprowadzenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. (tzw. dyrektywa NIS) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, pozwoli na koordynację działań na poziomie europejskim w razie wystąpienia takiego zagrożenia – zapewnia Maciej Ogórkiewicz, dyrektor Departamentu Bezpieczeństwa IT w ING Banku Śląskim.
Zarówno operatorzy usług kluczowych, jak i same usługi zostaną określone w drodze rozporządzenia ministra cyfryzacji. Według szacunków tegoż resortu zostanie wyznaczonych ok. 335 operatorów usług kluczowych. Będą oni zobowiązani do wdrożenia systemu zarządzania cyberbezpieczeństwem. Będą musieli systematycznie szacować ryzyka wystąpienia incydentu, który może mieć wpływ na cyberbezpieczeństwo. Ich zadaniem będzie też zbieranie informacji o występujących zagrożeniach oraz stosowanie środków im zapobiegających. Będą także zobowiązani do prowadzenia odpowiedniej dokumentacji.
Zadaniem operatora będzie obsługa i sklasyfikowanie występującego incydentu. W ciągu 24 godzin od momentu wykrycia incydentu będzie on miał obowiązek zgłoszenia go do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV. CSIRT MON prowadzony jest przez ministra obrony narodowej, CSIRT NASK zarządza Naukowa i Akademicka Sieć Komputerowa, a CSIRT GOV – szef Agencji Bezpieczeństwa Wewnętrznego. Są to zespoły reagowania na incydenty bezpieczeństwa komputerowego działające na poziomie krajowym. Przekazują one sobie informacje dotyczące m.in. operatorów czy incydentów.
Szybkie reagowanie
– Obowiązująca od 28 sierpnia 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca europejską dyrektywę NIS, ma na celu stworzenie krajowej strategii dotyczącej cyberbezpieczeństwa w kluczowych sektorach gospodarki, w tym w sektorze bankowym. Dzięki jasnemu podziałowi zadań i ról możliwe będzie sprawne i szybkie działanie na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo w Polsce. W realizacji tego celu pomóc mają nowe obowiązki i zasady, które banki będą musiały wdrożyć w swoich strukturach – wyjaśnia Hubert Kompanowski, specjalista ds. prawnych w Banku Credit Agricole.
...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI