Wymagania związane z koniecznością ochrony danych osobowych oraz bezpieczeństwem najistotniejszych aktywów dla kluczowych sektorów w państwie, wprowadzone w roku 2018 przepisami RODO oraz Ustawą o krajowym systemie cyberbezpieczeństwa, spowodowały większe zainteresowanie usystematyzowanym podejściem do bezpieczeństwa informacji. Do rozmowy na ten temat zaprosiliśmy Tomasza Nikla, Kierownika Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT w TÜV Rheinland Polska.

W sierpniu 2018 roku ogłoszona została Ustawa o krajowym systemie cyberbezpieczeństwa. Co zmienia nowe prawo? W jaki sposób dotyczy polskich przedsiębiorców?

TOMASZ NIKIEL | Ustawa z 5 lipca 2018 jest zaimplementowaniem na gruncie polskich przepisów prawnych europejskiego Rozporządzenia dotyczącego cyberbezpieczeństwa w kluczowych sektorach państwa. Jej głównym celem jest organizacja krajowego systemu cyberbezpieczeństwa oraz zdefiniowanie zadań i obowiązków dla podmiotów, które wchodzą w skład tego systemu. Poprzez postawienie sprecyzowanych wymagań dla bezpieczeństwa systemów informacyjnych ustawa ma pomóc zapewnić niezakłócone działanie usług kluczowych oraz usług cyfrowych. Obliguje ona również operatorów usług kluczowych do przeprowadzania, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego.

Operatorami usług kluczowych według ustawy są podmioty z sektorów energii, transportu, bankowości, ochrony zdrowia, dostawcy wody pitnej i dostawcy infrastruktury cyfrowej.Jeśli chodzi o dostawców usług cyfrowych, to są to podmioty świadczące usługi przetwarzania w chmurze, internetowe platformy handlowe oraz wyszukiwarki internetowe.

Istotne znaczenie ma tutaj także Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018, które nakłada na podmioty świadczące usługi cyberbezpieczeństwa obowiązek posiadania i utrzymywania Systemu Zarządzania Bezpieczeństwem informacji zgodnego z wymaganiami Polskiej Normy PN-EN ISO/IEC 27001. Rozporządzenie dotyczy również wewnętrznych zespołów operatorów usług kluczowych, np. ich działów IT.

Z ogólnoświatowego badania przeprowadzonego przez TÜV Rheinland wynika, że wiele firm nie zdaje sobie sprawy z zagrożeń jakie cyberataki stanowią dla ich aktywów operacyjnych. Jak Pana zdaniem wygląda sytuacja w polskich firmach?

TN | Analogicznie. Mało tego, niestety nadal ogromna część przedsiębiorstw nie zdaje sobie w pełni sprawy jakie informacje przetwarza, nie ma zinwentaryzowanych informacji i nie jest w stanie określić, które informacje musi chronić w sposób szczególny. Za tym idzie niedostosowanie skutecznych zabezpieczeń do właściwej ochrony przetwarzanych danych. Dotyczy to zarówno zabezpieczeń fizycznych jak i informatycznych.

Taka postawa na szczęście staje się coraz rzadsza i obserwujemy wzrost świadomości. Pojawia się potrzeba ochrony własnych informacji, a co za tym idzie, coraz więcej przedsiębiorstw bazuje na zarządzaniu ryzykiem w obszarze cyberbezpieczeństwa i stosuje wynikające z takiej analizy adekwatne zabezpieczenia. Odsetek ten z całą pewnością będzie rósł.

We wspomnianym przeze mnie badaniu przeanalizowano aspekty oceny ryzyka, ochrony i wykrywania ataków cybernetycznych oraz przedstawiono informacje na temat środków ochronnych i odzyskiwania aktywów po ataku cybernetycznym. Jakie wnioski wyciągnąłby Pan dla właścicieli polskich firm?

TN | Kluczowym aspektem jest podniesienie świadomości pracowników poprzez systematyczne szkolenia z dziedziny szeroko pojętego bezpieczeństwa informacji. Należy zdać sobie sprawę, że za zdecydowaną większością wycieków informacji z firm stoi tzw. czynnik ludzki. Podatność człowieka na ataki wykorzystujące socjotechnikę można podnieść poprzez właśnie właściwe podejście do szkoleń i uświadamiania pracowników nt zagrożeń. To jest tak naprawdę baza do tego, by zapewnić właściwy poziom bezpieczeństwa.

Jaki rodzaj usług w tym zakresie oferuje TÜV Rheinland?

TN | Od ponad 20 lat TÜV Rheinland pomaga przedsiębiorstwom z różnych branż, agencjom rządowym i instytucjom publicznym w bezpiecznym stosowaniu innowacyjnych technologii. Mamy blisko tysiąc konsultantów na całym świecie, którzy na co dzień pracują nad rozwiązaniami z zakresu bezpieczeństwa cybernetycznego, które mają na celu połączenie bezpieczeństwa i ochrony danych. Takim rozwiązaniem, które w sposób całościowy podchodzi do bezpieczeństwa informacji jest implementacja oraz certyfikacja Systemu Zarządzania Bezpieczeństwem Informacji według wymagań normy ISO/IEC 27001. Norma ta zawiera wymagania odnośnie systemów IT, zabezpieczeń fizycznych, prawnych oraz środowiskowych. Stawia nacisk na szkolenie pracowników i ich uświadamianie, co może zminimalizować ryzyko podatności na ataki socjotechniczne. Norma bazuje na zarządzaniu ryzykiem w obszarze bezpieczeństwa.

Nie bez powodu przywołał Pan ISO/IEC 27001, od 7 lat odwiedza Pan polskie firmy jako audytor tej normy. Ze statystyk opublikowanych przez organizację ISO (The ISO Survey – 2017) wynika, że w 2017 roku w Polsce wydano 705 certyfikatów zgodności z tą normą. W 2016 było ich 657, rok wcześniej 448 – widać więc stopniowy wzrost. Mimo wszystko nie jest to tak duże zainteresowanie, jak np. certyfikatami ISO 14001, których w 2017 wydano 2885. Z czego, Pańskim zdaniem, wynika stosunkowo małe zainteresowanie certyfikacją Systemu Zarządzania Bezpieczeństwem Informacji? Czy zmiany w prawie coś zmienią w tym zakresie? A może polskie firmy nie są na nie gotowe?

TN | Stosunkowo niewielkie zainteresowanie certyfikacją w zakresie normy ISO/IEC 27001 wynika według mnie z dwóch powodów. Po pierwsze, wciąż nie ma wystarczającej świadomości wśród przedsiębiorców co do konieczności ochrony swoich informacji. Drugą kwestią, która ma wpływ na ten stan jest pewna trudność we wdrożeniu i skutecznym utrzymaniu Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO/IEC 27001. Norma definiuje wymagania dotyczące bezpieczeństwa informacyjnego wewnątrz organizacji nie skupiając się tylko na bezpieczeństwu IT. To całościowe podejście do zagadnienia bezpieczeństwa obejmuje tak bezpieczeństwo IT, jak i bezpieczeństwo zasobów ludzkich, bezpieczeństwo prawne, fizyczne i środowiskowe. Takie holistyczne podeście może skutkować koniecznością zapewnienia odpowiednich zasobów (ludzkich i materialnych) do skutecznego zarządzania systemem bezpieczeństwa.

Moim zdaniem Ustawa o krajowym systemie cyberbezpieczeństwa może zmienić ten stan i zwiększyć rolę normy ISO/IEC 27001 na rynku. Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo nakłada wprost na podmioty świadczące usługi z zakresu cyberbezpieczeństwa konieczność posiadania i utrzymywania SZBI spełniającego wymagania normy ISO/IEC 27001. Należy mieć nadzieję, że wpłynie to na wzrost zainteresowania certyfikacją wśród organizacji, a tym samym na ogólny wzrost bezpieczeństwa informacyjnego w Polsce.

Zagrożenie cyberatakami dotyczą nie tylko przedsiębiorstw, w dobie powszechnego dostępu do Internetu każdy z nas może być narażony na atak hakerów. Ostatnio głośno było o włamaniach na konta bankowe. Czy ma Pan jakąś złotą radę dla osób, które obawiają się tego rodzaju zagrożeń?

TN | Złotą radą jest stosowanie zasady ograniczonego zaufania. Wymienię kilka takich rad, które mogą pomóc zminimalizować ryzyko hakerskiego ataku:

• Należy zawsze weryfikować adres URL (szczególnie gdy klikamy w link do strony bankowej).
• Nie należy korzystać z otwartych sieci WiFi przy logowaniu.
• Należy logować się do aplikacji bankowych tylko i wyłącznie na swoim sprzęcie (laptop, telefon).
• Na bieżąco należy uaktualniać system operacyjny oraz przeglądarki.