„My mamy informatyków”, czyli o problemach operatorów usług kluczowych

Ustawa o krajowym systemie cyberbezpieczeństwa oraz stojąca za nią Dyrektywa NIS postawiły sektor prywatny przed zadaniem wdrożenia szeregu wymagań, w tym wynikających z dwóch norm ISO/IEC 27001 – odnoszącej się do zarządzania bezpieczeństwem informacji oraz ISO 22301 – odnoszącej się do zarządzania ciągłością działania. Firmy identyfikujące i analizujące te przepisy na etapie legislacyjnym były w stanie podjąć pewne kroki ułatwiające im działania w przyszłości, lecz wiele podmiotów zobowiązanych zostało niejako zaskoczonych nowymi obowiązkami.

„U nas pracuje 100 informatyków”

Z punktu widzenia firmy doradczej część podmiotów nie do końca zdawały – lub nawet nadal zdaje – sobie sprawę z charakteru wymagań w przepisach odnoszących się do cyberbezpieczeństwa. Należy tu podkreślić fakt, że przepisy o krajowym systemie cyberbezpieczeństwa kładą bardzo duży nacisk na organizacyjny aspekt bezpieczeństwa, przez co ich realizacja raczej nie ogranicza się do osób technicznych w organizacji, a reakcją dużej części podmiotów w zakresie wsparcia we wdrożeniu wymagań ustawy było odwołanie do posiadanych służb IT. Po analizie wymagań, czy dedykowanym audycie wewnętrznym, okazywało się jednak, że niezbędne jest wsparcie zewnętrzne w dostosowanym do organizacji wdrożeniu rozwiązań opartych na normach ISO. Dość wspomnieć, że nierzadko jądrem usługi kluczowej w organizacji okazywał się być obszar automatyki OT, a nie klasycznego IT.

Człowiek najsłabszym ogniwem cyberbezpieczeństwa

Wymagania organizacyjne odwołujące się do analizy ryzyka, czy wielopoziomowej dokumentacji można oczywiście spełnić na wiele sposób, ale z punktu widzenia firmy najważniejsze, aby – jeśli nie ma takiej potrzeby – nie dokonywać rewolucji oraz na tyle na ile to możliwe spróbować wykorzystać zmiany do uporządkowania wymagających tego procesów. Niekiedy trudny do zrozumienia jest również fakt, że „cyberbezpieczeństwo” to nie tylko atak hackerski, ale również inne czynniki, jak np. utrata zasilania, czy błąd konfiguracyjny. Co najważniejsze to właśnie obszar związany z błędami – ludzkimi – stanowi największe wyzwanie we wdrażaniu bezpieczeństwa technicznego czy organizacyjnego. Stąd istotne jest również wyróżnienie obszaru bezpieczeństwa osobowego, opartego przede wszystkim na budowaniu świadomości.

cyberbezpieczeństwo

„Te przepisy można wykorzystać”

Podsumowując powyższym cytatem z rozmowy kończącej audyt jednego z operatorów usług kluczowych należy podkreślić, że podmioty zobowiązane same dostrzegają w realizacji wymagań przepisów o krajowym systemie cyberbezpieczeństwa szansę na doskonalenie. Wynikiem tego jest wdrażanie – dla całych organizacji a nie tylko obszarów usługi kluczowej jak wymagają tego przepisy – systemów zarządzania bezpieczeństwem informacji, zarządzania ryzykiem, czy ciągłości działania, a nawet testowanie reakcji na incydent w ramach zarządzania kryzysowego.

O Autorze

Jacek Knopik
Ekspert i praktyk zarządzania ryzykiem. Lubi wyzwania i umiejętnie łączy świat IT z wymaganiami prawnymi i normatywnymi. Posiada bogate doświadczenie. Realizował i kierował wieloma projektami w dziedzinach zarządzania ryzykiem, ciągłością działania, bezpieczeństwem informacji oraz cyberbezpieczeństwem. Wdraża i wspiera rozwój narzędzia do zarządzania ryzykiem e-risk. Dodatkowo dzieli się wiedzą i doświadczeniem jako wykładowca akademicki. Absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu. Prywatnie pasjonat i trener wioślarstwa.