Kontrola w wirtualnym świecie

Przedsiębiorcy optują za większym poziomem cyberochrony, mają jednak zastrzeżenia do niektórych zmian prawnych

Cyberbezpieczeństwo w kontekście coraz szybszego rozwoju sieci i przenoszenia do internetu aktywności administracyjnej i biznesowej staje się olbrzymim wyzwaniem.

CYBERERA:
Zobacz więcej

CYBERERA:

Dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan, reprezentująca interesy pracodawców w Polsce i UE, wskazuje na konieczność doprecyzowania kilku zapisów projektu ustawy o krajowym systemie cyberbezpieczeństwa. Jej zdaniem, mogą nazbyt mocno ingerować w działalność firm. Grzegorz Kawecki

Rośnie tym samym potrzeba wypracowania procedur, które zwiększą poziom ochrony cyberprzestrzeni i gromadzonych w niej danych. Kierunek zmian narzuca np. dyrektywa wspólnotowa dotycząca bezpieczeństwa sieci i systemów informatycznych w UE (dyrektywa NIS). Dla wdrożenia tych regulacji w listopadzie resort cyfryzacji skierował do konsultacji projekt ustawy o krajowym systemie cyberbezpieczeństwa. Ale na rynku pojawiły się głosy, że o ile kierunek proponowanych zmian jest słuszny, o tyle projekt wymaga doprecyzowania.

Bezpieczeństwo w paragrafach

Zdaniem przedstawicieli Konfederacji Lewiatan, niektóre zapisy mogą zbyt mocno ingerować w działalność przedsiębiorstw.Obawy budzą np. szerokie uprawnienia Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym (Computer Security Incident Response Team — CSIRT), w tym możliwość żądania od operatorów telekomunikacyjnych informacji o działalności i stosowanych rozwiązaniach operacyjno-technicznych.

— CSIRT powinien realizować wyłącznie zadania o charakterze publicznym i niekomercyjnym. Jego funkcjonowanie na rynku konkurencyjnym budzi wątpliwości, szczególnie w sytuacji, gdy możliwość pozyskiwania informacji od innych podmiotów stawia go w uprzywilejowanej pozycji — twierdzi dr Aleksandra Musielak, ekspertka Lewiatana. Pracodawcy postulują również jednoznaczne określenie ram odpowiedzialności za obsługę incydentów poważnych — mówią o potrzebie ustalenia granicy między kompetencjami operatorów i CSIRT. Lewiatan sugeruje też konieczność utworzenia jednego punktu zgłoszeń incydentów na poziomie krajowym, który klasyfikowałby je i przekierowywał, co — zdaniem przedstawicieli organizacji — sprawdziłoby się lepiej niż proponowany model zgłaszania poszczególnych kategorii incydentów.

Odmiennego zdania jest Andrzej Kozłowski z portalu Cyberdefence24 — jego zdaniem, centralizacja mogłaby utrudnić proces, zwłaszcza w kontekście właściwej oceny poziomu zagrożenia. Zwraca jednak uwagę na fakt, że projekt nakłada na dostawców usług cyfrowych obowiązek zgłaszania istotnych incydentów „niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia” i sugeruje potrzebę znacznego skrócenia tego okresu. Podobnie w kwestii przeprowadzania audytu bezpieczeństwa teleinformatycznego przez operatorów usług kluczowych — z powodu dużej dynamiki rozwoju technologii cyfrowych powinien on być przeprowadzany raz do roku, a nie „co najmniej raz na dwa lata”.

W interesie wielu stron

Michał Jaworski, dyrektor strategii technologicznej w polskim oddziale Microsoftu, zaznacza, że o podniesieniu poziomu bezpieczeństwa będzie decydowała praktyka działania, rzeczywisty wymiar i egzekwowanie prawa wobec zobligowanych firm i instytucji.

— Obecnie istnieją zapisy dotyczące bezpieczeństwa informacji, zawarte zostały one choćby w rozporządzeniu Krajowe Ramy Interoperacyjności, ale raporty o stanie bezpieczeństwa publikowane np. przez Naczelną Izbę Kontroli świadczą o tym, że dotychczas prawo to nie było w pełni przestrzegane. Zaletą nowych zapisów jest konieczność współpracy między sektorem prywatnym i komercyjnym a państwem. Mamy nadzieję, że taka współpraca — decydująca o bezpieczeństwie nas wszystkich — nie ograniczy się jedynie do operatorów usług kluczowych i dostawców usług, ale obejmie także dostawców produktów i usług chmurowych, takich jak Microsoft — mówi Michał Jaworski. © Ⓟ

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Anna Bełcik

Najważniejsze dzisiaj

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Puls Firmy / Kontrola w wirtualnym świecie