Liżąc się z ran po pracowitych dniach postanowiłem podzielić się z Czytelnikami ISPortalu kolejną refleksją, której osią będzie przewijające się w różnych kontekstach słowo “incydent”. W praktyce okazuje się, że mamy różne wyobrażenia dotyczące jego definicji. W tle pojawia się także System 46.
“Incydent” to najczęściej pojawiające się pojęcie w uzasadnieniu ustawy o krajowym systemie cyberbezpieczeństwa. W całym KSC właściwe nie chodzi też o nic innego jak “zarządzanie incydentami”.
Na początek zaskoczenie – niezależnie od kontekstu w większości wypadków prawidłowo używacie tego terminu. A przynajmniej tak się wydaje. Dla porządku: incydent – zgodnie z dyrektywą NIS 2 – to zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem. Przepisy dotyczące normy ISO27001 mówią zaś, że incydent jest zdarzeniem, które może doprowadzić do zakłócenia, straty lub kryzysu.
Jeżeli zatem zastanawiasz się czy coś jest incydentem, czy nie – patrz wyżej.
Klasyfikacja incydentów
Kolejnym krokiem jest klasyfikacja incydentów. Najlepiej dokonywać tego na podstawie ustawy. Incydent może być więc normalny, poważny lub krytyczny. Jaka jest ich dokładna definicja – nie wiemy. Będziemy musieli poczekać aż po wejściu ustawy odpowiedni minister określi w drodze rozporządzeniu właściwe progi ich klasyfikacji.
Następnie należałoby tę klasyfikację zdefiniować u siebie czyli do definicji przyporządkować wszelkie zdarzenia, które mogą zaburzyć integralność, dostępność i poufność danych, które przetwarzamy. Zaskoczę Was ponownie – dotyczy to również zdarzeń, które powstają poza systemami informatycznymi, ale mają skutki dotyczące danych. Jakie? Dezinformacja, pojawienie się sprzeczności, wycieki danych. To wszystko elementy, które zaczynają się poza systemami.
Czy incydentem będzie ujawnienie swojego hasła żonie, synowi? Prawdopodobnie. Jeżeli tylko zaistnieją przesłanki wynikające z definicji. Takie zdarzenia musicie sobie wyobrazić i opisać. To pomaga wszystkim Waszym pracownikom dobrze zrozumieć w jakich przypadkach mają zareagować.
S46
Kiedy już wiemy co jest incydentem, a co nie, do gry wchodzi dodatkowy czynnik – System 46, czyli w skrócie S46. To system prowadzony przez NASK. Dziś się do niego nie dostaniecie ponieważ tylko podmioty kluczowe mają taką szansę, a droga otrzymania dostępu jest… delikatnie mówiąc koszmarna.
System 46 działa dziś w wydzielonej sieci i dostępny jest tylko dla stosunkowo niewielkiej grupy podmiotów uprawnionych przepisami. Ma się to jednak zmienić. S46 po włączeni do węzła krajowego będzie dostępny po zarejestrowaniu dwóch odpowiedzialnych za zgłaszanie incydentów osób, które poprzez profil zaufany otrzymają do niego dostęp w modelu SaaS.
Co daje S46?
- Informacje dotyczące cyberbezpieczeństwa, w tym informacje o cyberzagrożeniach, potencjalnych zdarzeniach dla cyberbezpieczeństwa, podatnościach, technikach i procedurach, wrogich taktykach, a także informacje o grupach przestępczych, ostrzeżenia dotyczące cyberbezpieczeństwa i zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki;
- wczesne ostrzeżenie o incydencie poważnym;
- zgłoszenie incydentu poważnego;
- sprawozdania z obsługi incydentu poważnego;
- wsparcie w zarządzaniu incydentami w podmiocie;
- podłączenie do zgłoszenia naruszenie do PUDO – ciekawa rzecz ponieważ incydent może również dotyczyć naruszenia danych osobowych;
- bieżące dane dotyczące incydentów na terenie RP.
To wszystko dostępne z przeglądarki, po autoryzacji profilem zaufanym.
Nie jest to system w obecnym kształcie wystarczający aby na terenie zakładu pracy można było prowadzić zarządzanie incydentami. Musimy też pamiętać, że podstawowe założenie tego systemu to incydenty poważne, z tego wyrósł.
Po co nam to?
Jest to kolejny element, który wymusi stosowanie systemów organizacyjnego zarządzania incydentami. Są tam wskazane pewne terminy (a za opóźnienia są kary), a ponadto jest to system teleinformatyczny zatem dane są wyszukiwalne. Nietrudno wyobrazić sobie działanie S46 w praktyce. Mamy np. zgłoszenie z obsługiwanego urzędu, że doszło w nim do incydentu ponieważ mieli brak dostępności sieci od operatora (np. od Was). Będzie to przyczyna wystąpienia incydentu w podmiocie będącym elementem KSC. Skoro zaś KSC ma eliminować incydenty, a operator nie zgłosi go u siebie (albo zostanie źle sklasyfikowany) to – zgadujcie – gdzie przyjdzie kontrola?
Rada Bezpieczeństwa Biznesowego Grupy MiŚOT wnioskowała już publicznie o udostepnienie S46 dla naszego środowiska abyśmy mogli zacząć go testować. Testować, czyli uczyć się go bez konsekwencji w postaci kar. Mamy nadzieję, że NASK o nas nie zapomni.
Nie będzie jedynym wyzwaniem, które na nas czekają. Przypominam na koniec, że w Projekcie MdS są ludzie, którzy mają doświadczenie z tym systemem. Być może warto się do nas przytulić bardziej. Na misia.
Czytaj także:
Z notatnika Bezpiecznika: Rada Bezpieczeństwa Biznesowego Grupy MiŚOT zaczęła pracę – ISPortal
Cyberbezpieczeństwo: lokalni operatorzy a System 46 – ISPortal