Trzeba zapewnić sprawny przepływ informacji o incydentach

Dotyczy to m.in. jednostek samorządu terytorialnego. Część z nich zaliczana jest dodatkowo do grupy operatorów usługi kluczowej, o czym powinny zostać poinformowane pismem zawierającym decyzję administracyjną ministra odpowiadającego za dany sektor gospodarki lub usług (np. Ministra Zdrowia). To rozróżnienie jest ważne ze względu na obowiązek składania informacji o incydencie cyberbezpieczeństwa. Podmioty publiczne są zobligowane do informowania o wszystkich incydentach, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego. Natomiast podmioty publiczne, które jednocześnie są operatorami usług kluczowych, muszą zgłaszać incydenty poważne. To, czy incydent jest uznawany za poważny, zależy np. od liczby użytkowników dotkniętych incydentem oraz czasu oddziaływania na świadczoną usługę. Kryteria dla poszczególnych sektorów określa rozporządzenie Rady Ministrów.

Ustawa nie nakłada obowiązku zgłaszania incydentów, które nie spełniają powyższych kryteriów, NASK zachęca i rekomenduje jednak, aby zgłaszać wszystkie zdarzenia związane z cyberbezpieczeństwem, również problemy, które zostały już rozwiązane, ponieważ analiza wszystkich tych przypadków pozwala na udoskonalanie systemu bezpieczeństwa.

Incydent należy zgłosić jak najszybciej, czyli 24 godziny od jego wykrycia. Warto pamiętać, że czas reakcji jest bardzo ważny i może mieć znaczący wpływ na rozwiązanie problemu i przywrócenie pełnej funkcjonalności zaatakowanym zasobom. Dlatego, nawet jeśli zaraz po wykryciu incydentu administrator nie zna wszystkich jego szczegółów, powinien niezwłocznie przesłać formularz do CERT Polska w NASK, podając tyle danych, ile udało mu się zgromadzić. Kolejne informacje można podawać już w trakcie rozwiązywania problemu.

Sprawą, która budzi pewne wątpliwości wśród przedstawicieli podmiotów publicznych, jest podawanie podczas zgłaszania incydentu danych prawnie chronionych. Jeżeli przekazanie ich jest istotne dla obsługi incydentu, należy to robić. Odnosi się do tego art. 12 pkt 3 ustawy o krajowym systemie cyberbezpieczeństwa, który mówi, że: „Operator usługi kluczowej przekazuje, w niezbędnym zakresie, w zgłoszeniu, o którym mowa w art. 11 ust. 1 pkt 4, informacje stanowiące tajemnice”. Dzięki tej wiedzy eksperci z CERT Polska będą mogli określić skalę incydentu oraz lepiej i sprawniej rozwiązać problem. Ważne jest to, aby w zgłoszeniu wyraźnie zaznaczyć, które informacje są prawnie chronione. Warto dodać, że formularz, który znajduje się na stronie: https://incydent.cert.pl, w przystępny i intuicyjny sposób prowadzi krok po kroku przez kolejne etapy zgłoszenia.

Podmioty publiczne mogą również zgłaszać nielegalne treści znajdujące się w sieci, w tym mowę nienawiści, nawoływanie do przestępstwa. Można to robić poprzez stronę internetową www.dyzurnet.pl. Dyżurnet jest zespołem w NASK przyjmującym zgłoszenia szkodliwych i nielegalnych treści w internecie.

Co nowego dla samorządów?

Osoba kontaktowa

Jednostka samorządu terytorialnego może wyznaczyć jedną osobę kontaktową w zakresie zadań publicznych zależnych od systemów informacyjnych realizowanych przez jej jednostki organizacyjne. Dane osoby kontaktowej należy przekazać do właściwego CSIRT (dla samorządów jest to CSIRT NASK). Zgłoszenie osoby kontaktowej polega na przesłaniu wiadomością e-mail na adres ksc@cert.pl następujących informacji:

• nazwa podmiotu/organizacji,

• sektor (energia, transport, finanse itd.),

• imię, nazwisko, telefon kontaktowy oraz służbowy e-mail osoby kontaktowej.

Zgłoszenie incydentu

Podmiot publiczny, który realizuje zadanie publiczne zależne od systemu informacyjnego, ma obowiązek zapewnić zarządzanie incydentem w podmiocie publicznym. Incydent powinien zostać zgłoszony niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia do właściwego CSIRT. Zgłoszenie przekazywane jest w postaci elektronicznej, poprzez uzupełnienie formularza internetowego znajdującego się na stronie: https://incydent.cert.pl.

PAO

Materiał powstał przy współpracy z NASK