Co łączy takie instytucje jak szpital, kopalnia, start up, zakład oczyszczania ścieków czy bank? Każdy z tych podmiotów może być ofiarą ataku przeprowadzonego w cyberprzestrzeni. Pomimo tego, znaczna część instytucji publicznych i przedsiębiorców zapomina, że cyberprzestrzeń stanowi pole do bardzo groźnych incydentów mogących mieć wpływ na dalsze funkcjonowanie całej organizacji. Ten tekst jest pierwszym opracowaniem w ramach cyklu o cyberbezpieczeństwie, w którym będę analizował tę problematykę pod kątem prawnym.
Kilka słów na temat prawnej regulacji cyberbezpieczeństwa
Pomimo tego, że cyberbezpieczeństwo jest stosunkowo nowym obszarem zainteresowania prawników to istnieje kilka aktów prawnych regulujących tę sferę. W tym kontekście można jedynie przykładowo wyróżnić działalność legislacyjną ONZ, Rady Europy, czy Unii Europejskiej. W aspekcie cyberbezpieczeństwa przepisy o randze międzynarodowej są szczególnie istotne, bowiem to one tworzą ramy prawne polskiego porządku prawnego. Jeśli zaś chodzi o krajowy system to w znacznej mierze jest on zbudowany na ustawie o krajowym systemie cyberbezpieczeństwa. Jest to implementacja do porządku krajowego tzw. Dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii).
Warto wskazać, że ustawa wprost wskazuje podmioty objęte krajowym systemem cyberbezpieczeństwa. Natomiast fakt, że dany rodzaj podmiotów nie jest przywołany w ustawie nie oznacza, że jego cyber-infrastruktura jest bezpieczna. Stąd każdy podmiot działający na rynku jako przedsiębiorca jak i jednostki publiczne powinny rozważyć, czy są odpowiednio zabezpieczeni w zakresie IT – zarówno pod kątem technologicznym jak i prawnym.
Należy pamiętać, że wszelkie rozwiązania technologiczne wymagają podstawy prawnej. Innymi słowy, próba wdrożenia odpowiednich procedur zabezpieczających systemy teleinformatyczne wymaga oceny zgodności zarówno z prawem obowiązującym jak i z zaleceniami międzynarodowymi.
Dobre praktyki w zakresie cyberbezpieczeństwa
Oprócz przepisów niezwykle istotne są tzw. dobre praktyki wskazujące na właściwe zachowania, które nie wynikają wprost z przepisów, ale pomagają osiągnąć cel. W zakresie cyberbezpieczeństwa dobre praktyki przygotowała Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (eng. ENISA). Zgodnie z raportem „Review of Cyber Hygiene practices” istnieje dziesięć podstawowych zasad cyberhigieny:
- przeprowadzenie inwentaryzacji całego sprzętu w celu zrozumienia jakie zasoby posiada organizacja,
- dokonanie intentaryzacji posiadanego oprogramownia i zadbanie o jego aktualność,
- skorzystanie z instrukcji bezpiecznej konfiguracji oraz procedur harderingu dostarczanych przez producentów posiadanych systemów IT,
- opracowanie zasad zarządzania danymi w sieci wewnętrznej i poza nią,
- skanowanie wszystkich przychodzących wiadomości e-mail,
- ograniczenie liczby kont administrujących,
- regularne tworzenie zapasowych kopii danych i testowanie ich, aby zapewnić możliwość odtworzenia informacji,
- opracowanie planów reagowania na incydenty,
- zapewnienie stosowania podobnych zasad w całym łańcuchu podwykonawców,
- posiadanie odpowiednich środków kontroli bezpieczeństwa w umowach utrzymaniowych (w tym także w umowach na świadczenie usług w modelu chmury obliczeniowej).
Wnioski
Powyższy artykuł rozpoczyna cykl tekstów o cyberbezpieczeństwie na łamach Fundacji Law4Tech, a jego celem jest jedynie wstępne zapoznanie Czytelnika z tematem. Pomimo tego, już na tym etapie możemy wyciągnąć kilka wniosków:
- cyberbezpieczeństwo jest stosunkową nową gałęzią prawa wymagającą myślenia out of the box,
- przepisy wskazują podmioty, które są zobowiązane do wdrożenia systemu cyberbezpieczeństwa. Natomiast podmioty nieobjęte tym obowiązkiem również powinny rozważyć wprowadzenie w swojej organizacji regulacji dotyczących cyberbezpieczeństwa,
- atak na infrastrukturę IT może spowodować znaczne straty finansowe i wizerunkowe. Wprowadzenie zasad dotyczących cyberbezpieczeństwa pozwoli ich uniknąć lub zmniejszyć,
- oprócz przepisów powszechnie obowiązujących istnieją również normy i standardy międzynarodowe, których stosowanie jest rekomendowane. Niemniej, ich wdrożenie wymaga kompleksowej wiedzy prawnej i technologicznej.