Operatorzy usług kluczowych (OUK)
Dnia 28 sierpnia 2018 r. weszła w życie ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa implementująca unijną Dyrektywę 2016/1148. Ustawa tworzy nowy podmiot w regulowanym obszarze – Operatora Usługi Kluczowej (OUK). Wykaz takich podmiotów prowadzi minister właściwy do spraw informatyzacji. Operatorzy usług kluczowych są to podmioty świadczące usługi o tzw. kluczowym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, a świadczenie tej usługi musi być uzależnione od systemów informacyjnych, w których potencjalny incydent miałby istotny skutek zakłócający dla jej świadczenia. Zostali oni ustawowo ustanowieni w sektorach takich jak energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja.
Wpis do rejestru OUK
Wpis do rejestru OUK odbywa się na wniosek organu właściwego na podstawie stosownych kryteriów. Decyzja o uznaniu danego podmiotu za OUK miała być wydana do listopada 2018 roku. Obecnie mamy styczeń 2019 r. i wiele podmiotów, jakie staną się OUK, takowej decyzji jeszcze nie otrzymało, za to zdecydowana większość została poinformowana o rozpoczętym postępowaniu w sprawie wydania takiej decyzji.
Obowiązki OUK
Podmioty uznane za OUK zobowiązane są do spełnienia w określonym czasie wielu obowiązków ustawowych. Jednym z nich jest obowiązek powołania przed upływem trzech miesięcy od dostarczenia decyzji wewnętrznej struktury lub podpisania umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi w zakresie cyberbezpieczeństwa. Niezależnie od tego, jakie rozwiązanie zostanie przyjęte, powołana do pełnienia tej usługi komórka musi spełniać szereg wymogów, które określa rozporządzenie Ministra Cyfryzacji z 10 września 2018 roku w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Do tej pory narzekano w dużej części środowiska, że przepisy są nieprecyzyjne, ogólnikowe i mogą prowadzić do nadużyć. Było to spowodowane tym, że polegają, zgodnie z nowym duchem ustawodawstwa w sektorze cyberbezpieczeństwa, na zastosowaniu analizy ryzyka i wprowadzeniu ewentualnych adekwatnych zabezpieczeń technicznych i rozwiązań administracyjnych. Narzekano, że dużo prościej by było posiadać jasne wskazówki, swojego rodzaju listy kontrolne, gdzie po odhaczeniu wszystkich pól bylibyśmy pewni, że żadna kara ze strony państwa za uchybienie przepisom prawnym nam nie grozi. Natomiast w przypadku tego konkretnego rozporządzenia pojawia się, moim zdaniem, uzasadniony lament, że jest ono zbyt szczegółowe, że wskazane w nim rozwiązania bardziej przypominają rządowy program „budowy tysiąca bunkrów na stulecie niepodległości”, niż właściwe rozwiązania techniczno-organizacyjne, które powinny być zastosowane w tego typu podmiocie, jakim jest operator usługi kluczowej. Jak wiadomo nie od dziś „każdemu dogodzić się nie da”, ale moim zdaniem, dużo lepszym podejściem w sprawach związanych z cyberbezpieczeństwem jest nurt stosowania adekwatnych zabezpieczeń w stosunku do rozwoju technologicznego i posiadanej wiedzy, bo o ile z wymogami rozporządzenia co do spełniania normy ISO 27001 w pełni się zgadzam, to zupełnie nie rozumiem potrzeby posiadania drzwi w klasie RC4 i ściany o grubości muru 25 cm oddzielających wewnętrzną komórkę organizacyjną powołaną do realizacji wymogów ustawy od pozostałych pomieszczeń podmiotu.
Pomiar świadczenia usług, gromadzenie i wykorzystywanie nabytych doświadczeń
W związku z uznaniem za OUK, poza obowiązkiem powołania wewnętrznej struktury odpowiedzialne za cyberbezpieczeństwo lub podpisania umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi w zakresie cyberbezpieczeństwa, podmiot, który dostąpił takiego zaszczytu, będzie miał szereg innych obowiązków – i to, co w tym przypadku najważniejsze – do spełnienia w określonym ustawowym terminie. Za brak spełnienia wskazanych wymogów grożą mu potężne kary wymienione w rozdziale 14. ustawy o krajowym systemie cyberbezpieczeństwa. OUK stają więc przed wyzwaniem zidentyfikowania systemów informacyjnych, które są wykorzystywane do świadczenia usługi kluczowej, sprawdzenia swoich procedur, technologii, rozwiązań organizacyjnych i zasobów ludzkich, którymi dysponują. Tylko jak można skutecznie zidentyfikować luki, które mogą pojawić się w tych obszarach? Już podczas tworzenia Mapy Relacji Podmiotów Krajowego Systemu Cyberbezpieczeństwa https://www.cybsecurity.org/pl/ustawa-o-krajowym-systemie-cyberbezpieczenstwa-mapa/ zastanawialiśmy się nad możliwościami przeprowadzania audytu w podmiotach w nawiązaniu do ustawowych obowiązków nakładanych na OUK. Wtedy też rozpoczęliśmy, razem z ekspertami z firmy ComCERT SA, prace nad opracowaniem odpowiedniego zakresu takiego audytu i jego metodyki. Podczas naszych spotkań roboczych zauważyliśmy, że obowiązki, jakie zostały nałożone na OUK w dużej mierze pokrywają się z usługami, jakie może dla swojego constituency [1] świadczyć CSIRT [2], spisanymi w FIRST CSIRT Framework version 1.1 [3]. Postanowiliśmy jedna po drugiej usługi te przypisać odpowiednim obowiązkom OUK i okazało się, że zidentyfikowaliśmy jedynie dwie usługi CSIRT, które nie pokrywają się z wymogami ustawowymi. Jest to usługa pomiaru świadczenia usług (organizational metric) i gromadzenie i wykorzystywanie nabytych doświadczeń (lesson lerned). Stwierdziliśmy, że jest to bardzo ciekawa informacja, ponieważ wskazuje ewidentnie, że nie zostaje w pełni zamknięty cykl Deminga, czyli podstawowa zasada ciągłego ulepszania, doskonalenia. Mapowanie takie pozwoliło więc wykazać nam lukę w samej ustawie, chyba, że pominięcie tego aspektu było świadomym zabiegiem ustawodawcy.
Metodyka audytowa
Pokrzepieni tym wymiernym efektem, ale świadomi, że do pełnego sukcesu jeszcze brakuje kilku elementów, postanowiliśmy dalej rozbudowywać naszą metodykę audytową. W efekcie doszliśmy do wniosku, że doskonałym do zastosowania narzędziem audytowym będzie skorzystanie z oparcia o kombinację metodyk oceny stopnia dojrzałości organizacji do zarządzania incydentami SIM3 [4] i SUOPT [5] oraz norm ISO 27001, 27002, 27005, 27035 i 22301. Dzięki czemu udało nam się stworzyć dedykowane dla operatora usługi kluczowej narzędzie audytowe do identyfikacji luk w zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Pracując nad metodyką zauważyliśmy, że audyt ten przeprowadzany powinien być w trzech podstawowych wymiarach:
- Organizacji i zasobów;
- Procesów i procedur;
- Technologii i narzędzi.
Skorzystanie w tych podstawowych obszarach z tak wielu narzędzi i dobrych praktyk pozwala nie tylko na odnalezienie potencjalnej luki w spełnianiu wymagań UoKSC, ale również na zbadanie stopnia dojrzałości badanych obszarów w organizacji. Wpływ na wybór tak wielu narzędzi do przeprowadzenia weryfikacji miał fakt, że wymogi określone w UoKSC nie mieszczą się w ramach (zakres, cel oraz poziom szczegółowości) jednego dokumentu odniesienia (np. normy). Podczas testowania wypracowanej przez nas metodyki okazało się, że dzięki niej można osiągnąć naprawdę satysfakcjonujące i wymierne efekty, które nie ograniczają się tylko i wyłącznie do zero jedynkowego potwierdzenia zgodności bądź nie z ustawą i towarzyszącymi jej aktami prawnymi, ale pozwalają wymiernie zbadać dojrzałość organizacji w poddanych audytowi obszarach, co pozwala zidentyfikować wymagające poprawy elementy wewnętrznej układanki organizacyjnej. Dokładnie taki efekt chcieliśmy osiągnąć. Celem audytu opracowanego przez ComCERT SA i Fundację Bezpieczna Cyberprzestrzeń jest zebranie rzeczowych dowodów, które pozwalają na potwierdzenie stopnia spełniania przez badany podmiot wymogów UoKSC oraz zgodności dotychczas stosowanych w nim rozwiązań z obowiązkami nałożonymi w UoKSC.
Dzielę się z Wami naszym doświadczeniem i zachęcam byście jak najszybciej również próbowali wypracować tego rodzaju metodykę, bo wiem jak istotna to rzecz, ile zasobów pochłania i jak trudno się weryfikuje rezultaty. Bardzo chętnie dowiem się o Waszych doświadczeniach w tego rodzaju audycie.
[1] Constituency – obszar działania danego zespołu CSIRT
[2] CSIRT – Computer Security Incident Response Team, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego
[3] Katalog usług CSIRT opracowany przez organizację FIRST jest dostępny pod adresem: https://www.first.org/education/csirt_service-framework_v1.1
[4] Security Incident Management Maturity Model jest szeroko stosowaną metodyką oceny stopnia dojrzałości pracy zespołu bezpieczeństwa w organizacji. Metodyka ta została przedstawiona m.in. w opracowaniu opublikowanym w zasobach organizacji TERENA /The Trans-European Research and Education Networking Association, www.terena.org/ jako jedna z rekomendowanych metodyk oceny pracy zespołów bezpieczeństwa. Metodyka SIM3 jest metodyką chronioną prawem autorskim i opracowaną przez S-CURE bv i PRESECURE GmbH. Bieżąca wersja opisu metodyki znajduje się pod adresem: http://www.terena.org/activities/tf-csirt/publications/SIM3-v15.pdf
[5] Skrót pochodzący od pierwszych słów: Strategia, Usługi i jakość, Organizacja i zasoby, Procesy oraz procedury, Technologia i narzędzia. Metodyka opracowana na podstawie wieloletnich doświadczeń firmy ComCERT, badająca stopień dojrzałości organizacji w zakresie zarządzania incydentami bezpieczeństwa.