
Cyberatak prawie zawsze przebiega według podobnego schematu – mówił Wojciech Wrzesień z NASK SA na webinarium pt. "Cyberbezpieczeństwo w branży wod-kan(1)". Wymieniał następujące etapy (na każdym z nich możliwe jest przerwanie łańcucha):
- Rozpoznanie (słabe punkty do znalezienia w godzinę, szczególnie przy pracy zdalnej),
- Uzbrojenie (dobór narzędzia (malware) do ataku oraz opakowania (np. pliki popularnych aplikacji klienckich – często spotykany w Polsce jest Excel),
- Dostarczanie (e-mail, social media, strony internetowe, e-comerce),
- Uruchomienie (uruchomienie złośliwego kodu, wykorzystanie luki w aplikacji lub systemie operacyjnym, manipulacja użytkownikami),
- Instalacja (instalacja koni trojańskich i backdoor w systemie pozwala na trwałe utrzymanie dostępu do środowiska wewnętrznego),
- Zarządzanie i kontrola,
- Realizacja celu (zazwyczaj uzyskanie danych, czasami naruszanie integralności i dostępności danych lub też tzw. stacja przesiadkowa).
Cyberprzestępczość jest „biznesem” dochodowym – podkreślał Wrzesień. Eksperci nie pozostawiają złudzeń i ostrzegają, że incydentów będzie przybywać. Równolegle wzmacniane są przepisy.
Czytaj: Pracownik - najsłabsze czy najsilniejsze ogniwo systemu cyberbezpieczeństwa?
Dyrektywa NIS 2 obejmie nowe podmioty
W grudniu 2020 r. Komisja Europejska pokazała nowy pakiet cyberbezpieczeństwa, w tym projekt tzw. dyrektywy NIS 2, czyli nowej wersji dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii(2)).
- NIS 2 obejmuje dwa typy podmiotów: kluczowe (essential entities) i ważne (important entities) – wyjaśniał podczas swojej prezentacji Cyprian Gutkowski z Fundacji Bezpieczna Cyberprzestrzeń.
W stosunku do swojej poprzedniczki NIS 2 rozszerza zakres podmiotowy w następujących kluczowych obszarach:
- Energetyka (energia elektryczna, centralne ogrzewanie i chłodzenie, ropa, gaz, wodór),
- Zdrowie,
- Ścieki,
- Infrastruktura cyfrowa,
- Administracja publiczna,
- Przestrzeń kosmiczna.
Natomiast brak zmian jest w takich kluczowych obszarach jak:
- Transport (kolejowy, wodny, lądowy).
- Bankowość,
- Infrastruktura rynków finansowych,
- Woda pitna.
Podmioty ważne w dyrektywie NIS 2 zaliczane są z kolei do następujących sektorów:
- Usługi pocztowe i kurierskie,
- Gospodarowanie odpadami,
- Produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy)
- Produkcja i dystrybucja chemikaliów,
- Produkcja, przetwarzanie i dystrybucja żywności,
- Dostawcy cyfrowi.
Poza dostawcami cyfrowymi, żaden z tych sektorów nie był, jak dotąd objęty Dyrektywą NIS – wyjaśnia na swojej stronie Państwowy Instytut Badawczy NASK.
Obejrzyj video: Blockchain szansą na pozytywny przewrót w polskiej gospodarce odpadami
Już można przystępować do analizy ryzyka
Gutkowski wskazywał, że zwiększeniu uległ zakres obowiązków nałożonych przez dyrektywę. Zarówno podmioty kluczowe, jak i podmioty ważne, mają obowiązki związane z zapewnieniem:
- analizy ryzyka i polityki bezpieczeństwa systemów informatycznych,
- obsługi incydentów (wykrywanie i reagowanie)
- ciągłości działania i zarządzania kryzysowego,
- bezpieczeństwa łańcucha dostaw,
- bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych (w tym obsługa i ujawniania podatności),
- procedur (testowanie i audyt) służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
- wykorzystywania kryptografii i szyfrowania.
– Już można przystępować do przeprowadzenia analizy ryzyka – komentował Gutkowski, zauważając, że zazwyczaj takie dyrektywy bardzo się nie zmieniają. Biorąc pod uwagę dalszą ścieżkę legislacyjną i 18 miesięcy na wejście w życie przepisów, szacował trochę ponad dwa lata, aż wymagania zaczną obowiązywać.
Bardzo wysokie kary
- NIS 2 przewiduje także wysokie kary finansowe dla podmiotów nierealizujących zapisów we właściwy sposób. Kary te mają wynosić maksymalnie co najmniej 10 000 000 euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Jest to duża zmiana w porównaniu do wcześniejszej dyrektywy, której zapisy mówiły tylko o karach „odstraszających” – konkludował Gutkowski.
Jak zauważali eksperci, w praktyce oczekiwania związane z zapewnieniem cyberbezpieczeństwa z NIS 2 pokrywają się z normą ISO 27001(3).
Warto dodać, że obecnie procedowana jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa(4). Wkrótce czeka nas jej kolejna nowela, która będzie transponować do polskiego porządku prawnego przepisy dyrektywy NIS 2.

Sekretarz redakcji, geograf
Przypisy
1/ Webinarium zostało zorganizowane przez firmę Abrys wraz z mecenasem oraz partnerami wydarzenia. Odbyło się 24 marca br.2/ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Uniihttps://www.teraz-srodowisko.pl/prawo/dyrektywa-z-dnia-06-07-2016-l-194-1-4930.html3/ Norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji4/ Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych
https://legislacja.rcl.gov.pl/projekt/12337950