24 godziny na zgłoszenie incydentu w zakresie cyberbezpieczeństwa do CSIRT NASK

Gdy incydent w zakresie cyberbezpieczeństwa stanowi naruszenie ochrony danych, powstaje konieczność zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenie to jest dokonywane, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenia należy dokonać niezwłocznie, ale nie później niż w ciągu 72 godzin od momentu powzięcia informacji o zdarzeniu. Poza tym w przypadku wysokiego ryzyka naruszenia o incydencie zawiadamia się także podmioty danych. To jednak nie wszystko - ustawa o krajowym systemie cyberbezpieczeństwa przewiduje bowiem dodatkowy obowiązek zgłoszenia, choć nie dla każdego. Jest on bardzo istotny w kontekście właściwego reagowania na incydenty bezpieczeństwa sieci.

Obowiązek zgłoszenia incydentu w zakresie cyberbezpieczeństwa do CSIRT spoczywa na tzw. operatorach usług kluczowych. Zgodnie z ustawą są to podmioty, względem których właściwy minister wydał decyzję w sprawie uznania za takiego operatora. Mogą być to nie tylko podmioty publiczne. Ogólnie rzecz ujmując, do tej grupy można zaliczyć organizacje działające w sektorze:

• energetycznym, transportowym,
• bankowym i infrastruktury rynków finansowych,
• ochrony zdrowia,
• dystrybucji i zaopatrzenia w wodę pitną,
• infrastruktury cyfrowej.

Obowiązek zgłoszenia incydentu do CSIRT spoczywa także na dostawcach usług cyfrowych. Są to podmioty mające siedzibę, zarząd lub przedstawiciela w Polsce, świadczące usługę cyfrową (z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców).

Trzecia kategoria podmiotów zobligowanych do dokonywania zgłoszeń to podmioty publiczne realizujące zadanie publiczne zależne od systemu informacyjnego. Zalicza się do nich:

• organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
• jednostki samorządu terytorialnego oraz ich związki,
• związki metropolitalne,
• jednostki budżetowe,
• samorządowe zakłady budżetowe,
• agencje wykonawcze,
• instytucje gospodarki budżetowej,
• ZUS i zarządzane przez niego fundusze oraz KRUS i fundusze zarządzane przez Prezesa KRUS,
• Narodowy Fundusz Zdrowia,
• uczelnie publiczne,
• Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne,
• instytuty badawcze,
• Narodowy Bank Polski,
• Bank Gospodarstwa Krajowego,
• Urząd Dozoru Technicznego,
• Polską Agencję Żeglugi Powietrznej,
• Polskie Centrum Akredytacji,
• Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej.
• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej.

Jednym z podstawowych obowiązków operatora usług kluczowych i dostawcy usługi cyfrowej jest niezwłoczne zgłaszanie zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo (tzw. incydentów) do właściwego CSIRT czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (Computer Security Incident Response Team).

Do którego z nich zgłaszać incydenty? CSIRT MON i CSIRT GOV są właściwe w przypadku incydentów związanych ze zdarzeniami o charakterze terrorystycznym. W pozostałych przypadkach zgłoszeń dokonuje się do CSIRT NASK czyli na stronie cert.pl.

Jak już wskazano, zgłoszeniom podlegają incydenty czyli zdarzenia, które niekorzystnie wpływają lub mogą wpływać na bezpieczeństwo informatyczne. W przypadku operatorów usług kluczowych obowiązek zgłoszenia dotyczy wyłącznie incydentów poważnych czyli takich, które powodują lub mogą poważne:

• obniżenie jakości,

• przerwanie ciągłości świadczenia

usługi kluczowej. Kryteria uznania incydentu za poważny dla poszczególnych sektorów określa rozporządzenie Rady Ministrów z 31 października 2018 r. w sprawie progów uznania incydentu za poważny.

Nie podlegają natomiast zgłoszeniu uszkodzenia wynikające ze zdarzeń losowych np.:

• powodzi,
• pożarów,
• zaburzenia zasilania,
• nadmiernej temperatury.

Z kolei dostawca usług cyfrowych zgłasza tzw. incydenty istotne. Oceny, czy dany incydent jest istotny, dokonuje sam dostawca, biorąc pod uwagę następujące kryteria:

• progi określone w rozporządzeniu wykonawczym 2018/151,
• liczbę użytkowników, których dotyczy incydent (w szczególności użytkowników zależnych od usługi na potrzeby
• świadczenia ich własnych usług),
• czas trwania incydentu,
• zasięg geograficzny obszaru, którego dotyczy incydent,
• zakres zakłócenia funkcjonowania usługi,
• zakres wpływu incydentu na działalność gospodarczą i społeczną.

Natomiast podmioty publiczne dokonują zgłoszenia każdego incydentu, nie klasyfikując go jako poważny czy istotny. Przy czym incydent w podmiocie publicznym został zdefiniowany jako incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.

Zgłoszenia incydentu należy dokonać niezwłocznie, ale nie później niż w ciągu 24 godzin od momentu wykrycia zdarzenia. Termin ten jest więc znacznie krótszy niż 72 godziny na zgłoszenie naruszenia ochrony danych do Prezesa UODO. Termin ten dotyczy zarówno operatorów usług kluczowych, jak i dostawców usług cyfrowych oraz podmiotów publicznych.

Zgłoszenie dokonywane jest elektronicznie za pomocą specjalnych formularzy przygotowanych przez właściwe CSIRT.

Strony, na których dokonuje się zgłoszenia:

• CSIRT MON,
• CSIRT NASK,
• CSIRT GOV.

W odpowiednim formularzu należy przede wszystkim dokonać szczegółowego opisu wpływu incydentu na realizowane zadanie publiczne. Natomiast w przypadku braku możliwości przekazania zgłoszenia w postaci elektronicznej dokonuje się go przy użyciu innych dostępnych środków komunikacji, np. faksem na numer podany w Biuletynie Informacji Publicznej lub na podany adres e-mail.

W samym zgłoszeniu przekazuje się informacje znane zgłaszającemu w momencie jego dokonywania. To jednak nie wystarczy. Organizacja powinna obsługiwać zgłoszenie tj. podejmować wszelkie czynności umożliwiające:

• wykrywanie,
• rejestrowanie,
• analizowanie,
• klasyfikowanie,
• priorytetyzację,
• podejmowanie działań naprawczych,
• ograniczenie skutków incydentu.

Innymi słowy, konieczne jest współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV. W związku z tym należy należy wysłać do CSIRT niezbędne dane, w tym dane osobowe.

Przeczytaj także: Zgłoszenia osób kontaktowych do CSIRT NASK – kogo dotyczą