REKLAMA

Nowe, ogromne obowiązki dla 2 tys. firm, czyli czym jest ustawa o krajowym systemie cyberbezpieczeństwa?

Raport Gospodarczy
Data emisji:
2018-12-17 12:40
Czas trwania:
12:59 min.
Udostępnij:

Aleksandra Dziadykiewicz i Radek Kaczorek rozmawiają o zmianach, które wprowadza krajowy system cyberbezpieczeństwa.

AUTOMATYCZNA TRANSKRYPCJA PODCASTU

Transkrypcja podcastu
Raport gospodarczy. Ze mną w studiu pan Radek Kaczorek, prezes IMMUSEC i partner merytoryczny Grant Thornton, dzień dobry, dzień dobry pani, dzień dobry państwu. Chciałabym zapytać, czym właściwie jest ustawa o krajowym systemie cyberbezpieczeństwa i kto powinien się nią przejmować? Rozwiń »
No to jest temat, który chyba w tym roku mamy się w cyberbezpieczeństwo będzie 1 z głównych tematów, które zapamiętamy z 2018 roku w maju weszły w życie RODO i wszyscy wszyscy przestraszyliśmy się danymi osobowymi w grudniu w Sielpi przyjęta została ustawa o krajowym systemie cyberbezpieczeństwa, która definiuje bardzo konkretne mocno wymogi dla całego osadzie z sektora publicznego i prywatnego w zakresie tego jak chronić informacje, które powierzane firmom, z którymi pracujemy.

Czyli wydaje się być poważną sprawą ta cała ustawa o właśnie w krajowym systemie cyberbezpieczeństwa, bo ma łączyć i obowiązki państwa, ale również pewne firmy prywatne, które są jak wpadną w te wymogi rygory ustawy to muszę się do tego dostosować.

Tak jest dokładnie w tym momencie do ugody trwa proces informowania firmy sektora prywatnego, które zostały uznane za kluczowy ze względu na cyberbezpieczeństwo państwa no i powiem tak to czy to to będzie duże wyzwanie dla wielu firm mówimy o wielu sektorach właściwie, bo w sobotę wymienić kilka kilka takich grup po pierwsze, operatorów usług kluczowych tu mieszczą się tej kategorii i sektora energetyki transportu finansów bankowości ochrona zdrowia, ale też woda pitna infrastruktura cyfrowa w całym kraju Neumann proszę państwa do czynienia również z całym sektorem usług cyfrowych, czyli internetowe Platformy handlowe, ale też wszystkie firmy przetwarzające dane w chmurze i wyszukiwarki internetowe

Ale trzeba być dużą firmą, żeby podpaść pod rygory tej ustawy?

No powiem tak dobrze to niekoniecznie z kryteriów był oczywisty istotne w tym, że w tym wyborze czy od decyzji o tym czy mamy do czynienia z firmą, która wpada w rygor ustawy jest to czy ta firma w danym w swoim regionie w głowie wiele istotny wpły w na wyspie to cyberbezpieczeństwo to co infrastruktury, więc może być także będzie mieć do czynienia z rozmowy z dużym szpitalem, który ze względu na swoją lokalizację geograficzną i zakres obsługiwanego obszaru może być po prostu istotnym elementem całej układanki cyberbezpieczeństwa czy mamy w, choć oba szpitale notesie rzeczywiście wydaje moment w sumie oczywiste choć, które się do z drugiej strony może wydawać szpitale 9 na gotowe na taki rygor stały wzrost wymóg jest dowodem jest wymagane od tych firm, ale nerwy zdalnych, kto szpitale pewne usługi telekomunikacyjne oczywiście pewne spółki, które świadczą usługi informatyczne tak energetyka, kto jeszcze tak, bo my mamy do tego są to nieco strukturę tzw . Utilities, czyli takiej użyteczności publicznej woda pitna dotrze do dzisiaj dzisiaj woda gaz prąd to nie są to nie są to to nie jest tak że, że ktoś jej Kurkiem mój kręcili się jadąc w pole wozem drabiniastym za przeproszeniem tylko punkt jest wszystko sterowane zdalnie za pomocą systemów teleinformatycznych w tym sensie również takie lokalne wodociągi będą po prostu no na celowniku potencjalnych atakujących hakerów, a skąd miałam wiedzieć, że moja firma właśnie jest w tym miejscu zaś, że to ja też użyć do tego dostosować do czego od o tym, ponieważ tak w tym momencie trwa po wejściu w życie z tej ustawy o krajowym systemie cyberbezpieczeństwa analizy, a analiza poszczególnych regionów 1 i tego, jakie one wywierają wpły w na bezpieczeństwo kraju jako całość, kto analizuje ministerstwo cyfryzacji i właściwie dowiemy się o tym od ministerstwa pracy to jest taki nowy wymóg który, który jeśli okazało się że, że nasza pozycja na rynku jest istotna ze względu na funkcję, którą realizujemy na tym rynku no to po prostu dostanie ładne pismo, w którym w, którym okaże się, że jesteśmy ważnym ogniwem w całym łańcuchu cyberbezpieczeństwa no teraz nie wyobrażam, że przychodzi pismo do biura jakiejś firmy ministerstwo cyfryzacji jest otwieramy czytamy, że nagle okazuje się, że jesteśmy z punktu widzenia bezpieczeństwa państwa jedno z kluczowych firm w związku z tym mamy nowe obowiązki od co będzie, gdy zbywca, a to dobra znowu jakieś pismo przyszło schował do szuflady no to cnota szuflada pełna często jest pojemna natomiast pytanie co ma co my wstanie zmieścić te kary finansowe, które grożą za zaniedbywanie obowiązków to może do tor torze możemy taką notyfikację od ministerstwa dostać, bo to jest niestety konsekwencja tego, że zagadnienia cyberbezpieczeństwa nabrało na znaczeniu dzisiaj mamy do czynienia z ogromnymi wyciekami danych, które mogą zagrozić nie tylko obywatelowi, ale są państwo Direct pamiętajmy też o tym, że sama ustawa jest jest no i konsekwencją dyrektywy Europejskiej, więc Europa chce się bronić przed cyberatakami to znaczy nie spełnia wymogów są konkretne kary finansowe sięgające nawet 200  000 zł za naruszenia konkretnych obowiązków na dobre to dostałam pismo usłyszałam w radiu, że 200  000 to chyba jednak wolałabym się dostosować swoją gros swojej firmy zbadać co ją teraz zrobić Polski jest kilka rzeczy, które w, którym trzeba się zająć dwa -trzy po pierwsze trzeba mentalnie śluz oswoić z taką myślą, że czas nie tylko szybko biec do przodu wlała biznesu, ale też zabezpieczyć te zasoby informacyjne informatyczne, które posiadamy jako firma z pierwszym są takie 3 czy powiedzmy przedziały czasowe, w których firma musi się zmieścić pierwszy przedział to 3 miesiące od tych modyfikacji od ministerstwa firma powinna wdrożyć cały system zarządzania bezpieczeństwa informacji o tym, magicznym pojęciem kryje się też pewien sposób zabezpieczenia systemów informacji czy proces zarządzania bezpieczeństwem czy później w UE w okresie kolejnych 3 miesiące przed pasami tak źle, że 3 miesiące ktoś tego nie ma na dzień dobry już dobrze ustawionego rynek z bardzo krótki czas to jest bardzo krótki czas jest ogromne wyzwanie i biorąc pod uwagę aktualny stan rynku kompetencji w Polsce jego postawę w Europie to znaczy brakujące kompetencje w zakresie bezpieczeństwa informatyki i przypominał, że w 2016 roku na polskim rynku zabrakło 50  000 informatyków zdradzał 3 miesiące na to, żeby zdefiniować podejście systemowe usystematyzowane podejście do tego, żeby zarządzać bezpieczeństwem jest ogromna wiedza ludzi do tego wyznaczyć trzeba wyznaczyć ludzi trzeba zatrudnić osobę, kto będzie odpowiedzialna za utrzymanie tego procesu zarządzania trzeba wdrożyć pewne narzędzia nowo przez państwo no no oczywiście cyberbezpieczeństwo jest takie zagadnienie, kto w, którym systemy bronią systemu to nie jest tak, że ktoś patrzy przez UPA i oglądać bity bajty i w efekcie nie stanie powiedział właśnie mamy do czynienia z atakiem z funkcją wdrożyliśmy rozwiązania jest ogromny kosz, który chyba będzie musiał ponieść i ja się, że to jest większe wyzwanie, czyli pierwsza kategoria to rzeczywiście wyzwanie w postaci dostępności ludzi zasobów kompetencji drugiego to konkretne wydatki, które trzeba na ten cel ponieść Bundestag tak jak za co umowy, w której w kolejnych miesiącach w ciągu 6 miesięcy firma powinna powinna wdrożyć cały system cały proces monitorowania bezpieczeństwa i zbudować u siebie zdolność wykrywania incydentów bezpieczeństwa, a to jest to jest temat w Polsce, który powiedziałbym nie wygląda dobrze, że państwa dzisiejszy średni czas wykrywania incydentów w Polskiej firmie przekracza 240 dni ruch, bo nałożyło na firmy obowiązek wykrycia i notyfikacji urzędu ochrony danych osobowych w ciągu 72 godzin Miss dyrektywa misji Polska ustawa o krajowym systemie cyberbezpieczeństwa w tym co definiuje jak w horyzoncie 24 godzin, więc mamy do czynienia z wyzwaniem w zakresie noży, a realnych zdolności monitorowania w czasie rzeczywistym i wykrywania incydentów tych zdarzeń, które mogą mieć charakter naruszając bezpieczeństwo informacji czy systemów na poziomie, który go dostać średniej rynkowej ma się nijak schną, bo tak wyobrażał sobie zapewnia część zasad nowoczesnej załóżmy elektrowni przy zakładach, który był modernizowany one mają systemy bezpieczeństwa opracowanego muszą na wypadek czegokolwiek co by się mogło wydarzyć w samym systemie chodzi o niewłaściwym, ale pewnie nie wszyscy no już w rozmiarze szpitale sterylizują nie muszą ich na to gotowe poza tym, że mają bowiem generator prądu fonograficznego, ale właśnie w lotach za mało, ale to za mało ludzi niż my teraz złoto to jest ja myślę, że to jest 1 z tych kategorii która, która mam namyśli ten wysiłek zakres czy zdolność wykrywania incydentów, które same firmy nie służą zwyczajnie nie będą miały tych zdolności używać warzy w mamy do czynienia z taką sytuacją, że nie dot pełno jest dosyć znany incydent w ostatnich tygodniach dosłownie starł z wielka sieć międzynarodową hoteli wykryła incydent polegający na wycieku 500  000 000 rekordów danych swoich klientów i rozwaga akurat tak się nieszczęśliwie stało, że są również moje dane w tym incydencie wyczekuje dosłownie wczoraj dostał modyfikacje mailową od Starbucks z informacją, że hakerzy w ich systemach byli od 2014 rok co oznacza w praktyce znaczy tak albo aktywnie to robimy albo naprawdę monitorujemy systemy i na tym naprawdę poświęcamy temu realny czas 24 godzinna dobę albo nie będziemy mieli też zdolności, a to w praktyce oznacza, że nie ma nas na rynku tylu zasobów, które pozwoliły każdej z firm w tym z domu zbudować własną rękę, dlaczego jest taki rygor narzuconych ustawą skoro nie mamy tej zdolności czy ten rygor jest jest koniecznością tego, jaka jest dynamika zagrożeń to co się stało w ostatnich latach w świecie cyberbezpieczeństwa to w szczególności sytuacja, w której nowy i zarówno skala wycieków danych i przyrost rok do roku ilość incydentów bezpieczeństwa stał się na tyle gorącym tematem tabu zareagujemy natychmiast i to, wprowadzając ekstremalnie mocne twarde ostre wymogi albo mamy poważny problem chyba, jakie są ochroną klimatu do gry tak samo jak nowy Supersam i dzwoni Lech i teraz jest pytanie jak ja się przed tym bronić, bo był w ten sposób, bo już tyle czasu takich incydentów w stylu ten magiczny charakter w kapturze atakujący jakąś firmę dla podbicia swojej pozycji społecznej w dłonie hakerów dawno odeszły w niepamięć dziś mamy do czynienia z koordynowany mi atakami z armaty z z 1 z jednostkami specjalnymi powoływanymi przez państwo, które prowadzą skoordynowane działania wymierzone w inne państwa mówi no i ta dyrektywa właśnie z odpowiedzią na to zagrożenie i ja bym w ten sposób nowy zdolności będzie budować w czasie i na nim powstanie wrażenia, iż wierzyciel nie powstanie w ciągu 6 miesięcy, ale my musimy musimy tę poprzeczkę ustawić bardzo bardzo wysoko czy tego samego co państwo wymaga od firm, które dostaną list z ministerstwa cyfryzacji państwa wymaga także od siebie w tak tak tak takie są to są takie same wymagania, tym bardziej że no to państwo przetwarzał oczywiście na bardzo wrażliwe dane nie tylko w zakresie jedno danych osobowych czy osób naszych obywateli, ale też przedsiębiorstw, które da na naszym rynku działają co więcej to ideałom całych dyrektywy i polskiej ustawy jest koordynacja działań na poziomie sektorów gospodarki, ale również koordynacji działania pod Neapol na poziomie państ w członkowskich Unii Europejskiej duże dyrektywa ma na celu przygotować nas do tego żeby, żeby atak skoordynowany n p . z poziomu dalekich wrogich państ w Europa jako całość mogła odeprzeć rolnicy to jest ten moment, w którym gościł ministerstwo cyfryzacji bada rynek i wysyła do firm, które mają być objęte całym systemem informacji o tym, że to, że państwa również w związku z tym pożegnać się do roboty jest to cyber ochroną jak bardzo duży temat, który pewnie będziemy ze sobą też wiele kosztów w firmach, więc myślę, że będzie to, czego jeszcze wracać, a dziś bardzo panu dziękuję za spotkanie za rozmowę za wyjaśnienia pan Radek Kaczorek prezes i wniosek i partner merytoryczny Grant Thornton dobrze grać
Zwiń «

PODCASTY AUDYCJI: RAPORT GOSPODARCZY

Więcej podcastów tej audycji

REKLAMA

POPULARNE

REKLAMA

DOSTĘP PREMIUM

Słuchaj podcastów TOK FM bez reklam. Skorzystaj z 40% rabatu w jesiennej promocji. Wybierz pakiet "Aplikacja i WWW" i słuchaj wygodniej z telefonu!

KUP TERAZ

SERWIS INFORMACYJNY

REKLAMA
REKLAMA
REKLAMA