Plan na cyberbezpieczeństwo
Co jest kluczowym elementem w zapewnieniu cyberbezpieczeństwa państwa?
Przede wszystkim dobry plan ciągłości działania. Stworzony po to, by konsekwentnie realizować go przez wiele lat i nie zmieniać, tylko dlatego, że zmienia się władza, takie jest oczekiwanie sojuszników czy jest nam to przydatne w aktualnej rozgrywce politycznej. Taki plan powinien być zbiorem norm, procedur, systemów, które zapewnią stały nadzór nad bezpieczeństwem i zagwarantują pewną niezmienność,bo przecież cel jest jeden – zapewnienie cyberbezpieczeństwa.
Trwają konsultacje nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wśród proponowanych zapisów znalazły się kryteria, jakie będą brane pod uwagę przy ocenie dostawców sprzętu i oprogramowania, a wśród nich m.in. przestrzeganie praw obywatelskich i praw człowieka w kraju, z którego pochodzi dostawca.
W tym przypadku należy stworzyć katalog jednoznacznych wymogów, które warto sprawdzać oceniając dostawców. Zdecydowanie cyberbezpieczeństwo nie jest uzależnione od tego, z jakiego kraju pochodzi sprzęt czy oprogramowanie, a od wielu innych czynników na które składają się elementy technologiczne, know-how, ludzie.
A kto je powinien sprawdzać?
Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych – które przecież mamy. To ono powinno oceniać technologiczne bezpieczeństwo sprzętu i oprogramowania, a także wyznaczać warunki technologiczne, jakie sprzęt powinien spełniać i na tej podstawie dopuszczać lub eliminować dostawców. Od kwestii pozatechnologicznych mamy przecież odpowiednie służby chroniące interesy Państwa.
Od 2018 r. w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, w którym zostały wpisane obszary kluczowe dla bezpieczeństwa państwa (energia, zdrowie,transport, banki, finanse, infrastruktura cyfrowa i zaopatrzenie w wodę). 7 września tego roku rozpoczęły się 14-dniowe konsultacje na temat zmian w tej ustawie. W projekcie proponuje się poszerzenie obszarów kluczowych o telekomunikację. Zdefiniowano w nim także kryteria oceny firm, które mogą dostarczać sprzęt i oprogramowanie. Wśród ocenianych rzeczy, zgodnie z proponowaną zmianą, ma być: „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:
a) stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,
b) prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”.
Przyjęcie tego zapisu będzie oznaczać, że firmy chińskie zostaną wykluczone z przetargów na dostawę sprzętu i oprogramowania.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy tygodnika Do Rzeczy.
Regulamin i warunki licencjonowania materiałów prasowych.