Co powinniśmy wiedzieć na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa? (Część 3). Czym jest system informatyczny S46

Czym jest system teleinformatyczny S46?

W skrócie jest to system prowadzony przez ministra właściwego do spraw informatyzacji lub jednostek podległych ministerstwu. Swoją tajemniczą nazwę odziedziczył po art. 46 ust.1 ustawy o KSC. Projekt nowelizacji ustawy o KSC zawiera szereg działań, które będą wymagały wykorzystania właśnie wspomnianego systemu teleinformatycznego.

System ten będzie stanowił podstawowy środek przetwarzania informacji w ramach funkcjonowania krajowego systemu cyberbezpieczeństwa. Zostało to wprost podkreślone przez wnioskodawców w uzasadnieniu do przedstawionego 24 kwietnia projektu nowelizacji. S46 zostanie dostosowany do tego, aby stać się głównym środkiem komunikacji pomiędzy podmiotami KSC.

Zakłada się że, S46 będzie wykorzystany do wymiany informacji zarówno o charakterze operacyjnym, jak i organizacyjnym. W systemie prowadzony będzie wykaz podmiotów kluczowych i ważnych. Zakłada się również obowiązkowe (zamiast wcześniejszego fakultatywnego) korzystanie z systemu przez CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowe, organy właściwe do spraw cyberbezpieczeństwa oraz Prezesa Urzędu Ochrony Danych Osobowych w celu realizacji ich zadań ustawowych. Podmioty kluczowe i ważne będą zobowiązane do rozpoczęcia korzystania z S46 w terminie 14 dni od dokonania wpisu do wykazu, a nieprzestrzeganie tego obowiązku będzie prowadzić do kar finansowych.

Jakie informacje będą przetwarzane w S46?

• informacje o osiągnięciu zdolności operacyjnej przez CSIRT sektorowy,
• wnioski o wpis, zmianę wpisu albo o wykreślenie z wykazu podmiotów kluczowych i ważnych,
• informacje dotyczące cyberbezpieczeństwa, w tym informacje o cyberzagrożeniach, potencjalnych zdarzeniach dla cyberbezpieczeństwa, podatnościach, technikach i procedurach, wrogich taktykach, a także informacje o grupach przestępczych, ostrzeżenia dotyczące cyberbezpieczeństwa i zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki,
• wczesne ostrzeżenie o incydencie poważnym,
• zgłoszenie incydentu poważnego,
• sprawozdania z obsługi incydentu poważnego.

Wymogi techniczne S46

Zgodnie z projektem nowelizacji minister właściwy do spraw informatyzacji udostępnia w swoim Biuletynie Informacji Publicznej minimalne wymagania techniczne i funkcjonalne korzystania z systemu S46. Projektowane przepisy nakładają na podmioty kluczowe i ważne obowiązek zapewnienia zgodności ze wspomnianymi wymaganiami i mają na to 3 miesiące od ich udostępnienia.

Na razie wiadomo również, że uwierzytelnienie do systemu S46 ma następować za pomocą:

• środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej lub
• środka identyfikacji elektronicznej wydanego w notyfikowanym systemie identyfikacji elektronicznej lub
• danych weryfikowanych za pomocą kwalifikowanego certyfikatu podpisu elektronicznego, jeżeli te dane pozwalają na identyfikację i uwierzytelnienie wymagane w celu realizacji usługi online.