Menu dostępności

NIS 2 ocena bezpieczeństwa

Co powinniśmy wiedzieć na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa? (Część 4). Ocena bezpieczeństwa

Pojawienie się nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku podejmujemy temat. W pierwszym z artykułów z cyklu straszyliśmy karami. W drugim poście pokusiliśmy się o odpowiedź na pytanie, kogo obejmą nowe przepisy. W trzecim artykule z cyklu pisaliśmy o systemie teleinformatycznym S46. Dzisiaj natomiast będzie o ocenie bezpieczeństwa w przepisach projektowanej ustawy.

Ocena bezpieczeństwa

Rozwiązanie zaproponowane w projekcie ustawy jest zupełnie nowe. Ma oczywiście na celu wymuszenie zwiększenia poziomu bezpieczeństwa systemów IT. Ocena bezpieczeństwa ma być przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego.

Co do zasady, może być ona przeprowadzana przez CSIRT GOV, CSIRT MON lub CSIRT NASK po poinformowaniu organu właściwego do spraw cyberbezpieczeństwa o takim zamiarze. Przepisy dopuszczają także możliwość przeprowadzenia oceny bezpieczeństwa przez CSIRT sektorowy za zgodą właściwego CSIRT poziomu krajowego, przy zachowaniu wymogu poinformowania organu właściwego dla danego sektora.

Wyłączono możliwość prowadzenia oceny bezpieczeństwa w dwóch przypadkach:

  • dla systemów teleinformatycznych podmiotów krajowego systemu cyberbezpieczeństwa, które znajdują się w zbiorze organów i podmiotów wymienionych w art. 32a ustawy o ABW i AW oraz
  • dla systemów teleinformatycznych akredytowanych na podstawie art. 48 ustawy o ochronie informacji niejawnych.

Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw. security scans. Ocena bezpieczeństwa powinna być bierna, tzn. nie może zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie.

W projekcie nowelizacji pojawiają się dwa nowe uprawnienia dla CSIRT-ów. Po pierwsze w celu zbadania podatności systemu będzie on mógł wytwarzać lub pozyskiwać urządzenia bądź oprogramowanie przystosowane do popełnienia przestępstw określonych w Kodeksie Karnym. Czyli de facto CSIRT-y uzyskają prawo do wytwarzania malware. Po drugie CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne zabezpieczenia, a także uzyskać dostęp do całości lub części systemu informacyjnego. Oczywiście informacje uzyskane w wyniku opisanych powyżej działań będą stanowić tajemnicę, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych zadań. Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych podmiotów ustawy.

Popularne

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Ciekawe informacje przynoszą badacze Microsoft. Opisali oni, w jaki sposób często omawiane przez nas ataki na AD mogą posłużyć do przejęcia całego środowiska chmurowego. Jako przykład służy Storm-0501 ...
PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

MalwareAI, czyli złośliwe oprogramowanie oparte na sztucznej inteligencji, jest bliżej, niż oczekiwano. Odkryto pierwszą rodzinę ransomware wykorzystującą systemy sztucznej inteligencji do operacji lokalny...
Popularne oszustwa na WhatsAppie i jak ich uniknąć

Popularne oszustwa na WhatsAppie i jak ich uniknąć

Z ponad dwoma miliardami użytkowników WhatsApp oferuje ogromną pulę potencjalnych celów dla scamerów. Aby jeszcze bardziej skomplikować sprawę, oszuści cały czas zdobywają nowe wyrafinowane umiejętno...
Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Najnowsza kampania phishingowa, ujawniona przez badaczy z Check Point, koncentruje się na firmach z sektora produkcyjnego oraz innych kluczowych elementach łańcuchów dostaw. Jej szczególna złośliwość polega n...
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...