Cybersecurity

Zespół Cybersecurity OT

Jesteśmy partnerem dla najbardziej wymagających klientów, dostarczając im najwyższej klasy rozwiązania i usługi w oparciu o doświadczenie wiodących na świecie dostawców zaawansowanych technologii informatycznych.

Zasady Cyberbezpieczeństwa, które mogą obowiązywać Twoją firmę

Aby skutecznie bronić się przed cyber zagrożeniami musimy mieć świadomość aktualnego stanu infrastruktury jak również procedur i planowanych działań. Aktualne przepisy prawa jasno określają wymagania dotyczące cyberbezpieczeństwa w przedsiębiorstwach:

I

Norma ISO/IEC 27001

Określa sposoby zarządzania i ochrony informacji, metody zarządzania ryzykiem w przedsiębiorstwie.

II

Dyrektywa NIS2

Podpisana w grudniu 2022 roku przez Komisję Europejską znacząco poszerza obowiązki i zakres podmiotów, których cyberbezpieczeństwo dotyczy. Pełna treść dyrektywy – https://www.gov.pl/web/infrastruktura/informacje-biezace

III

NIST Cyber Security Framework

Normy i metody opisane w NIST Cyber Security Framework. Więcej informacji – https://www.nist.gov/cybersecurity

IV

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Pełna treść ustawy – https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-

V

Standardy serii ISA/IEC 62443

Więcej informacji – https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards

Zapraszamy do kontaktu z naszymi ekspertami!

Z przyjemnością przeprowadzą szkolenia w Twojej firmie.

Norma ISO/IEC 27001:2013

Norma ISO 27001 to międzynarodowy standard dotyczący zarządzania bezpieczeństwem informacji. Pełna nazwa tej normy to „ISO/IEC 27001:2013 – Technika informatyczna – Systemy zarządzania bezpieczeństwem informacji – Wymagania”.

ISO 27001 określa wymagania dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS – Information Security Management System). ISMS to systemowe podejście do zarządzania wrażliwymi danymi firmy, zapewniające ich bezpieczeństwo, integralność i dostępność.

Certyfikacja ISO 27001 jest dowodem na to, że organizacja przestrzega międzynarodowych standardów w zakresie zarządzania bezpieczeństwem informacji, co może być kluczowe w budowaniu zaufania wśród klientów i partnerów biznesowych.

Kluczowe punkty normy ISO 27001 to:

I

OCENA RYZYKA

Identyfikacja zagrożeń, ryzyka i określenie sposobów jego minimalizacji.

II

POLITYKA BEZPIECZEŃSTWA

Określenie zasad i procedur dotyczących zarządzania bezpieczeństwem informacji.

III

ZARZĄDZANIE ZASOBAMI

Określenie i zarządzanie zasobami, które są niezbędne do zapewnienia bezpieczeństwa informacji.

IV

KONTROLA DOSTĘPU

Określenie zasad dostępu do informacji, aby zapewnić dostęp do określonych danych tylko osobom do tego uprawnionym.

V

AUDYT I KONTROLA

Regularne monitorowanie i przegląd systemu zarządzania bezpieczeństwem informacji w celu jego doskonalenia.

Dyrektywa NIS2

Czym jest NIS2?

Dyrektywa NIS2 (Network and Information Security Directive 2) to akt prawny Unii Europejskiej, który ma na celu wzmocnienie bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich UE. Jest ona kontynuacją i rozszerzeniem wcześniejszej Dyrektywy NIS (Dyrektywa o Bezpieczeństwie Sieci i Informacji) z 2016 roku, która była pierwszym wspólnym europejskim aktem prawnym dotyczącym bezpieczeństwa cybernetycznego.

NIS2 ma na celu lepsze dostosowanie przepisów do dynamicznie zmieniającego się środowiska zagrożeń cybernetycznych oraz zwiększenie odporności Europy na cyberataki.

Kluczowe cele dyrektywy NIS2:

I

ZWIĘKSZENIE POZIOMU BEZPIECZEŃSYWA CYBERNETYCZNEGO

Dyrektywa nakłada na kraje członkowskie obowiązek zastosowania środków, które wzmocnią ochronę przed cyberzagrożeniami w sektorach kluczowych dla funkcjonowania społeczeństwa i gospodarki, takich jak energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa oraz dostawcy usług kluczowych.

II

ROZSZERZENIE ZAKRESU PODMIOTÓW OBJĘTYCH DYREKTYWĄ

W porównaniu do pierwszej wersji dyrektywy, NIS2 obejmuje większą liczbę podmiotów, w tym średnie i duże przedsiębiorstwa z sektora prywatnego, a także dostawców usług cyfrowych i krytycznych, takich jak usługi w chmurze, infrastruktura centrów danych czy platformy społecznościowe.

III

OBOWIĄZKI ZARZĄDZANIA RYZYKIEM

Organizacje muszą wdrożyć środki zarządzania ryzykiem, które obejmują m.in. ocenę ryzyka cybernetycznego, zabezpieczenia techniczne i organizacyjne, polityki reagowania na incydenty oraz procedury zarządzania ciągłością działania.

IV

ZGŁASZANIE INCYDENTÓW

Firmy i organizacje objęte dyrektywą są zobowiązane do zgłaszania incydentów bezpieczeństwa cybernetycznego organom krajowym w określonym czasie.

V

WZMOCNIONA WSPÓŁPRACA MIĘDZY PAŃSTWAMI

Dyrektywa NIS2 zakłada lepszą koordynację między krajami UE, w tym stworzenie systemów wymiany informacji na temat zagrożeń i incydentów cybernetycznych.

VI

KARY I SANKCJE

Dyrektywa przewiduje surowe kary dla podmiotów, które nie przestrzegają wymogów dotyczących cyberbezpieczeństwa.

NIST Cybersecurity Framework (CSF)

NIST Cybersecurity Framework (CSF) to zbiór wytycznych opracowany przez National Institute of Standards and Technology (NIST) w Stanach Zjednoczonych, który ma na celu pomoc organizacjom w zarządzaniu ryzykiem związanym z cyberbezpieczeństwem. Zalecenia te są szeroko stosowane nie tylko w USA, ale także globalnie, jako standardowe podejście do ochrony infrastruktury informatycznej.

 

NIST Cybersecurity Framework jest uważany za jedno z najważniejszych narzędzi w dziedzinie zarządzania cyberbezpieczeństwem i jest szeroko stosowany.

Kluczowe elementy NIST Cybersecurity Framework:

 

1.  Funkcje podstawowe (Core Functions):

  • Identify: Określenie zasobów, które wymagają ochrony, oraz zrozumienie zagrożeń i słabości, które mogą wpływać na bezpieczeństwo systemu. W tej funkcji organizacja dokonuje analizy ryzyka oraz identyfikacji kluczowych zasobów, takich jak dane, osoby, technologie, a także zależności od innych podmiotów.
  • Protect: Wdrażanie odpowiednich środków zabezpieczających, które mają na celu zapobieganie i minimalizowanie skutków potencjalnych zagrożeń. Obejmuje to kontrolę dostępu, szkolenia, zabezpieczenia techniczne i fizyczne.
  • Detect: Monitorowanie systemów w celu identyfikacji naruszeń bezpieczeństwa. Funkcja ta skupia się na wdrażaniu systemów i procesów, które umożliwiają wykrycie nieautoryzowanego dostępu lub niepożądanych działań natychmiast lub w możliwie najkrótszym czasie po ich wystąpieniu.
  • Respond: Opracowanie i wdrażanie planów reagowania na incydenty, w tym procedur zarządzania kryzysowego, komunikacji, analizowania incydentów i wprowadzania działań naprawczych.
  • Recover: Przywracanie normalnego działania po incydencie bezpieczeństwa. Ta funkcja obejmuje plany przywracania danych, analizy przyczyn źródłowych oraz działania mające na celu zwiększenie odporności organizacji na przyszłe zagrożenia.

 

2. Profile (Profile): Indywidualne dostosowanie ramy do określania specyficznych potrzeb i ryzyka danej organizacji. Organizacje mogą tworzyć profile, które odzwierciedlają ich obecny stan bezpieczeństwa oraz cele do osiągnięcia.

 

3. Poziomy dojrzałości (Implementation Tiers): NIST CSF wprowadza koncepcję poziomów dojrzałości, które pomagają organizacjom ocenić, jak dobrze zarządzają ryzykiem. Poziomy te opisują różne etapy zaawansowania, od podstawowego do zaawansowanego (gdzie organizacja w pełni wdrożyła proaktywne i zintegrowane procesy zarządzania ryzykiem).

Rozwiń

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC)

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) to polska ustawa, która weszła w życie w 2018 roku, mająca na celu wzmocnienie bezpieczeństwa cybernetycznego w Polsce. Ustawa implementuje postanowienia unijnej dyrektywy NIS (Network and Information Systems Directive), której celem jest podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w krajach członkowskich Unii Europejskiej.

 

Kluczowe elementy ustawy o Krajowym Systemie Cyberbezpieczeństwa:

 

1. Krajowy System Cyberbezpieczeństwa: Ustawa ustanawia Krajowy System Cyberbezpieczeństwa, który obejmuje organy administracji publicznej, operatorów usług kluczowych, dostawców usług cyfrowych oraz inne podmioty związane z bezpieczeństwem cybernetycznym w Polsce. System ten ma na celu zapewnienie koordynacji działań związanych z ochroną cyberprzestrzeni kraju.

 

2. Operatorzy usług kluczowych: Ustawa definiuje, kto jest operatorem usług kluczowych (np. firmy energetyczne, wodociągowe, sektor bankowy), czyli które podmioty mają istotne znaczenie dla społeczeństwa i gospodarki. Operatorzy ci są zobowiązani do wdrożenia środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa ich systemów informacyjnych.

 

3. Dostawcy usług cyfrowych: Ustawa obejmuje również dostawców usług cyfrowych (np. platformy e-commerce, usługi przetwarzania w chmurze), którzy są zobowiązani do przestrzegania określonych standardów bezpieczeństwa oraz do zgłaszania incydentów cyberbezpieczeństwa.

 

4. Zgłaszanie incydentów: Operatorzy usług kluczowych i dostawcy usług cyfrowych są zobowiązani do zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwego CSIRT (Computer Security Incident Response Team), który jest odpowiedzialny za reagowanie na incydenty na poziomie krajowym. W Polsce istnieją trzy główne zespoły CSIRT: CSIRT GOV (zarządzany przez ABW), CSIRT NASK (zarządzany przez NASK) oraz CSIRT MON (zarządzany przez Ministerstwo Obrony Narodowej).

 

5. Organy i instytucje odpowiedzialne za cyberbezpieczeństwo:

 

  • Rada do Spraw Cyberbezpieczeństwa: Organ doradczy, który wspiera działania rządu w zakresie strategii i polityki cyberbezpieczeństwa.
  • Pełnomocnik Rządu ds. Cyberbezpieczeństwa: Odpowiedzialny za koordynację działań rządu w obszarze cyberbezpieczeństwa.
  • Krajowy System Reagowania na Incydenty Komputerowe: Struktura koordynująca działania różnych CSIRT-ów oraz innych instytucji zaangażowanych w cyberbezpieczeństwo.

 

6. Kary i sankcje: Ustawa przewiduje sankcje za niewywiązanie się z obowiązków określonych w ustawie, takich jak brak wdrożenia odpowiednich środków ochrony czy niezgłoszenie incydentu cyberbezpieczeństwa.

 

7. Współpraca międzynarodowa: Ustawa przewiduje mechanizmy współpracy z innymi krajami członkowskimi UE oraz organizacjami międzynarodowymi w zakresie wymiany informacji o zagrożeniach cybernetycznych oraz reagowania na incydenty.

Rozwiń

Standardy ISA/IEC 62443

ISA/IEC 62443 to seria norm opracowanych przez Międzynarodowe Stowarzyszenie Automatyki (ISA) oraz Międzynarodową Komisję Elektrotechniczną (IEC). Dotyczą one bezpieczeństwa systemów automatyki przemysłowej i kontroli (Industrial Automation and Control Systems, IACS), które są kluczowymi elementami infrastruktury operacyjnej (Operational Technology, OT). Standardy te zostały stworzone z myślą o ochronie systemów OT przed zagrożeniami cybernetycznymi, które mogą wpływać na funkcjonowanie kluczowych procesów przemysłowych.

 

Standardy ISA/IEC 62443 są szeroko uznawane jako podstawowe wytyczne w zakresie cyberbezpieczeństwa dla przemysłowych systemów automatyki. Pomagają organizacjom chronić swoje procesy operacyjne przed cyberzagrożeniami, zapewniając ciągłość działania, ochronę mienia, zdrowia i bezpieczeństwa ludzi oraz minimalizując potencjalne straty finansowe wynikające z cyberataków.

 

Najważniejsze założenia standardów ISA/IEC 62443:

 

1. Zakres zastosowania:

 

  • Systemy OT (Operational Technology): Standardy ISA/IEC 62443 skupiają się na ochronie systemów OT, takich jak systemy sterowania i automatyki przemysłowej, które są używane w takich sektorach jak energetyka, produkcja, chemia, farmacja, transport, oraz wodociągi. Systemy te różnią się od systemów IT, ponieważ ich podstawowym celem jest bezpieczne i niezawodne funkcjonowanie procesów fizycznych.

 

2. Podejście oparte na ryzyku:

 

  • Standardy te kładą nacisk na ocenę ryzyka związanego z cyberzagrożeniami i wdrażanie środków zabezpieczających odpowiednich do poziomu ryzyka. Organizacje są zachęcane do identyfikowania potencjalnych zagrożeń i słabości swoich systemów OT, a następnie do wdrażania adekwatnych środków zaradczych.

 

3. Struktura standardów:

 

  • Generalne pojęcia i modele: Dokumenty z serii 62443 opisują podstawowe pojęcia, modele i podejścia do bezpieczeństwa cybernetycznego w kontekście OT. Obejmuje to, między innymi, opis architektury systemów IACS oraz metod oceny ryzyka.
  • Wymagania dotyczące polityki i procedur: Standardy te zawierają wytyczne dotyczące ustanawiania polityk, procedur i praktyk, które powinny być stosowane w organizacjach w celu zarządzania bezpieczeństwem systemów OT.
  • Wymagania dotyczące komponentów i systemów: Określa wymagania techniczne dotyczące zabezpieczeń na poziomie urządzeń, systemów oraz całej infrastruktury OT, takich jak kontrolery, interfejsy człowiek-maszyna (HMI), sieci komunikacyjne, serwery itp.
  • Wymagania dotyczące dostawców i integratorów: Standardy te definiują wymagania dla dostawców urządzeń i integratorów systemów w zakresie dostarczania rozwiązań, które są zgodne z wymogami bezpieczeństwa.

 

4. Poziomy zabezpieczeń (Security Levels):

 

  • ISA/IEC 62443 definiuje różne poziomy zabezpieczeń (Security Levels, SL), które określają stopień ochrony wymagany dla systemów OT. Poziomy te są przydzielane na podstawie analizy ryzyka i mogą obejmować różne środki ochrony, od podstawowych kontroli dostępu po zaawansowane systemy wykrywania i reagowania na zagrożenia.

 

5. Bezpieczeństwo na każdym etapie cyklu życia:

 

  • Standardy ISA/IEC 62443 zalecają integrację zabezpieczeń na każdym etapie cyklu życia systemu OT, od projektowania, przez wdrażanie, eksploatację, aż po utrzymanie i wycofanie z eksploatacji. Obejmuje to zarówno techniczne aspekty bezpieczeństwa, jak i procesy zarządzania.

 

6. Współpraca między IT a OT:

 

  • Jednym z kluczowych wyzwań, które standardy te starają się rozwiązać, jest współpraca między zespołami odpowiedzialnymi za IT (Information Technology) i OT. Wymagana jest harmonizacja procedur i polityk bezpieczeństwa, aby zapewnić kompleksową ochronę całej organizacji.

Rozwiń

Skip to content