Cyberbezpieczeństwo a cyberubezpieczenie

Mimo że ustawodawca nie nakłada obowiązków w zakresie posiadania cyberubezpieczeń, wydaje się nie ulegać wątpliwości, że ich zwieranie wpisuje się realizację ustawowego obowiązku wdrożenia systemu zarządzania bezpieczeństwem. – Michał Molęda

Cyberbezpieczeństwo rozumiane jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” stało się zadaniem publicznym. W ostatnim czasie jest ono przedmiotem kolejnych regulacji prawnych, spośród których na szczególną uwagę zasługuje ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Stanowi ona implementację do krajowego porządku prawnego tzw. dyrektywy NIS, czyli Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Jest to pierwszy akt prawny kompleksowo regulujący te zagadnienia w Polsce. Ponieważ dyrektywa NIS przewiduje minimalną harmonizację, polski ustawodawca skorzystał z możliwości bardziej szczegółowej regulacji. Dlatego w zakres ustawy została włączona dodatkowo administracja publiczna oraz sektor telekomunikacyjny (tzw. dostawcy usług cyfrowych). Ponadto ustawa precyzuje zakresy obowiązków poszczególnych CSIRT (ang. Computer Security Incident Response Team), czyli Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego, a także ustanawia zasady tworzenia strategii cyberbezpieczeństwa na poziomie całego kraju.

Adresatami ustawy o krajowym systemie cyberbezpieczeństwa są przede wszystkim operatorzy usług kluczowych, jednak sama regulacja może być intersująca dla wszystkich podmiotów, gdyż przez określenie minimalnych obowiązków dla operatorów wyznaczany jest zarazem standard budowy systemu zarządzania cyberbezpieczeństwem we wszelkich instytucjach, organizacjach i przedsiębiorstwach.

Cyberbezpieczeństwo to bowiem zadanie publiczne spoczywające na właściwych orangach władzy oraz innych podmiotach publicznych i prywatnych, regulowane wskazaną ustatwą, ale także zadanie każdego zarządu w zakresie dotyczącym zapewnienia bezpieczeństwa zarządzanej spółce, spółdzielni, fundacji, stowarzyszeniu itp. Operatorzy usług kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Ustawa wskazuje sektory, w których dokonywana jest identyfikacja operatorów usług kluczowych. Są to sektor energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. Na marginesie warto pamiętać, że operatorzy usług kluczowych nie są tożsami z operatorami infrastruktury krytycznej. Kwestie ochrony infrastruktury krytycznej póki co regulowane są na mocy ustawy z 27 kwietnia 2007 r. o zarządzaniu kryzysowym. Obecnie trwają prace zmierzające do odejścia od modelu obiektowego na rzecz modelu usługowego w zakresie ochrony infrastruktury krytycznej. Prace te są prowadzone przez Rządowe Centrum Bezpieczeństwa.

Ustalenie, że dany podmiot jest operatorem usługi kluczowej, następuje w drodze decyzji administracyjnej wydanej przez właściwy organ (np. ministra ds. informatyzacji). Podstawą do wydania decyzji są następujące kryteria:

    • podmiot świadczy usługę kluczową w jednym z wyżej wymienionych sektorów,
      • świadczenie usługi zależy od systemów informacyjnych,
    • wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej. Ocena istotności skutku zależy od tzw. progów istotności skutku zakłócającego, które zostały wyznaczone przez Radę Ministrów w odpowiednim rozporządzeniu (Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych).

OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH

Ustawa określa szczegółowo katalog obowiązków w zakresie organizacji operatora usługi kluczowej, które wyznaczają oczekiwany wobec niego standard zapewnienia cyberbezpieczeństwa. Do obowiązków tych należy:

    • wdrożenie systemu zarzadzania bezpieczeństwem,
    • obsługa incydentów,
    • zapewnienie właściwej struktury wewnętrznej operatora, zapewnienie audytu i kontroli w zakresie cyberbezpieczeństwa.

WDROŻENIE SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM

Operatorzy usług kluczowych zobowiązani są wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, wykorzystywanym do świadczenia usługi kluczowej. W ramach zarządzania wymagane jest systematyczne szacowanie ryzyka i dostosowanie do niego środków bezpieczeństwa, takich jak bezpieczna eksploatacja systemu, bezpieczeństwo fizyczne systemu (w tym kontrola dostępu), bezpieczeństwo i ciągłość dostaw usług, które mają wpływ na świadczenie usługi kluczowej, utrzymanie planów działania umożliwiających ciągłość świadczenia usługi, ciągłe monitorowanie systemu zapewniającego świadczenie usługi. Ponadto operator jest zobowiązany do stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego, w tym zbierania informacji o zagrożeniach cyberbezpieczeństwa i podatności systemu. Operator jest także odpowiedzialny za opracowanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego, jej uaktualnianie i przechowywanie przez okres co najmniej 2 lat. Wszystkie te procesy i czynności składają się na pożądany system zarządzania cyberbezpieczeństwem.

OBSŁUGA INCYDENTÓW

W przypadku wystąpienia incydentu operator ma obowiązek zapewnić jego obsługę poprzez:

    • Odpowiednią klasyfikację incydentu. ¨
    • Klasyfikację, której dokonuje operator usługi kluczowej na podstawie kryteriów określonych przez Radę Ministrów w Rozporządzeniu z 31 października 2018 r. w sprawie progów uznania incydentu za poważny. Zgodnie z definicjami ustawowymi przez „incydent” należy rozumieć zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Incydenty można klasyfikować jako: poważne, istotne oraz incydenty w podmiotach publicznych. Dodatkowo przewidziana jest także możliwość zaklasyfikowania danego incydentu jako krytycznego przez właściwy CSIRT na poziomie centralnym (tj. MON, ABW lub NASK). Incydent krytyczny to taki, który skutkuje znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.
    • W przypadku zakwalifikowania incydentu jako poważny – zgłoszenie do właściwego CSIRT nie później niż w ciągu 24 godzin od momentu wykrycia.
    • Współdziałanie z CSIRT w ramach obsługi incydentu wraz z zapewnieniem odpowiedniego dostępu do informacji.
      • Usunięcie podatności systemu.
    • W przypadku powołania sektorowego zespołu cyberbezpieczeństwa (sektorowy CSIRT) operator dodatkowo przekazuje zgłoszenie do tego zespołu, współdziała z nim, wysyłając niezbędne dane i zapewnia zespołowi dostęp do informacji o rejestrowanych incydentach. Ustawa wprowadza dowolność w zakresie powoływania sektorowych zespołów bezpieczeństwa, to od samego sektora zależy, czy taki sektorowy CSIRT zostanie powołany.

STRUKTURA WEWNĘTRZNA OPERATORA

Do realizacji zadań w zakresie cyberbezpieczeństwa operator jest zobowiązany do powołania struktury wewnętrznej odpowiedzialnej za ten obszar działania. Zgodnie z ustawą operator informuje o tym zarówno swój organ właściwy, jak i sektorowy zespół cyberbezpieczeństwa (jeśli został powołany). Warto zwrócić uwagę, że możliwe jest także zawarcie umowy z podmiotem zewnętrznym, który świadczy usługi z zakresu cyberbezpieczeństwa. Ustawa dopuszcza więc outsourcing tych usług. Informację na temat podpisania umowy z podmiotem zewnętrznym należy przekazać w analogiczny sposób wraz z danymi kontaktowymi podmiotu i zakresem świadczonej usługi w terminie 14 dni od daty zawarcia umowy. Minister właściwy do spraw informatyzacji w Rozporządzeniu z dnia 10 września 2018 r. określił warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

AUDYT I KONTROLA

Operator ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata, przy czym pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Na operatorze ciąży także obowiązek przechowywania pisemnego sprawozdania z audytu wraz z dokumentacją. Organy właściwe do spraw cyberbezpieczeństwa są upoważnione do nadzoru operatorów usług kluczowych w zakresie wynikających z ustawy obowiązków, dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych. W ramach nadzoru organy właściwe mogą przeprowadzać kontrolę, a także nakładać kary pieniężne.

CYBERUBEZPIECZENIE

Ustawa o krajowym systemie cyberbezpieczeństwa, jak i inne regulacje prawne dotyczące bezpieczeństwa systemów informatycznych, póki co milczą na temat cyberubezpieczeń. Nie ulega jednak wątpliwości, że realizacja nałożonych przez ustawę na operatorów usług kluczowych (oraz dostawców usług cyfrowych) obowiązków wiąże się także z obowiązkiem zapewnienia środków finansowych na ten cel. Finansowanie zadań w zakresie cyberbezpieczeństwa muszą zapewnić także przedsiębiorcy i inne organizacje w zakresie, w jakim wynika to z ogólnych obowiązków dbałości o bezpieczeństwo zarządzanych aktywów.

Jak wiadomo, ubezpieczenie ze swojej istoty dotyczyć może finansowania jedynie zdarzeń losowych, a nie tych przewidywanych i planowanych. A zatem nie można zakładać, że z ubezpieczenia będzie możliwe sfinansowanie wszystkich działań związanych z zabezpieczeniami systemów informatycznych. Jednak ubezpieczenie jest właściwym rozwiązaniem, które ma zabezpieczyć organizację na wypadek wystąpienia zdarzenia losowego, którego wystąpienie i sfinansowanie nie jest planowane, ale którego wystąpienia nie można całkowicie wykluczyć. Jako zdarzenie losowe można uważać przykładowo wystąpienie poważnego incydentu skutkującego np. wyciekiem danych lub dostępem do danych przez osoby nieuprawnione, co wiąże się z potencjalną odpowiedzialnością cywilną lub administracyjną. Inny przykład to incydent powodujący przerwę w działalności lub akty terroru dotyczące lub związane z systemem informatycznym przedsiębiorstwa lub instytucji, które zostały popełnione elektronicznie. m.in. takie zdarzenia mogą być objęte ochroną na podstawie cyberubezpieczenia.

Z uwagi na rozmaite scenariusze szkodowe, szkody cyber mogą przybierać różną postać, np. odpowiedzialności za szkody spowodowane bezprawnym ujawnieniem danych, kosztów spowodowanych przerwą w działalności, kosztów związanych z koniecznością przywrócenia działania systemu i odtworzenia danych, kosztów monitoringu kredytowego związanych ze spowodowaniem wycieku danych, kosztów cyberwymuszeń i cyberoszustw itd. Zależnie od sposobu wykorzystania systemu informatycznego nie można wykluczyć też bardziej tradycyjnych postaci szkody, jak spowodowanie fizycznych uszkodzeń mienia lub odpowiedzialności za szkody osobowe (utrata życia lub zdrowia). Dotyczyć to może przykładowo sytuacji, gdy system informatyczny jest wykorzystywany do sterowania pojazdami, obiektami lub maszynami.

Biorąc to pod uwagę, należy wskazać, że pod pojęciem cyberubezpieczenia może się kryć zakres ochrony udzielany na podstawie dedykowanych warunków ubezpieczenia często oznaczanych tytułem „cyber”, ale także wynikać on może z istniejących tradycyjnych umów ubezpieczenia OC lub majątku niezawierających wyłączeń cyber lub wzbogaconych o rozszerzenia typu cyber.

Ponieważ możliwe jest zawarcie umowy z podmiotem zewnętrznym, który świadczy usługi z zakresu cyberbezpieczeństwa, warto zwrócić uwagę na możliwość pokrycia z ubezpieczenia kosztów usług świadczonych przez taki podmiot w razie wystąpienia poważnego incydentu, który jednocześnie spełnia przesłanki objętego ochroną wypadku ubezpieczeniowego.

Mimo że ustawodawca nie nakłada obowiązków w zakresie posiadania cyberubezpieczeń, wydaje się nie ulegać wątpliwości, że ich zwieranie wpisuje się realizację ustawowego obowiązku wdrożenia systemu zarządzania bezpieczeństwem. System zarządzania bezpieczeństwem wymaga stałego szacowania ryzyka i podejmowania odpowiednich środków w celu dostosowania jego poziomu do akceptowalnego przez organizację. Nawet jeżeli przedsiębiorstwo nie ma statusu operatora usługi kluczowej lub dostawcy usługi cyfrowej, obowiązek posiadania takiego systemu powinien wynikać z ogólnego obowiązku dbałości o bezpieczeństwo firmy lub organizacji. Ubezpieczenie to jedna z metod zarządzania ryzykiem polegająca na jego transferze na ubezpieczyciela. Tak samo jak w obszarze wszystkich innych ryzyk, znajduje ona zastosowanie także w obszarze ryzyk cyber.

Źródło:
M.Molęda, Cyberbezpieczeństwo a cyberubezpieczenie, „Miesięcznik Ubezpieczeniowy”, 2019, nr 3, s. 46-48


Dodaj komentarz