Każdy z nas odpowiada za cyberbezpieczeństwo
Phishing, ataki hakerów, złamanie odporności systemu czy wycieki danych to jedynie część zjawisk związanych z cyberbezpieczeństwem, które mogą dotknąć zarówno osoby prywatne, jak i przedsiębiorstwa, instytucje, a nawet całe państwa. Ochrona przed zagrożeniami skupiająca się jedynie na udoskonaleniu infrastruktury IT może nie być skuteczna, jeżeli nie zostanie z nią powiązane wdrożenie odpowiednich praktyk w organizacjach.
Cyberbezpieczeństwo to obszar, w którym spotykają się zarówno kompetencje ekspertów IT jak i prawników. Ich wspólnym zadaniem jest określenie adekwatnych rozwiązań technicznych oraz strukturalnych w kontekście obowiązujących wymagań faktycznych i prawnych dla danego podmiotu.
W ostatnim odcinku podcastu TKP on air udział wzięli: mec. Agnieszka Wachowska oraz dr Łukasz Kister. W rozmowie z mec. Michałem Sobolewskim wyjaśniają m. in.:
- czym jest cyberbezpieczeństwo oraz jak obecnie zmienia się jego pojmowanie?
- jakie obowiązki i na kogo nakłada prawo w związku z cyberbezpieczeństwem?
- czym jest łańcuch dostaw usług cyfrowych?
- kim są operatorzy usług kluczowych?
- co należy rozumieć przez dochowanie należytej staranności w sferze bezpieczeństwa IT.
Zapraszamy do wysłuchania podcastu lub lektury transkrypcji rozmowy poniżej.
Michał Sobolewski: Cyberbezpieczeństwo to nie tylko krytyczna infrastruktura informatyczna Państwa, ale zabezpieczenie każdego ogniwa w łańcuchu dostaw usług cyfrowych. O tym, na kogo i jakie obowiązki w zakresie zapewnienia cyberbezpieczeństwa nakłada dziś prawo, czym jest należyta staranność w zabezpieczeniu własnych systemów oraz o tym, jaką rolę w jej odpowiednim wyważeniu odgrywa współpraca pomiędzy prawnikami oraz ekspertami IT, porozmawiamy dziś z Agnieszką Wachowską, radczyni prawną, partnerem w Kancelarii TKP, ekspertem prawnym z kilkunastoletnim doświadczeniem w obsłudze projektów IT, kierującą zespołem IT- Telco, odpowiedzialnym m.in. za realizację projektów w zakresie cyberbezpieczeństwa.
Agnieszka Wachowska: Dzień dobry.
Michał Sobolewski: Oraz doktorem Łukaszem Kisterem, ekspertem cyberbezpieczeństwa, jedynym w Polsce biegłym sądowym w dziedzinach zarządzanie cyberbezpieczeństwem oraz zarządzanie bezpieczeństwem informacji. Łukasz zbudował i doprowadził do akredytacji jego Zespół Reagowania na Incydenty Cyberbezpieczeństwa CERT, a samą spółkę wprowadził do Centrum Doskonałości Bezpieczeństwa Energetycznego NATO. Aktualnie zajmuje stanowisko Global Product Cyber Security Expert w Woodward, Inc. oraz pełni rolę of-counsel w naszej kancelarii.
Łukasz Kister: Dzień dobry.
Michał Sobolewski: Chciałbym, żebyśmy zdefiniowali na początku, o czym będziemy dziś rozmawiać. Co powinniśmy rozumieć przez cyberbezpieczeństwo i czy powinniśmy je w prosty sposób utożsamiać z bezpieczeństwem IT?
Agnieszka Wachowska: Cyberbezpieczeństwo jest wprost zdefiniowane w obecnej ustawie o krajowym systemie cyberbezpieczeństwa. Tym elementem, który jest szczególnie ciekawym, jest to, że jesteśmy w trakcie któreś z kolei i pewnie będziemy do tego jeszcze dzisiaj wracać, nowelizacji projektu, w zasadzie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, które tę definicję zmienia. Według mnie, ciekawe czy się Łukaszu zgodzisz z tą tezą, ale ta zmiana definicyjna pokazuje pewną zmianę filozofii podejścia do cyberbezpieczeństwa. Otóż, w obecnym brzmieniu ustawy o krajowym systemie cyberbezpieczeństwa, cyberbezpieczeństwo definiowane jest jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług, oferowanych przez te systemy. To oznacza, że tak naprawdę koncentracja definicyjna, jeżeli chodzi o cyberbezpieczeństwo, jest skupiona na elemencie odporności systemu informatycznego, a w zasadzie systemu informacyjnego, bo takim pojęciem posługuje się ustawa o krajowym systemie cyberbezpieczeństwa. Natomiast projekt nowelizacji w ostatniej wersji z marca 2022 roku mówi, że cyberbezpieczeństwo to działania niezbędne do ochrony systemów informacyjnych użytkowników takich systemów oraz innych podmiotów przed cyberzagrożeniami. Z kolei te cyberzagrożenia definiują jako wszelkie potencjalne okoliczności, zdarzenia lub działania, które mogą wyrządzić określoną szkodę czy innego rodzaju zakłócenia.
Łukasz Kister: Dzisiaj funkcjonująca definicja pochodzi z dyrektywy NIS, gdzie to jest definicja bezpieczeństwa systemów informacyjnych, a nie cyberbezpieczeństwa. Więc to jest pierwszy problem, który wiąże się z tą definicją. Ale tutaj tak naprawdę chodzi trochę o taką różnicę w pojmowaniu tego, czym jest cyberbezpieczeństwo. W języku angielskim mamy safety i security, a więc coś, co jest bezpieczne samo w sobie i coś, co mamy zabezpieczyć, czyli te działania, które mamy wykonać, by ten efekt osiągnąć. Tutaj należy pochwalić ustawodawcę, że wreszcie zrozumiał, że nie ma czegoś takiego jak filozoficzna doskonałość. Systemy i przede wszystkim odniesienie ich do naszej aktywności, aktywności nas jako ludzi, aktywności państwa, wszelkich organizacji w cyberprzestrzeni. I to my musimy wykonać szereg różnych działań. To bardzo dobrze komponuje się z takim podejściem rzeczywistym do cyberbezpieczeństwa – szerszym niż to, które wskazałeś, związane z utożsamianiem przez wiele lat cyberbezpieczeństwa wyłącznie z bezpieczeństwem IT, tj. z bezpieczeństwem systemów informatycznych, komputerów czy narzędzi informatycznych. Oczywiście nadal takie podejście pokutuje, ale jak widzimy, co mnie osobiście bardzo cieszy, nawet polski ustawodawca będzie szedł w kierunku jednak tej dużej zmiany. Ta zmiana powinna polegać na tym, byśmy my wszyscy rozumieli cyberbezpieczeństwo jako zdolność organizacji, jakiejkolwiek: jednostki, grupy, państwa do normalnego funkcjonowania w środowisku, w którym przyszło nam dzisiaj funkcjonować, który nie jest tylko cyfrowy i nie jest tylko realny. To jest dzisiaj bardzo widoczna mieszanina. Świat Internetu Rzeczy czy tego rodzaju działania pokazują, że nie ma już dzisiaj tej jasnej granicy między między Internetem a rzeczywistością, już nie ma Second Life i naszego prawdziwego, realnego życia. My musimy się w tym odnaleźć. Państwa muszą się w tym odnaleźć z uwagi na geopolitykę, która toczy się realnie i wirtualnie, globalizację, koncerny technologiczne, które w świecie cyberprzestrzeni odgrywają znacznie większą rolę niż państwa, nawet tak bardzo technologicznie zaawansowane jak Stany Zjednoczone czy Chiny. Nawet te kraje przegrywają swoją walkę z mega koncernami takimi jak Facebook, Twitter czy szereg innych, które są dość popularne. To mega koncerny tworzą cyberspołeczności i tam też jest to cyberbezpieczeństwo. To na końcu cyberbezpieczeństwo czyli to od czego zaczęliśmy. To jest także prawo, które próbuje gonić te zmiany technologiczne, próbuje je wyregulować i samo musi się dostosowywać do tych zmian. To wszystko powinniśmy rozumieć jako cyberbezpieczeństwo.
Michał Sobolewski: Jeżeli dobrze rozumiem, to jest takie klasyczne postawienie pytania „nie pytaj, co system może zrobić dla ciebie, ale pytaj, co Ty możesz zrobić dla cyberbezpieczeństwa”. Chodzi o to przeniesienie nacisku. Mówimy cyberbezpieczeństwo i jeżeli mówimy o bezpieczeństwie, to zakładam, że chodzi o zabezpieczenie nas przed różnego rodzaju zagrożeniami i o te zagrożenia chciałbym Was zapytać. Jakie rozpoznajemy zagrożenia dla osób, firm, a nawet dla całych państw, jeżeli chodzi o ryzyka związane z naruszeniem cyberbezpieczeństwa?
Agnieszka Wachowska: Jesteśmy świeżo po opublikowaniu raportu CERT, dotyczącego działalności CERTu z 2021 roku. Według tego raportu zespół zarejestrował łącznie 29.483 unikalnych incydentów cyberbezpieczeństwa. Jest to wzrost w stosunku do poprzedniego roku o 182 proc., co pokazuje jakby wzrost skali problemu, jakim są cyberzagrożenia. Najczęstszym typem incydentów wciąż rok do roku jest phishing, czyli metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia jakichś danych. Czyli jest to typowy atak nakierowany nie na systemy, ale na ludzi.
Łukasz Kister: Phishing nam się kojarzy wyłącznie z tym, że ktoś nam wyśle e-mail, w którym czegoś od nas chce, ktoś nam wyśle SMS-a, czyli tą szczególną formę phishingu itd. I my to traktujemy jak przestępstwo, zagrożenie: komputerowe, internetowe, a ono takim nie jest. Phishing z technologią ma tylko tyle wspólnego, że wykorzystuje technologię do wysyłania wiadomości. Wykorzystuje technologię do realizacji jakiegoś swojego celu, a w rzeczywistości to jest przestępstwo czy działanie znane od tysiącleci, czyli socjotechnika. Wykorzystywanie naszych podatności psychologicznych do szybkiego działania, nieweryfikowania, wykorzystywania naszych lęków, słabości. Jeżeli zespół reagowania na incydenty komputerowe, zespół krajowy bardzo ważny wykrywa to jako podstawowe zagrożenie, to musimy się nad nim zastanowić i muszą się nad tym zastanowić nie tylko informatycy.
Michał Sobolewski: Rozumiem takie ryzyko, że poprzez phishing cyberprzestępcy może wyciągnąć istotne dane nas dotyczące, może nas okraść, może naruszyć naszą prywatność. Ale chciałbym, żebyśmy, jeżeli to jest możliwe, spojrzeli szerzej na ogólne zagrożenia związane z cyberbezpieczeństwem, takie, które są krytyczne w skali całych instytucji czy w skali całego naszego kraju. Co może się stać, jeśli nie zabezpieczymy odpowiednio naszej infrastruktury?
Łukasz Kister: I tu Cię zaskoczę, bo powrócę znowu do phishingu. Phishing to nie jest zagrożenie. Właśnie to jest to takie nasze postrzeganie. Aha, ktoś mnie oszuka, wyciągnie moje dane do logowania się w systemie bankowym i mnie okradnie z środków albo ktoś mi ukradnie konto na Facebooku i się podszyje pode mnie i będzie wykorzystywał to do jakichś niecnych celów. Ale popatrzmy na phishing też od strony bezpieczeństwa firm, instytucji czy całego państwa. Jeżeli ktoś jest w stanie nas doprowadzić do tego, że ukradnie nasze dane dostępowe do Facebooka, Twittera, Instagrama czy konta bankowego, to już w bardziej skrajnym przypadku jest w stanie też wykraść nasze dane uprawniające do dostępu do bardzo wrażliwych baz danych naszej firmy, do bardzo wrażliwych informacji związanych z bezpieczeństwem państwa, np. jeżeli jesteśmy urzędnikiem, czy mamy dostęp do takich baz, które dotyczą np. rozrastającej się bazy P1, dotyczącej naszego zdrowia, gdzie dostając możliwość tam dostępu, można poznać to, jak wygląda nasze zdrowie w kontekście całego kraju i wszystkich jego obywateli. Patrzmy na te zagrożenia właśnie nieco szerzej. Nie spychajmy ich tylko i wyłącznie do systemów informatycznych, bo to będzie skutkowało tym, że się zabezpieczamy nie przed tym, co jest rzeczywistym, generalnym zagrożeniem. Popatrz proszę, na taki dość słynny, choć już dzisiaj zapomniany przez wszystkich, wyciek informacji o funkcjonariuszach różnego rodzaju służb państwowych, policji, straży granicznej i wielu innych służb ochrony porządku z Rządowego Centrum Bezpieczeństwa. Pamiętacie taką sytuację, gdzie doszło do wycieku? Excel z danymi związanymi ze szczepieniami został umieszczony w ogólnodostępnym narzędziu do agregacji tych danych. Tam nie było jakiegoś wielkiego ataku, tam nikt nie przypuścił jakiegoś zmasowanego cyberataku, jakiegoś hackingu, bardzo wyrafinowanego, tylko pracownik bardzo ważnej instytucji państwa nie był świadom i to nie jest jego wina, ja tutaj będę go bronił całym sobą. Nie był świadom tego i ktoś też pozwolił na to, żeby on ze swojego służbowego komputera mógł się logować do darmowych systemów różnego rodzaju, do których on mógł bez żadnej kontroli przesłać dość duży plik z danymi osobowymi. I to nie jest kwestia różnego rodzaju zabezpieczeń technologicznych, systemów wykrywających wycieki, tylko takiej naprawdę bardzo prymitywnej i podstawowej świadomości tego, jak nasze działania w cyberprzestrzeni są bardzo wrażliwe.
Michał Sobolewski: Agnieszko, czy to jest powód, dla którego prawo wkracza w kwestie cyberbezpieczeństwa, żeby odgórnie powiedzieć, co powinniśmy robić, czego powinniśmy unikać, o co powinniśmy dbać? Też zastanawia mnie, czy prawo w ogóle nakreśla sposób skonstruowania infrastruktury cyberbezpieczeństwa, czy wkracza w taki poziom techniczny, jak wszystko powinno być zbudowane na poszczególnych poziomach.
Agnieszka Wachowska: Jesteśmy na pewno w takim momencie, jeżeli chodzi o legislację polską i europejską, że bardzo dużo nowych regulacji w zakresie cyberbezpieczeństwa się pojawia. Więc część tych regulacji już jest i one są raczej regulacjami, dotykającym pewnych obszarów. Regulacje dotyczące cyberbezpieczeństwa w Polsce, przede wszystkim ustawa o krajowym systemie cyberbezpieczeństwa, jest regulacją, która ogranicza swoje zastosowanie do konkretnych podmiotów. Jedną z tych grup podmiotów, o których warto powiedzieć na pewno, są operatorzy usług kluczowych. Operatorzy usług kluczowych to są podmioty z grup, które uznawane są za kluczowe dla funkcjonowania państwa, sektora zdrowia, energii, zaopatrzenia w wodę, transportu, sektora bankowego czy infrastruktury cyfrowej. W Polsce rozporządzenie Rady Ministrów wymienia łącznie 86 takich usług kluczowych. Ale to są usługi, które z perspektywy funkcjonowania państwa i obywateli są kluczowe dla zapewnienia bezpieczeństwa, podstawowych potrzeb. Dlaczego właśnie prawo powinno regulować aspekt cyberbezpieczeństwa? W dzisiejszych czasach bardzo mocnej cyfryzacji mamy do czynienia z obsługiwaniem w zasadzie wszystkich podstawowych usług za pomocą systemów informatycznych. Zaprzestanie działania tych systemów informatycznych, np. dotyczących przesyłu energii elektrycznej czy wytwarzania energii elektrycznej w elektrowni, spowoduje, że nagle dane państwo czy dane miasto może być pozbawione prądu. Nie trudno sobie wyobrazić, co oznacza brak energii elektrycznej w dzisiejszych czasach – powoduje to kompletny paraliż. To samo woda, systemy bankowe. To jest powód, dla którego państwo wkracza w obszar cyberbezpieczeństwa, ponieważ potencjalni cyberprzestępcy, również na froncie wojennym, bo jesteśmy w takim momencie też na osi historii, że o cyberbezpieczeństwie musimy mówić też w kontekście obszaru bezpieczeństwa państwa, również wojskowego, mogą w bardzo prosty sposób zdestabilizować całe państwo. Więc w oczywisty sposób jest to obszar, którym państwo powinno się interesować i my wszyscy jako obywatele – dla naszego wspólnego bezpieczeństwa.
Michał Sobolewski: Jeżeli dobrze rozumiem, to ustawa o krajowym systemie cyberbezpieczeństwa trochę na takim bardzo ogólnym poziomie adresuje obowiązki do operatorów usług kluczowych, ale zastanawia mnie, czy nakłada jakieś obowiązki, albo czy są inne akty prawne, które nakładają obowiązki na zwykłych obywateli i na zwykłych przedsiębiorców, na takie mniejsze podmioty, nawet trochę mniejsze organizacje czy instytucje? Czy takie obowiązki, jakieś działania, które powinni podejmować, istnieją?
Agnieszka Wachowska: Pozwolisz, że uzupełnię to, co powiedziałeś, ponieważ nie jest tak, że ustawa o krajowym systemie cyberbezpieczeństwa dotyczy tylko operatorów usług kluczowych. To jest jedna z grup podmiotów, do której pewne obowiązki są skierowane. Tych podmiotów jest znacznie więcej. Są to m.in. różnego rodzaju podmioty publiczne wymienione w tej ustawie. Wśród tych podmiotów wymienieni są również dostawcy usług cyfrowych. To mogą być przedsiębiorcy. Co więcej, chciałam powiedzieć, że operatorzy usług kluczowych to również mogą być przedsiębiorcy. To mogą być przedsiębiorcy, którzy świadczą usługę kluczową z perspektywy funkcjonowania państwa. W związku z tym, ustawa jak najbardziej ma zastosowanie zarówno do podmiotów prywatnych, jak i podmiotów publicznych, ale w pewien sposób zawężony, czyli tych, których działanie ma istotne znaczenie dla większej grupy obywateli w kraju, kiedy zaprzestanie funkcjonowania systemu albo świadczonych usług przez tych przedsiębiorców bądź inne podmioty mogłoby w jakiś sposób zdestabilizować sytuację, wpłynąć istotnie na losy większej grupy osób albo spowodować istotne szkody. Taka jest trochę filozofia podejścia ustawy.
Łukasz Kister: Musimy też myśleć o tym, jakie są wymagania dla tych małych podmiotów czy w ogóle dla jednostek. Nie ma żadnych, jeszcze co gorsze, mikro i małych przedsiębiorców wyłączono z jakichkolwiek wymagań. A przecież wiemy, że może być taki mikro przedsiębiorca, który wcale nie zatrudnia rzeszy ludzi, a jednak na przykład zarządza bardzo ważnym obszarem Internetu czy dostępu do Internetu. Może też świadczyć wiele usług w stosunku do operatorów usługi kluczowej. O tym często niestety zapominamy, czytając ustawę o systemie cyberbezpieczeństwa. Nawet, ci co ją czytają, instytucje, zobowiązane do nadzoru nad systemem, trochę udają, że nie widzą jednego elementu, który dzisiaj w świecie cyfrowym jest kluczowy, który jest podnoszony przy każdym większym cyberataku, przy każdym zdarzeniu, czyli bezpieczeństwo łańcucha dostaw. Nie ma dzisiaj takiego największego operatora usługi kluczowej – wielkiego koncernu typu Orlen, razem z przybudówkami, które świadczą też mnóstwo usług kluczowych: Polskie Górnictwo Naftowe i Gazownictwo, Lotos czy za chwilę pewnie jeszcze szereg innych. Nawet tak wielki koncern nie będzie w stanie sam dla siebie świadczyć wszystkich tych procesów, które są mu niezbędne do tego, żeby ten kluczowy proces był bezpieczny. Więc zawsze będzie miał podwykonawców, dostawców i poddostawców itd, od których będzie zależne. I o tym zapominamy, że często mikro firma jeśli gdzieś na końcu łańcucha, jak to się mówi kolokwialnie, wyłoży na jakimś incydencie cyberbezpieczeństwa, to w konsekwencji Orlen nie wyświadczy usługi.
Michał Sobolewski: No właśnie, ale załóżmy, że taki niewielki podmiot, tak jak powiedziałeś, wykłada się na cyberbezpieczeństwie, nie zabezpieczy odpowiednio swoich systemów…
Łukasz Kister: Nie musi nie zabezpieczać. Na cyberbezpieczeństwo musimy patrzeć tak, jak wielkie podmioty. Amerykańskie służby specjalne padają ofiarami cyberataków. Nie ma tak silnych zabezpieczeń, nie ma takiej organizacji na świecie, która nigdy by nie padła ofiarą jakiegoś incydentu i nie mogłaby go otrzymać. Nie każdy go widzi. Niektórzy myślą, że są cyberbezpieczni, bo nawet nie wiedzą, że padli ofiarą ataku, więc nie możemy też traktować tych mikro czy małych przedsiębiorców jako tych „dobrze, bo on się nie zabezpieczył.” Nie, po prostu. Na swój poziom ryzyka on się idealnie zabezpieczył, tylko nie był w stanie odeprzeć dużego ataku, bo ktoś chciał właśnie doprowadzić do zaprzestania działalności dużego koncernu czy działalności jakiejś instytucji państwa, to żaden haker nie będzie atakował tej instytucji czy tego koncernu, bo wie, że on lepiej lub gorzej, ale jest zabezpieczony. To co? To poszuka najsłabszego ogniwa.
Michał Sobolewski: Rozumiem, ale my prawnicy mówimy o czymś takim jak należyta staranność i ta należyta staranność wyznacza nam zakres tego, w jaki sposób możemy być odpowiedzialni za ewentualną szkodę. Zastanawiam się, jak należyta staranność mogłaby wyglądać w przypadku takich mniejszych, ale też większych podmiotów, mając też w głowie to, co powiedział Łukasz, że nie jesteśmy w stanie wszystkiego zabezpieczyć i przed wszelkimi zagrożeniami się uchronić. Ale co powinniśmy zrobić na poszczególnych etapach związanych z incydentem: przed jego wystąpieniem, w trakcie jego trwania albo po tym, jak już incydent wystąpił?
Agnieszka Wachowska: Mówiliśmy o wymaganiach prawnych, które wynikają z przepisów publiczno prawnych i mówią, jakie podmioty zobowiązane są do stosowania określonych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Na te podmioty może być nałożona kara administracyjna, jeżeli obowiązków dotyczących wdrożenia odpowiednich polityk, przeprowadzania odpowiednich audytów, zabezpieczania odpowiednio systemu czy raportowania incydentów nie wypełniają. Ale pamiętajmy o tym, że odpowiedzialność cywilna dotyczy wszystkich. I teraz dotykamy problemu należytej staranności podmiotów, które np. świadczą usługi z zakresu dostarczania systemów informatycznych czy różnego rodzaju usług IT. W jaki sposób one, nawet jeżeli nie są dostawcami usług cyfrowych na gruncie ustawy KSC, jak te podmioty powinny się zabezpieczyć albo co powinny zrobić, żeby powiedzieć, że dołożyły tej należytej staranności? Nie ma jednej regulacji prawnej, która by mówiła, w jakim przypadku, jakie to środki podejmować należy. Natomiast pojawia się coraz więcej różnego rodzaju norm, standardów, wytycznych kierowanych do poszczególnych sektorów, np. z sektora energetycznego, sektora transportowego, sektora medycznego, które mówią o tym, jakiego rodzaju regulacje warto wdrożyć, bo są to bardzo często miękkie postanowienia, tzw. soft law (miękkie prawo), czyli niewdrożenie ich nie powoduje sankcji karnych czy administracyjnych, ale może wpływać na ocenę należytej staranności. Natomiast póki co, najlepszym narzędziem na określenie tego elementu należytej staranności jest po prostu umowa.
Łukasz Kister: Agnieszko, tylko zapomniałaś chyba o tym, że w polskiej ustawie o krajowym systemie cyberbezpieczeństwa to miękkie prawo się pojawiło. Może nie w samej ustawie, a w rozporządzeniach wykonawczych. Mianowicie, że operator usługi kluczowej jest zobowiązany do wdrożenia dwóch międzynarodowych norm niemających w swojej nazwie cyberbezpieczeństwa. Jedna to jest wdrożenie systemu zarządzania bezpieczeństwem informacji na zgodność z normą ISO 27001, a więc pewnego poukładania swoich procesów, żeby móc wykazać, że zachowuje staranność przy zarządzaniu procesami informacyjnymi i procesami informatycznymi. Druga norma, którą wskazuje polskie prawo, to jest ISO 22301, czyli system zarządzania ciągłością działania, czyli ciągłością świadczenia tej usługi kluczowej. Oczywiście trochę jest tak, słusznie Agnieszko zauważyłaś, że nawet te normy nie dają gotowych rozwiązań. To jest danie podmiotowi, który chce się wdrażać w tego rodzaju systemy zarządzania, pewnych generalnych wskazówek, jak powinny one wyglądać. Coraz więcej pojawia się w obrocie międzynarodowym takich standardów, dobrych praktyk, na które nawet powołują się polskie instytucje nadzorujące szeroko pojęty obszar cyberbezpieczeństwa.
Agnieszka Wachowska: Mamy też dużo podmiotów na rynku, które nie wpadają w ten sektor, w odniesieniu do którego te wytyczne zostały wydane. Wtedy musimy bazować na ogólnych standardach, ogólnych normach. Tutaj się pojawia właśnie to pytanie – co jest tą należytą starannością? To jest odwieczny problem prawników, nie tylko dotykający problemu odpowiedzialności za cyberbezpieczeństwo – co jest należytym standardem wykonywania usługi. Ja bym się pokusiła o takie stwierdzenie, że w dzisiejszych czasach, jeżeli świadczymy usługi z zakresu IT, to pewien poziom zabezpieczeń i jakby w ogóle fakt pomyślenia o zabezpieczeniu czy systemu czy bezpieczeństwie w ramach świadczonej usługi powinien być standardem. Czyli profesjonalny podmiot powinien o tym pomyśleć. Natomiast pytanie jaki dokonać dobór środków tych technicznych i organizacyjnych. Tutaj dochodzimy do kluczowego zagadnienia w cyberbezpieczeństwie i ochronie przed cyberzagrożeniami, a mianowicie kwestii oceny, szacowania ryzyka. Ja najpierw powinienem sprawdzić, jakiego rodzaju dane w systemie informatycznym będę przetwarzał, jakiego rodzaju, za pomocą tego systemu informatycznego, będę świadczył usługi. Czyli po pierwsze dane, po pierwsze rodzaj usług. I dopiero wtedy dobieram odpowiednie środki. Wiadomo, że środki związane z wdrażaniem cyberbezpieczeństwa na poziomie technicznym i organizacyjnym kosztują. To są realne koszte. Ja wiem, że mówię o bardzo ogólnych zagadnieniach, ale ten poziom adekwatności to jest właśnie miejsce dla specjalistów w zakresie cyberbezpieczeństwa, nie dla prawników. Prawnicy powinni określić pewną drogę, natomiast na pewnym etapie zapytać się specjalistów w zakresie cyberbezpieczeństwa, czy ten poziom bezpieczeństwa dla tego typu systemu jest wystarczający, jest pewnym standardem na rynku, bo też elementem szacowania tych odpowiednich standardów jest pewien benchmark rynkowy.
Michał Sobolewski: Czy moglibyście opowiedzieć dwa słowa, jak wygląda wasza współpraca na co dzień, jeżeli chodzi o świadczenie usług związanych z cyberbezpieczeństwem?
Łukasz Kister: Tak naprawdę właśnie to, co Agnieszka wspomniała. Prawnik nie jest w stanie ocenić czy wskazać, jakie najlepsze rozwiązania powinny być, do tego jest potrzebne jakieś porozumienie. To porozumienie właśnie nie jest pomiędzy prawnikiem a specjalistami IT czy specjalistami IT Security, tutaj się nie da zbudować pomostu łączącego te dwa światy, bo osoby techniczne, bardzo inżynierskie zawsze będą patrzyły na ten świat przez pryzmat „aha, bezpieczny system to jest taki, w którym ja technicznie jestem w stanie coś zrealizować.” Osoby techniczne nie patrzą na wycieki danych przez pryzmat „och, jakie to będą skutki”, tylko przez pryzmat tego, że ktoś w taki czy w inny sposób naruszył bezpieczeństwo tych systemów. Dlatego w tej całej dyskusji o cyberbezpieczeństwie, w budowaniu tego cyberbezpieczeństwa dla mniejszych, większej organizacji, dla instytucji publicznych czy dla państw, niezbędni są eksperci cyberbezpieczeństwa, ale nie rozumiani jako eksperci od technologii informatycznych, tylko ci, którzy są w stanie pomóc przełożyć i zrozumieć się wzajemnie pomiędzy światem wymagań prawnych a technologiami i tym, co w tych technologiach jest dzisiaj najbardziej adekwatnego. To jest właśnie rola, jak prawnik, ekspert od organizacji cyberbezpieczeństwa, od zarządzania cyberbezpieczeństwem, połączy to z tymi, którzy wiedzą, jak te technologiczne rozwiązania, inżynierskie, bardzo mocno niskopoziomowe elementy powinny ze sobą współdziałać. Ale to jest niestety wyzwanie, takie trochę niekończącej się walki, bo też widzimy zmieniające się prawo. Od tego zaczęliśmy. Agnieszka wspomniała, że jest kompletna redefinicja w prawie polskim, pewnie nastąpi, miejmy nadzieję, że szybciej niż później, samego terminu cyberbezpieczeństwa. Zobaczcie to nie jest tak, że ktoś może powiedzieć „a to niech się prawnicy tam zajmują tym, że się zmieniła definicja. Dla mnie cyberbezpieczeństwo znaczy to samo.” Nie, jeżeli jestem operatorem usługi kluczowej, jeżeli ja świadczę usługę dla takiego operatora usługi kluczowej, to dla mnie świat się zmienił. Cyberbezpieczeństwo i wymagania, które ustawodawca na mnie nałożył, nawet jeżeli reszta ustawy pozostanie bez zmian, to zmiana tej definicji powoduje, że my praktycy też musimy razem z prawnikami zupełnie inaczej spojrzeć na to, czego na koniec dnia oczekuje od nas ustawodawca i regulator.
Agnieszka Wachowska: Warto posłużyć się przykładem, bo one najlepiej przemawiają do wyobraźni i pokazać, jak tego typu spory mogą wyglądać. Póki co na naszym polskim podwórku żadnych głośnych spraw z zakresu cyberbezpieczeństwa i odszkodowań cywilnoprawnych nie ma. Co nie znaczy, że tego typu sprawy nie występują. One są, natomiast zwykle kończą się układami w zaciszu gabinetów bądź kancelarii, gdzie te ugody są podpisywane. Natomiast toczy się teraz w Stanach Zjednoczonych głośna sprawa dotycząca Capital One, wycieku danych z holdingu bankowego specjalizującego się w kartach kredytowych. Ona dotyczy odpowiedzialności właśnie za atak, za cyberatak i zarzut w stosunku do hostująego infrastrukturę AWSu jest taki, że ta infrastruktura, która była oferowana przez AWS, umożliwiała przeprowadzenie ataku SSRF, czyli Server Side Request Forgery. Ja nie chcę teraz wchodzić w aspekty techniczne, bo chciałam o tych prawnych powiedzieć. To powodowało możliwość uzyskania dostępu w konkretnym ataku do tych danych. Dochodzone jest od firmy odszkodowanie przez osoby dotknięte tym atakiem. Skierowała swoje roszczenia bezpośrednio w odniesieniu do firmy AWS. I pojawia się zagadnienie, czy ta firma odpowiada za tego rodzaju atak, a tak naprawdę czy w sposób odpowiedni zabezpieczyła swój system informatyczny, tą hostowaną infrastrukturę przed tego typu atakiem. Między innymi argumentem w tym sporze jest to, że konkurenci tego podmiotu, czyli Google i Microsoft, którzy oferowali podobne usługi, mieli już wprowadzone zabezpieczenia przed tego rodzaju atakami. Sąd w tej sprawie, ponieważ sprawa się toczy i nie jest wykluczone, że zakończy się ugodą, i nie poznamy finalnie wyroku sądowego, ale sąd w tej sprawie musiałby rozpatrywać tak naprawdę, czy ten dostawca IT, nie zabezpieczając systemu na ten konkretny typ ataku, jest odpowiedzialny, czyli nie dochował tej należytej staranności. To jest właśnie rola dla specjalistów specjalistów z zakresu cyberbezpieczeństwa. Rolą prawników jest pokazania pewnych modeli: czy były jakieś wytyczne, spojrzenie na konkurencję, a rola specjalistów dotyczy pokazania, jak przed tego rodzaju atakami można się zabezpieczyć i co w danym momencie, kiedy ten atak nastąpił, należało uznawać za standard prawidłowego zabezpieczenia systemu.
Łukasz Kister: Jesteśmy już przy przykładach różnych działań, to też z poletka amerykańskiego bardzo ciekawy przykład tego, że cyberbezpieczeństwo nie jest tylko tym elementem świata cyfrowego. Najgłośniejszy w ostatnich 20, może 30 latach atak na infrastrukturę krytyczną, a więc atak na Colonial Pipeline i unieruchomienie dostaw ropy naftowej na prawie całym wschodnim wybrzeżu Stanów Zjednoczonych. Od strony informatycznej zostało rozpoznane, jak doszło do tego ataku. Tutaj nie ma wątpliwości. Amerykański regulator dwa tygodnie temu ukarał operatora tego rurociągu za incydent. Najważniejsza rzecz: nie ukarał go za to, że doszło do incydentu, że niewłaściwie zabezpieczył systemy informatyczne, że mogło dojść do tego incydentu, tylko za to, że oparł się wyłącznie na zarządzaniu rurociągiem od strony informatycznej i nie posiadał narzędzi do jego uruchomienia w sposób fizyczny. Zachłyśnięcie się technologią, w Polsce też ma miejsce i w energetyce, i w wielu innych obszarach, gdzie jak już wymyśliliśmy sobie sterowanie komputerowe pewnymi działaniami, to zapomnieliśmy, że może tam potrzebny byłby jakiś zawór, taki ręczny, żeby go odkręcić i zakręcić. I za to operator kolonii Colonial Pipeline został ukarany przez regulatora.
Michał Sobolewski: Czyli nie zabezpieczyli skutków potencjalnego incydentu, tego co mogłoby się wydarzyć, jeżeli ktoś by naruszył nasze zabezpieczenia.
Agnieszka Wachowska: Tak, to jest bardzo słuszna uwaga. O tym chyba nie powiedzieliśmy, że z perspektywy cyberbezpieczeństwa i ochrony przed cyberzagrożeniami musimy myśleć: po pierwsze, co zrobić, żeby do nich nie doszło, czyli ograniczyć ryzyko, ale jednocześnie mieć świadomość, być przygotowanym na to, że do nich dojdzie, czyli mieć ten plan działania w trakcie wystąpienia incydentu i po jego wystąpieniu. I to jest element należytej staranności. Zabezpieczam się, żeby ograniczyć ryzyko wystąpienia tego cyberzagrożenia, a w zasadzie do przełamania bezpieczeństwa mojego systemu informatycznego. Ale mam też plan, co zrobić, jak on wystąpi i co zrobić, żeby ograniczyć skutki jego działania, czyli to jest ten trzeci element, o którym Łukasz powiedział, incydent wystąpił i teraz co dalej. Każdy podmiot powinien być na to przygotowany. I to jest właśnie element tej pełnej należytej staranności przed, w trakcie i po.
Michał Sobolewski: Temat jest nieprzebrany. Moglibyśmy o nim jeszcze bardzo długo rozmawiać. Chciałbym zapytać Was o takie zdanie, które mogłoby być puentą do naszej dzisiejszej rozmowy.
Agnieszka Wachowska: Ja myślę, że bardzo ważne jest, aby każdy z nas czuł się jako ten element systemu cyberbezpieczeństwa. To może zabrzmi trochę górnolotnie dla niektórych, ale naprawdę człowiek jest najsłabszym ogniwem. Więc pewna nasza czujność, nasza wrażliwość na to, że stosowanie się do pewnych procedur, które są wdrażane, mają znaczenie. Gdybyśmy wszyscy faktycznie byli uwrażliwienie na to, że te ataki są i będzie ich zapewne coraz więcej, to dbamy w ten sposób o bezpieczeństwo nie tylko swoje, ale wszystkich wokół, więc bądźmy czujni.
Łukasz Kister: Odnosząc się do tego, co Agnieszka wspomniała, że każdy z nas odpowiada za cyberbezpieczeństwo, musimy pamiętać, że jeszcze kilka lat temu, kiedy zagrożenia terrorystyczne były tak powszechne w Wielkiej Brytanii i w Stanach Zjednoczonych ukuł się taki termin, że każdy z nas jest antyterrorystą, każdy z nas ma swoją rolę w tym systemie antyterrorystycznym. Dzisiaj tak jest w systemie cyberbezpieczeństwa. Każdy z nas ma tam swoją rolę. Każdy z nas jest odpowiedzialny za to, żeby ochronić siebie, ale też nas wszystkich przed zagrożeniami płynącymi z cyberprzestrzeni.
Michał Sobolewski: Bardzo Wam dziękuję za dzisiejszą rozmowę. Bardzo miło mi było z Wami porozmawiać i mam nadzieję, że do zobaczenia jeszcze nie raz w kolejnych odcinkach.
Łukasz Kister: Do usłyszenia!
Agnieszka Wachowska: Dzięki!