Treści ustawy nie będę tutaj wyjaśniał - każdy może sobie ją przeczytać i wyrobić własną opinię, lub zajrzeć do “tego” artykułu. Co mnie najbardziej uderza to to że wymagania zapisane w Ustawie dla operatorów usług kluczowych i usług cyfrowych są jak na standardy bezpieczeństwa obowiązujące na świecie, dosyć podstawowe. 

Zarządzanie ryzykiem, incydentami i podatnościami robi każda poważna firma, w której bezpieczeństwo ma znaczenie. Dzielenie się informacjami o incydentach to też standard w rozwiniętych cyfrowo krajach. Obecnie poświęca się tam sporo wysiłku na usprawnianie, doskonalenia skutecznej wymiany danych a nie na jej budowanie. Publikowanie informacji o zagrożeniach dla potencjalnie zainteresowanych *ustawa mówi o odbiorcach usług, klientach” to również podstawa funkcjonowania zespołów typu Cert (np. ICS CERT USA). 

Dlaczego więc słychać głosy o tym, że nie jesteśmy przygotowani, że ustawa to wiele wysiłku, który musi być włożony w jej implementacje. 

Może dlatego że bezpieczeństwo do tej pory polegało na wdrażaniu narzędzi, realizacji projektów i było w niektórych miejscach oderwane od biznesu? Nie mówiąc o możliwościach zajęcia się poważnymi incydentami po godzinie 17.00. 

Głos realisty mówi że trzeba teraz porzucić wzniosłe nazwy i karty projektów mówiące o naprawianiu wszystkiego, a zabrać się za realną pracę. W końcu teraz jest to obowiązek ustawy, a nie widzimisię oficera bezpieczeństwa. 

Optymiści wskazują dla odmiany że przecież wszystkie te procesy już dawno u nas funkcjonują. Mamy procedury bezpieczeństwa, plany ochrony, zarządzamy skutecznie incydentami. Na pewno na papierze. Ale czy optymiści na pewno wiedzą o czym mówią? Gdzie jest granica między propagandą a skutecznym zarządzaniem problemem jakim jest cyberbezpieczeństwo? 

Chciałbym aby kiedyś nastał dzień, w którym będę mógł na stronach firmy X przeczytać o najnowszych podatnościach zidentyfikowanych w ich produktach, potwierdzonych przez CSIRT oficjalnym komunikatem wydanym o 23.08 dnia poprzedniego. 

Chciałbym widzieć szeroko zakrojone akcje przeciwko kampaniom phishingowym, koordynowane przez kogoś innego niż banki i portale zarabiające na bezpieczeństwu.

Na koniec ciekawostka. Według moich analiz, ustawa o krajowym systemie cyberbezpieczeństwa jest pierwszą ustawą w naszym systemie prawnym, która wymaga podejmowania realnych działań dotyczących bezpieczeństwa dla infrastruktury teleinformatycznej w naszym kraju, która jednocześnie mówi o sankcjach finansowych. Zgadzacie się?

Pozdrawiam 

Wiesław Kasprzak

Ekspert Bezpieczeństwa

wiesław.kasprzak@grupablue.pl