Zapewnienie cyberbezpieczeństwa to podstawa w prowadzeniu biznesu. Do skutecznej obrony przed cyberatakami nie wystarczy tylko dobry sprzęt IT. Najlepiej sięgnąć po doświadczonych ekspertów. Przed trudnym wyzwaniem stoją przedsiębiorstwa z kluczowych sektorów, objęte ustawą o Krajowym Systemem Cyberbezpieczeństwa – pisze Magdalena Skłodowska z portalu WysokieNapiecie.pl.
Stare licencje, niewspółpracujące ze sobą systemy oraz drogi lecz nieaktualizowany i źle skonfigurowany sprzęt – to tylko niektóre z popularnych „grzechów” przeciwko cyberbezpieczeństwu w polskich przedsiębiorstwach. W ten sposób firmy narażają się na cyberataki i ogromne straty. Bo luka w systemie bezpieczeństwa może prowadzić do przestoju w produkcji, utraty kontraktów, wizerunku i funduszy, przejęcia ważnych danych firmy czy kontrahentów. Lista firm, które o tym się przekonały jest długa. Merck, Facebook, Mearsk, Beiersdorf, Yahoo, TNT i wiele innych. Konsekwencje mogą być jeszcze poważniejsze, gdy przedsiębiorstwo podlega ustawie o krajowym systemie cyberbezpieczeństwa.
Czym jest ustawa o krajowym systemie cyberbezpieczeństwa (KSC)
Ustawa, które weszła w życie w 28 sierpnia tego roku. Nakłada ona na największe przedsiębiorstwa z kluczowych sektorów gospodarki nowe obowiązki. Krajowy System Cyberbezpieczeństwa, w którego skład wejdą m.in. jednostki administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest o operatorach usług kluczowych (OUK), czyli między innymi przedsiębiorstwach energetycznych, największych bankach, przewoźnikach lotniczych i kolejowych czy szpitalach.
KSC w praktyce
Przedsiębiorstwa nie będą miały dużo czasu na przygotowanie się do restrykcyjnych wymogów cyberbezpieczeństwa. W ciągu 3 miesięcy od otrzymania powiadomienia muszą oszacować ryzyka, rozpocząć zarządzenie incydentami i wyznaczyć osobę kontaktową z Ministerstwem Cyfryzacji. Po 6 miesiącach firma podległa KSC będzie musiała wdrożyć środki techniczne adekwatne do ryzyka i zacząć zbierać dane o wszystkich zagrożeniach dotyczących organizacji. Dodatkowo organizacja będzie musiała stosować środki zapobiegawcze i już na tym etapie ograniczać ryzyko dla systemów teleinformatycznych. Natomiast po 12 miesiącach muszą przekazać pierwszy audyt zrobiony zgodnie z ustawą. Niezastosowanie się do jej wymogów będzie oznaczało finansowe kary.
– Firma, która będzie chciała samodzielnie sprostać wymogom ustawy, zmierzy się z niezwykle trudnym zadaniem. Musi posiadać odpowiednie systemy, narzędzia, procedury, a przede wszystkim pozyskać odpowiednich specjalistów. Te elementy są niezbędne, żaden nie może zawieść. Nie zawsze budowa takich kompetencji u siebie jest opłacana, czasem wręcz niemożliwa. Dlatego ustawa przewiduje możliwość skorzystania ze wsparcia zewnętrznych specjalistów. Wtedy warto zdecydować się na współpracę z doświadczonymi ekspertami od cyberbezpieczeństwa.
Jak groźne dla funkcjonowania państwa mogą się ataki? Jak można się obronić? O tym w dalszej części artykułu na portalu WysokieNapiecie.pl