Minęły ponad 3 lata od momentu wejścia w życie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która nałożyła na przedsiębiorstwa wod-kan nowe obowiązki i zadania. Cały sektor, a więc nie tylko największe przedsiębiorstwa, musi wdrożyć rozwiązania tak organizacyjne, jak i techniczne, aby spełnić wymogi ustawy o cyberbezpieczeństwie. Pomóc w tym mogą rekomendacje Kancelarii Prezesa Rady Ministrów dla sektora wodno-kanalizacyjnego.
Krajowy system bezpieczeństwa
Krajowy system cyberbezpieczeństwa, o czym pisałem w artykule pt. "Cyberbezpieczeństwo w przedsiębiorstwach wodociągowo-kanalizacyjnych", tworzą m.in. operatorzy usług kluczowych oraz podmioty publiczne realizujące zadania publiczne zależne od systemu informacyjnego. Do obu tych kategorii mogą należeć przedsiębiorstwa wod-kan. Warto jednak przypomnieć, że:
- operatorem usługi kluczowej przedsiębiorstwo wod-kan zostaje dopiero wtedy, gdy Minister Infrastruktury wyda decyzję o uznaniu za operatora usługi kluczowej, natomiast
- podmiotem publicznym, w rozumieniu ustawy o cyberbezpieczeństwie, przedsiębiorstwo wod-kan jest z mocy samego prawa (o ile oczywiście spełnia kluczową przesłankę, tj. realizuje zadanie publiczne zależne od systemu informacyjnego).
Obsługa incydentów – procedury wewnętrzne
Jak zatem wynika z powyższego w praktyce wszystkie przedsiębiorstwa wod-kan i to z mocy samego prawa kwalifikują się do kategorii podmiotów publicznych. Z tą rolą wiąże się natomiast m.in. obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, a także zobowiązanie do zapewnienia obsługi incydentów (czyli zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo), w tym:
- incydentów krytycznych, tj. incydentów skutkujących szkodą m.in. dla bezpieczeństwa lub porządku publicznego oraz życia i zdrowia ludzi,
- incydentów w podmiotach publicznych, tj. incydentów, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.
Przez obsługę incydentów należy z kolei rozumieć czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.
Powyższe oznacza, że spółki wod-kan muszą nie tylko wiedzieć na czym polegają poszczególne incydenty, ale powinny również regularnie weryfikować stan cyberbezpieczeństwa w ramach swoich struktur i w odpowiedni sposób reagować na zidentyfikowane zagrożenia. W tym zaś zakresie jak się wydaje niezbędne jest przeszkolenie pracowników i wdrożenie stosownych procedur wewnętrznych.
Rekomendacje dla sektora wodociągowo-kanalizacyjnego
W opublikowanych w tym roku przez Kancelarię Prezesa Rady Ministrów rekomendacjach dla sektora wodno-kanalizacyjnego można z kolei znaleźć podstawowe zalecenia związane z funkcjonującymi w przedsiębiorstwach systemami teleinformatycznymi. W szczególny sposób KPRM zwróciła uwagę, na różnicę pomiędzy systemami technologii informatycznej (tzw. IT) a systemami technologii operacyjnej (tzw. OT), których sztandarowym przykładem w przypadku przedsiębiorstw wod-kan mogą być systemy SCADA, służące m.in. do nadzorowania i zarządzania procesami uzdatniania i zaopatrzenia w wodę.
Wśród rekomendowanych środków technicznych dotyczących rozdziału systemów IT od systemów OT na szczególną uwagę zasługują zalecenia nakazujące:
- zmniejszyć do minimum ekspozycję sieci przemysłowej poprzez identyfikację i ograniczenie do koniecznych połączeń „z” i „do” tej sieci;
- oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcję pomiędzy tymi dwoma obszarami;
- wykonywanie dostępu zdalnego (o ile w ogóle jest konieczny) wyłącznie za pomocą VPN (Virtual Private Network) z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego MFA (Multi-Factor Authentication).
Rekomendacje zawierają również przykładowe opisy ataków na sektor wodociągowo-kanalizacyjny na całym świecie, które to opisy choć nie obfitują w szczegóły techniczne, to niewątpliwie potwierdzają, że branża wodociągowo-kanalizacyjna jest narażona na cyberataki. Te krótkie historie pokazują, na co zwraca uwagę KPRM, że jednym z najsłabszych ogniw w jakimkolwiek systemie bezpieczeństwa będzie człowiek, a także brak adekwatnych procedur. W tym kontekście KPRM zaleca chociażby przegląd i ograniczenie do minimum zdalnego dostępu do systemów IT i OT, w tym przegląd metod zdalnego dostępu podwykonawców, a także zmianę domyślnych danych uwierzytelniających i wprowadzenie polityki silnych haseł.
Z pełną treścią rekomendacji można zapoznać się na stronie https://www.gov.pl/
Nowelizacja przepisów ustawy o krajowym systemie cyberbezpieczeństwa
Końcowo należy odnotować, że Ministerstwo Cyfryzacji pracuje obecnie nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Z punktu widzenia przedsiębiorstw wod-kan kluczową zmianą będzie wprowadzenie terminu realizacji i usankcjonowanie obowiązku, o którym mowa w art. 21 ust. 1 ustawy, a więc obowiązku wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
Zgodnie z projektowanymi przepisami:
- podmioty publiczne, a więc również spółki wod-kan, będą zobowiązane w terminie 30 dni od dnia wejścia w życie nowelizacji wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
- za brak wyznaczenia takiej osoby, minister właściwy ds. cyfryzacji będzie nakładał na podmiot publiczny, w drodze decyzji administracyjnej, karę w wysokości do 10.000 zł;
- niezależnie od kary pieniężnej nałożonej na sam podmiot publiczny, minister właściwy ds. cyfryzacji będzie mógł nałożyć, w drodze decyzji, karę na kierującego podmiotem publicznym (np. na prezesa zarządu spółki wod-kan) w wysokości do jednokrotności -minimalnego wynagrodzenia za pracę w roku, w którym nie został wykonany obowiązek.
