Minęły ponad 3 lata od momentu wejścia w życie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która nałożyła na przedsiębiorstwa wod-kan nowe obowiązki i zadania. Cały sektor, a więc nie tylko największe przedsiębiorstwa, musi wdrożyć rozwiązania tak organizacyjne, jak i techniczne, aby spełnić wymogi ustawy o cyberbezpieczeństwie. Pomóc w tym mogą rekomendacje Kancelarii Prezesa Rady Ministrów dla sektora wodno-kanalizacyjnego.

 

Krajowy system bezpieczeństwa 

Krajowy system cyberbezpieczeństwa, o czym pisałem w artykule pt. "Cyberbezpieczeństwo w przedsiębiorstwach wodociągowo-kanalizacyjnych", tworzą m.in. operatorzy usług kluczowych oraz podmioty publiczne realizujące zadania publiczne zależne od systemu informacyjnego. Do obu tych kategorii mogą należeć przedsiębiorstwa wod-kan. Warto jednak przypomnieć, że: 

  • operatorem usługi kluczowej przedsiębiorstwo wod-kan zostaje dopiero wtedy, gdy Minister Infrastruktury wyda decyzję o uznaniu za operatora usługi kluczowej, natomiast 
  • podmiotem publicznym, w rozumieniu ustawy o cyberbezpieczeństwie, przedsiębiorstwo wod-kan jest z mocy samego prawa (o ile oczywiście spełnia kluczową przesłankę, tj. realizuje zadanie publiczne zależne od systemu informacyjnego). 

Obsługa incydentów – procedury wewnętrzne

Jak zatem wynika z powyższego w praktyce wszystkie przedsiębiorstwa wod-kan i to z mocy samego prawa kwalifikują się do kategorii podmiotów publicznych. Z tą rolą wiąże się natomiast m.in. obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, a także zobowiązanie do zapewnienia obsługi incydentów (czyli zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo), w tym:

  • incydentów krytycznych, tj. incydentów skutkujących szkodą m.in. dla bezpieczeństwa lub porządku publicznego oraz życia i zdrowia ludzi,
  • incydentów w podmiotach publicznych, tj. incydentów, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny. 

Przez obsługę incydentów należy z kolei rozumieć czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu. 

Powyższe oznacza, że spółki wod-kan muszą nie tylko wiedzieć na czym polegają poszczególne incydenty, ale powinny również regularnie weryfikować stan cyberbezpieczeństwa w ramach swoich struktur i w odpowiedni sposób reagować na zidentyfikowane zagrożenia. W tym zaś zakresie jak się wydaje niezbędne jest przeszkolenie pracowników i wdrożenie stosownych procedur wewnętrznych. 

Rekomendacje dla sektora wodociągowo-kanalizacyjnego 

W opublikowanych w tym roku przez Kancelarię Prezesa Rady Ministrów rekomendacjach dla sektora wodno-kanalizacyjnego można z kolei znaleźć podstawowe zalecenia związane z funkcjonującymi w przedsiębiorstwach systemami teleinformatycznymi. W szczególny sposób KPRM zwróciła uwagę, na różnicę pomiędzy systemami technologii informatycznej (tzw. IT) a systemami technologii operacyjnej (tzw. OT), których sztandarowym przykładem w przypadku przedsiębiorstw wod-kan mogą być systemy SCADA, służące m.in. do nadzorowania i zarządzania procesami uzdatniania i zaopatrzenia w wodę. 

Wśród rekomendowanych środków technicznych dotyczących rozdziału systemów IT od systemów OT na szczególną uwagę zasługują zalecenia nakazujące: 

  • zmniejszyć do minimum ekspozycję sieci przemysłowej poprzez identyfikację i ograniczenie do koniecznych połączeń „z” i „do” tej sieci;
  • oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcję pomiędzy tymi dwoma obszarami; 
  • wykonywanie dostępu zdalnego (o ile w ogóle jest konieczny) wyłącznie za pomocą VPN (Virtual Private Network) z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego MFA (Multi-Factor Authentication). 

Rekomendacje zawierają również przykładowe opisy ataków na sektor wodociągowo-kanalizacyjny na całym świecie, które to opisy choć nie obfitują w szczegóły techniczne, to niewątpliwie potwierdzają, że branża wodociągowo-kanalizacyjna jest narażona na cyberataki. Te krótkie historie pokazują, na co zwraca uwagę KPRM, że jednym z najsłabszych ogniw w jakimkolwiek systemie bezpieczeństwa będzie człowiek, a także brak adekwatnych procedur. W tym kontekście KPRM zaleca chociażby przegląd i ograniczenie do minimum zdalnego dostępu do systemów IT i OT, w tym przegląd metod zdalnego dostępu podwykonawców, a także zmianę domyślnych danych uwierzytelniających i wprowadzenie polityki silnych haseł. 

Z pełną treścią rekomendacji można zapoznać się na stronie https://www.gov.pl/

Nowelizacja przepisów ustawy o krajowym systemie cyberbezpieczeństwa 

Końcowo należy odnotować, że Ministerstwo Cyfryzacji pracuje obecnie nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Z punktu widzenia przedsiębiorstw wod-kan kluczową zmianą będzie wprowadzenie terminu realizacji i usankcjonowanie obowiązku, o którym mowa w art. 21 ust. 1 ustawy, a więc obowiązku wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Zgodnie z projektowanymi przepisami:

  • podmioty publiczne, a więc również spółki wod-kan, będą zobowiązane w terminie 30 dni od dnia wejścia w życie nowelizacji wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  • za brak wyznaczenia takiej osoby, minister właściwy ds. cyfryzacji będzie nakładał na podmiot publiczny, w drodze decyzji administracyjnej, karę w wysokości do 10.000 zł;
  • niezależnie od kary pieniężnej nałożonej na sam podmiot publiczny, minister właściwy ds. cyfryzacji będzie mógł nałożyć, w drodze decyzji, karę na kierującego podmiotem publicznym (np. na prezesa zarządu spółki wod-kan) w wysokości do jednokrotności -minimalnego wynagrodzenia za pracę w roku, w którym nie został wykonany obowiązek. 

            

Ostatnie wpisy

Sygnaliści - ochrona danych osobowych

Analizy prawne

Rządowe Centrum Legislacji opublikowało projekt ustawy o ochronie osób zgłaszających naruszenia prawa (tzw...

29-11-2021

Czytaj więcej

Ochrona sygnalistów w przedsiębiorstwach wod-kan

Analizy prawne

Rządowe Centrum Legislacji opublikowało projekt ustawy o ochronie osób zgłaszających naruszenia prawa...

18-11-2021

Czytaj więcej

Szkolenie: Nowy Ład w sektorze wodociągowo-kanalizacyjnym

Aktualności

Kancelaria Radców Prawnych Zygmunt Jerzmanowski i Wspólnicy sp. k. pragnie zaprosić Państwa...

18-11-2021

Czytaj więcej