A skoro niedawno było o powinnościach podmiotów kluczowych i ważnych w zakresie obsługi i zgłaszania incydentów, to dziś chyba dobry moment by kolejny odcinek o wdrożeniu NIS2 poświęcić nakładanym na podmioty krajowego systemu cyberbezpieczeństwa wymogi w zakresie reakcji na podatności.
A mianowicie, jak zawsze w ogólnym skrócie:
- jako się już rzekło, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa do podstawowych obowiązków podmiotów kluczowych i ważnych należy zbieranie informacji o cyberzagrożeniach i podatnościach wykorzystywanych systemów na incydenty;
- stąd też wdrożone procedury powinny zapewniać stosowanie środków ograniczających wpływ incydentów na bezpieczeństwo świadczenia usług i niezwłoczną reakcję na dostrzeżone podatności i zagrożenia, włącznie z czasowym ograniczeniem przychodzącego ruchu sieciowego;
- a jeśli incydent się przydarzy, usługodawca ma obowiązek usunięcia wywołującej go podatności;
art. 2 pkt 11 ustawy o krajowym systemie cyberbezpieczeństwa
podatność — właściwości produktu ICT lub usługi ICT, które mogą być wykorzystane przez cyberzagrożenie
art. 2 pkt 8 rozporządzenia 2019/881 aktu o cyberbezpieczeństwie
„cyberzagrożenie” oznacza wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób;
- lepiej zapobiegać niż leczyć, tedy już na etapie wyboru dostawców technologii ICT należy uwzględniać potencjalne podatności związane z dostawcą sprzętu lub oprogramowania, w tym „ogólną jakość” dostawców, a także ewentualne uznanie dostawcy za dostawcę wysokiego ryzyka, zarazem podmioty powinny wymieniać się, poprzez system S46 — z CSIRT-ami, jak też dostawcami sprzętu i oprogramowania — informacjami o ewentualnych podatnościach;
- ważne: NIS2 nakłada na wszystkie podmioty KSC obowiązek zapewnienia użytkownikom możliwości zgłoszenia każdej podatności, cyberzagrożenia i incydentu związanych ze świadczoną usługą;
- o CSIRT-ach nie będę pisał osobno, więc tylko zaznaczę, że w gestii CSIRT-ów leży m.in. koordynacja ujawniania informacji o podatnościach i ryzykach, etc., badanie sprzętu i oprogramowania w celu identyfikacji istotnych podatności, a także analiza podatności i złośliwego oprogramowania, toteż każdy może zgłosić do CSIRT NASK — za pomocą anonimowego formularza internetowego — taką podatność;
- natomiast jeśli wykryte podatności mogą prowadzić do wystąpienia incydentu poważnego lub krytycznego, odpowiedni CSIRT może wystąpić o wezwanie podmiotu kluczowego i ważnego do jej usunięcia…
- …zaś w celu prowadzenia własnych pentestów bezpieczeństwa systemów w celu identyfikacji jego podatności CSIRT-y są uprawnione do tworzenia i wykorzystywania hakerskiego sprzętu i oprogramowania (por. „Nowy kontratyp: szukanie luk w systemach informatycznych”);
art. 36b ust. 8 uksc
CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowy mogą wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b [kk], oraz ich używać w celu określenia podatności ocenianego systemu informacyjnego na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 i 2 albo art. 269a [kk].
- istotne: CSIRT-y mają obowiązek powiadomić ministra d/s informatyzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o wykrytych podatnościach — ale w odniesieniu do udostępniania informacji o podatnościach, incydentach i cyberzagrożeniach oraz o ryzyku wystąpienia incydentów nie stosuje się przepisów o dostępie do informacji publicznej oraz ustawy o otwartych danych (publikacja stosownych informacji w BIP ma charakter warunkowy i może zależeć od konsultacji z ABW);
- zmierzając powoli do końca: jeśli źródłem incydentu krytycznego jest określona podatność, minister informatyzacji jest uprawniony do wydania polecenia zabezpieczającego obejmującego m.in. wprowadzenie poprawki bezpieczeństwa eliminującej podatność produktu lub usługi ICT);
- kary, kary: za niewykonanie wezwania do usunięcia podatności zagrażającej wystąpieniem incydentem krytycznym lub ważnym — do 7 (lub 10) mln euro; za niezapewnienie użytkownikowi możliwości zgłoszenia podatności, incydentu lub cyberzagrożenia — do 300% wynagrodzenia kierownika podmiotu kluczowego lub ważnego (i znów: „nowych” kar za naruszenie wymogów NIS2 nie nakłada się do kwietnia 2028 r., art. 35 ustawy z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw).
I to by było na tyle, na razie — może coś jeszcze wymyślę.