Dwie szkoły wdrożenia

Dwie szkoły wdrożenia 
Optymistyczna - my już wszystko mamy / Realistów - długa droga przed nami

Ustawa o Krajowym Systemie Cyberbezpieczeństwa już obowiązuje.
Jakie rodzi konsekwencje dla firmy i obywateli?

Identyfikuję dwie szkoły oceniające obecną sytuację zarządzania bezpieczeństwem w przedsiębiorstwach. 
Szkoła optymistów i szkoła realistów. Aby dobrze zrozumieć podejście z jakim możemy się spotkać, należy się kilka słów wyjaśnień odnośnie samej ustawy.
Treści ustawy nie będę tutaj wyjaśniał - każdy może sobie ją przeczytać i wyrobić własną opinię, lub zajrzeć do “tego” artykułu. Co mnie najbardziej uderza to to że wymagania zapisane w Ustawie dla operatorów usług kluczowych i usług cyfrowych są jak na standardy bezpieczeństwa obowiązujące na świecie, dosyć podstawowe. 
Zarządzanie ryzykiem, incydentami i podatnościami robi każda poważna firma, w której bezpieczeństwo ma znaczenie. Dzielenie się informacjami o incydentach to też standard w rozwiniętych cyfrowo krajach. Obecnie poświęca się tam sporo wysiłku na usprawnianie, doskonalenia skutecznej wymiany danych a nie na jej budowanie. Publikowanie informacji o zagrożeniach dla potencjalnie zainteresowanych *ustawa mówi o odbiorcach usług, klientach” to również podstawa funkcjonowania zespołów typu Cert (np. ICS CERT USA). 

Dlaczego więc słychać głosy o tym, że nie jesteśmy przygotowani, że ustawa to wiele wysiłku, który musi być włożony w jej implementacje. 
Może dlatego że bezpieczeństwo do tej pory polegało na wdrażaniu narzędzi, realizacji projektów i było w niektórych miejscach oderwane od biznesu? Nie mówiąc o możliwościach zajęcia się poważnymi incydentami po godzinie 17.00. 

Głos realisty mówi że trzeba teraz porzucić wzniosłe nazwy i karty projektów mówiące o naprawianiu wszystkiego, a zabrać się za realną pracę. W końcu teraz jest to obowiązek ustawy, a nie widzimisię oficera bezpieczeństwa. 
Optymiści wskazują dla odmiany że przecież wszystkie te procesy już dawno u nas funkcjonują. Mamy procedury bezpieczeństwa, plany ochrony, zarządzamy skutecznie incydentami. Na pewno na papierze. Ale czy optymiści na pewno wiedzą o czym mówią? Gdzie jest granica między propagandą a skutecznym zarządzaniem problemem jakim jest cyberbezpieczeństwo? 

Chciałbym aby kiedyś nastał dzień, w którym będę mógł na stronach firmy X przeczytać o najnowszych podatnościach zidentyfikowanych w ich produktach, potwierdzonych przez CSIRT oficjalnym komunikatem wydanym o 23.08 dnia poprzedniego. 
Chciałbym widzieć szeroko zakrojone akcje przeciwko kampaniom phishingowym, koordynowane przez kogoś innego niż banki i portale zarabiające na bezpieczeństwu.

Na koniec ciekawostka. Według moich analiz, ustawa o krajowym systemie cyberbezpieczeństwa jest pierwszą ustawą w naszym systemie prawnym, która wymaga podejmowania realnych działań dotyczących bezpieczeństwa dla infrastruktury teleinformatycznej w naszym kraju, która jednocześnie mówi o sankcjach finansowych. Zgadzacie się?

Pozdrawiam 
Wiesław Kasprzak
Ekspert Bezpieczeństwa
wiesław.kasprzak@grupablue.pl

Powrót do artykułów

Zapraszamy do kontaktu

Formularz kontaktowy znajduje się poniżej, a dane kontaktowe w sekcji: Kontakt

Formularz kontaktowy

O nas | Formularz kontaktowy

(c)2018, Wszelkie Prawa Zastrzeżone
Zadzwoń do nas:
Ryszard Kluska
Wiceprezes Zarządu
601 366 281
lub napisz:
ryszard.kluska@grupablue.pl