Wyznaczanie osób do kontaktów z CSIRT poziomu krajowego

Rekomendacje CSIRT NASK oraz CSIRT GOV

Ustawa o krajowym systemie cyberbezpieczeństwa

Zgodnie z Ustawą o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych mają wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa (art 9 ust 1 pkt 1). Również podmioty publiczne, organy administracji publicznej i jednostki samorządu terytorialnego wyznaczają osobę odpowiedzialną za kontakty z podmiotami krajowego sytemu cyberbezpieczeństwo (art 21 ust 1-3).

Ustawa nie wymienia wprost zadań osoby kontaktowej. Jednak z uwagi na inne zapisy, odnoszące się do współpracy CSIRT z operatorami usług kluczowych, podmiotami publicznymi, organami administracji publicznej i jednostkami samorządu terytorialnego, można wydzielić dwie kategorie zadań:

  1. Zadania związane ze współpracą w przypadku obsługi incydentu.
  2. Zadania związane z przyjmowaniem informacji na temat incydentów i ryzyk.
Zadania związane ze współpracą w przypadku obsługi incydentu

W przypadku operatorów usług kluczowych, ustawa wprowadza obowiązek:

  • obsługi incydentu;
  • zapewnienia dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
  • zgłaszania incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia;
  • współpracy podczas obsługi incydentu poważnego i krytycznego z CSIRT MON, CSIRT NASK i CSIRT GOV, a także usuwanie podatności (art 11 ust 1).

W przypadku podmiotów publicznych, organów administracji publicznej i jednostek samorządu terytorialnego, ustawa wprowadza obowiązek:

  • zarządzania incydentem;
  • zgłaszania incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT poziomu krajowego;
  • zapewnienia obsługi incydentu w podmiocie publicznym i incydentu krytycznego.

Ważne: podczas czynności prowadzonych przez CSIRT poziomu krajowego, operatorzy mogą kontaktować się z wyznaczoną osobą, żeby przekazać lub pozyskać informacje.

Zadania związane z przyjmowaniem informacji na temat incydentów i ryzyk

Ustawa zobowiązuje CSIRT poziomu krajowego do przekazywania informacji o incydentach i ryzykach podmiotom krajowego systemu cyberbezpieczeństwa oraz do wydawania komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa (art 26 ust 3 pkt 3-4).

Ważne: aby przekazać takie informacje podmiotom krajowego systemu cyberbezpieczeństwa, CSIRT poziomu krajowego będą się kontaktować z osobą wyznaczoną do kontaktów.

Osoba do kontaktów, a struktura organizacji

Ustawa nie określa gdzie w strukturze organizacji powinna zostać powołana osoba do kontaktów. Jednak z uwagi na realizowane zadania, zalecamy aby była to osoba:

  • dyspozycyjna – tak aby w przypadku incydentu lub zagrożenia można było z nią sprawnie i szybko nawiązać kontakt. Zwłaszcza po godzinach pracy instytucji;
  • decyzyjna – tak aby w razie potrzeby mogła podjąć decyzję o przekazaniu/udostępnieniu informacji niezbędnych do obsługi incydentu oraz podjąć działania rekomendowane przez CSIRT poziomu krajowego lub wydać konkretne polecenia w organizacji;
  • technicznym zrozumieniu tematu – tak aby mieć łatwość komunikacji z CSIRT poziomu krajowego. Nie oznacza to jednak że musi być osobą techniczną;
  • o silnie rozwiniętej sieci kontaktów wewnętrznych w organizacji.

Rola osoby do kontaktów może być pełniona równolegle z innymi, takimi jak np. pełnomocnik ds. bezpieczeństwa informacji czy Inspektor Ochrony Danych Osobowych.

Osoba do kontaktów, a zgłaszanie incydentów

Osoba do kontaktów nie jest jedyną osobą, która może zgłosić incydent. Incydent może zgłosić dowolna osoba z organizacji. Po zgłoszeniu incydentu, w celu uzupełnienia informacji na jego temat, CSIRT poziomu krajowego kontaktuje się z osobą zgłaszającą incydent. W niektórych przypadkach może się kontaktować również z osobą wyznaczoną do kontaktów.

Współpraca z podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa

Jeśli za reagowanie na incydenty w danej instytucji, urzędzie lub organizacji odpowiada firma zewnętrzna świadcząca usługi z zakresu cyberbezpieczeństwa, to CSIRT powinien otrzymać także informacje o osobie kontaktowej z takiej firmy. Podczas obsługi incydentu CSIRT poziomu krajowego będzie się kontaktować przede wszystkim z podmiotem zobowiązanym do zgłaszania incydentów, ale w szczególnych przypadkach (m.in. w sprawach niecierpiących zwłoki) może kontaktować się też z osobą kontaktową z podmiotu świadczącego usługi z zakresu cyberbezpieczeństwa.

Jak zgłosić osobę do kontaktów?

CSIRT NASK – zgłoś osobę na stronie https://incydent.cert.pl/osoba-kontaktowa. Uzupełnij formularz i wygeneruj plik PDF. Następnie podpisz dokument elektronicznie lub tradycyjnie i wyślij odpowiednio na skrzynkę ePUAP (Naukowa i Akademicka Sieć Komputerowa PIB) lub na adres NASK-PIB podany w piśmie.

CSIRT GOV – zgłoś osobę na stronie https://csirt.gov.pl/cer/zgloszenie-osob-do-kont/961,Zgloszenie-osob-do-kontaktow-z-CSIRT-GOV.html. Uzupełnij formularz i prześlij go na adres incydent@csirt.gov.pl wpisując w temacie wiadomości "<formularz zgłoszenia osób wyznaczonych do kontaktów z CSIRT GOV + skrócona nazwa instytucji>", której zgłoszenie dotyczy.

CSIRT MON – informacje możesz uzyskać na stronie http://csirt-mon.wp.mil.pl.

Jeśli chcesz wskazać tylko jedną osobę, pamiętaj o przekazaniu danych osoby zastępującej ją na czas nieobecności.

Jeśli wskazujesz więcej niż jedną osobę, postaraj określić zakres ich kompetencji (np. obsługa incydentu, przekazywanie informacji o zagrożeniach).

Rekomendujemy stworzenie adresu kontaktKSC@domena_organizacji, przez który będą się kontaktować CSIRT poziomu krajowego.

Podsumowanie
  1. Wyznacz osobę do kontaktów. CSIRT poziomu krajowego będzie kontaktować się z nią podczas obsługi incydentu lub by uzyskać bądź przekazać informacje.
  2. Ważne, aby była to osoba: dyspozycyjna, decyzyjna, o technicznym zrozumieniu tematu i rozległej sieci kontaktów wewnętrznych.
  3. Incydent może zgłosić każda osoba w organizacji.
  4. Jeśli za reagowanie na incydenty w twojej organizacji odpowiada firma zewnętrzna świadcząca usługi z zakresu cyberbezpieczeństwa, to CSIRT powinien otrzymać także informacje o osobie kontaktowej z takiej firmy.
  5. Rekomendujemy stworzenie adresu kontaktKSC@domena_organizacji, przez który będą się kontaktować CSIRT poziomu krajowego.