Jakie są obowiązki dostawców usług cyfrowych?

Cyberbezpieczeństwo systemów IT dotyka dziś niemal wszystkich przedsiębiorców. Czasami jednak kwestie cyberbezpieczeństwa wykraczają poza kwestie techniczne i są związane z obowiązkami wynikającymi z prawa. Wówczas niedochowanie zasad bezpieczeństwa może doprowadzić do poważnych problemów finansowych i wizerunkowych firmy.

Postęp technologiczny przyczynia się do powstawania nowych zagrożeń, w szczególności w zakresie cyberbezpieczeństwa. Jak wynika z danych NASK, w 2019 r. w Polsce zarejestrowano 6 484 potwierdzonych incydentów cyberbezpieczeństwa. To wzrost względem roku 2018 o 70 proc., a wszystko wskazuje na to, że w 2020 r. rekord zostanie znów pobity tylko w pierwszym półroczu NASK zarejestrował 5 230 potwierdzonych incydentów. Praktyka pokazuje, że najbardziej „dochodowymi” dla oszustów ofiarami są przedsiębiorcy. Nie ma w tym nic dziwnego  przedsiębiorca woli zapłacić okup żądany przez cyberprzestępcę, byleby tylko odzyskać dane lub dostęp, który np. oszust zaszyfrował za pośrednictwem malware’a.

W lipcu 2018 r. została przyjęta ustawa o krajowym systemie cyberbezpieczeństwa (ustawa KSC). Jej celem jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów IT oraz skutecznego zarządzania incydentami. Ustawa KSC nakłada obowiązki na dwie grupy przedsiębiorców świadczących usługi przy wykorzystaniu sieci i systemów IT  operatorów usług kluczowych oraz dostawców usług cyfrowych. O ile zapisy ustawy KSC dotyczące operatorów usług kluczowych są częstym materiałem komentarzy specjalistów, o tyle postanowienia dotyczące dostawców usług cyfrowych bywają zazwyczaj pomijane. Zastanówmy się zatem, jakie są obowiązki dostawców usług cyfrowych oraz możliwości, które daje ustawa KSC zwykłym przedsiębiorcom i osobom fizycznym.

KTO JEST DOSTAWCĄ USŁUGI CYFROWEJ

Kim jest dostawca usług cyfrowych? Zgodnie z ustawą KSC jest to podmiot mający siedzibę lub zarząd na terytorium Polski albo przedstawiciela mającego jednostkę organizacyjną na terytorium Polski (za wyjątkiem mikro i małych przedsiębiorców), który świadczy „usługę cyfrową”. Taką usługą jest usługa świadczona drogą elektroniczną, która polega na prowadzeniu internetowej platformy handlowej, świadczeniu usług przetwarzania w chmurze lub na udostępnianiu wyszukiwarki internetowej.

Internetową platformą handlową będą nie tylko sklepy online. Będą nią również strony internetowe, na których umożliwia się zawieranie umów drogą elektroniczną. Zatem, platformą taką będzie np. Netflix, internetowe biuro podróży, strona kina, itp.

Usługą przetwarzania w chmurze jest usługa umożliwiająca dostęp do skalowanego i elastycznego zbioru zasobów obliczeniowych, do wspólnego wykorzystywania przez wielu użytkowników (takie jak Dropbox). Nie należy jednak zapominać, że każdy podmiot – nawet niewielki lokalny dostawca – który oferuje przestrzeń do składowania i udostępniania danych może potencjalnie być dostawcą usługi cyfrowej, opierającej się na przetwarzaniu w chmurze.

Trzecim rodzajem są dostawcy wyszukiwarek internetowych (np. Google). Definicja wyszukiwarki internetowej nie obejmuje funkcji wyszukiwania, które ograniczają się do treści na konkretnej stronie internetowej (np. wyszukiwanie haseł w ramach Wikipedii czy funkcja „znajdź” na firmowej stronie www), i to bez względu na to, czy funkcja wyszukiwania jest zapewniana przez wyszukiwarkę zewnętrzną.

JAKIE OBOWIĄZKI

Ustawa KSC nakłada na dostawców usług cyfrowych szereg obowiązków, z których najważniejszym jest organizacja świadczonej usługi przy użyciu takich środków technicznych i organizacyjnych, które umożliwiają zarządzanie ryzykiem, na jakie narażone są systemy IT wykorzystywane do świadczenia usług oraz gwarantują cyberbezpieczeństwo.

W przypadku wystąpienia incydentu dostawca ma obowiązek zapewnić obsługę takiego incydentu, czyli w praktyce ma obowiązek przeprowadzenia sekwencji działań, które umożliwiają wykrywanie incydentów, ich rejestrowanie, analizowanie i klasyfikowanie, ustalanie ich priorytetów, a w końcu podejmowanie działań naprawczych ograniczających skutki incydentu.

CZYM JEST INCYDENT

Słowem kluczowym, wokół którego skoncentrowane są zadania dostawców jest „incydent”. Czym zatem w praktyce jest incydent związany z cyberbezpieczeństwem?

Incydentem jest zdarzenie, które ma (lub może mieć) niekorzystny wpływ na odporność systemów IT przed działaniami naruszającymi poufność, integralność, dostępność i autentyczność przetwarzania danych lub związanych z nimi usług świadczonych za pośrednictwem tych systemów. Incydentem jest atak skierowany na system lub infrastrukturę techniczną, bądź awaria takich systemów, która zagraża bezpieczeństwu danych. Ustawa KSC dzieli incydenty dotyczące usług cyfrowych na incydenty krytyczne (skutkujące znaczną szkodą, klasyfikowane przez właściwy CSIRT) oraz incydenty istotne (mające istotny wpływ na świadczenie usług cyfrowych, niekoniecznie wywołujące szkody). Incydent ma istotny wpływ na świadczenie usługi cyfrowej jeżeli:

  1. a) usługa była niedostępna przez ponad 5 mln „użytkownikogodzin”, tj. tej właśnie liczby dotkniętych incydentem użytkowników przez okres sześćdziesięciu minut, lub proporcjonalnie mniejszej w dłuższym okresie;
  2. b) incydent doprowadził do utraty integralności, autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy IT dostawcy, która dotknęła ponad 100 tys. użytkowników;
  3. c) incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych;
  4. d) incydent wyrządził co najmniej jednemu użytkownikowi stratę materialną, której wysokość przekracza 1 mln euro.

KOGO ZAWIADOMIĆ

W przypadku, gdy dostawca sklasyfikuje incydent jako istotny, zobowiązany jest niezwłocznie zawiadomić o tym właściwy CSIRT (Computer Security Incident Response Team), za pośrednictwem jego strony internetowej  nie później niż w ciągu 24 godzin od momentu wykrycia. Dostawca musi zapewnić takiemu CSIRT dostęp do żądanych informacji w niezbędnym zakresie. Co istotne, CSIRT w trakcie koordynacji obsługi incydentu może wystąpić do Ministra Cyfryzacji z wnioskiem o wezwanie dostawcy usługi cyfrowej, aby w wyznaczonym terminie usunął podatności, które doprowadziły lub mogłyby doprowadzić do powstania incydentu, a dostawca ma obowiązek takie podatności usunąć.

Ustawa KSC powołała do życia trzy rodzaje CSIRT-ów  CSIRT MON, CSIRT GOV oraz CSIRT NASK. CSIRT MON został powołany do obsługi m.in. dla podmiotów podległych Ministerstwu Obrony Narodowej. CSIRT GOV zapewnia wsparcie m.in. dla organów władzy publicznej.

Z punktu widzenia dostawców usług cyfrowych najważniejszy jednak będzie CSIRT NASK, a właściwie CERT (Computer Emergency Response Team), bowiem 28 sierpnia 2018 r. zespołowi CERT Polska zostały powierzone obowiązki CSIRT NASK. Tam też dostawcy powinni zgłaszać wystąpienie incydentu. Ponadto, do CERT incydent może (lecz nie musi) zgłosić każdy przedsiębiorca oraz osoba fizyczna. Jeśli osoby te potrzebują wsparcia informatycznego, to mogą zgłaszać incydenty na stronie CERT Polska pod adresem https://incydent.cert.pl/.

Współautorem tekstu jest Bartosz Góźdź, młodszy prawnik 

ZDANIEM AUTORÓW

Biorąc pod uwagę charakter usług świadczonych za pośrednictwem sieci IT, ich właściciele powinni dokonać weryfikacji, czy aby nie ciążą na nich obowiązki dostawców usług cyfrowych zawarte w ustawie KSC. W szczególności biorąc pod uwagę, że organy właściwe, powołane do spraw cyberbezpieczeństwa (a dla dostawców usług cyfrowych jest to minister cyfryzacji i wyznaczone przez niego osoby) nie zapukają do drzwi przedsiębiorcy i nie powiedzą mu, że jest dostawcą usług cyfrowych dostawcy usług cyfrowych muszą sami zadbać, aby ustalić czy dotyczą ich obowiązki wynikające z ustawy KSC. Zatem, jeśli taki organ zapuka do drzwi przedsiębiorcy  to tylko w celu przeprowadzenia kontroli, do której jest uprawniony na mocy ustawy KSC. Kontrola ma na celu weryfikację czy dostawcy spełniają wymogi bezpieczeństwa świadczonych przez nich usług cyfrowych oraz czy wykonują obowiązki dotyczące zgłaszania incydentów istotnych. Dostawcy usług cyfrowych powinni też liczyć się z ewentualnymi karami, które mogą zostać nałożone za niezgłoszenie do CSIRT incydentu istotnego, niezapewnienie obsługi incydentu istotnego lub krytycznego we współpracy z CSIRT lub nieusunięcie podatności systemu w wyznaczonym terminie. Kary mogą sięgać 20 tys. zł a jeśli dostawca uporczywie narusza postanowienia ustawy KSC, musi liczyć się z karą, nawet 1 mln zł.

Artykuł ukazał się w internetowym oraz papierowym wydaniu dziennika ,,Rzeczpospolita”