Na przestrzeni ostatnich lat widoczna jest tendencja do inwestowania w rozwój zabezpieczeń sieci, urządzeń, czy programów przed atakami i innego rodzaju zagrożeniami (np. nieautoryzowanym dostępem). Na wzrost zainteresowania metodami zabezpieczeń wpływ miał nie tylko znaczący wzrost zagrożeń oraz incydentów, ale również regulacje unijne i krajowe, takie jak:
– Dyrektywa Network and Information Security,
– ustawa o krajowym systemie cyberbezpieczeństwa („uksc”),
– rozporządzenie 2016/679 („RODO”)
– wprowadzone, głównie jako konsekwencja tych zagrożeń oraz incydentów.
Zgodnie z przepisami uksc, na podmioty posiadające status operatorów usług kluczowych i dostawców usług cyfrowych zostały nałożone liczne obowiązki, w tym przede wszystkim dotyczące zapewnienia odpowiedniego poziomu odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Ponadto, wejście w życie RODO spowodowało powstanie licznych powinności związanych z zapewnieniem bezpieczeństwa przetwarzanym danym osobowym (tj. informacjom o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej), np. ochrona przed nieautoryzowanym dostępem.
Cyberbezpieczeństwo nie dotyczy wyłącznie podmiotów wymienionych w uksc. Coraz częściej motywację do korzystania z szeroko rozumianego cyberbezpieczeństwa, stanowi chociażby konieczność zapewnienia zgodności z RODO, czy zwiększająca się świadomość potrzeby ochrony tajemnic przedsiębiorstwa, a nawet wystąpienie samego incydentu cybernetycznego u przedsiębiorcy. Nowe zadania, jak również potencjalne konsekwencje w postaci dotkliwych kar finansowych, dla niektórych stanowiły istotną motywację do inwestycji w rozwój wewnętrznych struktur zajmujących się obsługą IT. Z kolei spora grupa przedsiębiorców, ze względu na koszty, decyduje się na korzystanie z usług w ramach outsourcingu, co wymaga zawarcia odpowiedniej umowy.
Zawarcie umowy z dostawcą usług
Zapewnienie należytego poziomu obsługi zagrożeń oraz incydentów wiąże się z koniecznością zawarcia umowy z dostawcą świadczącym usługi z zakresu cyberbezpieczeństwa. Tego rodzaju kontrakty nie zostały uregulowane w przepisach prawa. Przede wszystkim nie są to umowy nazwane, co oznacza, że elementy składające się na ich treść nie zostały określone w Kodeksie cywilnym („Kc”). Niemniej jednak, takie umowy od dawna funkcjonują jako efekt praktyki obrotu handlowego, co jest możliwe dzięki zasadzie swobody umów zawartej w art. 3531 Kc.
Ważny przepis Kodeks cywilny art. 3531
Strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego.
Zatem w oparciu o art. 3531 Kc podmioty prawa zostały przez ustawodawcę wyposażone w kompetencję do swobodnego kształtowania stosunku prawnego, dzięki czemu mają możliwość formowania dwu i wielostronnych czynności prawnych w drodze złożenia zgodnych oświadczeń woli. Swoboda umów doznaje jednak pewnych ograniczeń, gdyż ustalenia zainteresowanych stron nie mogą być sprzeczne z ustawą, czyli z postanowieniami regulującymi określoną materię, przewidzianymi w różnych aktach prawnych. Takie postanowienia zostały zawarte chociażby w uksc oraz aktach wykonawczych i dotyczą umów zawieranych przez operatorów usług kluczowych i dostawców usług cyfrowych.
W przypadku umów zawieranych z zewnętrznymi dostawcami usług cyberbezpieczeństwa przez inne podmioty niż podlegające regulacji uksc, ich treść jest w zasadzie dowolna (warto zaznaczyć, że pewne ograniczenia mogą wynikać z przepisów szczególnych, jak np. kwestie udzielenia licencji dotyczącej korzystania z oprogramowania, czy obowiązkowe elementy umowy powierzenia przetwarzania danych osobowych, o których mowa w RODO), zaś warunki są kształtowane na zasadach rynkowych, co oznacza, że rodzaj poszczególnych usług i cen zależą od oferty konkretnego dostawcy.
W praktyce może to osobom mało doświadczonym i nieposiadającym wiedzy na temat standardów branżowych znacznie utrudniać wybór najkorzystniejszej oferty.
Istotne elementy kontraktu
Każdy przedsiębiorca może zdecydować się na zawarcie umowy z podmiotem zewnętrznym, świadczącym usługi z zakresu cyberbezpieczeństwa (managed security service provider, w skrócie: „mssp”). Rosnąca liczba cyberzagrożeń stanowi najważniejszy impuls, który powoduje, że wiele firm angażuje mssp w celu wykrywania i zapobiegania atakom. Przedsiębiorcy często korzystają we własnym zakresie z wielu połączonych ze sobą produktów, pochodzących od różnych producentów, wzajemnie niekompatybilnych, co skutkuje niepełną widocznością możliwych zagrożeń i zwiększoną podatnością na ataki.
Natomiast mssp oferują klientom szerokie pakiety usług w zakresie bezpieczeństwa. Mogą dostosować usługi do potrzeb indywidualnej firmy lub zaoferować kilka standardowych poziomów usług, które zaspokoją różnorodne potrzeby. Taki dostawca zazwyczaj zapewnia monitorowanie i zarządzanie urządzeniami oraz systemami bezpieczeństwa na zasadzie outsourcingu. Dzięki takiemu rozwiązaniu przedsiębiorca nie będzie ponosić kosztów związanych z zatrudnieniem pracowników operacyjnych odpowiedzialnych za bezpieczeństwo cybernetyczne, w tym kosztów szkolenia.
Kolejną zaletą jest możliwość uzyskania nielimitowanego dostępu do usług cyberbezpieczeństwa, a także brak konieczności nabywania kosztownych licencji, np. na oprogramowanie monitorujące typu SIEM (o którym jest mowa poniżej). Mssp zazwyczaj świadczą usługi 24/7 i w tym celu korzystają z centrów operacyjnych zlokalizowanych we własnych obiektach lub u swoich podwykonawców. Bardzo wysokie koszty budowy i utrzymywania takiego centrum standardowo spoczywałyby na samym przedsiębiorcy.
Ważne!
Typowe usługi wchodzące w zakres umowy obejmują, co do zasady, monitoring, zarządzanie zaporą sieciową, wykrywanie incydentów (min. włamań), ponadto zarządzanie VPN, skanowanie podatności na ataki oraz działania związane z zabezpieczeniem przed złośliwym oprogramowaniem.
Zwykle jednak, zakres świadczonych usług określają standardy rynkowe, dlatego będzie on zróżnicowany, w zależności od oferty konkretnego dostawcy. Uwzględniając zróżnicowaną ofertę poszczególnych mssp, warto zapewnić, aby każda umowa z zakresu cyberbezpieczeństwa szczegółowo określała gwarantowany poziom świadczenia usług (Service Level Agreement, w skrócie: „SLA”), czyli wskazywać, jakie konkretne czynności będzie musiał wykonać dostawca usług cyberbezpieczeństwa oraz na jakich zasadach (np. na jakich zasadach udostępni specjalistyczne oprogramowanie, ile ma czasu na obsługę incydentu).
Dostawcy w swojej ofercie posiadają szeroki wachlarz zintegrowanych i zautomatyzowanych narzędzi bezpieczeństwa, które obejmują bezpieczeństwo sieciowe, bezpieczeństwo w chmurze, bezpieczeństwo aplikacji, bezpieczeństwo dostępu oraz funkcje centrum operacji sieciowych (network operations center, w skrócie: „NOC”) i centrum operacji bezpieczeństwa (security operations center, w skrócie: „SOC”). Umowa powinna zatem zawierać postanowienia dotyczące korzystania ze wskazanych powyżej elementów, w szczególności regulować kwestie dotyczące specjalistycznego oprogramowania.
Oprogramowanie SIEM i SOC
SIEM (security information and event management, w skrócie: „SIEM”) jest oprogramowaniem zbierającym z elementów infrastruktury przedsiębiorcy informacje na temat zdarzeń z zakresu bezpieczeństwa informacji oraz zarządzanie nimi. SIEM umożliwia zbieranie logów i monitoring zdarzeń w sieci komputerowej organizacji, aby w porę ustrzec ją przed atakiem, ewentualnie zmniejszyć jego skutki. SIEM jest typowym narzędziem oferowanym w ramach świadczenia usług SOC. Wymaga podkreślenia, że wspomniany wcześniej SLA może być różny, w zależności od zakresu usług oferowanych w ramach określonej linii SOC. W przypadku pierwszej linii SOC zakres usług zazwyczaj polega na:
– bieżącym monitoringu incydentów pojawiających się w systemie SIEM,
– wykonaniu wstępnej analizy incydentów zgodnie z ustalonymi procedurami i scenariuszami uzgodnionymi z zamawiającym,
– analizie incydentów pod względem wystąpienia błędu tzw. false-positive,
– zbieraniu i systematyzowaniu materiałów dotyczących incydentu,
– ustalaniu typów i poziomów incydentu,
– wystawiania zgłoszenia incydentów w systemie obsługi zgłoszeń zamawiającego oraz informowaniu o incydencie dodatkowym ustalonym kanałem komunikacji (sms, mail, powiadomienie telefoniczne),
– informowaniu o wykrytym incydencie zespołów zamawiającego, w celu podjęcia przez te zespoły obsługi incydentu (o ile należy to do zamawiającego),
– wspieraniu zespołów zamawiającego w zarządzaniu zgłoszonym incydentem (przez komunikację w systemie zgłoszeń, mail, telefonicznie),
– samodzielnym zarządzaniu incydentami o niskim priorytecie, dostarczaniu okresowych (np. miesięcznych) raportów podsumowujących ilość wykrytych incydentów.
Natomiast oferta w ramach drugiej linii SOC bywa wzbogacona o zdalną analizę otrzymanego zgłoszenia incydentu, zbieranie informacji potrzebnych do poprawnego obsłużenia incydentu, weryfikowanie poprawności i kompletności danych źródłowych; ponadto (dla incydentów o wysokim priorytecie):
– opracowanie scenariusza mitygacji zagrożenia wynikającego z incydentu oraz wspieranie pracowników zamawiającego przy realizacji przygotowanego scenariusza,
– przygotowanie scenariusza działań naprawczych mających na celu usunięcie skutków incydentu, opracowanie wniosków z wystąpienia incydentu mających na celu ograniczenie możliwości powtórzenia się danego typu incydentu, jak również wspieranie zespołów zamawiającego przy obsłudze incydentu lokalnie,
– analizę logów systemowych pod kątem zabezpieczenia zamawiającego przed pojawiającymi się nowymi incydentami nieobjętymi dotychczasowymi regułami zaimplementowanymi w SIEM jak i procedurami w ramach pierwszej linii,
– analizę logów systemowych pod kątem optymalizacji informacji o zagrożeniach w SIEM,
– przedstawianie propozycji implementacji nowych scenariuszy do wdrożenia w systemie SIEM i propozycji optymalizacji aktualnie działających scenariuszy,
– przedstawianie propozycji zabezpieczenia infrastruktury zamawiającego przed przyszłymi incydentami, identyfikowanie przyczyny i źródła incydentów oraz, w przypadku istnienia takich wymogów prawnych, powiadamianie odpowiednich służb o incydencie.
Dodatkową zaletą korzystania z usług w ramach drugiej linii SOC jest możliwość organizacji cyklicznych spotkań w celu podsumowania incydentów. Z kolei usługi oferowane w ramach trzeciej linii SOC dotyczą obsługi najbardziej skomplikowanych zdarzeń. W tym przypadku oferty mogą zawierać np. usługi z zakresu informatyki śledczej (np. zabezpieczanie i analiza dowodów, odzyskiwanie danych).
Ważne!
W umowie muszą znaleźć się postanowienia dotyczące subskrypcji i licencjonowania oprogramowania. Ponadto umowa powinna regulować kwestię licencji na scenariusze i procedury opracowywane przez mssp. Strony umowy mogą również ustalić zasady wspólnego opracowania i odbioru procedur i scenariuszy.
Należy podkreślić, że w przypadku zarejestrowania przez SIEM incydentu, mssp informuje o nim zespoły zamawiającego, w terminach, które powinny zostać określone w umowie, podobnie jak inne kwestie, m.in. terminy sporządzania i przedstawiania okresowych raportów podsumowujących wykryte incydenty. Kolejną kwestią wartą uwagi stanowi określenie sposobów i terminów przeprowadzania audytów mssp. Należy bowiem podkreślić, że na niektórych zamawiających może ciążyć obowiązek przeprowadzania okresowych audytów, wykonywanych przez certyfikowane podmioty.
Nie może zostać pominięte, że pewne obowiązki dotyczą także zamawiającego, który między innymi powinien zapewnić dostęp do systemów podlegających monitoringowi oraz funkcjonowanie polityk bezpieczeństwa (które mogą być konsultowane z mssp).
Umowa starannego działania
Umowy dotyczące świadczenia usług w zakresie cyberbezpieczeństwa są umowami starannego działania. Oznacza to, że przedsiębiorca świadczący usługi odpowiada za staranne wykonanie czynności, do których zobowiązał się na podstawie umowy, natomiast nie ponosi odpowiedzialności za efekt w postaci 100 proc. zabezpieczenia zamawiającego przed zaistnieniem incydentu, bądź jego skutkami. Niemniej jednak, umowa może określać sytuacje, w których mssp będzie ponosił odpowiedzialność względem zamawiającego, w tym może przewidywać kary umowne za poszczególne sytuacje niewykonania lub nienależytego wykonania zobowiązań. Przed zawarciem umowy warto również zweryfikować, czy oferent posiada stosowne ubezpieczenie oraz zapoznać się z treścią polisy (m.in. jakiego rodzaju szkody objęte zostały ubezpieczeniem).
Odpowiedzialność i wina w wyborze
Zgodnie z treścią art. 429 Kc przedsiębiorca powierzając wykonanie czynności innemu podmiotowi, ponosi odpowiedzialność za szkodę wyrządzoną przez swojego podwykonawcę, wyrządzoną przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności. Stąd przed przyjęciem oferty i zawarciem umowy zaleca się, aby zamawiający dokonał weryfikacji kompetencji potencjalnego dostawcy usług cyberbezpieczeństwa. W szczególności powinien sprawdzić, czy taki podmiot posiada właściwe zabezpieczenia, jak również dokonać weryfikacji kompetencji (np. poprzez uzyskanie referencji).
W tym celu pomocne mogą okazać się certyfikaty potwierdzające przestrzeganie powszechnie przyjętych i stosowanych w danych branżach norm, np. certyfikat potwierdzający zgodność z normą ISO 27001, jak również: CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), CCNP (Cisco Certified Network Professional), PCNSE (Palo Alto Newtorks Certified Network Security Engineer), Arbor Networks Peakflow SP: System Administrator, Arbor Networks Peakflow SP/TMS: DDoS Detection and Mitigation (User), GREM (GIAC Reverse Engineering Malware), CCNA (Cisco Certified Network Associate), CCDA (Cisco Certified Design Associate).
Article: https://www.rp.pl/Firma/306039998-Cyberbezpieczenstwo-w-praktyce–poradnik-dla-firm.html?cid