Krajobraz cyberprzestrzeni w Polsce
Według ,,Sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa za rok 2023” w ubiegłym roku obsłużono ponad 80 tys. incydentów cyberbezpieczeństwa, co stanowi wzrost
o ponad 100% do roku poprzedniego. Sprawozdanie zaprezentowane 11 kwietnia 2024r. opisuje także najważniejsze realizowane działania na rzecz zwiększenia poziomu bezpieczeństwa polskiej cyberprzestrzeni oraz m.in. szczegółowe informacje na temat incydentów. Należą do nich:
- utworzenie nowoczesnego Centrum Cyberbezpieczeństwa NASK (CCN);
- zwrócenie większej uwagi na edukację i higienę cyfrową;
- wprowadzenie numeru 8080.
Pełna treść sprawozdania dostępna jest na stronie Ministerstwa Cyfryzacji w artykule Krajobraz cyberprzestrzeni.
Cyberbezpieczeństwo podmiotów lotniczych
Krajowy Programu Ochrony Lotnictwa Cywilnego (KPOLC) nakłada na zarządzających lotniskami, przewoźników lotniczych, zarejestrowanych agentów, zarejestrowanych dostawców zaopatrzenia pokładowego, znanych nadawców oraz instytucje zapewniające służby żeglugi powietrznej, które nie są operatorami usług kluczowych, obowiązki w obszarze cyberbezpieczeństwa krytycznych lotniczych systemów technologii informacyjno – komunikacyjnych i danych (KLST). Podmioty te zobowiązane są do:
- identyfikowania swoich KLST, czyli systemów informacyjnych przeznaczonych do przetwarzania danych wykorzystywanych dla bezpieczeństwa, ochrony lub dostępności operacji lotniczych;
- prowadzenia oceny ryzyka i na jej podstawie określania i wdrażania środków mających na celu ochronę takich systemów i danych przed bezprawną ingerencją;
- szczegółowego określenia w swoich programach ochrony środków mających na celu zapewnienie ochrony przed cyberatakami, które mogłyby wpłynąć na bezpieczeństwo lotnictwa cywilnego, wykrywania ich i reagowania na nie;
- zapewnienia, że osoby, wdrażające środki mające na celu zapewnienie ochrony przed cyberatakami, posiadają kwalifikację i umiejętności niezbędne do skutecznego wykonywania wyznaczonych zadań oraz są one informowane o istotnych przypadkach zagrożeń dla cyberbezpieczeństwa, zgodnie z zasadą ograniczonego dostępu;
W przypadku podmiotów lotniczych, które zostały uznane za operatorów usług kluczowych, zgodność z przepisami pkt. 1.7 załącznika do Rozporządzenia Wykonawczego Komisji (UE) 2015/1998 zastępuje się zgodnością z przepisami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Ponadto, przepisy unijne zobowiązują podmioty lotnicze (w tym te uznane za operatorów usług kluczowych) do:
- prowadzenia szkoleń, o których mowa w pkt. 11.2.8 załącznika do Rozporządzenia Wykonawczego Komisji (UE) 2015/1998 z dnia 5 listopada 2015 r. ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego (Rozporządzenie 2015/1998);
- poddania osób mających uprawnienia administratora lub nieograniczony dostęp bez nadzoru do KLST sprawdzeniu przeszłości zgodnie z pkt. 11.1.2 lit. c) załącznika do Rozporządzenia Wykonawczego Komisji (UE) 2015/1998 z dnia 5 listopada 2015 r. ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego.
W związku z powyższym, zostały przygotowane materiały, które mają na celu wspomóc podmioty lotnicze w realizacji obowiązków związanych z zapewnieniem odpowiedniego poziomu cyberbezpieczeństwa. Na chwilę obecną dostępne są materiały dotyczące:
- identyfikacji KLST - matryca
- oceny ryzyka dla cyberbezpieczeństwa – matryca
- oceny ryzyka dla cyberbezpieczeństwa - metodyka
- Przykładowy rozdział w Programie Ochrony dotyczący środków w zakresie cyberbezpieczeństwa
Jednocześnie zachęcamy Państwa również do wykorzystywania materiałów i narzędzi opracowywanych i publikowanych przez:
- Unii Europejskiej ds. Cyberbezpieczeństwa (enisa.europa.eu)
- CERT Polska (cert.pl)
- Naukową i Akademicką Sieć Komputerową (nask.pl)
Przepisy dotyczące cyberbezpieczeństwa dla podmiotów lotniczych:
- Rozporządzenie Wykonawcze Komisji (UE) 2015/1998 z dnia 5 listopada 2015 r. ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego
- Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
- Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148
- Ustawę z dnia 3 lipca 2002 r. – Prawo lotnicze
- Rozporządzenie Ministra Infrastruktury z dnia 2 grudnia 2020 r. w sprawie Krajowego Programu Ochrony Lotnictwa Cywilnego
- Rozporządzenie Ministra Infrastruktury z dnia 5 listopada 2020 r. w sprawie Krajowego Programu Kontroli Jakości w zakresie ochrony lotnictwa cywilnego
- Rozporządzenie Ministra Infrastruktury z dnia 26 lipca 2021 r. w sprawie Krajowego Programu Szkolenia w zakresie ochrony lotnictwa cywilnego
- Ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa