ISAC w Ustawie o Krajowym Systemie Cyberbezpieczeństwa
Projekt ustawy zmieniającej Ustawę o Krajowym Systemie Cyberbezpieczeństwa wprowadza do art. 2 (tzw. słowniczek) obowiązującej ustawy kilka nowych definicji, m. in. „ISAC” oraz „SOC”. Jest to kolejny przykład coraz szerszego wkraczania rozwiązań ustawowych w dziedzinę cybersecurity.
Niniejszy wpis dotyczy stanu prac nad ustawą oraz jej projektu na dzień 29.06.2022 r. We wpisie tym zajmę się wyłącznie tematyką ISAC.
Postęp prac nad nowelizacją ustawy można śledzić na stronie (dostęp 29.06.2022 r.):
Czym jest ISAC?
ISAC to skrót od słów „Information Sharing and Analysis Center”. ISACs to ośrodki zajmujące się bieżącą wymianą informacji na temat zagrożeń w domenie cybernetycznej. Ich celem jest dostarczanie jak najszerszej świadomości sytuacyjnej w zakresie cybersecurity (IoC, Threat Intelligence, reguły dla SIEM etc.). Pierwsze tego typu ośrodki powstały w USA pod koniec lat 90. XX w.
Zgodnie z definicją amerykańskiej National Council of ISACs:
ISACs are member-driven organizations, delivering all-hazards threat and mitigation information to asset owners and operators.
Information Sharing and Analysis Centers (ISACs) help critical infrastructure owners and operators protect their facilities, personnel and customers from cyber and physical security threats and other hazards. ISACs collect, analyze and disseminate actionable threat information to their members and provide members with tools to mitigate risks and enhance resiliency.
Amerykańska National Council of ISACs powstała w 2003 r. i obecnie grupuje 27 sektorowych centrów wymiany informacji; ich lista dostępna jest pod adresem:
https://www.nationalisacs.org/member-isacs-3
Istnieją również inne organizacje ISAC, w tym komercyjne:
Komisja Europejska również zdecydowała o utworzeniu europejskiej ISAC, grupującej sektorowe centra wymiany i analizy informacji. Celem organizacji jest koordynacja współpracy pomiędzy ISACs, zapewnienie im wsparcia i pomocy technicznej oraz mobilizowanie podmiotów publicznych i prywatnych do rozwijania sektorowych europejskich ISACs.
Lista europejskich ISACs dostępna jest na stronie organizacji:
https://www.isacs.eu/european-isacs
ISAC w Ustawie o KSC
Zgodnie z propozycją zmiany w Ustawie o KSC (projektowany art. 2 ust. 3c):
ISAC – (to) centrum wymiany i analizy informacji na temat podatności, zagrożeń i incydentów funkcjonujące w celu wspierania podmiotów krajowego systemu cyberbezpieczeństwa
Zasadnicza regulacja dotycząca ISAC ma się znaleźć w projektowanym art. 4a; zgodnie z jego ust. 1:
W ramach krajowego systemu cyberbezpieczeństwa może funkcjonować ISAC, do którego zadań należy w szczególności wymiana informacji, dobrych praktyk i doświadczeń dotyczących zagrożeń cyberbezpieczeństwa, podatności oraz incydentów.
Wykaz ISAC ma być prowadzony przez Ministra właściwego do spraw informatyzacji (art. 4a ust. 2), a wpisanie i wykreślenie z wykazu ISAC ma następować na wniosek podmiotu prowadzącego ISAC po uzyskaniu pozytywnej opinii CSIRT MON, CSIRT NASK lub CSIRT GOV (ust. 4).
Zgodnie z lakoniczną regulacją projektowanego art. 4a ust. 9, ISAC współpracują z CSIRT MON, CSIRT NASK lub CSIRT GOV oraz przedkładają ministrowi właściwemu do spraw informatyzacji w terminie do dnia 31 marca każdego roku sprawozdanie z realizacji zadań za poprzedni rok kalendarzowy.
Ostatni przepis (art 4a ust. 10) przewiduje, że w razie stwierdzenia, że działalność ISAC jest niezgodna z prawem lub narusza zasady współpracy w ramach krajowego systemu cyberbezpieczeństwa, minister właściwy do spraw informatyzacji, w zależności od rodzaju i stopnia stwierdzonych nieprawidłowości, może wystąpić do ISAC o usunięcie stwierdzonych nieprawidłowości w określonym terminie lub wykreślić ISAC z wykazu.
Projektowana regulacja ma zatem wyłącznie charakter ramowy i dopiero przyszłość pokaże, w jakim stopniu krajowy system cyberbezpieczeństwa zostanie wzbogacony o realnie funkcjonujący ISAC.
Wydaje się jednak, że ustawodawca nie ma w pełni ukształtowanego pomysłu na ISAC. Nie wiadomo, czy zamiarem ustawodawcy jest stworzenie jednego „państwowego” ISAC (na co wskazuje sformułowanie ust. 1 „W ramach krajowego systemu cyberbezpieczeństwa może funkcjonować ISAC (…)”), czy stworzenie ram dla powstania wielu tego rodzaju centrów (na co wskazuje z kolei ust. 4, przewidujący istnienie „wykazu ISAC” oraz ust. 9, mówiący w liczbie mnogiej „ISAC współpracują z (…)”). Nie wiadomo, czy jeśli ma być wiele ISAC, to czy będą one działać w tym samym obszarze, czy specjalizować się w określonych sektorach gospodarki. Nie wiadomo również czy obejmą one wyłącznie podmioty publiczne, czy również prywatne. Nie wiadomo nawet, czy ISAC w projektowanym kształcie naprawdę powstanie, czy tylko „może” powstać (sformułowanie „może funkcjonować ISAC”).
Jeżeli spojrzeć na listę członków amerykańskiej National Council of ISACs widać, że grupuje ona ISAC działające w całych sektorach gospodarki: chemii, lotnictwie, motoryzacji, służbie zdrowia, transporcie morskim itp.
Podobnie, lista członków Europejskiej ISAC obejmuje organizacje działające sektorowo, np. EE-ISAC – sektor energetyki; FI-ISAC – sektor finansowy; ER-ISAC – sektor kolejowy.
Sektorowa segmentacja ISACs ma głęboki sens, ponieważ wiele grup APT atakuje konkretne sektory gospodarki. Sektorowa współpraca zapewnia więc szybszy przepływ informacji oraz przyczynia się do ujednolicania narzędzi oraz procedur dla całych sektorów gospodarki cyfrowej. Co ważne, do europejskich organizacji mogą również przystępować polskie podmioty działające w danych sektorach, zwiększając w ten sposób poziom bezpieczeństwa cybernetycznego.
Omawiana propozycja ustawowego zdefiniowania ISAC budzi liczne wątpliwości. Czas pokaże, czy powyższa propozycja wejdzie w życie oraz jaki będzie jej efekt.