Andrzej Fudala, SayF

II Wirtualny Kongres Przedsiębiorców Telekomunikacyjnych przeszedł już do historii. Przedsięwzięcie zorganizowane przez iNET Group, Izby KIKE oraz MEDIAKOM umożliwiło przedstawienie wielu bardzo ważnych dla przedsiębiorców telekomunikacyjnych zagadnień, wymiany doświadczeń, szczególnie ważnych w czasie wielkich zmian przepisów regulujących działalność telekomunikacyjną.

Ze względu na zagadnienia jakimi zajmujemy się w ramach działalności SAYF z wielkim zainteresowaniem obserwowaliśmy prezentacje, panele dyskusyjne poświęcone właśnie bezpieczeństwu i obronności w telekomunikacji.

Prezentacje i dyskusje te inspirowane były głównie nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, projektem Prawa komunikacji elektronicznej, w których pojawiły się nowe przepisy określające obowiązki przedsiębiorców telekomunikacyjnych lub znowelizowane już istniejące oraz obowiązującym od grudnia 2020 r. rozporządzeniem Ministra Cyfryzacji z dnia 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług.

Już pierwszego dnia Kongresu odbył się panel dyskusyjny pt. „Cyberbezpieczeństwa – prawo a praktyka” prowadzony przez Pana Karola Skupienia, Prezesa KIKE.

W panelu uczestniczyli Pan Łukasz Bazański – radca prawny, itB Legal Bazański, Grabiec Kancelaria Radców Prawnych Spółka Partnerska, Pan Robert Kośla – Dyrektor Departamentu Cyberbezpieczeństwa Kancelaria Prezesa Rady Ministrów (dawniej Ministerstwa Cyfryzacji), Pan Seweryn Kucharski – przedstawiciel firmy SECAWA. Każdy z panelistów jest niekwestionowanym ekspertem w swojej dziedzinie, jednak można było zauważyć, że każdy z nich mówi o bezpieczeństwie, ale w bardzo odmienny sposób.

W czasie tego panelu przedstawiono zagadnienia dotyczące stanu prawnego i trwających prac legislacyjnych związanych z obowiązkami przedsiębiorców telekomunikacyjnych w zakresie cyberbezpieczeństwa, nadmierne obciążenie przedsiębiorców telekomunikacyjnych tymi obowiązkami.

W panelu tym, w mojej ocenie, zabrakło myśli przewodniej jaką jest bezpieczeństwo przedsiębiorcy telekomunikacyjnego w bardzo szerokim zakresie

Pragnę bardzo mocno podkreślić, że cyberbezpieczeństwo jest tylko jednym z elementów bezpieczeństwa przedsiębiorstwa. W przedsiębiorstwie telekomunikacyjnym nabiera ono szczególnego znaczenia, ale również tu jest tylko jednym z wielu elementów bezpieczeństwa.

SAYF również miał możliwość zaprezentowania zagadnień dotyczących bezpieczeństwa w przedsiębiorstwie telekomunikacyjnym. Mimo, że nasza prezentacja zaplanowana została jako jedno z ostatnich przedsięwzięć Kongresu, to uczestniczyło w niej kilkudziesięciu przedstawicieli przedsiębiorców telekomunikacyjnych, co nas bardzo cieszy i pokazuje, że branża telko jest zainteresowana tematami bezpieczeństwa, a to z kolei daje nam jeszcze większą motywację do działania. 

Temat naszego wystąpienia zainspirowany został treścią pism Prezesa UKE wysyłanych do przedsiębiorców telekomunikacyjnych a dotyczących realizacji obowiązków na rzecz bezpieczeństwa i obronności.

Część wystąpienia poświęciliśmy zagadnieniom określanych w Prawie telekomunikacyjnym jako: „Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych”.

W kolejnych artykułach więcej miejsca poświęcimy zagadnieniom, o które pytał Prezes UKE.

Bardzo często w naszych wystąpieniach prezentujemy zagadnienia bezpieczeństwa w przedsiębiorstwie jako przedsięwzięcia obejmujące wszystkie aspekty funkcjonowania przedsiębiorstwa. Trudno uznać przedsiębiorstwo, w tym także telekomunikacyjne, za bezpieczne, jeśli nie zostanie zapewnione bezpieczeństwo personelowi przedsiębiorstwa, wszystkim procesom, działaniom oraz aktywom materialnym i niematerialnym. Działania związane z zapewnieniem bezpieczeństwa jest (musi być) procesem ciągłym, obejmującym wszystkie aspekty funkcjonowania przedsiębiorstwa. W tym miejscu jak najbardziej ma zastosowanie zasada łańcucha, którego moc definiuje najsłabsze ogniwo. Bezpieczeństwo całego przedsiębiorstwa będzie na takim poziomie na jakim zapewnimy bezpieczeństwo najsłabszego aktywu.

Co zrobić? Jak zapewnić bezpieczeństwo przedsiębiorstwa na akceptowalnym poziomie?

Nie ma możliwości zapewnienia stu procentowego bezpieczeństwa przedsiębiorstwa. Może to być faktycznie niemożliwe lub ekonomicznie, organizacyjnie nieuzasadnione. Poziomem bezpieczeństwa, do którego powinniśmy dążyć to akceptowalny poziom ryzyka wystąpienia zagrożeń aktywów przedsiębiorstwa. Jest to taki poziom bezpieczeństwa, zaakceptowany przez organ zarządzający przedsiębiorstwem, który z odpowiednio wysokim prawdopodobieństwem umożliwia prawidłowe funkcjonowanie przedsiębiorstwa.

W celu osiągnięcia takiego poziomu bezpieczeństwa należy podjąć określone działania, w szczególności zorganizowanie systemu zarządzania bezpieczeństwem przedsiębiorstwa, rozumiany jest jako zespół działań opartych na podejściu wynikającym z szacowania ryzyka, odnoszących się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i ciągłego doskonalenia bezpieczeństwa.

Kolejnym krokiem będzie zidentyfikowanie zasobów (aktywów) czyli procesów, działań, informacji, przedmiotów, urządzeń, materiałów oraz aktywów niematerialnych mających istotne znaczenie dla przedsiębiorstwa. Następnie należy określić wartość tych aktywów dla przedsiębiorstwa, zidentyfikować czynniki zagrażające im oraz prawdopodobieństwo wystąpienia zagrożeń, czyli przeprowadzić analizę ryzyka. Ich wyniki będą podstawą do podjęcia działań zabezpieczających aktywa, to znaczy opracowania, wdrożenia i stosowania w przedsiębiorstwie odpowiednich dokumentów. Pamiętać należy o aktualizacji dokumentacji nie rzadziej niż raz na dwa lata, po zmianie przepisów oraz po zmianie zagrożeń, podatności aktywów na te zagrożenia itp.

Wtedy możemy uznać, że przedsiębiorstwo jest bezpieczne.

Prawda, że to proste. 😊

Po więcej szczegółów dotyczących bezpieczeństwa, a w szczególności bezpieczeństwa przedsiębiorcy telekomunikacyjnego, zapraszamy na naszą stronę!