Współpraca6 min czytania

Wymiana informacji o cyberzagrożeniach w KSC

Ramy prawne wymiany informacji

Art. 8h ustawy o KSC ustanawia dobrowolne ramy wymiany informacji dotyczących cyberbezpieczeństwa. Wymiana może odbywać się między podmiotami kluczowymi, podmiotami ważnymi, CSIRT-ami (MON, NASK, GOV, sektorowymi), dostawcami sprzętu lub oprogramowania oraz organizacjami społecznymi zrzeszającymi podmioty KSC.

Zakres wymienianych informacji

  • Informacje o cyberzagrożeniach i potencjalnych zdarzeniach dla cyberbezpieczeństwa
  • Informacje o podatnościach w produktach ICT i usługach ICT
  • Techniki i procedury stosowane przez atakujących
  • Oznaki naruszenia integralności systemu informacyjnego (IoC)
  • Wrogie taktyki (TTP — Tactics, Techniques and Procedures)
  • Ostrzeżenia dotyczące cyberbezpieczeństwa i zalecenia konfiguracyjne
  • Informacje o grupach przestępczych

Warunki dopuszczalności

Wymiana jest dopuszczalna, jeżeli: (1) ma na celu zapobieganie incydentom, ich wykrywanie, reagowanie na nie, przywracanie normalnego działania lub łagodzenie skutków, lub (2) zwiększa poziom cyberbezpieczeństwa, w szczególności przez podnoszenie świadomości, ograniczanie rozprzestrzeniania się zagrożeń, ujawnianie podatności lub sprzyjanie współpracy publiczno-prywatnej (art. 8h ust. 2).

Wymieniając informacje za pomocą systemu S46, nie przekazuje się danych osobowych (art. 8h ust. 5). Podmiot oznacza zakres odbiorców informacji — odbiorca może ją udostępniać wyłącznie w zakresie określonym przez wytwórcę (art. 8h ust. 4).

Porozumienia i kanały wymiany

Wymiana informacji może odbywać się za pomocą systemu S46, systemów teleinformatycznych zapewnianych przez organy właściwe lub w drodze porozumień (art. 8h ust. 3 i 6). Podmioty mogą zawierać porozumienia określające sposób wymiany informacji i zachowania ich w poufności. Koszty porozumień ponoszą strony w równych częściach, chyba że postanowiono inaczej.

Wymiana informacji o cyberzagrożeniach jest dobrowolna, ale stanowi ważny element budowania zbiorowej odporności. Podmioty mogą również dobrowolnie zgłaszać do CSIRT-ów informacje o incydentach niepodlegających obowiązkowemu zgłoszeniu, o cyberzagrożeniach, wynikach szacowania ryzyka, podatnościach i wykorzystywanych technologiach (art. 13).

Rola CSIRT-ów w wymianie informacji

W polskim systemie cyberbezpieczeństwa kluczową rolę w wymianie informacji pełnią trzy krajowe zespoły CSIRT. CSIRT NASK (prowadzony przez Naukową i Akademicką Sieć Komputerową) obsługuje podmioty kluczowe i ważne z sektora prywatnego. CSIRT GOV (prowadzony przez Szefa ABW) odpowiada za podmioty publiczne i infrastrukturę krytyczną. CSIRT MON (prowadzony przez Ministra Obrony Narodowej) obsługuje podmioty podległe MON oraz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym. Każdy z tych zespołów przyjmuje zgłoszenia incydentów, przetwarza informacje o zagrożeniach i udostępnia je zainteresowanym podmiotom.

  • CSIRT NASK — punkt kontaktowy dla podmiotów kluczowych i ważnych z sektora prywatnego; prowadzi rejestr incydentów, wydaje komunikaty i ostrzeżenia, koordynuje reakcję na incydenty
  • CSIRT GOV — obsługuje administrację publiczną i operatorów infrastruktury krytycznej; współpracuje z ABW w zakresie ochrony informacji niejawnych
  • CSIRT MON — odpowiada za podmioty z sektora obronności; współdziała z wojskowymi jednostkami cyberbezpieczeństwa
  • CSIRT sektorowe — tworzone przez organy właściwe dla poszczególnych sektorów w celu wymiany informacji specyficznych dla danego sektora (art. 44a)

Obowiązki podmiotu kluczowego i ważnego

Podmiot kluczowy lub ważny, choć nie ma ustawowego obowiązku uczestnictwa w dobrowolnej wymianie informacji (art. 8h), posiada szereg obowiązków związanych z przekazywaniem informacji o zagrożeniach i incydentach do właściwego CSIRT-u. Zgodnie z art. 11 podmiot kluczowy i podmiot ważny zgłaszają incydent poważny, niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia (wczesne ostrzeżenie) oraz w ciągu 72 godzin (zgłoszenie właściwe) — szczegóły procedury opisujemy w artykule o raportowaniu incydentów. Ponadto podmiot jest zobowiązany do współpracy z CSIRT-em w zakresie obsługi incydentu, w tym do przekazywania informacji technicznych niezbędnych do analizy zagrożenia.

Niezależnie od obowiązkowego zgłaszania incydentów, podmiot kluczowy lub ważny powinien aktywnie monitorować komunikaty i ostrzeżenia publikowane przez właściwy CSIRT oraz Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Brak reakcji na opublikowane ostrzeżenie może być uznany za niedopełnienie obowiązków z zakresu zarządzania ryzykiem (art. 8 ust. 2 pkt 1).

Platforma S46

System S46 to platforma teleinformatyczna służąca do wymiany informacji o incydentach, cyberzagrożeniach i podatnościach pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa — więcej o samym systemie znajdziesz w artykule o rejestracji i wykazie S46. System jest prowadzony przez NASK-PIB i umożliwia zarówno obowiązkowe zgłaszanie incydentów, jak i dobrowolną wymianę informacji o zagrożeniach. Podmioty kluczowe i ważne są zobowiązane do korzystania z systemu S46 w zakresie zgłaszania incydentów i odbierania komunikatów od CSIRT-ów (art. 11 ust. 1 pkt 6), zgodnie z harmonogramem korzystania z S46.

  • Zgłaszanie incydentów poważnych i istotnych do właściwego CSIRT-u za pośrednictwem systemu
  • Odbieranie komunikatów, ostrzeżeń i zaleceń od CSIRT-ów i Pełnomocnika Rządu ds. Cyberbezpieczeństwa
  • Dobrowolna wymiana informacji o cyberzagrożeniach z innymi podmiotami KSC (art. 8h ust. 3)
  • Przekazywanie wskaźników naruszenia integralności (IoC) i informacji o podatnościach
  • Udostępnianie raportów z obsługi incydentów w zakresie określonym przez wytwórcę informacji
Przy wymianie informacji za pośrednictwem systemu S46 obowiązuje zasada nieudostępniania danych osobowych (art. 8h ust. 5). Podmiot udostępniający informacje oznacza dozwolony zakres ich dalszego rozpowszechniania — odbiorca może je przekazywać wyłącznie w granicach wyznaczonych przez wytwórcę (art. 8h ust. 4). System S46 zastąpił wcześniejszą platformę wymiany informacji i stanowi centralny element komunikacji w krajowym systemie cyberbezpieczeństwa.
FAQ4 pytania

Najczęstsze pytania

Jakie informacje wymienia się z CSIRT w ramach KSC?
Zakres obejmuje: (1) wskaźniki kompromitacji (IOC) — domeny, IP, hashe, (2) informacje o nowych zagrożeniach i kampaniach APT, (3) luki zero-day i podatności w używanym oprogramowaniu, (4) wektory ataków obserwowane w sektorze, (5) taktyki, techniki i procedury (TTP). Podstawa: art. 8h ust. 1 KSC. CSIRT sektorowy pełni rolę hubu wymiany informacji (art. 44 ust. 1 pkt 4–7).
Czy wymiana informacji w KSC jest obowiązkowa?
Obowiązek raportowania spoczywa na podmiotach kluczowych i ważnych w zakresie zgłaszania incydentów poważnych (art. 11 ust. 1 pkt 4–4c — wczesne ostrzeżenie, zgłoszenie, sprawozdania okresowe i końcowe) — to forma obowiązkowej wymiany informacji z CSIRT. Dodatkowa proaktywna wymiana (sygnały o zagrożeniach, podatnościach) jest dobrowolna i odbywa się na zasadach art. 8h ust. 1–2 KSC, w tym za pośrednictwem porozumień (art. 8h ust. 6) lub systemu S46 (art. 8h ust. 3).
Czy konkurencyjne firmy mogą wymieniać informacje o zagrożeniach?
Tak — art. 8h ust. 1 KSC wprost dopuszcza wymianę informacji o cyberzagrożeniach między podmiotami kluczowymi i ważnymi, a prawo UE zapewnia wyłączenie od reguł antymonopolowych dla wymiany informacji o cyberbezpieczeństwie w celach ochronnych. W praktyce wymiana odbywa się poprzez sektorowe ISAC (Information Sharing and Analysis Center), MISP lub platformy CSIRT, w tym na podstawie porozumień zawieranych zgodnie z art. 8h ust. 6 KSC.
Co to jest ISAC i jak działa?
ISAC (Information Sharing and Analysis Center) to sektorowa struktura wymiany informacji o zagrożeniach cyberbezpieczeństwa pomiędzy organizacjami tej samej branży. W Polsce działają m.in. ISAC-Kolej, ISAC-GIG (górnictwo), ISAC-SK (samorządowy). Członkowie dzielą się IOC, TTP, raportami o atakach w schemacie TLP (Traffic Light Protocol) definiującym stopień poufności informacji.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.