Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa
Rekomendacja została wydana na podstawie art. 33 ust. 4a ustawy dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2023 poz. 913 i 1703), po uprzednich konsultacjach z zespołami CSIRT poziomu krajowego oraz zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa. Rekomendacja obejmuje bezzwłoczną aktualizację produktów Fortinet do najnowszych dostępnych wersji dla danej linii FortiOS/FortiProxy oraz FortiClientEMS. Mowa tu o:
- FortiOS/FortiProxy – 7.4.3
- FortiOS/FortiProxy – 7.2.8
- FortiOS/FortiProxy – 7.0.14
- FortiOS/FortiProxy – 6.4.15
- FortiClientEMS – 7.2.3
- FortiClientEMS – 7.0.11
W rekomendacji Krzysztofa Gawkowskiego zalazła się również informacja o wyłączeniu z eksploatacji urządzeń dla wersji oprogramowania Fortinet, które nie mają wsparcia (status End of Life). Pełnomocnik przeprowadził konsultację w powyższym zakresie z CSIRT MON, CSIRT NASK oraz CSIRT GOV, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do przedstawionej rekomendacji.
Czym jest krajowy system bezpieczeństwa?
Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności :niezakłóconego świadczenia usług kluczowych i usług cyfrowych
osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.
Budowany system obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.
Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.
