Законодателство

Определиха доставчиците на съществени услуги в транспорта и енергетиката

Владимир Владков

ДАЕУ ще води регистър на операторите на съществените услуги, като този списък няма да е публичен, а обновяването му ще става на всеки 2 години. Това обясни на кръглата маса по повод влезлия Закон за киберсигурност Васил Грънчаров, директор на дирекция "Мрежова и информационна сигурност" в Държавна агенция "Е-управление" (ДАЕУ) и ръководител на CERT България, обявен за Национален екип за действие при инциденти в информационната сигурност. Определянето на операторите на съществени услуги е приключило, като четирите национални компетентни органа са на различен етап от оценката на секторите, за които отговарят. Министерството на транспорта, ИТ и съобщенията е компетентен орган в три много големи сектора - "Транспорт" (с няколко подсектора – воден, жп и въздушен), "Цифрова инфраструктура" и "Цифрови услуги" (например регистри на имена на домейни от първо ниво, но и редица други). Министерството на енергетиката също отговаря за много важни икономически сфери – производство, снабдяване и разпределение на електроенергия, на нефт и газ, а на Министерството на здравеопазването, естествено, е поверена областта на здравеопазването. За сектора на доставка и снабдяване с питейна вода компетентен орган е Министерството на регионалното развитие и благоустройството (МРРБ), а седмият важен сектор са банковите услуги и платежните оператори, като техен представител не се появи на срещата.

"С новата наредба контролът е завишен, ще направим нужните проверки на системите, неотдавна инициирахме проверка за риска, но отговорността е пряка на всяка организация, обясни Грънчаров. - Разписано е какво е мрежова и информационна сигурност, какви са отговорностите, кой носи пряката отговорност да осигури ресурси за технологични и организационни мерки, да организира одити, поне 1 път годишно да се прави обстоен преглед на мрежовата и информационна сигурност", допълни шефът на CERT България.

Националните компетентни органи
Предизвикателство за всички, да изградим действаща система.

"МТИТС има задължения като компетентен орган за 3 съществени сектора – транспорт, цифрова инфраструктура и цифрови услуги, заяви зам-министър Андреана Атанасова, МТИТС. - Подготвя се одит на ИС на самото министерство." Само в сектор транспорт са определени 56 транспортни оператори, повечето от които във водния транспорт.

Добра практика за въздушния транспорт демонстрира РВД чрез изградения център за реакции при инциденти, сертифициран по ISO 27001 и с помощта на средства по Механизма за свързване на Европа. Техният опит може да се използва, като до 14 ноември организациите могат да кандидатстват с проекти, за които този механизъм връща средства до 75%. "Центърът в РВД има различни модули, в бъдеще ще бъде свързан с Националния център на ДАЕУ. Предстои внедряване и на активна защита с развитие на изкуствен интелекта, а ежегодно там се правят тестове за уязвимости на мрежата", поясни Атанасова.

Що се отнася до цифровата инфраструктура и цифрови услуги, там предизвикателствата са много. "В тази област се сблъскваме с действието на различни норми, включително европейски, разписани за даден сектор. По отношение на цифровата инфраструктура наш оператор на цифрови услуги може да е позиционирал сървърите си в Кипър, а да оперира в Полша - на чия юрисдикция ще отговаря – на България, на Кипър или на Полша?", каза Атанасова. По отношение на оператори на услуги, предоставящи ги на територията на няколко европейски държави, има въведена добра практика, но все още няма изработен механизъм. "Има дефиниране на различни субекти на цифрови услуги – Google има множество услуги, но кои да се дефинират като съществени? Това е отворен въпрос, който се обсъжда в групата за сътрудничество", добави зам.-министърът. Тя наблегна и нуждата от намиране и обучение на специалисти по информационна сигурност, което е дългосрочен процес.

В енергетиката нещата сякаш са по-подредени, тъй като още през декември 2008 г. ЕС е приел документ, определящ енергетиката като важен сектор, като на опериращите в него са вменени задължения да осигурят непрекъснато предоставяне на услугите, обясни Владимир Янков, ръководител на Националния компетентен орган в Министерство на енергетиката. С постановление на МС ПМС 181 са дефинирани всички стратегически обекти от критичната инфраструктура плюс информационните системи за управление на тази критична инфраструктура. През юни тази година след създаването на Националния компетентен орган са определени операторите на съществени услуги, създаден е секторен екип за реакция на инциденти, приети са стандарти и оперативни процедури за реакция на инциденти в сектора.
В подсектор електропроизводство са определение 11 предприятия, генериращи мощности, ДКЕВР, ЕСО – като основен и единствен оператор на мрежи за високо напрежение и най-важният за оперирането на системите – Централно диспечерско управление (ЦДУ). "Там се работи със SCADA системи, но да успокоя хората, те работят под UNIX и са извън интернет", каза Янков. За ЕРП са определени 4 оператора на съществени услуги, както и 4 за разпределение на газ плюс Мини Марица Изток като цялостен комплекс.
"Проведени са обучения с колеги от дружествата, включително учения със симулация на кибер атаки. Предстои определяне на методика за оценка на риска и уязвимостите в сектора. Някои дружества като ЕСО, Булгартрансгаз, Мини Марица Изток са започнали подготовка за проекти, финансирани по споменатия Механизъм за свързване на Европа", добави Янков.

В Министерството на здравеопазването е направен одит на информационната среда и са осъвременени приложенията, подготвя се оценка на риска, коментира Александър Огнянов, експерт информационна сигурност в МЗ. Според него, ако се приложат точните критерии за доставчик на съществени услуги, такива ще се окажат поне 6-7 хиляди, включително общопрактикуващите лекари. "След консултации дефинирахме 40 оператори – агенции към МЗ (за медицински одит, за лекарствата), 10 по-големи структурни заведения за болнична помощ с изградени цялостни ИС", допълни Огнянов.

В МРРБ са установили 42 субекта, доставящи питейна вода. В момента се разработват въпросници, които да установят колко от тези дружества зависят от мрежи и информационни системи за снабдяването с питейна вода, каза Николай Младенов, директор на дирекция "Информационно обслужване и системи за сигурност" в МРРБ. И той посочи като основно предизвикателство намирането на кадри. "Един специалист по информационна сигурност получава в частния сектор по 5000 лв. месечно, а знаете какви са заплатите в държавния", каза Младенов.

От Организацията на етичните хакери предложиха въвеждане в училищата на 1 час седмично по кибер сигурност, специално обучение и на учителите, както и на такова на всички служители в държавните институции, които имат достъп до компютри. "Нужна е цялостна кибер хигиена", поясниха от организацията.
От Асоциацията по кибер сигурност бяха още по-крайни. "Трябва да има по-строги наказания за хора, които дори само се опитват да хакнат системите. Трябва да има ИС, чието неоторизирано сканиране да бъде забранено", каза Мирослав Стефанов. Той настоя и за създаване на регистър на фирми, които имат право да правят одит.
© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X