Cyberbezpieczeństwo w energetyce stanowi istotną kwestię w zakresie bezpieczeństwa usług kluczowych. Unia Europejska zaproponowała nowe przepisy do których wszystkie kraje członkowskie muszą się dostosować. Mając to na uwadze należy podjąć szereg działań w sektorze energetycznym, aby móc spełnić stawiane w nich wymogi.
Cyberbezpieczeństwo w nadchodzących przepisach UE
W grudniu 2020 r. Komisja Europejska przedstawiła nowy pakiet przepisów określających cyberbezpieczeństwo, w skład którego weszła propozycja Dyrektywy w sprawie działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (ang. Directive on measures for high common level of cybersecurity across the Union) – tzw. Dyrektywa NIS2. Wprowadza ona zasadę size-cap (motyw 8), co oznacza że przepisami zostaną objęte wszystkie duże i średnie przedsiębiorstwa z sektora energetyki, a nie jak do tej pory, jedynie wyznaczone przez organy właściwe ds. cyberbezpieczeństwa operatorów usług kluczowych. Ponadto, podmioty będą miały obowiązek zgłaszania nie tylko incydentów, ale także zagrożeń, co stawia przed jednostkami typu SOC (ang. Security Operations Center) szereg nowych wyzwań.
Jednocześnie, programy zapewniające cyberbezpieczeństwo infrastruktury krytycznej realizowane w sektorze energetycznym na świecie koncentrują się przede wszystkim na OT (ang. Operational Technology), czyli przemysłowych systemach monitorowania i sterowania. Wprowadzają one niezbędne zmiany w obszarze organizacyjno-procesowym, a także nowe rozwiązania technologiczne. Organizacje sektora skupiają się w szczególności na dwóch aspektach – poprawie możliwości detekcji wystąpienia incydentów teleinformatycznych oraz zapewnieniu skutecznego reagowania na nie, a także na inwentaryzacji i zarządzaniu zmianą. Działania te wychodzą naprzeciw zapisom projektowanym w NIS2. Warto jednak podkreślić, że podmioty mają około dwóch lat na przygotowanie się do nowych przepisów. Tymczasem rozszerzanie możliwości operacyjnych istniejących jednostek SOC tak, aby zakresem monitorowania obejmowały możliwie całość środowiska IT, OT oraz IoT (ang. Interenet of Things) organizacji, a także właściwa inwentaryzacja urządzeń oraz łatwy dostęp do informacji dla jednostek SOC to złożone i długotrwałe procesy. Programy bezpieczeństwa powinny więc zostać zintensyfikowane, zwłaszcza jeśli wziąć pod uwagę projektowane wysokie kary za nieprzestrzeganie zapisów NIS2 oraz wzmocnioną rolę nadzorczą i kontrolną organów właściwych ds. cyberbezpieczeństwa.
Cyberbezpieczeństwo w energetyce a jakościowa zmiana podejścia w Dyrektywie NIS2
Zgodnie z propozycją Dyrektywy NIS2 (jej przyjęcie nastąpi prawdopodobnie w pierwszej połowie 2022 r., a państwa członkowskie będą miały 18 miesięcy na wdrożenie ich zapisów, co sprawia że sektor ma tylko dwa lata na przygotowanie się do nowych wymagań), podmioty funkcjonujące na rynku energetycznym będą należały do tzw. podmiotów niezbędnych (ang. Essential Entities). Jednak w przeciwieństwie do obecnie dziś funkcjonującego reżimu prawnego (Ustawa o krajowym systemie cyberbezpieczeństwa, która wprowadza do porządku krajowego zapisy Dyrektywy NIS z 2016 r.), nie będzie wyznaczania usług kluczowych. Jak już wspomniano, propozycja NIS 2 wprowadza zasadę size-cap, która oznacza że w zakres dyrektywy wchodzą wszystkie duże i średnie przedsiębiorstwa z sektora (motyw 8). Nie będą one wyznaczane przez organy właściwe ds. cyberbezpieczeństwa, które wskazywały operatorów usług kluczowych. Co więcej, oznacza to także, że podmioty niezbędne będą zobowiązane do zapewnienia bezpieczeństwa wszystkich systemów teleinformatycznych, a nie jak dotąd – tylko tych określonych jako kluczowe.
Dodatkowo, propozycje zapisów NIS2 wprowadzają osobową odpowiedzialność członków zarządu firm za niewypełnienie przepisów oraz wysokie kary finansowe – co najmniej 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa do którego należy podmiot niezbędny lub istotny, z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 31.4.).
Dyrektywa NIS 2 wprowadza także o wiele szerszy niż dotąd obowiązek raportowania, który dotyczyć będzie nie tylko incydentów teleinformatycznych, ale także zagrożeń, które mogą doprowadzić do wystąpienia incydentów. SOC będzie więc musiał mieć możliwość klasyfikowania incydentów i zagrożeń oraz określania ich wpływu na ciągłość działania organizacji. Jeśli funkcje te nie będą realizowane przez SOC, aby zapewnić cyberbezpieczeństwo koniecznością stanie się ustalenie dobrej komunikacji i współpracy z tą komórką. Ponadto, konieczność zgłaszania zagrożeń i incydentów nie dotyczy tylko (jak dotychczas) zgłoszeń do organów właściwych ds. cyberbezpieczeństwa i CSIRT krajowych. Podmioty będą miały obowiązek powiadamiania odbiorców swoich usług, których potencjalnie dotyczy zagrożenie, o wszelkich środkach zaradczych lub innych działaniach, jakie mogą podjąć w odpowiedzi na to zagrożenie. W pierwszej kolejności wymaga to więc dokładnego zmapowania odbiorców usług i ustalenia z nimi konkretnych kanałów komunikacji, a następnie budowy zdolności w zakresie przekazywania informacji o odpowiedzi na zagrożenie – to funkcja, którą dotąd w Polsce realizowały tylko CSIRT poziomu krajowego. Mając to na uwadze, znacznie wzrośnie rola SOC w tych podmiotach, które zrealizują takie kompetencje, pozostałe natomiast będą musiały zlecać na zewnątrz o wiele większą niż dotąd liczbę usług.
Poza nowymi obowiązkami w zakresie raportowania incydentów i zagrożeń, NIS 2 wprowadzi także następujące obowiązki dla podmiotów istotnych:
- zapewnienie analizy ryzyka i polityki bezpieczeństwa systemów informatycznych (uwzględnienie podatności charakterystycznych dla każdego dostawcy i usługodawcy),
- obsługa incydentów (zapobieganie, wykrywanie i reagowanie na incydenty),
- zapewnienie ciągłości działania i zarządzania kryzysowego,
- zapewnienie bezpieczeństwa łańcucha dostaw,
- zapewnienie bezpieczeństwa w pozyskiwaniu, rozwijaniu oraz utrzymywaniu sieci i systemów informatycznych (w tym obsługa i ujawniania podatności),
- zapewnienie procedur (testowanie i audyt) służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
- wykorzystywanie kryptografii i szyfrowania.
Cześć z tych obowiązków – zapewnienie analizy ryzyka i polityki bezpieczeństwa oraz obsługa incydentów – jest znana z Dyrektywy NIS, jednak podmioty będą musiały znacznie rozszerzyć działania, ponieważ zapisy NIS2 nie dotyczą jedynie usług kluczowych, ale wszystkich świadczonych przez organizację. Nowością jest obowiązek wykorzystywania kryptologii i szyfrowania, zapewnienie bezpieczeństwa łańcucha dostaw oraz powiązania bezpieczeństwa teleinformatycznego z ciągłością działania i zarządzaniem kryzysowym. Będzie to wymagać silnej współpracy komórek organizacji, które dotąd niekoniecznie taką współpracę prowadziły, zwłaszcza w zakresie ustalenia wpływu, jakie dany incydent teleinformatyczny lub zagrożenie mogą mieć na ciągłość działania całej organizacji. Nowością jest także obowiązek testowania procedur służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa. W tym aspekcie bardzo dobrym mechanizmem mogą być ćwiczenia table-top. Mają one formułę gry strategicznej, która pozwala ustalić sposób działania organizacji w obliczu reagowania na incydenty oraz zidentyfikować obszary, w których dostrzeżono możliwość wprowadzenia usprawnień.
Table-top to mechanizm wykorzystywany przez Europejską Agencję ds. Cyberbezpieczeństwa w czasie cyklicznych ćwiczeń CyberEurope, który pozwala przygotować rekomendacje dla sektorów kluczowych, operatorów kluczowych oraz państw członkowskich. Takie ćwiczenie faktycznie pozwala zweryfikować poziom współpracy pomiędzy różnymi komórkami organizacji (m.in. SOC, zespołem odpowiedzialnym za zarządzanie kryzysowe, zespołem odpowiedzialnym za infrastrukturę krytyczną czy zespołem prasowym i zarządem).
Warto także zwrócić uwagę, że wraz z rozszerzeniem obowiązków dla sektora energetycznego, wzrasta także możliwość kontroli ze strony organu właściwego ds. cyberbezpieczeństwa. Są to:
- kontrole na miejscu i nadzór zewnętrzny, w tym kontrole wyrywkowe,
- regularne audyty i ukierunkowane audyty bezpieczeństwa bazujące na ocenach ryzyka lub dostępnych informacjach dotyczących ryzyka,
- skanowanie bezpieczeństwa na podstawie obiektywnych, niedyskryminacyjnych, uczciwych i przejrzystych kryteriów ocen ryzyka,
- wnioski o udzielenie informacji niezbędnych do oceny środków bezpieczeństwa cybernetycznego przyjętych przez podmiot, w tym udokumentowanych polityk cyberbezpieczeństwa, a także wypełnienie obowiązku powiadomienia ENISA,
- żądania dostępu do danych, dokumentów lub wszelkich informacji niezbędnych do wykonywania ich zadań nadzorczych,
- wnioski o dowody wdrożenia polityk cyberbezpieczeństwa, takie jak wyniki audytów bezpieczeństwa przeprowadzonych przez wykwalifikowanego audytora oraz odpowiednie dowody,
- wydawanie ostrzeżenia o nieprzestrzeganiu przez podmioty obowiązków określonych w dyrektywie,
- wydania wiążących instrukcji lub nakazów zobowiązujących te podmioty do usunięcia stwierdzonych braków lub naruszeń obowiązków określonych w dyrektywie,
- nakazanie tym podmiotom zaprzestania zachowań niezgodnych z obowiązkami określonymi w dyrektywie i powstrzymania się od ich powtarzania,
- nakazanie tym podmiotom dostosowania ich środków zarządzania ryzykiem i/lub obowiązków sprawozdawczych do obowiązków opisanych w dyrektywie,
- nakazanie tym podmiotom poinformowanie osoby/osób fizycznej lub prawnej, której/ych świadczą usługi lub prowadzą działalność, na którą potencjalnie wpływa istotne cyberzagrożenie, o wszelkich możliwych środkach ochronnych lub naprawczych, które te osoby fizyczne lub prawne mogą podjąć w odpowiedzi na nie,
- nakazanie tym podmiotom wdrożenie zaleceń wynikających z audytu bezpieczeństwa w rozsądnym terminie,
- wyznaczenie inspektora monitorującego na określony czas, aby nadzorował wypełnianie obowiązków wynikających z dyrektywy,
- nakazanie tym podmiotom podania do publicznej wiadomości aspektów nieprzestrzegania obowiązków określonych w dyrektywie,
- złożenie publicznego oświadczenia wskazującego osobę lub osoby prawne i fizyczne odpowiedzialne za naruszenie obowiązku określonego w dyrektywie,
- nakładanie lub żądanie nałożenia przez odpowiednie organy lub sądy zgodnie z prawem krajowym kary administracyjnej za nieprzestrzeganie zapisów dyrektywy.
Znacznie rozszerzają się więc możliwości kontrolowania podmiotów przez organy administracji publicznej, co w połączeniu z liczbą nowych obowiązków oraz wysokimi karami finansowymi sprawia, że przygotowania do wdrażania nowych przepisów najlepiej rozpocząć możliwie najwcześniej. Przyjęcie Dyrektywy NIS2 niewątpliwie przyspieszy więc procesy, które w sektorze energetycznych zachodzą już oda dawna i które są związane z wprowadzaniem złożonych programów bezpieczeństwa, mających zapewnić odpowiedni poziom bezpieczeństwa teleinformatycznego.
Czytaj też: Infrastruktura krytyczna – ochrona infrastruktury krytycznejCyberbezpieczeństwo OT
Ponieważ sektor energetyczny wyróżnia wysoki stopnień automatyzacji procesów w oparciu o przemysłowe systemy monitorowania i sterowania – OT, trudno mówić o zapewnieniu właściwego poziomu bezpieczeństwa teleinformatycznego bez bezpieczeństwa OT. Przykładowo, w procesach transmisji i dystrybucji energii szeroko rozproszona geograficznie infrastruktura jest nadzorowana i kontrolowana zdalnie przez operatorów w centrach sterowania, których najważniejszym elementem są przemysłowe aplikacje klasy SCADA. W poszczególnych stacjach energetycznych znajdują się natomiast wyspecjalizowane kontrolery przemysłowe (RTU/PLC), które monitorują lokalną infrastrukturę poprzez zaprogramowane algorytmy oraz zdalnie otrzymywane polecenia od operatorów. Również procesy w bardziej zwartych geograficznie obiektach, takich jak elektrownie czy rafinerie są realizowane w oparciu o technologie IT oraz automatyki przemysłowej.
Współczesne systemy przemysłowe składają się z ogromnej liczby inteligentnych urządzeń, komunikujących się ze sobą z wykorzystaniem specjalnie do tego przeznaczonych sieci, ale również wymieniających w pewnym zakresie informacje z systemami korporacyjnego IT oraz systemami zewnętrznymi należącymi do biznesowych partnerów danej organizacji. Aktywne interfejsy systemów przemysłowych stanowią cel dla potencjalnych ataków teleinformatycznych, które mogą prowadzić do zakłócenia funkcjonowania krytycznych procesów wytwarzania, transmisji i dystrybucji energii.
Ataki na systemy energetyczne Ukrainy w latach 2015–2017 dotknęły milionów ludzi i wykazały, że przemysłowe systemy stosowane w energetyce mogą być wykorzystane do przeprowadzenia skutecznego ataku teleinformatycznego, którego skutki stanowią istotne zagrożenie dla bezpieczeństwa państwa i jego obywateli. W grudniu 2015 r. prawie połowa z 1,5 miliona mieszkańców obwodu iwanofrankiwskiego była przez kilka godzin pozbawiona dostaw energii elektrycznej. Awaria elektrowni byłą następstwem infekcji złośliwym oprogramowaniem BlackEnergy i wykasowania danych z części twardych dysków, co uniemożliwiło prawidłową pracę systemów. W grudniu 2016 r. z kolei, w wyniku ataku na system przesyłający energię ponad połowa Kijowa miała ograniczony dostęp do elektryczności.
W ostatnich latach również inne kraje i organizacje miały podobne problemy, np. atak na południowo-koreański instytut badań nad energią atomową czy na amerykański rurociąg należący do US Gasoline. W wyniku tego ostatniego ceny paliwa w niektórych stanach wzrosły o 8%, a znacząca liczba stacji paliw (do 90%) musiała na kilka dni przerwać świadczenie usług.
Badania organizacji zajmujących się analizą incydentów bezpieczeństwa wskazują, że chociaż liczba ataków na systemy przemysłowe w ostatnich latach jest stała, a nawet według niektórych badań – maleje, to rośnie złożoność technik stosowanych przez cyberprzestępców, a w rezultacie ich skuteczność. Zmienia się również motywacja – obecnie większość ataków jest ukierunkowana na uzyskanie korzyści finansowych poprzez zaszyfrowanie dysków zaatakowanych organizacji i żądanie okupu za odblokowanie dostępu do danych (ataki typu ransomware). Równocześnie wiele krajów, również tych niedysponujących środkami wystarczającymi do prowadzenia wojny konwencjonalnej, upatruje szansy na zwiększenie swojej siły militarnej poprzez przeniesienie ciężaru konfliktu do sieci i tworzy w tym celu wyspecjalizowane jednostki o zdolnościach ofensywnych, ukierunkowanych na zakłócenie działalności infrastruktury krytycznej przeciwnika poprzez atak teleinformatyczny.
W efekcie większość państw oraz organizacji odpowiedzialnych za bezpieczeństwo dostaw energii podjęło działania zwiększające cyberbezpieczeństwo w tym aspekcie, takie jak poprawa ochrony krytycznych i kluczowych systemów przed zagrożeniami teleinformatycznymi. Na poziomie państwowym tworzone są regulacje w zakresie wymagań ochrony obiektów infrastruktury krytycznej oraz tzw. usług kluczowych. W Polsce są to Ustawa o zarządzaniu kryzysowym z 26 kwietnia 2007 r. oraz Ustawa o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 r. Ponadto powstają platformy do wymiany informacji i koordynacji działań pomiędzy organizacjami w przypadku wystąpienia poważnego incydentu. Czynności realizowane na poziomie poszczególnych organizacji natomiast mają formę dużych programów transformacyjnych, których budżety mogą sięgać kilkudziesięciu milionów dolarów. Ponieważ historycznie większość firm podejmowało wcześniej działania mające na celu zapewnienie bezpieczeństwa informacji w „biurowych” systemach i sieciach IT, to obecne programy koncentrują się przede wszystkim na OT, tj. przemysłowych systemach monitorowania i sterowania.
Główne wyzwania dla programów bezpieczeństwa w energetyce
Cyberbezpieczeństwo w energetyce jest zapewniane poprzez wspomniane wcześniej programy bezpieczeństwa dla sektora, które wprowadzają niezbędne zmiany w obszarze organizacyjno-procesowym, a także nowe rozwiązania technologiczne dostosowane funkcjonalnie do wymagań i ograniczeń przemysłowych systemów oraz sieci. Zakres programów zależy od poziomu dojrzałości danej organizacji w zakresie cyberbezpieczeństwa oraz od zidentyfikowanych zagrożeń. Zdecydowana większość organizacji z sektora energetycznego koncentruje swoje działania na poprawie możliwości detekcji wystąpienia incydentu teleinformatycznego oraz zapewnieniu skutecznego reagowania. Wynika to z faktu, że mają one pełną świadomość tego, że prędzej czy później padną ofiarą ataku teleinformatycznego. Wobec tego, kluczowe jest jak najszybsze wykrycie oraz podjęcie natychmiastowych działań, które pozwolą zminimalizować jego skutki. W tym celu rozszerzane są możliwości operacyjne istniejących w organizacji jednostek SOC tak, aby zakresem monitorowania obejmowały całość środowiska IT, OT oraz IoT. Niestety znacząco zwiększa to ilość informacji przetwarzanych przez SOC, co z kolei stwarza ryzyko przeciążenia lub znieczulenia operatorów, dlatego rośnie znaczenie rozwiązań w zakresie analityki bezpieczeństwa, w tym efektywnego korelowania informacji z wielu różnych źródeł oraz częściowej automatyzacji obsługi incydentów.
Kolejną grupą powszechnie podejmowanych obecnie działań jest wdrażenie procesów zapewniających rzetelną i aktualną wiedzę o rodzaju stosowanych urządzeń oraz aplikacji, czyli inwentaryzacji oraz zarządzania zmianą. Największe braki w tym zakresie istnieją w obszarze automatyki przemysłowej, co wynika z faktu, że procesy wsparcia oraz utrzymania systemów OT są częściej realizowane poprzez lokalne zespoły, a nie w modelu usługowym, który jest powszechny w IT i wymusza właściwe zarządzanie aktywami w celu prawidłowej priorytetyzacji oraz obsługi zadań. Jednocześnie stosowane od dawna rozwiązania inwentaryzacji IT dopiero od niedawna zaczynają oferować modele danych uwzględniających występowanie specyficznych dla automatyki przemysłowej urządzeń, takich jak sterowniki PLC czy panele HMI. Tymczasem właściwa inwentaryzacja urządzeń oraz łatwy dostęp do informacji dla jednostek SOC są kluczowe dla efektywnego zarządzania incydentem. W celu podjęcia właściwej reakcji muszą one m.in. rozumieć znaczenie elementu, którego zdarzenie dotyczy, jego powiązań z innymi urządzeniami oraz systemami, jego fizycznej lokalizacji oraz osób właściwych do kontaktu. W wielu organizacjach obecny poziom dojrzałości inwentaryzacji jest wciąż na bardzo niskim poziomie, a różnica pomiędzy liczbą inteligentnych urządzeń, których organizacja jest świadoma na centralnym poziomie, a ich faktyczną liczbą może być znacząca.
Wspomniane wcześniej działania koncentrują się na wdrażaniu nowych procesów oraz wspierających je rozwiązań technicznych. Dla wielu organizacji pierwszym krokiem zapewniającym cyberbezpieczeństwo jest jednak przede wszystkim określenie jasnych zasad podejmowania decyzji dla obszaru bezpieczeństwa teleinformatycznego, które obecnie wykracza poza ramy klasycznego bezpieczeństwa IT. Rosnący poziom zagrożeń teleinformatycznych jest jednym z czynników wymuszających bliższe współdziałanie zespołów IT, OT oraz bezpieczeństwa. Jasne określenie granic odpowiedzialności oraz zadań poszczególnych jednostek stanowi kluczowy czynnik w budowie efektywnego systemu bezpieczeństwa teleinformatycznego organizacji.
Budowanie kompetencji sektorowej
W obliczu wszystkich wymienionych w artykule wyzwań, aby zapewnić cyberbezpieczeństwo kluczowa wydaje się współpraca pomiędzy organizacjami z sektora energetycznego. Nie tylko w zakresie wymiany i analizy informacji o incydentach oraz zagrożeniach, ale także wymiany dobrych praktyk i doświadczeń z wdrażania programów bezpieczeństwa. Warto zauważyć, że propozycje zapisów Dyrektywy NIS2 nakładają na państwa członkowskie obowiązek zapewnienia podmiotom niezbędnym warunków do wymiany informacji dotyczących cyberbezpieczeństwa. Ma się ona odbywać w „ramach zaufanych społeczności podmiotów niezbędnych i istotnych” (art. 26.). Biorąc pod uwagę zapisy, które wprowadza procedowana właśnie nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa można się spodziewać, że w Polsce przyjmą one formę ISAC (ang. Information Sharing and Analysis Center) – rozdział 5a. nowelizacji opisuje „Zadania i obowiązki ISAC w ramach krajowego systemu cyberbezpieczeństwa”.
ISAC to centra wymiany wiedzy budowane wokół różnych sektorów gospodarki (np. finansowego, lotnictwa czy energetyki). Ich zadaniem jest zrzeszanie instytucji branżowych oraz umożliwianie im wymiany doświadczeń o zagrożeniach, a także wspólny zakup konkretnych usług i dzielenie się kosztami bezpieczeństwa teleinformatycznego. Często są to organizacje nieformalne i non-profit. Z danych zebranych przez ENISA (Europejska Agencja ds. Cyberbezpieczeństwa) wynika, że powstanie ISAC wyraźnie przyczyniło się do podniesienia poziomu wiedzy na temat zagrożeń w danym państwie, a także do wzrostu kompetencji firm i instytucji w przeciwdziałaniu tym zagrożeniom.
W przeciwieństwie do CSIRT sektorowego, który zgodnie z zapisami Ustawy ma być tworzony przez organy właściwe ds. cyberbezpieczeństwa, ISAC jest formą samoorganizacji sektora. Pozwala to podmiotom samodzielnie decydować o priorytetach działania ISAC, dzięki czemu taka organizacja faktycznie odpowiada na potrzeby sektora. W Polsce, jak dotąd powstał jeden ISAC w sektorze kolejowym. Jednak na świecie, to właśnie sektor energetyczny (obok finansowego) jest wiodący w tej inicjatywie.
Podsumowanie
Wydaje się, że zapisy NIS2 wymuszą na sektorze energetycznym szybsze wdrażanie złożonych programów bezpieczeństwa. Zasada size-cap sprawia, że konieczne będzie kompleksowe podejście do bezpieczeństwa teleinformatycznego (nie tylko środowisko IT, ale także OT oraz IoT). Znacznie wzrośnie także rola jednostek typu SOC na które nałożone zostaną nowe zadania oraz konieczność notyfikacji nie tylko incydentów, ale i zagrożeń. Warto również rozważyć wdrożenie ćwiczeń table-top jako metody testowania odporności teleinformatycznej organizacji oraz budowanie kompetencji sektorowych – utworzenie Centrum Wymiany i Analizy Informacji (ISAC).
Publikacja artykułu: luty 2022 r.