Miesięcznik informatyków i menedżerów IT sektora publicznego

Łukasz Olejnik

Strategiczne podejście do cyberbezpieczeństwa w Polsce

Cyberbezpieczeństwo to dziś jeden z kluczowych tematów w agendzie bezpieczeństwa i dyplomacji wielu państw. Polska też bierze udział w pracach na wielu poziomach – międzynarodowym (ONZ), międzypaństwowym (bilateralnie) i europejskim (UE).

Cyberbezpieczeństwo to problem wewnętrzny i zewnętrzny. Odnosi się nie tylko do technologii, ale też gospodarki. W wielu krajach tematem zainteresowane są także struktury wywiadowcze i wojskowe (defensywnie, jak i ofensywnie). Wszystko to niesie ze sobą wiele wyzwań. Tak duża skala problemu wymaga myślenia kompleksowego, a nie resortowo-silosowego. Wyrazem tego stara się być opracowana w Ministerstwie Cyfryzacji Strategia Cyberbezpieczeństwa RP (itwa.pl/gq). Doczekanie momentu przygotowania strategii w Polsce przypominało swoisty syzyfowy wysiłek. Podejść do tematu było wiele – pojawiały się różne pomysły, grupy studyjne, eksperckie i robocze. Niestety, w wielu przypadkach zasoby i dobre chęci nie miały przełożenia na wymierne efekty.

Trzeba podkreślić, że wiele krajów już opracowało (czasem dość kompleksowe) strategie cyberbezpieczeństwa – bez zewnętrznych motywacji. W Polsce natomiast bardzo istotny okazał się nakaz wynikający z dyrektywy NIS, czyli dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Opracowanie i przyjęcie Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej to spełnienie wymogu art. 68 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), czyli implementacji dyrektywy NIS. Szczęśliwie jasno jest wyznaczona ostateczna data. Strategię trzeba przyjąć do 31 października 2019 r. i wygląda na to, że warunek ten zostanie spełniony, ponieważ dokument już istnieje. Obejmuje on ugruntowanie działań już trwających z tymi, dla podjęcia których nie ma alternatywy, oraz kilkoma pomysłami, które warto podjąć. W dokumencie wskazano wiele problemów, m.in. niedobór zasobów osobowych, w tym ludzi, którzy mogą efektywnie działać i reprezentować kraj na arenie międzynarodowej.

Po co nam ta strategia

Głównym celem strategii jest podniesienie poziomu cyberbezpieczeństwa państwa. Biorąc pod uwagę, jak szerokim pojęciem jest dziś cyberbezpieczeństwo, mamy do czynienia z dużym wyzwaniem. Ma ono zostać zrealizowane w wyniku działań podejmowanych równolegle. Strategia zauważa, że w obszarze prawnym wiele zmian może wymagać aktualizacji istniejących ustaw, aby podnoszenie poziomu cyberbezpieczeństwa usprawnić. Może to być usuwanie istniejących barier, ale też nakładanie wymogów i odpowiedzialności. To zapowiedź kolejnych zmian w przyszłości. Obszar ten będzie przekształcany jeszcze w kilku kolejnych kadencjach.

Zmiany nie zajdą jednak tylko na papierze. W obszarze państwowym ma to być dalsze usprawnianie procesów wymiany informacji o incydentach, zdarzeniach i podatnościach. Do tego celu będzie służyć specjalistyczny system, który ma zostać oddany do użytku w 2021 r. Z kolei Kolegium ds. Cyberbezpieczeństwa ma działać przy samej Radzie Ministrów, a więc na odpowiednio wysokim poziomie. Buduje to nadzieje na przełamanie często sygnalizowanego w Polsce tzw. problemu resortowości. Zweryfikować to będziemy mogli wyłącznie w praktyce, także przy obsłudze realnego kryzysu (a trzeba zaznaczyć, że z takim w Polsce nie mieliśmy jeszcze do czynienia). Realną jakość struktur dostrzega się bowiem zwykle w sytuacjach kryzysowych.

Wiele zmian zachodzi już od jakiegoś czasu. Rozwijane są m.in. specjalistyczne zespoły reagowania na incydenty (CSIRT-y). Strategia przewiduje, że te podmioty odpowiedzialne za sektorowe cyberbezpieczeństwo będą opracowywały zalecenia i rekomendacje dla podlegających im operatorów. Tu natychmiastowym wyzwaniem będzie nie tyle jakość wydawanych rekomendacji, ile raczej skłonienie operatorów do faktycznego ich wdrażania. Skoro cały kraj potrzebował prawnego wymogu do opracowania obowiązującej strategii cyberbezpieczeństwa, to musimy mieć nadzieję, że podobnego problemu nie będzie na szczeblach niższych. „Mikrozarządzanie” na tym poziomie za pomocą szczegółowego prawodawstwa nie byłoby najlepszym rozwiązaniem, nawet jeśli pragnienie przeregulowania było miejscami sygnalizowane, tak jak w wypadku poziomu debaty o wprowadzeniu rodo. Tu powinny wystarczyć dobre standardy oraz zdrowy rozsądek.

Informacja to podstawa bezpieczeństwa

Trzeba przyznać, że w razie wystąpienia istotnych, w tym krytycznych incydentów cyberbezpieczeństwa wsparcie ze strony państwa w praktyce może być nieodzowne. Dobrze, że rząd jasno sygnalizuje gotowość do aktywnej pomocy w ich obsłudze. Odbiorcami takiego sygnału są oczywiście podmioty wewnętrzne (firmy, operatorzy). Być może jednak także zewnętrzne, czyli potencjalni aktorzy zainteresowani atakiem. Ich cel jest więc stabilizujący.

Na poziomie zarządzania cyberbezpieczeństwem kluczowe jest oparcie się na analizie i szacowaniu ryzyka. Tu strategia podkreśla konieczność zbudowania ustandaryzowanych metod zapewniających porównywalność. Chodzi o to, by było wiadomo, czy poziom cyberbezpieczeństwa ulega poprawie, czy też pogorszeniu, a także, by można było porównywać w trybie ciągłym relatywną skalę cyberbezpieczeństwa na poziomie różnych systemów, podmiotów, a nawet sektorów. System ten już powstaje w NASK w ramach projektu Narodowej Platformy Cyberbezpieczeństwa finansowanego przez Narodowe Centrum Badań i Rozwoju (program CyberSecIdent). Stanowi to dobry przykład ujęcia w strategii trwających już działań. Strategia zakłada, że ten program naukowo-badawczy ma być kontynuowany. Być może jest to wyraz docenienia tej formy wyłaniania projektów strategicznych i alokowania środków na nie (autor niniejszego artykułu jest w Komitecie Sterującym tego programu i od 2016 r. obserwuje więc jego rozwój).

W strategii mowa jest też o budowie „odpornego na cyberzagrożenia systemu wymiany informacji uwzględniającego konieczność wysokiej mobilności”, a zatem formy komunikatora. Ma on cechować się wysokim poziomem bezpieczeństwa i niezawodnością. Dziś trudno ocenić te plany – być może ich zarys istniał już we wcześniejszym dokumencie z 2017 r. Pozostaje jedynie mieć nadzieję na zlecenie tego ambitnego zadania podmiotowi godnemu zaufania (a nie losowemu dostawcy komunikatora). To o tyle ciekawe, że podobny system wdrożono niedawno dla administracji we Francji. Tam istotnie stworzono system w oparciu o otwarte standardy. Co prawda w dniu rozpoczęcia jego pracy nagłośniono od razu pierwszy krytyczny błąd bezpieczeństwa, ale od tego czasu system ten działa, choć jest za wcześnie, by go oceniać. W tym punkcie warto się też zastanowić, czy w praktyce urzędnicy nie będą i tak preferowali istniejących bezpiecznych i łatwych w użyciu komunikatorów w rodzaju WhatsApp i Signal. Oczywiście, można tej praktyki zakazać. Nie jest jednak tajemnicą, że rozwiązania te dziś są stosowane powszechnie, także przez kluczowe dla państwa osoby.

[...]

Autor jest niezależnym badaczem i doradcą w sprawach cyberbezpieczeństwa i prywatności, research associate w Centre for Technology and Global Affairs (Oxford University). Był doradcą ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie. Uzyskał doktorat we francuskim instytucie INRIA.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej