Nie dość, że resort cyfryzacji (MC) spóźnił się z publikacją strategii obrony cyberprzestrzeni RP, to jeszcze nie zawarł w niej niemal żadnych konkretów. Pierwsza wersja dokumentu pojawiła się już rok temu. Wtedy założenie było jasne: to MC miało być koordynatorem strategiczno-politycznym ochrony sieci, ustalać politykę i cele do realizacji, proponować i wdrażać rozwiązania legislacyjne i oddziaływać prawnie na inne instytucje. To do niego miało należeć opracowanie wieloletnich programów działania i koordynowanie współpracy międzynarodowej. Z tych planów prawie nic nie zostało. Jak mówi jeden z ekspertów, to strategia z wybitymi zębami.
– Największą różnicą między starym a nowym dokumentem jest brak wyraźnie wskazanego głównego odpowiedzialnego w postaci MC. To poważny problem, bo jedną ze słabości obecnej sytuacji jest to, że za cyberbezpieczeństwo odpowiada wiele instytucji, a każda we własnym zakresie. Tymczasem cyberzagrożenia to nie są osobno problemy sektorów bankowego, telekomunikacyjnego czy administracji. Tu wszystko jest ze sobą ściśle powiązane – zauważa Andrzej Kozłowski z Fundacji im. Kazimierza Pułaskiego.
Zdaniem dr Joanny Świątkowskiej z Instytutu Kościuszki najbardziej brakuje podziału odpowiedzialności za poszczególne działania. – Strategia nie posuwa nas do przodu w wystarczająco szybkim tempie, a na kolejną stratę czasu nie możemy sobie pozwolić. W porównaniu z poprzednią wersją została bardzo zubożona. Choć wiele ujętych w niej kwestii jest niezaprzeczalnie ważnych, to są one zapisane w tak ogólny sposób, że nie do końca spełniają wymogi stawiane takim strategiom przez dyrektywę NIS – ocenia Świątkowska. Dyrektywa NIS weszła w życie w lipcu 2016 r. i nałożyła na państwa UE dużo większe obowiązki w zakresie cyberochrony.
Brakuje precyzji
Największą zaletą dokumentu jest to, że w ogóle powstał, bo jest już opóźniony o blisko pół roku w stosunku do obietnic minister cyfryzacji Anny Streżyńskiej. – Ale dokumenty opracowywane przez inne rządy europejskie są o wiele bardziej precyzyjne. Tu nie chodzi o podkreślanie wagi problemu, ale konkretne rozwiązania i funkcjonowanie systemy ochrony. Do strategii Holandii załączono szczegółowe plany działania z wykazem odpowiedzialności, podejmowanych działań i ich finansowania – dodaje dr Świątkowska. Kozłowski podaje zaś przykład strategii z Austrii, w której umieszczono swoistą mapę zagrożeń, prawdopodobieństwa ich wystąpienia i plany działań na taki wypadek.
– Dwa tygodnie temu nasz sektor bankowy został skutecznie zaatakowany. Wdrożenie rozsądnych, ogólnopaństowych zasad dbania o cyberprzestrzeń jest więc palącą koniecznością, tak jak dbamy o tradycyjne bezpieczeństwo. Teraz jest czas na wytaczanie wojsk. A nie zajmowanie się ogólnym podkreślaniem wagi problemu – mówi Piotr Rutkowski, wiceprezes Instytutu MikroMakro, badającego wpływ nowych technologii na państwo i społeczeństwo. I dodaje, że cyberbezpieczeństwo zostało potraktowane jak auta na prąd, sztuczna inteligencja czy internet rzeczy, czyli rozwiązania nowatorskie, dopiero pojawiające się na rynku. A przecież – jak wynika z najnowszego raportu MSWiA – mamy do czynienia ze stałym wzrostem cyberprzestępczości. Liczba wszczętych przez policję postępowań dotyczących ataków na systemy komputerowe lub sieci teleinformatyczne wzrosła z 27 w 2014 r. do 52 w 2015 r.
Cztery cele
Dokument firmowany przez resort cyfryzacji zakłada cztery cele. Po pierwsze, osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa. Po drugie, wzmocnienie zdolności do przeciwdziałania zagrożeniom. Po trzecie, zwiększenie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni. I po czwarte, zbudowanie silnej pozycji międzynarodowej Polski w obszarze cyberbezpieczeństwa.
– Takich słusznych, ale niewiele mówiących zapisów jest więcej – ocenia Andrzej Kozłowski i podaje przykład „zwiększenia efektywności współdziałania podmiotów zapewniających bezpieczeństwo cyberprzestrzeni RP”. – Brzmi korzystnie, ale co konkretnie oznacza? – pyta nasz rozmówca. Inne bardzo ogólne plany to opracowanie i wdrożenie standardów oraz dobrych praktyk bezpieczeństwa sieci i systemów informatycznych. Postuluje się też stworzenie systemu zarządzania ryzykiem na poziomie krajowym. Resort broni ogólności strategii zapowiedzią, że w ciągu pół roku przygotuje szczegółowy plan działań.
– Plan powinien się pojawić wraz ze strategią – uważa Kozłowski i dodaje, że szczegółowe rozwiązania zostały już zaproponowane w ubiegłorocznej strategii. Jego zdaniem niektóre propozycje były dyskusyjne, ale większość oceniono pozytywnie. Szczególnie że tamta wersja strategii powstała m.in. w reakcji na zarzuty kontroli NIK sprzed trzech lat. Według niej na szczycie systemu miało stać MC. Na kolejnych stopniach odpowiedzialności miały się znaleźć punkty kontaktowe do zbierania informacji na temat incydentów w skali całego kraju i punkt kontaktowy dla operatorów infrastruktury krytycznej do pomocy operatorom telekomunikacyjnym na wypadek ataków. Narodowe Centrum Cyberbezpieczeństwa (NCC) miało się zająć przygotowaniem rekomendacji dla wszystkich instytucji, zaś CERT/CSIRT Narodowy – zespół reagujący na naruszenia bezpieczeństwa w sieciach – pomocą w neutralizacji najgroźniejszych incydentów.
Obok nich miały funkcjonować działające już zespoły CERT przy ABW, NASK i MON, odpowiedzialne za kontrolę i pomoc w poszczególnych sektorach. Ich pozycja miała zostać wzmocniona. W tym celu planowano zmiany w ustawie o ABW i Agencji Wywiadu oraz nowelizację prawa telekomunikacyjnego, by usprawnić działania kontrolne Urzędu Komunikacji Elektronicznej. Planowano powołanie złotej setki, czyli około 100 wyróżniających się specjalistów od cyberbezpieczeństwa pracujących w administracji za takie wynagrodzenie, by nie kusiła ich praca w sektorze prywatnym. Z tego planu w nowej strategii zostały właściwie tylko złota setka, NCC oraz uruchomiony w lipcu przed Światowymi Dniami Młodzieży specjalny CERT Narodowy.
Ambicje MON
To był jednak jedyny sukces tamtej wizji wzmocnienia cyberochrony Polski. Jesienią w wyniku konfliktu z MON zwolniono z MC autora strategii generała Zbigniewa Nowaka. Nawet wówczas zapowiadano, że dokument wkrótce trafi na posiedzenie rządu. Zamiast tego przygotowano całkiem odmienną koncepcję.
– Nie jest tajemnicą, że mocna pozycja MC nie była po myśli resortu obrony, który także ma ambicje w tym zakresie. Tym bardziej wstrząsające, że w dokumencie dotyczącym cywilnego aspektu ochrony niespodziewanie silnie zaczęto podkreślać kwestie militarne i zaangażowanie sił zbrojnych – zauważa Kozłowski.