moja polska zbrojna
Od 25 maja 2018 r. obowiązuje w Polsce Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane także RODO).

W związku z powyższym przygotowaliśmy dla Państwa informacje dotyczące przetwarzania przez Wojskowy Instytut Wydawniczy Państwa danych osobowych. Prosimy o zapoznanie się z nimi: Polityka przetwarzania danych.

Prosimy o zaakceptowanie warunków przetwarzania danych osobowych przez Wojskowych Instytut Wydawniczy – Akceptuję
Armia Poligon Sprzęt Misje Polityka Prawo Świat Społeczność Sport Historia Galerie Wideo ENGLISH SKLEP Jednodniówki Praca w WIW

Strategia cyberbezpieczeństwa

1457262360

A A A

Skuteczne zabezpieczenie cyberprzestrzeni jest jednym z głównych priorytetów sojuszniczych i narodowych. W ocenie ekspertów obszar ten powinien być traktowany na równi z ochroną militarną kraju. Jednak do tej pory w Polsce, jak i w części państw UE oraz NATO, nie zbudowano silnych ośrodków koordynujących zagadnienia cyberbezpieczeństwa państwa. A tymczasem zagrożenie rośnie. Statystyki mówią same za siebie. W 2014 roku Polska znalazła się na 10. miejscu wśród krajów o największym współczynniku zagrożenia, z niemal 3 procentami komputerów pracujących w sieciach botnet. Codziennie atakowanych było 500 tysięcy stron internetowych. Odnotowano 312 istotnych włamań do systemów teleinformatycznych, a w czterech przypadkach stwierdzono podejrzenia kradzieży ponad 10 milionów tożsamości. Ogółem tylko w samym 2014 roku skradziono 350 milionów tożsamości.

Ministerstwo Cyfryzacji do 8 marca prowadzi konsultacje założeń Strategii Cyberbezpieczeństwa dla RP. Projekt przewiduje szereg zmian, w tym powierzenie roli ośrodka koordynacji działań związanych z ochroną cyberprzestrzeni RP oraz krajowego systemu reagowania na incydenty komputerowe resortowi informatyzacji, w którym powołano departament cyberbezpieczeństwa.

Statystyki mówią same za siebie. Liczba zagrożeń i ataków cybernetycznych systematycznie rośnie. Tylko w 2014 roku na świecie pojawiło się 6,5 tys. nowych podatności w oprogramowaniu wykorzystywanym przez strony internetowe, a 76 procent przebadanych stron internetowych posiadało słabości, przez które można było je zaatakować. Blisko 2 miliony komputerów pracowało w sieciach botnet, a Polska znalazła się na 10. miejscu wśród krajów o największym współczynniku zagrożenia z niemal 3 procentami komputerów pracujących w sieciach botnet. Codziennie atakowanych było 500 tysięcy stron internetowych. Każdego dnia generowano 28 miliardów wiadomości e-mail kwalifikowanych jako spam, a jedna na tysiąc była uznawana za próbę phishingu. Stwierdzono 35 podatności w systemach sterowników przemysłowych wytwarzanych przez 9 wiodących producentów, także tych wykorzystywanych w systemach sterowania infrastruktury krytycznej. Odnotowano 312 istotnych włamań do systemów teleinformatycznych, a w czterech przypadkach stwierdzono podejrzenia kradzieży ponad 10 milionów tożsamości. Ogółem tylko w samym 2014 roku skradziono 350 milionów tożsamości.

Skuteczne zabezpieczenie cyberprzestrzeni, w tym bezpieczeństwo obywateli w sieci Internet, jest jednym z głównych priorytetów sojuszniczych i narodowych. W ocenie ekspertów obszar ten powinien być traktowany na równi z ochroną militarną kraju. Resort cyfryzacji podkreśla, że mimo zrozumienia istoty problemu, do tej pory w Polsce, jak i w części państw UE oraz NATO, nie zbudowano silnych ośrodków koordynujących zagadnienia cyberbezpieczeństwa państwa. System ten wymaga szeregu zmian i modyfikacji.

Jakie propozycje przygotował resort informatyzacji?

Autorzy założeń dostrzegają, że Polska nie posiada jednolitego ustawodawstwa regulującego instytucjonalno-prawne warunki ochrony cyberprzestrzeni. Funkcjonują jedynie przepisy regulujące jednostkowe, wybrane kwestie bezpieczeństwa teleinformatycznego. Zarówno polscy, jak i międzynarodowi eksperci podkreślają, że w skali państwa niezbędne jest spójne podejście do zapewnienia bezpieczeństwa systemów teleinformatycznych i informacji. W ocenie ekspertów, jest to jedna z najpilniejszych spraw, które należy uporządkować i usystematyzować. Podstawą wszelkich działań powinna być zatem wiedza o tym, czy w danym momencie systemy teleinformatyczne na terenie kraju poddawane są atakom oraz jaka jest ich istota i skala.

Unia Europejska mocno podkreśla potrzebę zapewnienia wysokiego poziomu wspólnego bezpieczeństwa sieci i informacji w obrębie wspólnoty. Trwają właśnie prace nad projektem dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu cyberbezpieczeństwa (dyrektywa NIS). Wszystko wskazuje na to, że prace nad projektem zakończą się w połowie roku. Co istotne, równolegle z działaniami na poziomie wspólnotowym prowadzone są prace narodowe, którym przyświeca zbudowanie minimalnych warunków ochrony cyberprzestrzeni. Nie czekając na wdrożenie dyrektywy, w Polsce realizowane są i będą realizowane następujące przedsięwzięcia:

  • powołanie w administracji państwowej zespołów ‎reagowania na incydenty komputerowe,
  • powołanie w Ministerstwie Cyfryzacji ośrodka koordynacji działań związanych z ochroną cyberprzestrzeni, zgodnie z zaleceniem Najwyższej Izby Kontroli, do czasu wdrożenia docelowych struktur,
  • uzupełnienie Krajowego Planu Zarządzania Kryzysowego o zagrożenia związane z cyberbezpieczeństwem,
  • opracowanie i wdrożenie strategii ochrony cyberprzestrzeni państwa.


Ważnym elementem działań na szczeblu narodowym są konsultacje założeń Strategii Cyberbezpieczeństwa dla RP. Opracowane przez resort cyfryzacji założenia obejmują analizę aktualnego stanu cyberbezpieczeństwa (stan prawny i organizacyjny oraz sposób rozdziału kompetencji w tym zakresie), główne założenia i propozycje budowy systemu ochrony cyberprzestrzeni RP (podział kompetencji, proponowana struktura, system wczesnego ostrzegania i reagowania, procedury, progi reakcji, kanały wymiany informacji, organizator systemu i jego rola, ocena ryzyka, aspekty finansowe i prawne, a także linia ostatniej obrony oraz przewidywane korzyści).

Zgodnie z założeniami strategii rola ośrodka koordynacji działań związanych z ochroną cyberprzestrzeni RP (organizator systemu) oraz krajowego systemu reagowania na incydenty komputerowe będzie powierzona Ministerstwu Cyfryzacji. Nowy statut tego resortu uwzględnia, już istniejący, Departament Cyberbezpieczeństwa, który docelowo będzie nadzorowany przez specjalnie powołanego do tego wiceministra.

Według zapisów projektu, na poziomie strategicznym rolą organizatora systemu będzie przygotowanie krajowej strategii cyberbezpieczeństwa obejmującej administrację państwową i sektory rynkowe, tj. energetykę, transport, bankowość i instytucje finansowe, sektory zdrowia, zaopatrzenia w wodę, infrastrukturę cyfrową i dostawców usług cyfrowych, co wynika z projektu europejskiej dyrektywy NIS.

Obowiązkiem organizatora systemu będzie opracowanie dokumentu strategicznego w zakresie cyberbezpieczeństwa, jednocześnie zostanie przeprowadzona ewaluacja i uspójnienie dotychczasowych dokumentów strategicznych odnoszących się do problematyki cyberbezpieczeństwa, tj. „Polityki ochrony cyberprzestrzeni RP”. „Strategii bezpieczeństwa narodowego”, „Doktryny cyberbezpieczeństwa RP” oraz Narodowego Program Ochrony Infrastruktury Krytycznej.

Ministerstwo Cyfryzacji będzie odpowiedzialne za opracowanie, konsultacje i przedstawianie odpowiednich rozwiązań legislacyjnych pozwalających na funkcjonowanie całego systemu bezpieczeństwa cyberprzestrzeni, w tym za przygotowywania projektów aktów prawnych (ustaw i rozporządzeń dotyczących ochrony cyberprzestrzeni) o charakterze międzysektorowym oraz za harmonizację z prawodawstwem unijnym.

Dodatkowo resort informatyzacji odgrywał będzie rolę koordynacyjną w obszarze współpracy międzynarodowej, przewidzianą w projekcie dyrektywy NIS, tj. rolę „organu właściwego ds. bezpieczeństwa sieci i informacji” oraz rolę „pojedynczego punktu kontaktowego”.



Opisując aktualny stan polskiego systemu cyberochrony, autorzy założeń opracowanych w resorcie cyfryzacji podkreślają, że „aktualnie w Polsce brak jest jednoznacznych procedur oraz określonych poziomów reakcji na zagrożenia zidentyfikowane w sieciach teleinformatycznych”. Zaznaczają także, iż „kompetencje związane z bezpieczeństwem cyberprzestrzeni dzielone są m.in. pomiędzy Ministerstwo Obrony Narodowej, Rządowe Centrum Bezpieczeństwa, Ministerstwo Cyfryzacji, jak również Radę Ministrów, Agencję Bezpieczeństwa Wewnętrznego, Komendę Główną Policji, Ministerstwo Sprawiedliwości, Urząd Komunikacji Elektronicznej, a także przez CERT Polska znajdujący się w strukturze Naukowej i Akademickiej Sieci Komputerowej (NASK)”. Analizując obecny stan wskazują, że „w Polsce funkcjonują publiczne i prywatne zespoły ds. reagowania na incydenty komputerowe (CERT) obejmujące swoim zakresem m.in. administrację rządową, wojskową oraz policję, a także zespoły utworzone przez operatorów telekomunikacyjnych oraz środowiska naukowo-badawcze”. Zauważają, że „podmioty uczestniczące w procesie nie mają jasno określonych progów reakcji”.

Aktualny podział kompetencji:

  • Ministerstwo Cyfryzacji – kluczowa rola w procesach związanych z ochroną cyberprzestrzeni. Strategiczno-polityczny koordynator systemu ochrony cyberprzestrzeni RP. We współpracy z ABW opracowało w 2013 roku „Politykę ochrony cyberprzestrzeni RP”;
  • Ministerstwo Obrony Narodowej – odpowiada za wojskową sferę ochrony cyberprzestrzeni RP. W ramach MON funkcjonuje Inspektorat Systemów Informacyjnych, działający na potrzeby resortu MIL-CERT oraz Narodowe Centrum Kryptologii (NCK);
  • Biuro Bezpieczeństwa Narodowego – organ doradczy prezydenta RP, w którym opracowano „Doktrynę cyberbezpieczeństwa Rzeczypospolitej Polskiej”;
  • Agencja Bezpieczeństwa Wewnętrznego – rozpoznaje, zapobiega i zwalcza zagrożenia godzące w bezpieczeństwo wewnętrzne państwa. W strukturze Agencji funkcjonuje Departament Bezpieczeństwa Teleinformatycznego, w ramach którego działa Rządowy Zespół Reagowania na Incydenty Komputerowe – CERT.GOV.PL;
  • Ministerstwo Spraw Wewnętrznych i Administracji – nadzoruje działania policji w zakresie zwalczania cyberprzestępczości;
  • Policja – zwalcza cyberprzestępczość. W strukturach policji funkcjonuje POL-CERT;
  • Urząd Komunikacji Elektronicznej – regulator rynku telekomunikacyjnego i pocztowego. Zapewnia implementacje prawa telekomunikacyjnego w kontekście bezpieczeństwa w cyberprzestrzeni;
  • Rządowe Centrum Bezpieczeństwa – odgrywa przodującą rolę w obszarze zarządzania kryzysowego i ochrony infrastruktury krytycznej, przygotowuje Narodowy Program Ochrony Infrastruktury Krytycznej, a także Krajowy Plan Zarządzania Kryzysowego oraz „Raport o zagrożeniach bezpieczeństwa narodowego”. W centrum znajduje się 24-godzinna służba dyżurna, która odpowiada za przekazywanie informacji o zagrożeniach;
  • Ministerstwo Sprawiedliwości – kreuje prawo w zakresie cyberprzestępczości i nadzoruje jego właściwe wykonanie;
  • Ministerstwo Finansów – odpowiada za kwestie budżetowe, w tym za sprawy związane z cyberbezpieczeństwem;
  • Naukowa i Akademicka Sieć Komputerowa – instytut badawczy nadzorowany przez Ministerstwo Cyfryzacji. W ramach NASK funkcjonuje zespół CERT.POLSKA, który pełni de facto rolę krajowego CERT/CSIRT.


Główne założenia budowy systemu ochrony cyberprzestrzeni RP

Przedstawiając założenia, resort cyfryzacji podkreśla, że każdy element krajowego systemu teleinformatycznego musi być zaangażowany w proces reagowania na zagrożenia w cyberprzestrzeni.

Według autorów projektu konieczne jest:

  1. wypracowanie struktur organizacyjnych odpowiedzialnych za obsługę incydentów;
  2. utworzenie efektywnego systemu wczesnego ostrzegania;
  3. stworzenie wielopoziomowych procedur reagowania na incydenty, spójnych z już istniejącymi procedurami z zakresu
  4. zarządzania kryzysowego. Jasne określenie procedur i progów reakcji zgodnie z następującą hierarchią zagrożeń:
  • KATEGORIA 1: Ograniczenie lub zaprzestanie realizacji istotnych funkcji państwa w sektorach kluczowych (energetycznym, transportowym, bankowym, finansowym, telekomunikacyjnym, zdrowia, produkcji i dystrybucji wody pitnej, infrastruktury cyfrowej);
  • KATEGORIA 2: Kradzież istotnych danych (np. państwowych, bankowych, osobowych);
  • KATEGORIA 3: Nieautoryzowany dostęp serwisowy do systemu teleinformatycznego;
  • KATEGORIA 4: Zmiana (podmiana) informacji w oficjalnych rejestrach i serwisach (państwowych, bankowych, samorządowych);
  • KATEGORIA 5: Utrudnienie dostępu do serwisów i usług.


Podział kompetencji i struktura systemu

Na podstawie wniosków z prac i dyskusji na forum europejskim oraz zdiagnozowanych potrzeb i ambicji RP w cyberprzestrzeni resort cyfryzacji proponuje następujące rozwiązania w zakresie budowy systemu cyberbezpieczeństwa państwa:

  • utworzenie trzypoziomowej struktury systemu cyberbezpieczeństwa, w której odpowiednie instytucje, komórki organizacyjne czy zespoły odpowiadałyby za bezpieczeństwo cyberprzestrzeni w warstwie strategicznej, operacyjnej i technicznej;
  • powstanie wielopoziomowej struktury reagowania na incydenty, z określonymi kompetencjami, strukturą adekwatną do zagrożeń i czytelnymi procedurami reagowania.


Poziom strategiczny – instytucje odpowiedzialne za wyznaczanie kierunków strategicznych i tworzenie podstaw prawnych oraz standardów funkcjonowania całego systemu cyberbezpieczeństwa. Instytucją odpowiedzialną za realizację tych zadań oraz za współpracę z już istniejącymi instytucjami odpowiedzialnymi za bezpieczeństwo RP (m.in. z Biurem Bezpieczeństwa Narodowego oraz Rządowym Centrum Bezpieczeństwa) będzie Ministerstwo Cyfryzacji.

Poziom operacyjny – złożony z Pojedynczego Punktu Kontaktowego, Punktu Kontaktowego dla Operatorów Infrastruktury Krytycznej, Narodowego Centrum Cyberbezpieczeństwa – Centrum Kompetencyjnego, narodowego CERT/CSIRT, sektorowych CERT/CSIRT (sektory: administracji rządowej, w tym obronny; energetyczny; telekomunikacyjny; transportowy – lotniczy, kolejowy, morski; bankowy; finansowy, w tym m.in. giełda; zdrowia – m.in. szpitale i inne podmioty świadczące opiekę zdrowotną; zaopatrzenia w wodę).

Poziom techniczny – operacyjne centra bezpieczeństwa (ang. SOC) oraz poziom użytkownika, tj. pełnomocnicy ochrony cyberprzestrzeni i lokalne zespoły reagowania bezpośrednio obsługujące lokalne systemy oraz pracowników w instytucjach publicznych i firmach prywatnych.

Podsumowanie

Założenia Strategii opracowano z myślą o doskonaleniu funkcjonującego systemu cyberochrony. Dokument powstał na podstawie doświadczeń narodowych oraz zapisów projektu unijnej dyrektywy NIS. Propozycje przedstawione przez resort cyfryzacji w dużej mierze dotyczą obszaru, którym zajmują się na co dzień instytucje i jednostki wchodzące w skład resortu obrony narodowej i Sił Zbrojnych RP. Dodatkowo resort cyfryzacji zaznacza, że będzie stymulować powstawanie partnerstw publiczno-prywatnych w dziedzinie ochrony teleinformatycznej bądź ukierunkowanych na podniesienie bezpieczeństwa świadczonych usług, które z racji kosztów nie są w Polsce powszechne. Trwające do 8 marca 2016 r. konsultacje założeń Strategii Cyberbezpieczeństwa dla RP zapowiadają się zatem niezwykle ciekawie.

Konsultowany projekt został udostępniony na stronie internetowej resortu cyfryzacji.

Piotr Jaszczuk , oficer rezerwy, doradca prezesa UKE w latach 2012–2014, kierownik Wydziału Marketingu i Promocji WIW

dodaj komentarz

komentarze


Front przy biurku
 
Wojna w świętym mieście, część trzecia
Donald Tusk: Więcej akcji a mniej słów w sprawie bezpieczeństwa Europy
W Italii, za wolność waszą i naszą
Gen. Kukuła: Trwa przegląd procedur bezpieczeństwa dotyczących szkolenia
Morska Jednostka Rakietowa w Rumunii
Ustawa o obronie ojczyzny – pytania i odpowiedzi
Operacja „Synteza”, czyli bomby nad Policami
Wojna w Ukrainie oczami medyków
Kadisz za bohaterów
Strategiczna rywalizacja. Związek Sowiecki/ Rosja a NATO
Wojskowy bój o medale w czterech dyscyplinach
Systemy obrony powietrznej dla Ukrainy
Kosiniak-Kamysz o zakupach koreańskiego uzbrojenia
Wytropić zagrożenie
NATO na północnym szlaku
Zmiany w dodatkach stażowych
Wojna w świętym mieście, część druga
Czerwone maki: Monte Cassino na dużym ekranie
Rozpoznać, strzelić, zniknąć
Wypadek na szkoleniu wojsk specjalnych
W Brukseli o wsparciu dla Ukrainy
Wojna na detale
Pod skrzydłami Kormoranów
Strażacy ruszają do akcji
Puchar księżniczki Zofii dla żeglarza CWZS-u
Wojna w świętym mieście, epilog
Żołnierze-sportowcy CWZS-u z medalami w trzech broniach
25 lat w NATO – serwis specjalny
Charge of Dragon
Jakie wyzwania czekają wojskową służbę zdrowia?
W Rumunii powstanie największa europejska baza NATO
Active shooter, czyli warsztaty w WCKMed
Sandhurst: końcowe odliczanie
Przygotowania czas zacząć
Zachować właściwą kolejność działań
Na straży wschodniej flanki NATO
Żołnierze ewakuują Polaków rannych w Gruzji
NATO on Northern Track
Tusk i Szmyhal: Mamy wspólne wartości
Ukraińscy żołnierze w ferworze nauki
Rekordziści z WAT
Lekkoatleci udanie zainaugurowali sezon
Znamy zwycięzców „EkstraKLASY Wojskowej”
Więcej pieniędzy dla żołnierzy TSW
Kolejne FlyEye dla wojska
Ramię w ramię z aliantami
Szpej na miarę potrzeb
Przełajowcy z Czarnej Dywizji najlepsi w crossie
Ustawa o obronie ojczyzny – pytania i odpowiedzi
Morze Czarne pod rakietowym parasolem
Sprawa katyńska à la española
Ustawa o obronie ojczyzny – pytania i odpowiedzi
SOR w Legionowie
Polak kandydatem na stanowisko szefa Komitetu Wojskowego UE
Polscy żołnierze stacjonujący w Libanie są bezpieczni
Święto stołecznego garnizonu
Gunner, nie runner
Aleksandra Mirosław – znów była najszybsza!
NATO zwiększy pomoc dla Ukrainy

Nasi partnerzy

Muzeum Wojska Polskiego
Muzeum Oręża Polskiego
Muzeum Broni Pancernej
Muzeum Sił Powietrznych
Centrum Weterana
Muzeum Marynarki Wojennej
Wydawnictwa WIW
Sklep Internetowy WIW
Prenumerata redakcyjna czasopism WIW
Wydawnictwa specjalistyczne
Publikacje
Regulamin przekazywania materiałów do WIW
Regulamin konkursów WIW
Na skróty

Oferta reklamowa
Buzdygany - regulamin
(obowiązuje od 15.06.2022)
Załącznik 1 do regulaminu Buzdyganów
Załącznik 2 do regulaminu Buzdyganów
Linki
Redakcja
O WIW
Patronaty medialne
Zamówienia publiczne
Platforma zakupowa WIW
Mapa strony
Ogłoszenia o pracę
Kontakt

Wojskowy Instytut Wydawniczy
Al. Jerozolimskie 97
00-909 Warszawa
+48 261 849 008
NIP: 701-02-67-116
sekretariat@zbrojni.pl

Ministerstwo Obrony Narodowej Wojsko Polskie Sztab Generalny Wojska Polskiego Dowództwo Generalne Rodzajów Sił Zbrojnych Dowództwo Operacyjne Rodzajów Sił Zbrojnych Wojska Obrony
Terytorialnej 		Żandarmeria Wojskowa Dowództwo Garnizonu Warszawa Inspektorat Wsparcia SZ Wielonarodowy Korpus
Północno-
Wschodni 		Wielonarodowa
Dywizja
Północny-
Wschód 		Centrum
Szkolenia Sił Połączonych
NATO (JFTC) 		Agencja Uzbrojenia

Wojskowy Instytut Wydawniczy (C) 2015
wykonanie i hosting AIKELO