Skuteczne zabezpieczenie cyberprzestrzeni jest jednym z głównych priorytetów sojuszniczych i narodowych. W ocenie ekspertów obszar ten powinien być traktowany na równi z ochroną militarną kraju. Jednak do tej pory w Polsce, jak i w części państw UE oraz NATO, nie zbudowano silnych ośrodków koordynujących zagadnienia cyberbezpieczeństwa państwa. A tymczasem zagrożenie rośnie. Statystyki mówią same za siebie. W 2014 roku Polska znalazła się na 10. miejscu wśród krajów o największym współczynniku zagrożenia, z niemal 3 procentami komputerów pracujących w sieciach botnet. Codziennie atakowanych było 500 tysięcy stron internetowych. Odnotowano 312 istotnych włamań do systemów teleinformatycznych, a w czterech przypadkach stwierdzono podejrzenia kradzieży ponad 10 milionów tożsamości. Ogółem tylko w samym 2014 roku skradziono 350 milionów tożsamości.
Ministerstwo Cyfryzacji do 8 marca prowadzi konsultacje założeń Strategii Cyberbezpieczeństwa dla RP. Projekt przewiduje szereg zmian, w tym powierzenie roli ośrodka koordynacji działań związanych z ochroną cyberprzestrzeni RP oraz krajowego systemu reagowania na incydenty komputerowe resortowi informatyzacji, w którym powołano departament cyberbezpieczeństwa.
Statystyki mówią same za siebie. Liczba zagrożeń i ataków cybernetycznych systematycznie rośnie. Tylko w 2014 roku na świecie pojawiło się 6,5 tys. nowych podatności w oprogramowaniu wykorzystywanym przez strony internetowe, a 76 procent przebadanych stron internetowych posiadało słabości, przez które można było je zaatakować. Blisko 2 miliony komputerów pracowało w sieciach botnet, a Polska znalazła się na 10. miejscu wśród krajów o największym współczynniku zagrożenia z niemal 3 procentami komputerów pracujących w sieciach botnet. Codziennie atakowanych było 500 tysięcy stron internetowych. Każdego dnia generowano 28 miliardów wiadomości e-mail kwalifikowanych jako spam, a jedna na tysiąc była uznawana za próbę phishingu. Stwierdzono 35 podatności w systemach sterowników przemysłowych wytwarzanych przez 9 wiodących producentów, także tych wykorzystywanych w systemach sterowania infrastruktury krytycznej. Odnotowano 312 istotnych włamań do systemów teleinformatycznych, a w czterech przypadkach stwierdzono podejrzenia kradzieży ponad 10 milionów tożsamości. Ogółem tylko w samym 2014 roku skradziono 350 milionów tożsamości.
Skuteczne zabezpieczenie cyberprzestrzeni, w tym bezpieczeństwo obywateli w sieci Internet, jest jednym z głównych priorytetów sojuszniczych i narodowych. W ocenie ekspertów obszar ten powinien być traktowany na równi z ochroną militarną kraju. Resort cyfryzacji podkreśla, że mimo zrozumienia istoty problemu, do tej pory w Polsce, jak i w części państw UE oraz NATO, nie zbudowano silnych ośrodków koordynujących zagadnienia cyberbezpieczeństwa państwa. System ten wymaga szeregu zmian i modyfikacji.
Jakie propozycje przygotował resort informatyzacji?
Autorzy założeń dostrzegają, że Polska nie posiada jednolitego ustawodawstwa regulującego instytucjonalno-prawne warunki ochrony cyberprzestrzeni. Funkcjonują jedynie przepisy regulujące jednostkowe, wybrane kwestie bezpieczeństwa teleinformatycznego. Zarówno polscy, jak i międzynarodowi eksperci podkreślają, że w skali państwa niezbędne jest spójne podejście do zapewnienia bezpieczeństwa systemów teleinformatycznych i informacji. W ocenie ekspertów, jest to jedna z najpilniejszych spraw, które należy uporządkować i usystematyzować. Podstawą wszelkich działań powinna być zatem wiedza o tym, czy w danym momencie systemy teleinformatyczne na terenie kraju poddawane są atakom oraz jaka jest ich istota i skala.
Unia Europejska mocno podkreśla potrzebę zapewnienia wysokiego poziomu wspólnego bezpieczeństwa sieci i informacji w obrębie wspólnoty. Trwają właśnie prace nad projektem dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu cyberbezpieczeństwa (dyrektywa NIS). Wszystko wskazuje na to, że prace nad projektem zakończą się w połowie roku. Co istotne, równolegle z działaniami na poziomie wspólnotowym prowadzone są prace narodowe, którym przyświeca zbudowanie minimalnych warunków ochrony cyberprzestrzeni. Nie czekając na wdrożenie dyrektywy, w Polsce realizowane są i będą realizowane następujące przedsięwzięcia:
- powołanie w administracji państwowej zespołów reagowania na incydenty komputerowe,
- powołanie w Ministerstwie Cyfryzacji ośrodka koordynacji działań związanych z ochroną cyberprzestrzeni, zgodnie z zaleceniem Najwyższej Izby Kontroli, do czasu wdrożenia docelowych struktur,
- uzupełnienie Krajowego Planu Zarządzania Kryzysowego o zagrożenia związane z cyberbezpieczeństwem,
- opracowanie i wdrożenie strategii ochrony cyberprzestrzeni państwa.
Ważnym elementem działań na szczeblu narodowym są konsultacje założeń Strategii Cyberbezpieczeństwa dla RP. Opracowane przez resort cyfryzacji założenia obejmują analizę aktualnego stanu cyberbezpieczeństwa (stan prawny i organizacyjny oraz sposób rozdziału kompetencji w tym zakresie), główne założenia i propozycje budowy systemu ochrony cyberprzestrzeni RP (podział kompetencji, proponowana struktura, system wczesnego ostrzegania i reagowania, procedury, progi reakcji, kanały wymiany informacji, organizator systemu i jego rola, ocena ryzyka, aspekty finansowe i prawne, a także linia ostatniej obrony oraz przewidywane korzyści).
Zgodnie z założeniami strategii rola ośrodka koordynacji działań związanych z ochroną cyberprzestrzeni RP (organizator systemu) oraz krajowego systemu reagowania na incydenty komputerowe będzie powierzona Ministerstwu Cyfryzacji. Nowy statut tego resortu uwzględnia, już istniejący, Departament Cyberbezpieczeństwa, który docelowo będzie nadzorowany przez specjalnie powołanego do tego wiceministra.
Według zapisów projektu, na poziomie strategicznym rolą organizatora systemu będzie przygotowanie krajowej strategii cyberbezpieczeństwa obejmującej administrację państwową i sektory rynkowe, tj. energetykę, transport, bankowość i instytucje finansowe, sektory zdrowia, zaopatrzenia w wodę, infrastrukturę cyfrową i dostawców usług cyfrowych, co wynika z projektu europejskiej dyrektywy NIS.
Obowiązkiem organizatora systemu będzie opracowanie dokumentu strategicznego w zakresie cyberbezpieczeństwa, jednocześnie zostanie przeprowadzona ewaluacja i uspójnienie dotychczasowych dokumentów strategicznych odnoszących się do problematyki cyberbezpieczeństwa, tj. „Polityki ochrony cyberprzestrzeni RP”. „Strategii bezpieczeństwa narodowego”, „Doktryny cyberbezpieczeństwa RP” oraz Narodowego Program Ochrony Infrastruktury Krytycznej.
Ministerstwo Cyfryzacji będzie odpowiedzialne za opracowanie, konsultacje i przedstawianie odpowiednich rozwiązań legislacyjnych pozwalających na funkcjonowanie całego systemu bezpieczeństwa cyberprzestrzeni, w tym za przygotowywania projektów aktów prawnych (ustaw i rozporządzeń dotyczących ochrony cyberprzestrzeni) o charakterze międzysektorowym oraz za harmonizację z prawodawstwem unijnym.
Dodatkowo resort informatyzacji odgrywał będzie rolę koordynacyjną w obszarze współpracy międzynarodowej, przewidzianą w projekcie dyrektywy NIS, tj. rolę „organu właściwego ds. bezpieczeństwa sieci i informacji” oraz rolę „pojedynczego punktu kontaktowego”.
Opisując aktualny stan polskiego systemu cyberochrony, autorzy założeń opracowanych w resorcie cyfryzacji podkreślają, że „aktualnie w Polsce brak jest jednoznacznych procedur oraz określonych poziomów reakcji na zagrożenia zidentyfikowane w sieciach teleinformatycznych”. Zaznaczają także, iż „kompetencje związane z bezpieczeństwem cyberprzestrzeni dzielone są m.in. pomiędzy Ministerstwo Obrony Narodowej, Rządowe Centrum Bezpieczeństwa, Ministerstwo Cyfryzacji, jak również Radę Ministrów, Agencję Bezpieczeństwa Wewnętrznego, Komendę Główną Policji, Ministerstwo Sprawiedliwości, Urząd Komunikacji Elektronicznej, a także przez CERT Polska znajdujący się w strukturze Naukowej i Akademickiej Sieci Komputerowej (NASK)”. Analizując obecny stan wskazują, że „w Polsce funkcjonują publiczne i prywatne zespoły ds. reagowania na incydenty komputerowe (CERT) obejmujące swoim zakresem m.in. administrację rządową, wojskową oraz policję, a także zespoły utworzone przez operatorów telekomunikacyjnych oraz środowiska naukowo-badawcze”. Zauważają, że „podmioty uczestniczące w procesie nie mają jasno określonych progów reakcji”.
Aktualny podział kompetencji:
- Ministerstwo Cyfryzacji – kluczowa rola w procesach związanych z ochroną cyberprzestrzeni. Strategiczno-polityczny koordynator systemu ochrony cyberprzestrzeni RP. We współpracy z ABW opracowało w 2013 roku „Politykę ochrony cyberprzestrzeni RP”;
- Ministerstwo Obrony Narodowej – odpowiada za wojskową sferę ochrony cyberprzestrzeni RP. W ramach MON funkcjonuje Inspektorat Systemów Informacyjnych, działający na potrzeby resortu MIL-CERT oraz Narodowe Centrum Kryptologii (NCK);
- Biuro Bezpieczeństwa Narodowego – organ doradczy prezydenta RP, w którym opracowano „Doktrynę cyberbezpieczeństwa Rzeczypospolitej Polskiej”;
- Agencja Bezpieczeństwa Wewnętrznego – rozpoznaje, zapobiega i zwalcza zagrożenia godzące w bezpieczeństwo wewnętrzne państwa. W strukturze Agencji funkcjonuje Departament Bezpieczeństwa Teleinformatycznego, w ramach którego działa Rządowy Zespół Reagowania na Incydenty Komputerowe – CERT.GOV.PL;
- Ministerstwo Spraw Wewnętrznych i Administracji – nadzoruje działania policji w zakresie zwalczania cyberprzestępczości;
- Policja – zwalcza cyberprzestępczość. W strukturach policji funkcjonuje POL-CERT;
- Urząd Komunikacji Elektronicznej – regulator rynku telekomunikacyjnego i pocztowego. Zapewnia implementacje prawa telekomunikacyjnego w kontekście bezpieczeństwa w cyberprzestrzeni;
- Rządowe Centrum Bezpieczeństwa – odgrywa przodującą rolę w obszarze zarządzania kryzysowego i ochrony infrastruktury krytycznej, przygotowuje Narodowy Program Ochrony Infrastruktury Krytycznej, a także Krajowy Plan Zarządzania Kryzysowego oraz „Raport o zagrożeniach bezpieczeństwa narodowego”. W centrum znajduje się 24-godzinna służba dyżurna, która odpowiada za przekazywanie informacji o zagrożeniach;
- Ministerstwo Sprawiedliwości – kreuje prawo w zakresie cyberprzestępczości i nadzoruje jego właściwe wykonanie;
- Ministerstwo Finansów – odpowiada za kwestie budżetowe, w tym za sprawy związane z cyberbezpieczeństwem;
- Naukowa i Akademicka Sieć Komputerowa – instytut badawczy nadzorowany przez Ministerstwo Cyfryzacji. W ramach NASK funkcjonuje zespół CERT.POLSKA, który pełni de facto rolę krajowego CERT/CSIRT.
Główne założenia budowy systemu ochrony cyberprzestrzeni RP
Przedstawiając założenia, resort cyfryzacji podkreśla, że każdy element krajowego systemu teleinformatycznego musi być zaangażowany w proces reagowania na zagrożenia w cyberprzestrzeni.
Według autorów projektu konieczne jest:
- wypracowanie struktur organizacyjnych odpowiedzialnych za obsługę incydentów;
- utworzenie efektywnego systemu wczesnego ostrzegania;
- stworzenie wielopoziomowych procedur reagowania na incydenty, spójnych z już istniejącymi procedurami z zakresu
- zarządzania kryzysowego. Jasne określenie procedur i progów reakcji zgodnie z następującą hierarchią zagrożeń:
- KATEGORIA 1: Ograniczenie lub zaprzestanie realizacji istotnych funkcji państwa w sektorach kluczowych (energetycznym, transportowym, bankowym, finansowym, telekomunikacyjnym, zdrowia, produkcji i dystrybucji wody pitnej, infrastruktury cyfrowej);
- KATEGORIA 2: Kradzież istotnych danych (np. państwowych, bankowych, osobowych);
- KATEGORIA 3: Nieautoryzowany dostęp serwisowy do systemu teleinformatycznego;
- KATEGORIA 4: Zmiana (podmiana) informacji w oficjalnych rejestrach i serwisach (państwowych, bankowych, samorządowych);
- KATEGORIA 5: Utrudnienie dostępu do serwisów i usług.
Podział kompetencji i struktura systemu
Na podstawie wniosków z prac i dyskusji na forum europejskim oraz zdiagnozowanych potrzeb i ambicji RP w cyberprzestrzeni resort cyfryzacji proponuje następujące rozwiązania w zakresie budowy systemu cyberbezpieczeństwa państwa:
- utworzenie trzypoziomowej struktury systemu cyberbezpieczeństwa, w której odpowiednie instytucje, komórki organizacyjne czy zespoły odpowiadałyby za bezpieczeństwo cyberprzestrzeni w warstwie strategicznej, operacyjnej i technicznej;
- powstanie wielopoziomowej struktury reagowania na incydenty, z określonymi kompetencjami, strukturą adekwatną do zagrożeń i czytelnymi procedurami reagowania.
Poziom strategiczny – instytucje odpowiedzialne za wyznaczanie kierunków strategicznych i tworzenie podstaw prawnych oraz standardów funkcjonowania całego systemu cyberbezpieczeństwa. Instytucją odpowiedzialną za realizację tych zadań oraz za współpracę z już istniejącymi instytucjami odpowiedzialnymi za bezpieczeństwo RP (m.in. z Biurem Bezpieczeństwa Narodowego oraz Rządowym Centrum Bezpieczeństwa) będzie Ministerstwo Cyfryzacji.
Poziom operacyjny – złożony z Pojedynczego Punktu Kontaktowego, Punktu Kontaktowego dla Operatorów Infrastruktury Krytycznej, Narodowego Centrum Cyberbezpieczeństwa – Centrum Kompetencyjnego, narodowego CERT/CSIRT, sektorowych CERT/CSIRT (sektory: administracji rządowej, w tym obronny; energetyczny; telekomunikacyjny; transportowy – lotniczy, kolejowy, morski; bankowy; finansowy, w tym m.in. giełda; zdrowia – m.in. szpitale i inne podmioty świadczące opiekę zdrowotną; zaopatrzenia w wodę).
Poziom techniczny – operacyjne centra bezpieczeństwa (ang. SOC) oraz poziom użytkownika, tj. pełnomocnicy ochrony cyberprzestrzeni i lokalne zespoły reagowania bezpośrednio obsługujące lokalne systemy oraz pracowników w instytucjach publicznych i firmach prywatnych.
Podsumowanie
Założenia Strategii opracowano z myślą o doskonaleniu funkcjonującego systemu cyberochrony. Dokument powstał na podstawie doświadczeń narodowych oraz zapisów projektu unijnej dyrektywy NIS. Propozycje przedstawione przez resort cyfryzacji w dużej mierze dotyczą obszaru, którym zajmują się na co dzień instytucje i jednostki wchodzące w skład resortu obrony narodowej i Sił Zbrojnych RP. Dodatkowo resort cyfryzacji zaznacza, że będzie stymulować powstawanie partnerstw publiczno-prywatnych w dziedzinie ochrony teleinformatycznej bądź ukierunkowanych na podniesienie bezpieczeństwa świadczonych usług, które z racji kosztów nie są w Polsce powszechne. Trwające do 8 marca 2016 r. konsultacje założeń Strategii Cyberbezpieczeństwa dla RP zapowiadają się zatem niezwykle ciekawie.
Konsultowany projekt został udostępniony na stronie internetowej resortu cyfryzacji.
komentarze