Internet oraz technologie cyfrowe rewolucjonizują życie obywateli, ale szybkość tych zmian czyni nas podatnymi na zagrożenia płynące z cyberprzestrzeni. Ochrona przed nimi stanowi jeden z priorytetów polskiego rządu, a prace związane z przygotowaniem „Strategii cyberbezpieczeństwa RP na lata 2016–2020” są już na etapie końcowym. Oczekiwany przez ekspertów projekt uchwały Rady Ministrów w tej sprawie został opublikowany w ubiegłym tygodniu i poddany konsultacjom społecznym. Ministerstwo Cyfryzacji zachęca do przedstawiania swoich opinii i wniosków, które można wysyłać drogą elektroniczną do 7 października 2016 r.
Trudna droga
Warto zauważyć, że prace nad strategią nie należały do zadań łatwych i przyjemnych. Wymagały licznych ustaleń międzyresortowych i odbywały się w kilku etapach.
Pierwszym krokiem było opracowanie założeń strategii cyberbezpieczeństwa. Następnym były konsultacje, o których informował m.in. portal Polska-Zbrojna.pl. Nadesłano blisko 90 opinii i stanowisk. Głos zabrały zarówno instytucje publiczne, jak i wiele podmiotów oraz osób prywatnych. Stanowiska i uwagi przedstawiły MON, MSWiA oraz Biuro Bezpieczeństwa Narodowego czy Rządowe Centrum Bezpieczeństwa. Opinie resortów siłowych w marcu opisywałem na łamach portalu Polska-Zbrojna.pl. Resort cyfryzacji zapowiadał wówczas, że ostateczny projekt strategii zostanie przygotowany do 4 maja i zaprezentowany 19 maja podczas konferencji CyberGov w Warszawie.
Deklaracji tych nie udało się spełnić. Termin publikacji projektu strategii systematycznie przesuwano. Pierwsze deklaracje wskazywały czerwiec, następnie czekano na wyniki lipcowego szczytu NATO, jeszcze później rzecznik resortu cyfryzacji wskazywał na koniec sierpnia. Ostatecznie, podczas jednej z dyskusji II Europejskiego Forum Cyberbezpieczeństwa w Krakowie, gen. bryg. rez. Włodzimierz Nowak, pełnomocnik ministra cyfryzacji i dyrektor departamentu cyberbezpieczeństwa, zadeklarował, że projekt strategii zostanie ogłoszony w ciągu najbliższych dni. I rzeczywiście, 29 września, tuż po zakończeniu CYBERSEC, resort ogłosił konsultacje projektu uchwały Rady Ministrów w sprawie „Strategii cyberbezpieczeństwa RP na lata 2016–2020”.
O projekcie
28-stronicowy dokument w opinii ekspertów stanowi solidny fundament systemu cyberbezpieczeństwa w Polsce. Jego autorzy skorzystali z części nadesłanych wcześniej uwag i opinii. Projekt strategii definiuje m.in. akceptowalny poziom bezpieczeństwa jako: „zapewnienie zdolności do realizacji funkcji państwa, zapewnienie dostaw towarów i usług dla przedsiębiorców i ludności oraz niezakłóconego dostępu do sieci Internet”.
Cele strategii uwzględniają najważniejsze obszary polityki cyberbezpieczeństwa, do których zostały zaliczone m.in.:
- zwiększenie poziomu bezpieczeństwa infrastruktury teleinformatycznej państwa;
- zwiększenie zdolności do zapobiegania i zwalczania zagrożeń cybernetycznych;
- zmniejszenie skutków incydentów zagrażających bezpieczeństwu w cyberprzestrzeni;
- określenie kompetencji podmiotów odpowiedzialnych za bezpieczeństwo cyberprzestrzeni;
- budowa spójnego systemu zarządzania bezpieczeństwem w cyberprzestrzeni;
- stworzenie trwałego systemu koordynacji i wymiany informacji między podmiotami odpowiedzialnym za bezpieczeństwo w cyberprzestrzeni;
- zwiększenie świadomości użytkowników w zakresie metod i środków bezpieczeństwa.
Szczególnie ważnym celem strategii jest uczynienie ze wszystkich internautów pierwszej linii obrony. Będzie to możliwe wyłącznie jako rezultat odpowiedniej świadomości zagrożeń i pozwoli na znaczące zmniejszenie liczby incydentów.
Co istotne, projekt strategii zwraca szczególną uwagę na wymiar międzynarodowy polityki cyberbezpieczeństwa. Stanowisko rządu nie odbiega w tej dziedzinie od wizji Unii Europejskiej, USA i innych państw demokratycznych. Zapowiedziano większą aktywność Polski na forum organizacji międzynarodowych i większe zaangażowanie Ministerstwa Spraw Zagranicznych.
Działania państwa w sferze zapewnienia cyberbezpieczeństwa będą miały wymiar strategiczny, operacyjny i techniczny. Te na poziomie strategicznym będą miały charakter zarządczy. Realizowane będą przez Biuro Bezpieczeństwa Narodowego, Ministerstwo Sprawiedliwości, Agencję Bezpieczeństwa Wewnętrznego, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych i Administracji, Komendę Główną Policji oraz Ministerstwo Cyfryzacji.
Poziom operacyjny będzie obejmował zapobieganie, wykrywanie i przeciwdziałania potencjalnym atakom oraz skuteczne reagowanie na negatywne działania w cyberprzestrzeni. Kluczem do sukcesu ma być tu efektywny i jednolity system zarządzania ryzykiem oraz sprawna wymiana informacji.
Trzeci poziom – techniczny pozostanie domeną operatorów systemów teleinformatycznych. Kluczowym elementem będzie tu współpraca i wymiana informacji pomiędzy podmiotami odpowiedzialnymi za poziom strategiczny, operacyjny i techniczny.
Należy podkreślić, że według projektu strategii polski system cyberbezpieczeństwa będzie składał się z trzypoziomowego systemu ochrony cyberprzestrzeni i obejmował ochronę nie tylko instytucji państwowych, lecz również sektora prywatnego i obywateli. Autorzy projektu zauważyli, że infekcja złośliwym oprogramowaniem na poziomie pojedynczych użytkowników może stanowić zagrożenie dla systemów państwowych.
Rządowym organem koordynującym na poziomie polityczno-strategicznym będzie minister właściwy do spraw informatyzacji. W skład systemu wejdą także pozostałe ministerstwa, zgodnie z zakresem ich kompetencji, a także Narodowe Centrum Cyberbezpieczeństwa, sektorowe zespoły reagowania na incydenty (CSIRT) oraz kierownicy urzędów i instytucji. Projekt zakłada stworzenie klastrów bezpieczeństwa w ramach administracji publicznej, obejmujących administrację rządową oraz samorządy. Celem ich budowy jest zapewnienie bezpośredniej ochrony danych oraz niezbędnej infrastruktury technicznej zwiększającej bezpieczeństwo.
Jednym z kluczowych elementów strategii jest podnoszenie świadomości zagrożeń w społeczeństwie oraz budowa wykwalifikowanych kadr i pozyskanie specjalistów od zwalczania cyberzagrożeń. W tym celu cyberbezpieczeństwo ma zostać włączone do edukacji już na poziomie szkoły podstawowej. Będą też prowadzone kampanie informacyjne skierowane do starszych pokoleń. Szczególną wagę będą miały także szkolenia dla pracowników organów ścigania i administracji publicznej.
Autorzy strategii podkreślają konieczność współpracy z ośrodkami akademicki oraz stworzenia naukowego akademickiego klastra cyberbezpieczeństwa. Ma to podnieść kompetencje ośrodków naukowych w dziedzinie cyberbezpieczeństwa.
Projekt przewiduje również intensyfikację współpracy między sektorem publicznym i prywatnym dzięki stworzeniu forum dialogu między tymi sektorami w ramach Forum ds. Cyberbezpieczeństwa. Temat ten był także mocno akcentowany podczas II Europejskiego Forum Cyberbezpieczeństwa.
Eksperci, braki i podsumowanie
Eksperci podkreślają, że osiągnięcie celów strategii będzie wymagało zorganizowania krajowego systemu cyberbezpieczeństwa z udziałem podmiotów prywatnych i instytucji państwowych, koordynacji działań krajowych z wysiłkami międzynarodowymi oraz współpracy z ośrodkami akademickim, sektorem prywatnym i organizacjami pozarządowymi.
Cześć ekspertów oceniających projekt zwraca uwagę na brak załączników w postaci mapy zagrożeń i prawdopodobieństwa ich wystąpienia. Elementy te zostały ujęte w austriackiej strategii cyberbezpieczeństwa. Z kolei Brytyjczycy w swojej strategii precyzyjnie określili zadania oraz kalendarz ich realizacji. Tego rodzaju harmonogramu brakuje w polskim projekcie cyberstrategii.
Podsumowując, projekt strategii został dobrze przyjęty przez ekspertów i media branżowe. Oceniany jest jako idący w dobrym kierunku i będący solidnym fundamentem do dalszych prac nad poprawą cyberbezpieczeństwa RP. Spodziewam się dużego zainteresowania projektem i bardzo aktywnych konsultacji. Warto śledzić ich przebieg, zdecydują one bowiem o kształcie strategii, która jest jednym z kluczowych elementów polskiego systemu cyberbezpieczeństwa. Należy także docenić determinację resortu cyfryzacji, który pomimo trudności, systematycznie dąży do poprawy sytuacji w obszarze cyberbezpieczeństwa. Pozytywne efekty były już widoczne m.in. podczas szczytu NATO, Światowych Dni Młodzieży czy też w newralgicznym momencie wdrażania programu 500+.
komentarze