Trzeba przyznać, że 2019 rok był wyjątkowy dla cyberbezpieczeństwa w Polsce. Rok 2018, w którym po latach oczekiwania pojawił się akt prawny organizujący system cyberbezpieczeństwa w RP, był poniekąd rokiem przełomowym. Powiedzmy sobie jednak szczerze, że bardziej na papierze niż w rzeczywistości. Natomiast to co się stało w ciągu ostatnich 12 miesięcy zmieniło również rzeczywistość. Przypomnijmy sobie najważniejsze ze zdarzeń w kalendarzu cyberbezpieczeństwa Polski 2019 r. Roku, którego wielu nam zazdrości, a niektórzy z nich już ustawiają się w kolejce po korepetycje.
Styczeń
W styczniu zaczęło się od mocnego uderzenie. Minister Obrony Narodowej ogłosił wreszcie to, co od blisko dwóch lat wisiało w powietrzu – powołano nową formację wojskową. Dowództwo Sił Cyberprzestrzeni powstało na bazie, jak na razie nielicznych oddziałów wojskowych specjalistów. Jednak kolejne miesiące, duże sukcesy rekrutacyjne, bazujące na nowoczesnych pomysłach, takich chociażby jak uruchomiony w czerwcu pierwszy rządowy program „bug bounty”, dają nadzieję, że to dopiero udany początek. Dodatkowo podjęto decyzje o uporządkowaniu całego obszaru cyber w Resorcie Obrony Narodowej. Pomysł wyraźnie zarysowanych obszarów kompetencji jednostek wojskowych, które mają prowadzić operacje w cyberprzestrzeni, CSIRT MON jako zarządzającego incydentami, Narodowego Centrum Kryptologii realizującego badania z zakresu cyberbezpieczeństwa nie ograniczonego do kryptografii i jasnego pomysłu na współpracę ze służbami wywiadu i kontrwywiadu wojskowego, wygląda obiecująco.
Luty
W lutym pojawiła się kolejna istotna decyzja. Pełnomocnik rządu ds. cyberbezpieczeństwa ogłosił, że w październiku odbędzie się pierwsza edycja krajowych ćwiczeń w zakresie cyberbezpieczeństwa – Cyber Polska 2019. Jeszcze bardziej istotne jednak było ogłoszenie przez niego prac nad nową ustawą o bezpieczeństwie informacji w cyberprzestrzeni. Brak regulacji dotyczących możliwości skutecznej ochrony przed wrogimi operacjami informacyjnymi był słabą stroną budowanego systemu cyberbezpieczeństwa. Tylko świąteczna przerwa w pracach sejmu sprawiła, że w 2020 rok wchodzimy bez tej ustawy. Nie ma jednak co narzekać – dynamika prac w porównaniu do ustawy o krajowym systemie cyberbezpieczeństwa jest godna podziwu. Jak ustawa sprawdzi się w działaniu czas pokaże, ale pomysł aby pisać ją w oparciu o doświadczenia, jakie zebraliśmy „na żywo” w czasie majowych i październikowych wyborów, był bardzo dobry. Powołane przy tej okazji struktury przy KPRM, przy mocnym wsparciu specjalistów z MSZ i MC oraz operacyjnym wsparciu technicznym ze strony trzech CERT-ów krajowych, to dobry początek do zbudowania tego, co ambitnie zostało zaproponowane w ustawie.
Marzec
Wydarzenia z marca były przełomowe nie tylko na podwórku lokalnym, ale też międzynarodowym. W pozytywną decyzję amerykańskiego kongresu w sprawie „Fort Trump” wierzyło wielu, ale bezprecedensowe rozszerzenie współpracy z Amerykanami o komponent cyber było zaskoczeniem praktycznie dla wszystkich. Takiej decyzji Amerykanie nie podjęli jeszcze wobec żadnego z sojuszników. Sami przyznali, że przekonującym argumentem były starania strony polskiej i możliwość zapoznania się ze strategicznym planem przedstawionym przez polskie MON, dotyczącym rozwoju Dowództwa Sił Cyberprzestrzeni. Zapewne w roku 2020 poznamy szczegóły tej współpracy, ale już sama decyzja o możliwości udziału polskich żołnierzy w operacjach prowadzonych wspólnie z US CYBERCOM, jest bez precedensu.
Kwiecień
W kwietniu na szczególną uwagę zasługuje decyzja czterech organów właściwych (zgodnie z UoKSC) o powołaniu pierwszych w RP sektorowych zespołów cyberbezpieczeństwa. O ile decyzje w sprawie sektorowych CERT-ów w sektorze finansowym i energii nie dziwią, gdyż te sektory od dłuższego czasu budowały swoją dojrzałość, to mile zaskakują decyzje o takich zespołach w sektorze ochrony zdrowia i transportu. Wiele osób narzekało na słaby poziom cyberbezpieczeństwa w tych niezwykle ważnych sektorach. Plan transferu wiedzy do nich i szczególna rola wszystkich CERT-ów krajowych, dotycząca wsparcia nowych ośrodków, rodzi po raz pierwszy nadzieję, że coś się tutaj zmieni. Zresztą jeśli dziś, na koniec grudnia, spojrzymy na działalność zespołów powołanych przez Ministerstwo Zdrowia i Ministerstwo Infrastruktury oraz ich aktywny udział w Cyber Polska 2019, wiemy że tym razem nie były to decyzje na papierze.
Maj
Przewidywania dotyczące majowych wyborów do europarlamentu spędzały sen z powiek głównie specjalistom od operacji informacyjnych. Pamiętamy, że nie było łatwo. Identyfikacja całych farm trolli w mediach społecznościowych i kilka poważnych ataków DDoS, które miały na celu podważyć poprawność procesu wyborczego, wymagało dużo pracy po stronie odpowiedzialnych za cyberbezpieczeństwo nie tylko w Polsce, ale i w całej Europie. Możemy być dumni, że nasze propozycje rozwiązań kilkukrotnie były przytaczane przez światowe media jako wzorcowe na przyszłość. Widać, że zapowiedzi dotyczące tego jak będzie powstawała uchwalana właśnie ustawa o bezpieczeństwie informacji w cyberprzestrzeni, nie były czcze. Rzeczywiście pod koniec maja mieliśmy okazje przetestować pierwsze praktyczne pomysły w tej sprawie. Szczególne pochwały zebrał pomysł, aby poprzez aplikację RSO (Regionalny System Ostrzegania) przekazywać ostrzeżenia o fałszywych informacjach. Przy tej okazji najbardziej pozytywny (a i zaskakujący) wydaje się fakt, że to rozwiązanie nie napotkało krytyki ze strony żadnej z politycznych sił. Rodzi to nadzieję, że będziemy potrafili skutecznie identyfikować operacyjne wymierzone wobec naszego Kraju i naszych sojuszników, a nie będących wyłącznie fragmentem wewnętrznych, politycznych bojów.
Czerwiec
W czerwcu miał miejsce pierwszy rządowy „bug bounty”. Blisko pół miliona złotych rozdane w ciągu trzech tygodni pośród specjalistów, którzy „ostrzeliwali” pięć różnych rządowych systemów, był chyba najlepszym i najtańszym testem penetracyjnym zorganizowanym przez instytucje państwowe. Rentowność tego przedsięwzięcia jest jeszcze większa, jeśli dołożyć do wspomnianych zysków pozytywne emocje dotyczące nowoczesnego podejścia administracji państwowej do kwestii cyberbezpieczeństwa i stale zwiększające się, jak sygnalizuje Ministerstwo Cyfryzacji i Ministerstwo Obrony Narodowej, zainteresowanie pracą dla Państwa w tej dziedzinie.
Lipiec
Trzeba przyznać, że rok 2019 był również rokiem zmiany podejścia do spraw budżetowych. Nie musieliśmy już narzekać, tak jak przy okazji UoKSC, w której przewidziano 90 mln zł na 10 lat, co było sumą raczej symboliczną. Praktycznie każde przedsięwzięcie, które podejmowano miało przyzwoity budżet. Okazało się, że nie są to wielkie pieniądze w skali budżetu państwa, a nadały działaniom rzeczywistą moc sprawczą. Blisko 2 mld zł w budżecie na 2020 r. na cyberbezpieczeństwo „opisane” w UoKSC to absolutnie nowa jakość.
Przy tej okazji pojawiły się też rozwiązania, które okazały się realnym wzmocnieniem budżetu ze strony tych, którzy aż się o to prosili. Najciekawszym zapewne jest rozwiązanie, które pozwala na to, żeby kary wymierzane za naruszanie przepisów prawa w obszarze cyberbezpieczeństwa zostały częściowo przeznaczane na kampanie społeczne, uświadamiające zagrożenia w cyberprzestrzeni. Szczególnie budżet powstały z pierwszych kar za nieprzestrzeganie RODO może się przyczynić do większej świadomości dotyczącej ochrony prywatności i zrodzić większe oczekiwania i wymagania wobec, tych którzy na danych o nas chcą zarabiać.
Sierpień
Z punktu widzenia strategicznego największe znaczenie miała sierpniowa decyzja, będąca wynikiem pracy Kolegium ds. Cyberbezpieczeństwa, które pod przewodnictwem Premiera podjęło decyzję o rozpoczęciu prac nad powołaniem Narodowej Agencji Cyberbezpieczeństwa. Nowa agencja rządowa, która ma stać się zapleczem dla wszystkich działań związanych z bezpieczeństwem w cyberprzestrzeni rozumianym bardzo szeroko, tą decyzją dopiero się rodzi. Czeka nas mnóstwo pracy zanim odpowiemy sobie na pytania o zakres jej działania, relacje z istniejącym CSIRT-em rządowym, służbami specjalnymi, itd. Ta praca jednak jest konieczna. Musimy sprostać zadaniom, które stają przed państwem, które chcąc nie chcąc coraz bardziej zapuszcza korzenie w cyberprzestrzeni. Nie ma innego wyjścia. Trzeba zrobić krok, który inni wykonali już dawno, i uciec od sytuacji, w której kolejne przypominanie o tym, że złamaliśmy Enigmę nie stanie się wreszcie żałosne.
Wrzesień
Wrzesień do kolejny moment w 2019 roku, w którym zasygnalizowaliśmy swoje aspiracje międzynarodowe. Polska zaproponowała nowatorski system oznaczania aplikacji (na początek mobilnych) pod względem poziomu ryzyka dla prywatności danych, które są w nim oznaczane. Jeśli ten system się przyjmie, to administratorzy, którzy chcą przetwarzać nasze dane osobowe, nie będą mogli się ograniczyć do prostego stwierdzenia – „bezpieczeństwo Twoich danych jest dla nas priorytetem”. Stwierdzenie, które jest czymś pomiędzy marketingowym bełkotem a lenistwem w spełnianiu wymogów prawnych, może wreszcie przejść do lamusa. Każda aplikacja będzie musiała posiadać wyraźne oznaczenie dotyczące ryzyka przetwarzania w nich danych. Poziom tego ryzyka będzie rósł wraz z apetytem na nasze dane. Nie ma wyjścia – chcesz więcej danych, musisz się przyznać do tego, że powodujesz większe ryzyko ich wycieku czy kompromitacji. Takie są po prostu fakty. Większe zbiory narażone są na więcej zagrożeń. Element ilościowy w kalkulacji ryzyka to jedno, drugie to element jakościowy dotyczący mechanizmów zabezpieczenia i dystrybucji oprogramowania. Jeśli dodamy do tego konieczność jasnego przedstawienia informacji dotyczącej tego, z kim i jakie dane dzielimy, to być może stworzymy namiastkę systemu, który zdecydowanie poprawi poziom świadomości korzystających z aplikacji i zmusi ich producentów do większej staranności w zabezpieczaniu. Czy mamy szansę na sukces podobny do tego jaki swego czasu odniósł system oznaczania PEGI? Czas dopiero pokaże.
Październik
W październiku odbyła się pierwsza edycja wcześniej wspominanych ćwiczeń Cyber Polska 2019. Szczęśliwie same ćwiczenia w cyberprzestrzeni nie są w Polsce zupełną nowością. Bierzemy udział w kilku ważnych przedsięwzięciach międzynarodowych, takich ka Locked Shields, Cyber Coalition czy Cyber Europe. Mamy pewne sukcesy w organizacji ćwiczeń własnych, jak chociażby te zdobywane przy edycji Cyber-EXE Polska, ale Cyber Polska to duży krok naprzód. Dobrze rozwinięta warstwa techniczna zorganizowana przez CSIRT-y krajowe, komponent infoopsowy, co było kolejnym praktycznym podejściem do tworzenia ustawy, no i co najważniejsze – profesjonalnie zorganizowana warstwa strategiczno-polityczna. Fakt, że w ćwiczeniach wzięli udział przedstawiciele rządu z premierem na czele jest bez precedensu. Świadomość zbudowane przy tej okazji w głowach politycznych decydentów jest nieoceniona. Przekonali się oni jak ważne konsekwencje może mieć skoordynowany atak techniczny w cyberprzestrzeni, poparty dobrze zaplanowaną wrogą operacją informacyjną. Wszyscy, którzy wspominali, o tym jak blisko siebie funkcjonują ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o zarządzaniu kryzysowym, a nawet ustawa o powszechnym obowiązku obrony, dzięki scenariuszowi Cyber Polska 2019, mogli udowodnić, że mieli rację. Należy też pochwalić decyzję o organizacji tych ćwiczeń w cyklu dwuletnim. Kilka mankamentów, które pojawiły się przy organizacji, pokazały że nie jest to przedsięwzięcie łatwe. Lepiej nie robić go na siłę zbyt często, a przygotować z rozmysłem i profesjonalnie. Pierwsza edycja nie była falstartem. Mała zadyszka przy tej okazji wskazuje jedynie na konieczność dalszego treningu.
Listopad
Październikowe ćwiczenia pokazały też jak bardzo praktyczne mogą być ćwiczenia. Już miesiąc później Ministerstwo Cyfryzacji przedstawiło bowiem pierwszą pełną specyfikację systemu teleinformatycznego, o którym mowa w Art.46 UoKSC. To rozszerzenie podobno już istniejącej wersji beta systemu. Powstało właśnie na bazie wniosków z Cyber Polska 2019. W specyfikacji pojawiły się konkretne rozwiązania wspierające współpracę podmiotów KSC, a szczególnie CSIRT-ów krajowych i sektorowych zespołów cyberbezpieczeństwa. Wszystkim zostanie udostępniony system rekomendacji. Najważniejsze jednak, że jest pomysł na szacowanie ryzyka na poziomie krajowym. Pełnomocnik rządu wreszcie dostanie wymierne narzędzie oceny sytuacji innej niż odpowiedzi na pisma i roczne raportu. Dobrze, że jest specyfikacja, źle że do jej wdrożenia pozostało bardzo mało czasu. Przypomnijmy – zgodnie z prawem system ma zostać uruchomiony do dnia 1 stycznia 2021!
Grudzień
I tak mamy grudzień 2019 r. Jakby było mało wszystkiego to Ministerstwo Cyfryzacji zapowiedziało, że ma gotowy materiał do rozpoczęcia prac nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa i planuje taką nowelizację w maju 2020 r. Jeszcze rok temu nikt zapewne by w takie deklaracje nie uwierzył, ale seria pozytywnych działań pozwala na taką wiarę. Co ważniejsze – materiał zgromadzony w ciągu dwunastu ostatnich miesięcy daje dużą szansę, że nowelizacja będzie bardzo praktyczna, konkretna i dotykała będzie najistotniejszych zagadnień.
Tego i nie tylko tego pozostaje sobie życzyć w „nadchodzącym” roku!
Śledź na:
TT: @cybsecurity_org
Facebook: @FundacjaBezpiecznaCyberprzestrzen
In: /cybersecurity-foundation/