Ustawa o Krajowym Systemie Cyberbezpieczeństwa (dalej UoKSC) weszła w życie w lipcu 2018 r. Minął zatem rok od funkcjonowania jej przepisów w polskim systemie prawnym. Podczas konferencji „Security Case Study 2019” organizowanej przez Fundację Bezpieczna Cyberprzestrzeń oraz Stowarzyszenie Instytut Informatyki Śledczej, odbyła się debata nad stanem wdrożenia tego aktu prawnego. Jako, że UoKSC traktuje cyberprzestrzeń kompleksowo, niezbędna okazała się ocena postępów z punktu widzenia wielu interesariuszy, zarówno więc administracji państwowej, biznesu, jak i sektora obrony narodowej. Stąd nasz artykuł, który opiera się na wypowiedziach eksperckich osób biorących udział w debacie, jest podzielony na właśnie te trzy obszary.
Rozwój komponentu „cyber” w Wojsku Polskim
UoKSC nakłada obowiązki związane z cyberbezpieczeństwem nie tylko na właściwy CSIRT poziomu krajowego (CSIRT MON), ale także w dużej mierze na Ministra Obrony Narodowej (zob. rozdział 10 UoKSC). Siły Zbrojne RP kontynuują zatem program budowy cyber-zdolności, a konkretnie, kształtuje się pomysł na funkcjonowanie i rozwój ogłoszonych w tym lutym tego roku Wojsk Obrony Cyberprzestrzeni. – Została opracowana koncepcja nowego rodzaju wojsk (…) zatwierdził ją Minister Obrony Narodowej i skierował do realizacji. Rozpoczyna się proces formowania, (…) do końca 2022 r. zostanie powołane Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni, które będzie konsolidowało wszystkie zasoby związane z planowaniem i realizacją zadań. Natomiast pełna gotowość operacyjna tychże wojsk planowana jest na zakończenie 2024 r. – poinformował płk. Przemysław Przybylak (Komendant Centrum Operacji Cybernetycznych). W tym samym roku cały komponent nowego rodzaju wojsk ma również być podporządkowany Szefowi Sztabu Generalnego. Do tego czasu wojsko ma rozwijać swój potencjał w cyberprzestrzeni, m.in. poprzez szkolenie kadr niższych dowódców w zakresie łączności, informatyki i szeroko rozumianego cyberbezpieczeństwa. Do tego zadania ma być przeznaczone m.in. Centrum Szkolenia Łączności i Informatyki w Zegrzu.
Sam dokument koncepcji Wojsk Obrony Cyberprzestrzeni jest niejawny, nie należy jednak oczekiwać poważnych zmian, które w krótkim czasie zmienią oblicze polskiego wojska w kontekście cyberprzestrzeni. – Podejście zaproponowane w koncepcji jest ewolucyjne, a nie rewolucyjne (…) – poinformował płk. Przybylak. Dodatkowo, koncepcja jest zaprojektowana w taki sposób, by możliwa była weryfikacja działań wojska, również w kontekście bieżących i przyszłych zagrożeń. – Nie jesteśmy w stanie zdefiniować zagrożeń, które będą za dwa lata; koncepcja wybiega do przodu, więc na każdym etapie będzie weryfikacja czy założenia są jeszcze adekwatne do rzeczywistości – dodał Komendant. Potwierdzono również, że efektem dotychczasowej konsolidacji szeroko rozumianego IT oraz cyberbezpieczeństwa jest powstanie Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni.
Potrzebne konkretne mierniki wdrożenia oraz wskazanie źródeł finansowania
Wdrożenie skomplikowanych przepisów Ustawy jest dużym i skomplikowanym przedsięwzięciem, dla którego niezbędne jest określenie mierników efektywności takiego wdrożenia oraz kamieni milowych. Najwyższa Izba Kontroli (NIK) dokonała oceny poziomu bezpieczeństwa systemów teleinformatycznych i bezpieczeństwa informacji w jednostkach samorządu terytorialnego na Podlasiu. Na bazie tej próby można skonstruować pesymistyczny obraz stanu zawansowania prac w obszarze cyberbezpieczeństwa. – Nasze krytyczne raporty nie są krytyką samą w sobie, natomiast to jest uchwycenie pewnego momentu. To, że ten obraz jest w miarę reprezentatywny świadczy szereg kontroli, które przeprowadzamy (…) Cyberprzestrzeń to jeden z wielu obszarów, którymi się zajmujemy i widzimy pewne ryzyka, które niestety mogą się tutaj sprawdzić – tłumaczył Marek Bieńkowski, Dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego w Najwyższej Izby Kontroli. Kontrole, które podejmuje NIK świadczą również o tym, że popełniane są podobne błędy i zaniedbania w obszarze innych inicjatyw państwowych skoncentrowanych na ICT, cyfryzacji czy bezpieczeństwie. Do jednej z nich należy (a o której stanowi również UoKSC) projekt Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2019-2024. Dokument, który jest obecnie w fazie intensywanych konsultacji i przygotowywany jest do ostatecznego zatwierdzenia. Naszym zdaniem jeśli budujemy taki dokument to musimy określić realne mierniki realizacji poszczególnych etapów. Jeśli tego nie zrobimy to jest to po prostu zbiór pobożnych życzeń, nieweryfikowalnych. – zauważył Marek Bieńkowski.
Nie jest jednak pewne w jakiej formie należy opracować tego rodzaju punkty kontrolne, ani czy powinny być one częścią samych dokumentów strategicznych, bądź innych. Niezależnie od tych rozważań, odpowiednie działania muszą być zdefiniowane odpowiednim poziomie szczegółowości i muszą być mierzalne. – Chcemy pozycjonować plany działania (Strategii) jako dokumenty, które będą definiowały konkretne działania, z konkretnymi harmonogramami i ze wskazaniem konkretnych źródeł finansowania – poinformował Robert Kośla, Dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Poprzednie dokumenty poziomu strategicznego, począwszy od Polityki Ochrony Cyberprzestrzeni RP z 2013 r. nie odnosiły się do tego typu szczegółów, w tym do źródeł finansowania. Dużym wyzwaniem jest stworzenie takiego modelu finansowania, który zapewniłby zaspokojenie potrzeb, zwłaszcza jeśli działania mają charakter działań międzysektorowych. – Dotyczy to wszystkich, całej gospodarki, nie dotyczy tylko sektora publicznego ale również sektora prywatnego i też mieliśmy pytania czy strategia zakłada finansowanie przedsięwzięć, które muszą wykonać prywatne podmioty w zakresie cyberbezpieczeństwa (…) Trudno znaleźć formułę prawną, taką, żeby finansować działania prywatnych podmiotów w tej chwili, natomiast taki model trzeba będzie wypracować – dodał Robert Kośla. Rozważane są różne opcje, m.in. można skorzystać z doświadczeń Ministerstwa Obrony Narodowej, gdzie na cyberbezpieczeństwo przeznaczony jest określony procent produktu krajowego brutto. Cały czas też nieprzesądzona jest kwestia finansowania zdolności cyberbezpieczeństwa z budżetu unijnego (np. projekt Europejskiego Centrum Kompetencji Cyberbezpieczeństwa).
Kto zadba o samorządy?
Model współpracy publiczno-prywatnej w kontekście źródeł finansowania (ale nie tylko) dla zadań bezpieczeństwa teleinformatycznego prędzej czy później zostanie zdefiniowany. Interesującym przykładem, a także adekwatnym w kontekście kontroli NIK, mogą tu być doświadczenia biznesu we współpracy z samorządami w obszarze rozwiązań informatycznych. Pozostaje jednak pytanie jak wywołać poczucie obowiązku u przedstawicieli samorządów w odniesieniu do cyber-zagrożeń? – Pracujemy z samorządami dostarczając oprogramowanie do zarządzania miastem. Te rozmowy toczymy bardzo regularnie (…) Chcę zwrócić uwagę na świadomość, a raczej brak świadomości. Myślę, że część winy, my jako branża, musimy wziąć na siebie (…) My jako zajmujący się cyberbezpieczeństwem jesteśmy daleko bardzo od tego gdzie jest przeciętny człowiek. Naszą rolą jest to, by budować ten most. – stwierdził Andrzej Dopierała, Prezes Zarządu Asseco Data Systems oraz Prezes ComCERT SA. Można przypuszczać, że istotną barierą w kontekście budowy potencjału cyberobrony w jednostkach samorządu terytorialnego jest brak rzetelnego przekazania natury problemu takich zagrożeń. – Podejście, by tworzyć regionalne centra cyberbezpieczeństwa na poziomie marszałkowstwa czy metropolii miejskich to jeden ze sposobów, który mógłby zadziałać. – dodał Andrzej Dopierała. Dodatkowo, podczas debaty pojawił się pomysł stworzenia dla samorządów mapy drogowej dojścia do obligatoryjnego poziomu narzuconego przez UoKSC. – Wiem, że są samorządy, które mają zrozumienie tej sytuacji i chcą coś robić, więc taki zespół, w którym pracowałby rząd, samorząd i pewnie branża mógłby coś dobrego wnieść – stwierdził Prezes Asseco Data Systems.
Samorządy nie są jednak osamotnione w obliczu wyzwań zarządzania incydentami cyberbezpieczeństwa. Zgodnie z przepisami UoKSC, obszar ten jest we właściwości zespołu CSIRT NASK (czyli CERT Polska, działającego w Naukowej i Akademickiej Sieci Komputerowej Państwowym Instytucie Badawczym). Niezależnie od tego faktu, niezbędne jest wsparcie dla jednostek mniej zaawansowanych, by osiągnęły wymagany poziom dojrzałości. – Jako CSIRT NASK robimy kilka działań, które niekoniecznie muszą być wpisane w Ustawę, Strategię itd. (…) Uruchomiliśmy program Partnerstwa dla Cyberbezpieczeństwa, gdzie wspólnie z Ministerstwem Cyfryzacji zachęcamy do wymiany informacji i nie patrzymy czy ktoś jest lub nie jest operatorem usługi kluczowej lub czy jest to marszałkostwo. – poinformował Krzysztof Silicki, Zastępca Dyrektora ds. Cyberbezpieczeństwa i Innowacji w NASK PIB. Partnerstwo dotyczy wymiany informacji nie tylko „technicznych”, ale także w obszarze dobrych praktyk jak wdrażać rozwiązania. Przepływ informacji w przypadku wsparcia dla samorządów wydaje się sprawą kluczową. – Informujemy przedstawicieli samorządów o nowych obowiązkach (…) zgłoszenie incydentu, zgodnie z Ustawą, to jest „nowość”, dlatego trzeba o tym powiedzieć, że jest zespół, do którego można się zgłosić, ale nie należy się tego bać, bo można otrzymać pomoc (…) Systemu nie należy traktować jako przykry obwiązek, ale warto skorzystać z niego. – dodał Krzysztof Silicki.
Wdrożenie Ustawy o Krajowym Systemie Cyberbezpieczeństwa jest niewątpliwie procesem, który w przypadku realizacji wielu zapisów zajmie długie miesiące. Odpowiedzialność za cyberprzestrzeń w rozumieniu Ustawy spoczywa na wielu podmiotach praktycznie w każdym sektorze funkcjonowania państwa czy gospodarki. W najbliższej przyszłości niezbędne będzie sformułowanie zaleceń i określenie praktycznych działań dla wsparcia tych najmniej zaawansowanych ogniw budowanego systemu. Zadanie to jest przypisane zarówno administracji państwowej jak i prywatnym przedsiębiorcom.
Autor: Kamil Gapiński