Przez ostatnie osiem lat udało się wzmocnić cyberbezpieczeństwo Polski. Podjęto wiele inicjatyw oraz wprowadzono konkretne rozwiązania prawne.
Priorytety rządu w cyberbezpieczeństwie. Co się udało?
Jedną z najważniejszych kwestii było uchwalenie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Ten akt prawny implementował dyrektywę NIS (Network and Information Systems) do polskiego porządku prawnego. Pomimo niedoskonałości ustawy o KSC Polska stworzyła fundamenty swojego systemu cyberbezpieczeństwa.
Ważną rolę odegrało też wdrożenie RODO do polskiego systemu prawnego, które wymogło konieczność informowania o incydentach oraz umożliwiło nakładanie kar za zaniedbania w przetwarzaniu danych.
Do ważnych dokumentów należy dodać stworzenie i wdrożenie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024, która ustaliła strategiczne priorytety w zakresie cyberbezpieczeństwa. W międzyczasie powołano też pełnomocnika ds. cyberbezpieczeństwa.
Po stronie sił zbrojnych z pewnością należy odnotować powołanie Wojsk Obrony Cyberprzestrzeni, które ewoluują w dobrym kierunku.
To tylko najważniejsze dokonania z ostatnich lat, głównie na poziomie strategicznym. Wspomnieć należy również o zainicjowaniu programu Cyberbezpieczny Samorząd, który umożliwił wsparcie lokalnych władz, bo te często nie mogły sobie pozwolić na inwestycje w cyberbezpieczeństwo, będąc jednym z najsłabszych elementów ogniwa. To zdecydowanie nie wszystkie osiągnięcia ostatnich 8 lat, ale te wymienione wyżej pokazują, że w obszarze cyberbezpieczeństwa zdecydowanie działo się bardzo dużo.
Czy wiesz, że Rzeszów ma cybernetyczną „żelazną kopułę”. Czy inne samorządy pójdą w jego ślady?
A co nie wyszło?
Nie oznacza to jednak, że udało się uniknąć wpadek. Z pewnością jednym z większych niepowodzeń było przełamanie bezpieczeństwa prywatnej skrzynki szefa Kancelarii Premiera Michała Dworczyka. To umożliwiło rozpoczęcie trwającej do dzisiaj operacji informacyjnej typu „hack and leak”.
Oczywiście państwowe służby nie mogą dbać o bezpieczeństwo prywatnych skrzynek, ale ten przypadek pokazał, że rządzący nie zdają sobie sprawy z podstaw cyberbezpieczeństwa i cyberhigieny. Przeprowadzone w następstwie tego incydentu szkolenia posłów i posłanek nie cieszyły się dużym zainteresowaniem, pokazując, że cały czas problemem jest świadomość cyberbezpieczeństwa.
Bądź sprytniejszy niż poseł. Przeczytaj poradnik: Zadbaj o swoje bezpieczeństwo w sieci
Druga kwestia wiąże się z nielegalną inwigilacją Pegasusem, co odbywało się ze szkodą dla cyberbezpieczeństwa i pokazało brak nadzoru nad nowoczesnymi narzędziami szpiegowskimi. Skalę wykorzystania tego oprogramowania zbada komisja sejmowa.
Pomimo tych dwóch poważnych incydentów generalnie ostatnie 8 lat w cyfryzacji było okresem dynamicznego rozwoju, co przyznał obecny minister cyfryzacji Krzysztof Gawkowski podczas Forum Ekonomicznego w Krynicy w 2023 roku.
Wyzwania dla nowych władz
Największą bolączką, na którą cierpiała cyfryzacja, więc również cyberbezpieczeństwo przez ostatnie 8 lat, była słaba pozycja polityczna ministra cyfryzacji w rządzie. Anna Streżyńska i Marek Zagórski mieli duże problemy, żeby do swoich pomysłów przekonać innych ministrów czy premiera. Działo się tak ze względu na to, że nie byli czołowymi politykami PiS-u. Trochę inaczej sytuacja wyglądała w przypadku Janusza Cieszyńskiego.
Rząd Donalda Tuska daje nadzieję na tę zmianę, ponieważ minister cyfryzacji Krzysztof Gawkowski jest również wicepremierem w Radzie Ministrów oraz liderem ugrupowania, które współtworzy rządzącą koalicję. To oczywiście daje mu zupełnie inną pozycję. Wydaje się, że pozwoli to przełamać impas ostatnich 8 lat, gdzie cyfryzacja nie miała odpowiedniego wsparcia politycznego. Prawdopodobnie umożliwi to również rozwiązanie najbardziej palących problemów, przed którymi stoi nowy rząd.
Obecna sytuacja wymaga, żeby priorytety rządu w cyberbezpieczeństwie traktować z należną im powagą. Poza wciąż rosnącą liczbą ataków ze strony cyberprzestępców sytuacja geopolityczna staje się coraz bardziej niestabilna.
Szczególnie wpływa na to rosyjska wojna w Ukrainie i coraz bardziej asertywna postawa Moskwy w cyberprzestrzeni. Jednostki rosyjskich służb wywiadowczych intensyfikują działania wymierzone w systemy i sieci IT państw NATO. Polska jest zaś tym członkiem sojuszu, u którego odnotowano największą aktywność Rosjan w sieci.
Nasz kraj stał się też obiektem zainteresowań chińskich i północnokoreańskich hakerów, co pokazuje, że nie tylko Rosja stanowi wyzwanie. Do tej pory udało się uniknąć poważniejszych cyberataków i w celu ich zapobiegania trzeba kontynuować działania, które umożliwią dalszą skuteczną cyberobronę.
Dowiedz się więcej: Cyberbezpieczeństwo w czasie wojny – zagrożeni badacze i infrastuktura uczelni
Jakie priorytety rządu w cyberbezpieczeństwie?
Pierwszym z nich jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, której nie udało się uchwalić za kadencji poprzedniego rządu. Prace nad tymi przepisami trwały od trzech lat, a w ich trakcie projekt był wielokrotnie zmieniany. Nowe regulacje zakładały m.in. powołanie operatora strategicznej sieci bezpieczeństwa, który miałby zostać wyznaczony przez premiera i świadczyć usługi telekomunikacyjne dla podmiotów wskazanych w ustawie podmiotu. Ponadto do KSC włączone miały być centra wymian informacji i analiz, co miało pozwolić na łatwiejszy dostęp do wiedzy i wymianę informacji o stosowanych rozwiązaniach.
Nowelizacja miała zmieniać również sposób funkcjonowania CSIRT-ów (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) i zgłaszania incydentów. Poważne incydenty miały być zgłaszane do CSIRT-ów poziomu krajowego. Te mniej groźne trafiać miały do CSIRT-ów sektorowych, których powołanie na mocy nowego prawa stało się obligatoryjne.
Obecnie wydaje się, że nowelizację ustawy o krajowym systemie cyberbepieczeństwa wypadałoby poszerzyć o przepisy dyrektywy NIS2, która weszła w życie na początku zeszłego roku oraz unijnego rozporządzenia Akt o Cyberbezpieczeństwie, którego celem jest wprowadzenie jednolitej procedury w zakresie certyfikacji w obszarze cyberbezpieczeństwa na całym terenie Unii Europejskiej. Minister Gawkowski zapowiedział podczas posiedzenia Rady Cyfryzacji, że nowelizacja ustawy o KSC ma zostać zrealizowana do końca bieżącego roku
Jednym z powodów trudności z procesowaniem nowelizacji ustawy o KSC były przepisy dotyczące dostawcy infrastruktury krytycznej wysokiego ryzyka, które powszechnie uważa się za wymierzone w chińskich dostawców. Regulacje te miały znaczenie dla aukcji 5G.
Problem ten będzie musiał zostać rozstrzygnięty przez nowy rząd, który musi w końcu postanowić, jakie będą dalsze kroki, jeśli chodzi o udział chińskich dostawców technologii w budowie infrastruktury telekomunikacyjnej nowej generacji.
Projekt ustawy o KSC miał wprowadzić Krajowy System Certyfikacji Cyberbezpieczeństwa odpowiedzialny za wydawanie certyfikatów bezpieczeństwa potwierdzających, że dany sprzęt jest bezpieczny. Minister cyfryzacji zastrzegł, że infrastruktura krytyczna musi dawać poczucie bezpieczeństwa i nie może być podatna na inwigilacje przez inne państwa i służby.
Nowa strategia i finansowanie
Nowa ekipa będzie musiała również zmierzyć się ze stworzeniem nowej strategii cyberbezpieczeństwa. Ważne, aby nie była ona oderwana całkowicie od poprzedniej, ale stanowiła jej kontynuację. Dlatego tak ważne jest też dokonanie ewaluacji poprzedniego dokumentu, co pozwoli na wypracowanie nowego lepszego dokumentu – wskazuje w rozmowie z HomoDigital ekspert Fundacji Bezpieczna Cyberprzestrzeń Julian Dobrowolski.
Ekspert zauważa, że obecna strategia stwierdza, że “po dwóch latach od przyjęcia oraz w czwartym roku obowiązywania dokument podlega przeglądowi i ocenie efektów jego oddziaływania”. Strategia powinna być poddana takiemu zabiegowi dwukrotnie, ale tak się nie stało. Równie istotne co rewizja i ocena realizacji obecnej strategii będzie zapewnienie stabilnego finansowania założeń nowego dokumentu oraz uwzględnienie aktualnych dokumentów sojuszniczych, w tym UE i NATO.
Pamiętając o wyzwaniach, nie należy zapominać o nowych technologiach, które wpływają na krajobraz cyberbezpieczeństwa i wymagają odpowiedniego podejścia. Przede wszystkim dzisiaj mówi się o kwestii wyzwań i szans związanych z zastosowaniem sztucznej inteligencji.
Ekspert Fundacji Bezpieczna Cyberprzestrzeń przypomina również o tzw. „miękkich aspektach” cyberbezpieczeństwa, np. zwalczaniu dezinformacji. Biorąc pod uwagę agresywne działania m.in. Federacji Rosyjskiej w polskiej infosferze, przed aktualnym rządem stoi wyzwanie nadrobienia zaległości ostatnich lat w budowie efektywnego systemu zwalczania dezinformacji. Aspekt ten powinien być również potraktowany priorytetowo.
Nowa agencja na dobrych wzorcach
Lewica, z której wywodzi się Krzysztof Gawkowski, w trakcie kampanii wyborczej przedstawiła własne inicjatywy wzmocnienia cyberbezpieczeństwa. Jedną z nich jest stworzenia Agencji Cyberbezpieczeństwa, która ma być nową służbą specjalną wyposażoną w zdolności operacyjne i zajmować się przede wszystkim przeciwdziałaniu zagrożeniom w sieci.
Wzorem do naśladowania jest tutaj brytyjskie National Cyber Security Centre. Utworzenie agencji miałoby oznaczać pełną centralizację tych zadań na poziomie rządowym. Nowa instytucja przejęłaby kompetencje innych służb niewojskowych. Lewica, przedstawiając ten pomysł, argumentowała, że obecnie występuje rozproszony model zarządzania poszczególnymi elementami związanymi z cyberbezpieczeństwem.
Do tej idei entuzjastycznie podchodzi Julian Dobrowolski z Fundacji Bezpieczna Cyberprzestrzeń. Zastrzega jednak, że z oceną trzeba poczekać na prezentację projektu pomysłu Lewicy. Jego zdaniem powołanie agencji to próba wykorzystania dobrych praktyk z zagranicy jak np. z Izraela czy Rumunii.
W obu przypadkach powołanie takiego ciała dążącego do unifikacji dało lepsze wyniki. Wskazuje również, że w Polsce odbyła się już podobna unifikacja zasobów ’cyber’ w obszarze wojskowym i utworzone Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni funkcjonuje bardzo dobrze.
Przeczytaj też: Dezinformacja w wyborach to coraz powszechniejsze zjawisko. Jak się przed tym uchronić?
Trzymać cyberbezpieczeństwo z dala od polityki
Cyberbezpieczeństwo jest wielotematycznym obszarem podlegającym ciągłym, dynamicznym zmianom. Nowe rodzajów ataków, innowacje technologiczne będą zmieniać krajobraz zagrożeń i wyzwań w tej domenie. Dlatego tak ważne jest posiadanie systemu, który może dostosować się tych zmian.
Priorytety rządu w cyberbezpieczeństwie powinny uwzględniać niestabilną sytuację geopolityczną i nowe technologie. Przed nową ekipą wiele wyzwań takich jak kontynuacja prac nad krajowym systemem cyberbezpieczeństwa, nowa strategia cyberbezpieczeństwa czy kwestia decyzji w sprawie udziału chińskich podmiotów w budowę rozwiązań 5G w Polsce.
Wydaje się jednak, że ministrem cyfryzacji została osoba, która z całego Sejmu nadaje się do tego najlepiej i poradzi sobie z tymi wyzwaniami. Najważniejszą rzeczą jest to, by cyberbezpieczeństwo zostało wyjęte ze sporu politycznego, co do tej pory się udawało. I tak powinno to zostać.
Źródło zdjęcia: Maciej Matera/Wikimedia Commons (CC BY-SA 4.0)
[…] Cyberbezpieczeństwo priorytetem polityki cyfrowej nowej władzy? […]