Małecki: Potrzebujemy centrum cyberbezpieczeństwa. Musi zostać objęte najwyższym priorytetem

1 września 2017, 07:30 Bezpieczeństwo

W Polsce powinna powstać osobna struktura na wzór amerykańskiej NSA, która będzie odpowiedzialna zarówno za wywiad elektroniczny, cyberwywiad, jak i za cyberbezpieczeństwo. To optymalne rozwiązanie w naszych realiach, przy naszym potencjale osobowym i finansowym – powiedział w rozmowie z BiznesAlert.pl płk Grzegorz Małecki, były szef Agencji Wywiadu, a obecnie ekspert Fundacji im. Kazimierza Pułaskiego.

Laptop cyberbezpieczeństwo
fot. Pixabay/CC

BiznesAlert,pl: Czy Polska faktycznie potrzebuje osobnej instytucji odpowiedzialnej za cyberbezpieczeństwo?

Grzegorz Małecki: W mojej ocenie jest taka potrzeba. Jesteśmy w sytuacji, w której nie mamy gospodarza systemu cyberbezpieczeństwa na poziomie strategicznym. To w sposób absolutnie oczywisty obniża nasze zdolności obronne, zarówno w tradycyjnym ujęciu, jak również jeśli chodzi o obronę w aspekcie ofensywnym. Jednocześnie w sposób jednoznaczny oddzielam zdolność naszej armii do działań zaczepnych w czasie konfliktu od zadań, z którymi mamy do czynienia w czasach pokoju. Cyberprzestrzeń to także obszar działania wywiadu, bo to najlepszy sposób na pozyskiwanie informacji na potrzeby budowania swojej pozycji. Ten aspekt powinien toczyć się równolegle.

Jak powinna wyglądać taka struktura na tle obecnie funkcjonujących instytucji

Jedynym podmiotem, który ma jakieś istotne zadania w tym zakresie, jest Narodowe Centrum Cyberbezpieczeństwa. Działa ono jednak w ramach NASK (Naukowa i Akademicka Sieć Komputerowa – przyp. red.), która jest z kolei organizmem pararządowym. To jest w sumie samodzielny byt, który do pewnego stopnia jest podporządkowany Ministerstwu Cyfryzacji, ale tak naprawdę to struktura poza administracją państwową. Ma także inne zadania, a cyberbezpieczeństwo zostało niejako przez NASK „przygarnięte”.

Pomimo szumnej nazwy, Narodowe Centrum Cyberbezpieczeństwa nie jest odpowiednikiem analogicznych instytucji w państwach zachodnich. Przede wszystkim nie dysponuje takimi możliwościami finansowymi, a poza tym nie ma potencjału i powagi wynikających z siły stojącej za instytucją podlegającą np. premierowi.

Rosyjscy hakerzy wzięli na cel hotele w Europie

Jak zatem stworzyć takie centrum, by odpowiadało naszym potrzebom i możliwościom?

Postuluję, żeby na poziomie strategicznym wyodrębnić zadania dotyczące cyberbezpieczeństwa, wywiadu radioelektronicznego i cyberwywiadu z Agencji Wywiadu, Agencji Bezpieczeństwa Wewnętrznego i pozostałych służb. To ma być jedyne zadanie takiej nowej służby, a nie jedno z 10 czy 20. Chodzi o to, żeby wszystkie zasoby ludzkie, finansowe i organizacyjne poświęcała temu jednemu zagadnieniu.

Cyberbezpieczeństwo musi także zostać objęte najwyższym priorytetem poprzez podporządkowanie zajmującej się tym instytucji premierowi. To nie może być zadanie jednego z ministerstw, sprawa jest zbyt poważna i złożona. To jest zagrożenie panoramiczne, horyzontalne, przenikające wszystkie struktury państwa. Trzeba o nim myśleć z poziomu strategicznego.

Skąd czerpać wzorce?

Patrząc na państwa o podobnej do naszej rzeczywistości państwowej można wymienić np. Francję, Wielką Brytanię czy Izrael, który jest w moim przekonaniu – i nie tylko moim, podzielają je także np. Amerykanie – państwem bardzo dobrze, wręcz modelowo, radzącym sobie z tym zagadnieniem. Izraelczycy stworzyli dwie instytucje podległe premierowi, które zajmują się bezpieczeństwem cyberprzestrzeni narodowej. Jedna z nich to Narodowe Biuro Cyberbezpieczeństwa, które nie jest żadną służbą, lecz odpowiada raczej za stworzenie środowiska cyberbezpieczeństwa, nazywanego przez nich ekosystemem. Ma kreować właściwe warunki, budować platformy między aktorami i monitorować ich działania. Druga instytucja to Narodowa Władza Cyberbezpieczeństwa, odpowiedzialna za obronę całej cyberprzestrzeni. W jej ramach istnieje narodowy CERT. Obie wspólnie tworzą tzw. Dyrektoriat Cyberobrony i dbają o to, by firmy nie bały się do nich zgłaszać ze swoimi problemami. Mają być jak lekarz, do którego się przychodzi z problemami, a on pomaga je rozwiązać. Ich zadaniem jest zatem zarówno prewencja, właściwa kondycja systemu, gwarantująca odporność na ataki, jak również ich zwalczanie, kiedy nie uda się im zapobiec.

Na dzień dzisiejszy postuluję utworzenie osobnej struktury na wzór NSA (Agencja Bezpieczeństwa Narodowego – przyp. red.), która będzie odpowiedzialna zarówno za wywiad elektroniczny, jak i za cyberbezpieczeństwo. To optymalne rozwiązanie w naszych realiach, przy naszym potencjale osobowym i finansowym.

Jaka może być główna przeszkoda do stworzenia takiej instytucji?

Podstawowy warunek to pieniądze. Izrael, uruchamiając swój system w 2012 roku, przeznaczył na ten cel 0,5 mld dol. I co roku takie środki są w dyspozycji Dyrektoriatu. Po drugie kadry. Bez rozwiązania tego problemu nie damy sobie rady. Szkolenie kadr musi być priorytetem na najbliższe kilkanaście lat. Zapotrzebowanie jest ogromne, a przy obecnych zasobach nie jesteśmy w stanie na nie odpowiedzieć. Dlatego działania państwa powinny być oparte na holistycznym podejściu.

Przykładem znów może być Izrael, gdzie dba się o synergię w funkcjonowaniu uczelni, struktur wywiadu, armii, korporacji i startupów. Uniwersytet kształci ludzi zarówno na potrzeby firm prywatnych, jak i wojska. Środki na ten cel idą właśnie z budżetu na cyberbezpieczeństwo.Na ile państwowa instytucja odpowiedzialna za cyberbezpieczeństwo powinna współpracować z sektorem prywatnym?

Nie ruszymy z miejsca bez systemowych rozwiązań, które będą tworzyły harmonię między światem państwowym a sektorem prywatnym. W przeciwnym wypadku będą to działania bardzo punktowe, bardzo przyczynkarskie. Na przykład w Izraelu Mosad stworzył fundusz dla młodych firm. Każda firma może się zgłosić po finansowanie, także zagraniczna. Co istotne, Mosad nie rości sobie żadnych pretensji do zarządzania tymi firmami. Chce mieć tylko prawo do powstałych technologii w wybranych, interesujących wywiad obszarach.

Bez odpowiedniego finansowania – i to nie muszą być pieniądze prosto z budżetu – trudno jest nadać odpowiedni impuls. Państwo musi się zdecydować, za co chce odpowiadać, a za odpowiedzialnością musi iść zaangażowanie oraz określenie, czego chce w zamian.

RAPORT: Reforma służb specjalnych z perspektywy 15 lat

Rozmawiał Maciej Wapiński

Raport: Amerykańskie władze nie radzą sobie z cyberzagrożeniami