Cyberbezpieczeństwo nie ma w Polsce szczęścia. Od dawna dochodzi na tym tle do tarć między różnymi instytucjami państwowymi. W efekcie powstają kolejne wizje, ale konkretnych działań jest niewiele. Rekonstrukcja rządu może w tym pomóc, ale na razie lista palących problemów tylko rośnie.
Ciężko jest pogodzić różne wizje cyberbezpieczeństwa. Wynika to po części z tego, że do jednego worka wrzuca się sprawy mające ze sobą niewiele wspólnego. Czym innym jest walka z propagandą w internecie, czym innym ochrona infrastruktury fizycznej w postaci np. światłowodów, a jeszcze czym innym walka z atakami hakerskimi. Do tego dochodzi „zwykła” cyberprzestępczość w rodzaju kradzieży pieniędzy albo danych osobowych. Trudno wyobrazić sobie, by jedna instytucja była odpowiedzialna za wykonanie wszystkich tych zadań.
Spór o idee
Dlatego według ekspertów przejęcie w tej kwestii wiodącej roli przez Ministerstwo Cyfryzacji nie jest najszczęśliwszym pomysłem.
– Z punktu widzenia praktycznego warto pomyśleć o rozdzieleniu cyfryzacji od cyberbezpieczeństwa – ocenia płk Grzegorz Małecki, były szef Agencji Wywiadu, a obecnie ekspert Fundacji im. Kazimierza Pułaskiego.
– Zarządzanie nimi w ramach jednego ministerstwa nie jest najszczęśliwszym rozwiązaniem. U nas niestety zostało to połączone. To jest ta sama przestrzeń cyfrowa, ale zadania są różne. Czym innym jest rola administratora systemu, a czym innym inspektora bezpieczeństwa. Nie można być jednocześnie twórcą i tworzywem. Cyberbezpieczeństwo to zagadnienie interdyscyplinarne i zarządzanie nim powinno się odbywać z poziomu ponadresortowego, z poziomu premiera – twierdzi.
Jednym z problemów polskiego cyberbezpieczeństwa jest nadmiar brak pomysłu na realizację działań z tego zakresu. W ostatniej dekadzie powstało co najmniej osiem dokumentów, mających być podstawą do stworzenia spójnej strategii. W praktyce żaden z nich nie wypełnił tego zadania. Ostatnie takie opracowanie – Krajowe Ramy Polityki Cyberbezpieczeństwa RP – zostało w maju zeszłego roku przyjęte przez rząd. Choć przedstawiono w nim dość śmiałą wizję, wciąż brak jednak konkretów dotyczących choćby wyraźnego określenia kompetencji poszczególnych instytucji, a przede wszystkim budżetu przeznaczanego na ochronę cyberprzestrzeni. Ten ma zostać określony w kolejnych dokumentów. Na razie najważniejsza deklaracja to „docelowo niezbędne jest ustanowienie w ramach budżetu państwa Wieloletniego Programu dedykowanego budowie i rozwojowi przedsięwzięć w obszarze cyberbezpieczeństwa ”.
Ustawa o cyberbezpieczeństwie
Na razie nie wiadomo również, kiedy przyjęta zostanie ustawa o krajowym systemie cyberbezpieczeństwa, czyli dokumencie mającym być podstawą do organizacji całego systemu obrony przez zagrożeniami płynącymi z sieci. Jej projekt jest już dostępny, ale odpowiedzialne za nowe prawo Ministerstwo Cyfryzacji przechodzi reorganizację. Jego dotychczasowa szefowa Anna Streżyńska znalazła się poza rządem, a według informacji RMF FM resortem tymczasowo zajmuje się Marek Zagórski, dotychczas sekretarz stanu w MC.
[iframe src=”https://www.facebook.com/plugins/video.php?href=https%3A%2F%2Fwww.facebook.com%2FBiznesAlert%2Fvideos%2F2212233262136090%2F&show_text=0&width=560″ width=”560″ height=”315″ style=”border:none;overflow:hidden” scrolling=”no” frameborder=”0″ allowTransparency=”true” allowFullScreen=”true”></iframe]
Samo ministerstwo najpewniej nie zostanie zlikwidowane – co tuż przed swoją dymisją sugerowała Streżyńska – ale kluczowe decyzje związane z działalnością resortu będzie podejmował nie jego szef, lecz premier. Nie wiadomo zatem, kto obecnie będzie odpowiadał za ustawę. Według stron rządowych kilka dni temu projekt zaczął być opiniowany przez poszczególne ministerstwa, a zatem minie jeszcze sporo czasu, nim trafi do Sejmu.
Exatel: Cyberbezpieczeństwo 2018 – więcej ataków, lepsza obrona
W dodatku możliwe, że projekt będzie znacząco zmieniony. Lista zarzutów wobec niego jest długa. Skrytykował go m.in. resort obrony pod przewodnictwem Antoniego Macierewicza. Ministerstwo domagało się przede wszystkim zwiększenia swojej roli w cyberobronie kosztem Ministerstwa Cyfryzacji. Zarzuty pod adresem projektu zgłaszał także Mariusz Błaszczak, wówczas minister spraw wewnętrznych, a obecnie szef MON. Jest mało prawdopodobne, by zmienił swoją wcześniejszą opinię, tym bardziej że już jako szef MSWiA przejawiał ambicje przejęcia przynajmniej części zadań związanych z cyberbezpieczeństwem. Wydaje się, że jak na razie to właśnie Błaszczak jest górą w sporze o cyberbezpieczeństwo. Od rekonstrukcji minęło jednak zbyt mało czasu, by móc jednoznacznie ocenić, która instytucja będzie grała główną rolę w zakresie cyberbezpieczeństwa.
Cyberobrona po wojskowemu
Nie jest wykluczone, że Błaszczak jako szef MON będzie po prostu kontynuował działania swojego poprzednika. Antoni Macierewicz jako minister obrony nie ukrywał swoich ambicji w zakresie cyberbezpieczeństwa. We wrześniu zeszłego roku podczas konferencji CyberSec w Krakowie jako minister obrony zapowiedział przeznaczenie 2 mld zł na stworzenie „biura ds. organizacji polskiego wysiłku zbrojnego polskich żołnierzy cybernetycznych”.
– Jeżeli Polska ma być bezpieczna od zagrożeń cybernetycznych, MON musi pozostać środkiem ciężkości całego systemu cyberbezpieczeństwa – powiedział wówczas. W tej wypowiedzi widać sedno sporu dotyczącego wizji cyberbezpieczeństwa – o ile dotychczasowy szef MON podkreślał znaczenie służb mundurowych w tym zakresie, Anna Streżyńska zwracała uwagę na ochronę nie tylko instytucji państwowych, ale i obywateli.
– (To) konflikt o zasady, o podstawę podejścia do cyberbezpieczeństwa, które ma dwa oblicza, militarny i cywilny – powiedziała w rozmowie z Radiem ZET. – Jest wiele takich zadań, które związane są z ochroną przeciętnego obywatela, które po prostu nie będą nigdy w gestii MON – powiedziała.
Exatel – centrum militarnej wizji cyberobrony
Jako wzmacnianie pozycji MON w tym zakresie można ocenić także przejęcie przez ten resort kontroli nad Exatelem. To państwowa spółka, odpowiedzialna m.in. za zarządzanie infrastrukturą telekomunikacyjną, w tym drugą największą siecią światłowodową w Polsce. Oferuje także rozwiązania m.in. z zakresu cyberbezpieczeństwa, a jej działania biznesowe sugerują, że właśnie na tej gałęzi działalności skupi się w najbliższym czasie. Umowa o sprzedaży Exatela MON została podpisana pod koniec marca zeszłego roku, a od połowy czerwca spółka oficjalnie podlega resortowi. Pikanterii sprawie dodają doniesienia, że kupnem Exatela zainteresowana była także NASK, czyli instytucja podległa Ministerstwu Cyfryzacji. W dodatku w maju 2016 roku prezesem Exatela jest Nikodem Bończa-Tomaszewski, który wcześniej był dyrektorem Centralnego Ośrodka Informatyki. Z tego stanowiska odwoła go Anna Streżyńska po tym, gdy Ministerstwo Cyfryzacji przejęło nadzór nad COI.
Cyberprzestępczość stanowi wyzwanie dla transformacji cyfrowej
Czy można zatem mówić o sporze o Exatel? – Nie oceniałbym tego w kategoriach wojny kompetencyjnej, bo to od razu zakłada jakąś złą wolę. Jest to pewna forma konkurencji autorskich wizji w sprawach cyberbezpieczeństwa – ocenia Małecki. – Ci aktorzy, którzy mają wyznaczone ustawami pole działania, podejmują próby zmierzenia się z wyzwaniami w sferze cyberbezpieczeństwa w tych obszarach, które im podlegają, metodami które uznają za właściwe. Problemem jest brak strategicznych mechanizmów porządkujących te kwestie na poziomie ogólnopaństwowym. Tutaj jest ogromny deficyt, który trzeba uzupełnić – dodaje.
Według niego sam pomysł przejęcia przez państwo kontroli nad Exatelem – a dokładnie zarządzaną przez niego infrastrukturą – jest dobry.
– Z całą pewnością najbardziej kluczowe elementy związane z bezpieczeństwem łączności rządowej, obsługującej najbardziej newralgiczne procesy decyzyjne, muszą znajdować się w rękach państwa. Natomiast jeżeli patrzymy w szerszym ujęciu na infrastrukturę krytyczną to państwo nie może tego udźwignąć samodzielnie – wyjaśnia.
[iframe src=”https://www.facebook.com/plugins/video.php?href=https%3A%2F%2Fwww.facebook.com%2FBiznesAlert%2Fvideos%2F2105524229473661%2F&show_text=0&width=560″ width=”560″ height=”315″ style=”border:none;overflow:hidden” scrolling=”no” frameborder=”0″ allowTransparency=”true” allowFullScreen=”true”></iframe]
– Bardzo cierpimy na brak jednolitego systemu (od strony operacyjnej i technicznej) bezpiecznej łączności rządowej, łączącej wszystkie struktury państwa – dodaje. Macierewicz miał śmiałe plany związane z Exatelem. Spółka miała się stać przede wszystkim fundamentem narodowego operatora sieci IT. W dodatku w zeszłym roku Exatel i Polska Grupa Zbrojeniowa powołały spółkę QBiTT, która ma dostarczać rozwiązania z zakresu cyberbezpieczeństwa. Choć od podpisania dokumentów w tej sprawie minęło kilka miesięcy, dopiero przed Bożym Narodzeniem zgodę na funkcjonowanie nowej spółki wyraził Urząd Ochrony Konkurencji i Konsumentów. Na razie o konkretach nic nie słychać.
Potrzeba pieniędzy i specjalistów
Rekonstrukcja postawiła pod znakiem zapytania także funkcjonowanie specjalnej komórki zajmującej się cyberbezpieczeństwem, której powstanie cztery miesiące temu ogłosiła Beata Szydło. Instytucja miała doradzać premierowi w sprawach związanych z nowymi rodzajami zagrożeń. Kierował nią Paweł Szefernaker, który według informacji PAP prawdopodobnie trafi do MON jako wiceminister. Nie wiadomo, czy ktoś przejmie jego zadania i czy premier Morawiecki w ogóle zamierza rozwijać ten urząd.
Jakie jest zatem najważniejsze zadanie nowych ministrów w zakresie cyberbezpieczeństwa? Oprócz określenia kompetencji poszczególnych instytucji, niezbędne są konkretne ramy finansowe. – To jest potrzebne natychmiast. Zagrożenia rosną, a my ciągle jesteśmy w tym samym miejscu. Działania prowadzone w obecnym rozproszonym modelu tworzą chaos. Przy niesprzyjających okolicznościach takie nieskoordynowane działania mogą przynieść więcej szkód niż korzyści – ocenia Małecki.
Do specyficznych dla Polski problemów dochodzi także ten, z którymi zmagają się wszystkie państwa. To brak specjalistów od cyberbezpieczeństwa. Sytuacja jest dramatyczna. Według badania wykonanego na zlecenie firmy Intel Security, za dwa lata nieobsadzonych będzie ok. 15 proc. stanowisk związanych z tym obszarem IT. – Polscy specjaliści są dobrzy, ale jest ich za mało. Każdy kraj narzeka na niewystarczającą liczbę ekspertów w tej dziedzinie, ale poziom braków w Polsce jest nieporównywalny. Nie możemy się upajać tym, że nasi informatycy są cenieni na świecie, bo ten fakt nie rozwiązuje naszych problemów – mówi Małecki.