Streżyńska: Rząd dostanie w październiku strategię cyberbezpieczeństwa
W Krakowie 26 września rozpoczęła się konferencja CYBERSEC 2016. Podczas jej rozpoczęcia wystąpiła minister cyfryzacji Anna Streżyńska.
– To, co zastaliśmy podczas rozpoczęcia prac to miażdżący raport Najwyżej Izby Kontroli. Państwowe zasoby danych były niedostatecznie chronione. Ministerstwo Cyfryzacji jest odpowiedzialne za pracę i koordynację cyberbezpieczeństwa. W październiku na posiedzenie rządu trafi strategia cyberbezpieczeństwa. Na 86 instytucji rządowych już ponad 70 należy do zespołu reagowania na zagrożenia w sieci. Implementujemy unijną dyrektywę NIS – mówiła minister cyfryzacji.
Z raportu Najwyższej Izby Kontroli wynika, że bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.
Więcej w raporcie NIK
– To, co zostaliśmy podczas rozpoczęcia prac, to miażdżący raport Najwyżej Izby Kontroli. Państwowe zasoby danych były nie dostatecznie chronione. Ministerstwo Cyfryzacji jest odpowiedzialne za prace i koordynacje cyberbezpieczeństwa. W październiku na posiedzenie rządu trafi strategia cyberbezpieczeństwa. Na 86 instytucji rządowych już w ponad 70 są zespoły do spraw reagowania na zagrożenia w sieci. Implementujemy także unijną dyrektywę NIS – podkreśliła minister Cyfryzacji, Anna Streżyńska.
Strategia cyberbezpieczeństwa zawiera wszystkie elementy instytucjonalne, proceduralne jaki rozwiązania kadrowe, które mają z administracji państwowej stworzyć sprawnie, jednolicie działający o ściśle określonych kompetencjach system reagowanie na cyberzagrożenia i uprzedzaniach ich jak i przeciwdziałania nim. Określa ona również rolę instytucji badawczych, i biznesu. Żyjemy bowiem w ekosystemie internetu wszyscy, o bardzo rożnych statusach. Nie możemy także zapominać o obywatelach, to jest ok. 50m mln rożnych urządzeń. Są one źródłem najszczerszych infekcji internetowych. Ważne jest podniesienie kompetencji w tym zakresie nie tylko instytucji państwowych ale także samych obywateli. Mamy również rozwiązania jak wzmocnić kompetencje polskiej administracji.
Próbką możliwości pracy ministerstwa cyfryzacji była działalność tzw. War Roomu. Dziennikarz portalu BiznesAlert.pl zapytał jakie są efekty działalności tej komórki.
– War Room pokazał, że współpraca w zakresie cyberbezpieczeństwa się sprawdza. Jest jednak jeden warunek niezbędny, aby ta współpraca się sprawdzała. Nie może być ona organizowana w sposób akcyjny, do czasu do czasu. Ona musi być ściśle opisana i każdy aktor w tym wielkim przedsięwzięciu musi mieć precyzyjnie rozpisaną rolę i procedury adekwatne od danego zagrożenia. Pamiętajmy, że jak przychodzą zagrożenia to poziom stresu i szybkości wydarzeń, że nie ma już czasu na rozważania co zrobić by danemu zagrożeniu zapobiec. Trzeba od razu uruchamiać procedurę główną, a więc odpowiedź na atak cyberbezpieczeństwa. Procedurę adekwatną na zagrożenie polityczne, kryminalne czy gospodarcze i realizować precyzyjnie jej zapisy. Wówczas zapewnia się maksymalną sprawność – mówiła minister cyfryzacji.
Anna Streżyńska podkreśliła, że w czasie pracy ministerstwa cyfryzacji w ponad 70 instytucjach rządowych prace rozpoczął zespól ds. szybkiego reagowania na cyberzagrożenia.
– Takie zespoły zostały powołane, aby koordynować i obserwować co dzieje się w ich strukturze teleinformatycznej i alarmować w zarazie zagrożenia takie podmioty jak CERT czy ABW. Te zespoły są oparte na strukturach każdego organu administracji. Nie są to żadne nowe specjalnie dedykowane do tego osoby. Osoby, które korzystają z sieci teleinformatycznej, bazy danych, elektronicznego obiegu dokumentacji widząc poszczególne incydenty są w stanie zareagować. Nie są to więc zespoły, które zawsze będą wiedzieć co zrobić. Chodzi więc o reakcje i zadekowanie problemów do właściwych jednostek spierających. To nowe rozwiązanie, które wcześniej nie funkcjonowało, mimo że taki obowiązek istnieje od bardzo wielu lat. W większości administracji publicznej takich rozwiązań nie było – dodała.
Minister Cyfryzacji oceniła, że nakłady na cyberbezpieczeństwo muszą rosnąć.
– Nakłady na walkę z cyberzagrożeniami muszą rosnąć, ponieważ ciągle gonimy zdolności cyberprzestępców, którzy mają to zasilanie finansowe znacznie większe, a chcemy ich w końcu dogonić i uprzedzać ich ataki. To co planujemy to budowę klastra bezpieczeństwa jak również wyszkolenie odpowiednich kadr i mocniejsze zabezpieczenie naszych systemów. Te wydatki w ramach ministerstwa cyfryzacji i jednostek podległych oceniliśmy na ponad 50 mln zł w układzie czteroletnim. Należy pamiętać, że to nie tylko sam resort. Są także inne organy, które mają równie cenne bazy danych, rejestry zawierające nasze dane osobowe, które trzeba zabezpieczać i szkolić ludzi. W ramach tych działań będą objęte nie tylko instytucje nam podległe, ale także inne instytucje państwowe. W tej chwili objętych współpracą jest 20 rożnych podmiotów, operatów infrastruktury krytycznej bankowej czy ministerstwa, które pracują razem w Narodowym Centrum Cyberbezpieczeństwa. Instytucje te wymieniały między sobą informacje co było szczególnie ważne przed szczytem NATO czy Światowymi Dnami Młodzieży. Zwiększone koszty związane są także zagwarantowaniem kosztów całodobowej pracy CERT-u. Chodzi także o zabezpieczenie na graniach sieci administracji rządowej jeśli chodzi o nieuprawnione ingracjacje z internetu. To są wszystko koszty, na które składa się te 50 mln każdego roku. Obecnie nie kradzieży czy wycieku danych tak np.: ostatnio w przypadku Yahoo. W Polsce te systemy są dostatecznie dobrze chronione jednak musimy pamiętać, że cyberprzestępczość postępuje cały czas się rozwija – mówiła Streżyńska
Jej zdaniem należy wytworzyć w każdym organie administracji, zespół o bardzo wysokich kompetencjach, które będą do tego typu zagrożeń szykowane.
– Musimy także płacić odpowiednie stawki, inaczej nie zatrzymamy fachowców w administracji. Zaprojektowaliśmy program złota setka, który ma pomóc wyedukowaniu 100 kluczowych ekspertów od cyberbezpieczeństwa na potrzeby administracji i objęciu ich systemem specjalnych wynagrodzeń, tak, by ich zatrzymać w administracji – powiedziała minister cyfryzacji.
Na pytanie redakcji BiznesAlert.pl dotyczące ochrony infrastruktury krytycznej przed cyberzagrożeniami Anna Streżyńska zaznaczyła, że Ministerstwo Cyfryzacji nie będzie niczego narzucać polskim firmom jeśli chodzi o systemy zabezpieczeń. – Ustawa o cyberbezpieczeństwie i strategia będą kreować standardy na bardzo ogólnym poziomie na zasadzie podkreślania potrzeby w zakresie osiągnięcia poszczególnych parametrów jakościowych, które powinny osiągnąć w zakresie bezpieczeństwa. Nie będziemy im narzucać konkretnie co mają stosować. Należy pamiętać, że po stronie biznesu będzie zawsze więcej ekspertów. Firmy są bezpieczne w tym infrastruktura krytyczna. Wycieki danych, które się czasem zdarzają są efektem błędów ludzkich. Należy jednak odróżniać tego typu jednostkowe zdarzenia od blackoutu, awarii infrastruktury krytycznej -zaznaczyła minister.
Na zakończenie krótkiej konferencji prasowej, minister cyfryzacji przypomniała, że ustawa o cyberbezpieczeństwie będzie gotowa przed końcem tego roku. – Planujemy ją na grudzień 2016. Ustawa ta wdraża unijną dyrektywę NIS. Wdraża także podstawowy katalog uprawień poszczególnych interesariuszy w zakresie cyberbezpieczeństwa zarówno dla administracji jak i biznesu – zakończyła minister cyfryzacji.
Rusza CYBERSEC. „Polska ma ogromny potencjał w cyberbezpieczeństwie”
