Zainteresowanie cyberbezpieczeństwem w Polsce od lat ograniczało się z konieczności do problematyki technicznej. Większość prób podejmowania publicznej debaty skupia na specjalistycznych konferencjach ekspertów praktyków w sprawach bezpieczeństwa, przy bardzo umiarkowanym, najczęściej co najwyżej przelotnej obecności osób, które mogłyby mieć wpływ na rozwiązania o charakterze strategicznym, nie mówiąc o rozstrzygnięciach w sferze polityki. Wady tego stanu rzeczy idealnie odzwierciedla opublikowany w czerwcu 2015 r. raport NIK, opisujący wykonywanie zadań w zakresie cyberbezpieczeństwa państwa w wybranych podmiotach i instytucjach administracji. Raport jest krytyczny wobec większości kontrolowanych. To instytucje stosujące charakterystyczną dla kunktatorskiej biurokracji zasadę ograniczania odpowiedzialności do własnego podwórka i trzymania się obowiązków jednoznacznie zapisanych w przepisach. W rezultacie raport, a co gorsza, również wnioski pokontrolne prezentowane przez przedstawicieli NIK na początku września przy okazji konferencji Security Case Study 2015, czyli dokładnie rok po prezentacji pierwszej wersji, tworzą obraz państwa, pocieszającego się myślą, że „jakoś-to-będzie”. Gdzieś w tle jest perspektywa pojawienia się unijnych rozwiązań prawnych, które wniesie za jakiś czas mocno spóźniona dyrektywa NIS. Dyrektywa jednak niezbyt na razie angażuje kreatorów polityki wewnętrznej Polski, bo po pierwsze jeszcze nie jest uchwalona, a po drugie da kilkunastomiesięczny czas na wdrożenie. Brakuje przy tym refleksji, że to unijne prawo jest trochę o czym innym i nie załatwi wewnętrznych problemów Polski z cyberbezpieczeństwem. Państwo dysponuje pewnymi zasobami do ochrony własnych rządowych systemów informacyjnych oraz pilnuje wdrażania środków ochrony przed zagrożeniami z cyberprzestrzeni niektórych elementów najważniejszej infrastruktury, ale obywatele i firmy powinny liczyć raczej na siebie.

Firmowany przez MAiC i zatwierdzony przez Komitet Rady Ministrów ds. Cyfryzacji „Plan działań w zakresie bezpieczeństwa cyberprzestrzeni RP” i wcześniej przyjęta Polityka, wydają się utwierdzać to samoograniczenie administracji, niestety, również w kwestii oszacowań budżetowych. Nieraz zwracałem uwagę, że już samo tytułowe określenie „cybeprzestrzeń RP” budzi fundamentalne wątpliwości, bo wydaje się zakładać, że problemy z cyberzagrożeniami da się zlokalizować pomiędzy Odrą a Bugiem.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Apple Wunderlust - iPhone 15 i inne - relacja z premiery

Pewną nadzieję na zmianę podejścia stwarza zupełnie inna jakościowo i inaczej przygotowana „Doktryna Cyberbezpieczeństwa Rzeczpospolitej Polskiej” powstała w BBN. MON włączył ją do katalogu dokumentów definiujących ramy dla strategii obronnej państwa. To swoją drogą ciekawe, że wojskowych było stać na to, by w odpowiednim czasie wciągnąć do konstruktywnej debaty wybranych przedsiębiorców, naukowców i organizacje pozarządowe zajmujące się cyberbezpieczeństwem. Może po prostu wojskowi wiedzą z praktyki, że realne ryzyko dotkliwej przegranej ogranicza pole dla zaniechań lub kompromisów będących chlebem powszednim biurokratów.

O międzynarodowym cyberbezpieczeństwie w Krakowie

Instytutowi Kościuszki, organizatorowi konferencji Cybersec 2015 odbywającej się w ostatnich dniach września w Krakowie, wspieranemu bardzo wydatnie przez Fundację Bezpieczna Cyberprzestrzeń, udało się dokonać wyłomu w murze niezrozumienia oddzielającym wewnętrzne problemy cyberbezpieczeństwa instytucji oraz podmiotów, za jakie państwo musiało wziąć odpowiedzialność, od publicznej debaty o przeciwdziałaniu zagrożeniom, z którymi musimy się wspólnie uporać, by myśleć o bezpiecznym świecie. Przyczyniło się do tego udane umiędzynarodowienie konferencji z dużym udziałem zagranicznych gości, odbywającej się w całości w języku angielskim, a także interesująca formuła panelowych dyskusji w czterech równoległych ścieżkach tematycznych (państwo, wojsko, przyszłość, biznes). Okazało się przy okazji, że w Polsce nie brakuje ekspertów, którzy potrafią rzeczowo dyskutować o bezpieczeństwie europejskim, transatlantyckim, bliskowschodnim lub globalnym w kontekście zagrożeń gospodarczych, politycznych lub militarnych. Bez zbytniej kurtuazji można zaryzykować opinię, że jest szansa, by kolejne tego typu konferencje wpisały się w kalendarz wydarzeń europejskich.

Rozmawiać i współdziałać

Wymiana informacji pomiędzy różnymi sektorami, konfrontowanie doświadczeń, poglądów i punktów widzenia na kwestie bezpieczeństwa w związku zagrożeniami z cyberprzestrzeni stanowią obecnie jedyną sensowną metodę dojścia do rozwiązań. Istotne jest tworzenie okazji do dyskusji na forach międzynarodowych. Właśnie z takiej perspektywy lepiej widać możliwości znalezienia sposobów na zarządzanie ryzykiem w zakresie cyberbezpieczeństwa, ewentualność standaryzacji, zbliżenia rozwiązań prawnych.

Problemy na pewno nie znikną. Będą narastać i wymagać naszej uwagi. Podczas krakowskiej konferencji spektakularnie widać to było po dyskusji wątków o charakterze militarnym. Najprawomocniej nie istnieje potrzeba definiowania w prawie odrębnych kategorii jak cyberwojna. Wiadomo jednak, że ewentualność ataków z cyberprzestrzeni musi być brana pod uwagę w operacjach wojskowych na wszystkich szczeblach dowodzenia. Wojsko musi też budować nowe i pogłębiać istniejące kompetencje w analizowaniu i współdziałaniu w związku kryzysami o znaczeniu pozamilitarnym, w tym w zarządzaniu kryzysowym, zarządzaniu kryzysami w sferze polityki międzynarodowej.

W ramach NATO zaczynają być organizowane wspólne operacyjne jednostki cyberobrony, zespoły reagowania, planuje się organizowanie wspólnych ćwiczeń. To w naturalny sposób będzie się łączyć z budowaniem zdolności ofensywnych, a także planowaniem budżetu na operacje wojskowe z udziałem systemów poprawiających odporność na zagrożenia i zwiększających elastyczność architektury systemów informacyjnych.

Sektor prywatny dostarczający wojsku rozwiązań technologicznych w zakresie ICT oraz bezpieczeństwa uczy się również integrować systemy na bieżąco i w warunkach polowych. Wojsko zaczyna też redefiniować znaczenie partnerstwa publiczno-prywatnego w rozumieniu czynnego mobilizowania zasobów wiedzy i energii osób, które na co dzień pracują poza wojskiem. Również w Polsce testowana jest obecnie koncepcja ochotniczej cyberobrony, której powstanie zaproponował Mirek Maj z Fundacji Bezpieczna Cyberprzestrzeń. Czy dzięki wspólnemu działaniu będzie bezpieczniej?