Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonujemy, gdy nie możemy dostać się na strony internetowe najważniejszych instytucji w Polsce. Jak stugębna plotka i medialna wrzawa potęguje chaos w unormowaniu sytuacji na stronach www - wizytówkach naszego państwa. Jak walka o wolność w internecie przeradza się w kibolską zadymę na stadionie. Najgorzej, że nie wiemy, czy wraz z takimi atakami nie wiążą się próby spenetrowania naszych instytucji rządowych i teleinformatycznej infrastruktury krytycznej przez autentyczne grupy przestępcze i terrorystyczne, nie mówiąc już o celowym działaniu służb specjalnych obcych państw. Is fecit qui prodest - ten uczynił, komu przyniosło to korzyść.

Wiedza jak temu zaradzić, jest głównie po stronie sektora prywatnego, następnie wśród organizacji pozarządowych i nielicznych przedstawicieli sektora publicznego. Od 2004 r. na konferencjach z cyklu "Wolność i bezpieczeństwo" podnosimy konieczność zapanowania nad pięcioma żywiołami: wodą, ogniem, powietrzem, ziemią i cyberprzestrzenią. Czas, by 2012 rok poświęcić ochronie infrastruktury krytycznej przed atakami cybernetycznymi. Ogłaszamy zatem rok 2012 Rokiem Ochrony Cyberprzestrzeni Krytycznej, której kulminacją staną się ćwiczenia z ochrony cyberprzestrzeni na IX konferencji "Wolność i bezpieczeństwo" w dniach 19-21 września 2012 roku.

Tło polityczne

Ochrona cyberprzestrzeni stanowi obecnie jeden z podstawowych celów strategicznych w obszarze bezpieczeństwa każdego państwa. Rządowy Program Ochrony Cyberprzestrzeni RP, opracowany w 2009 roku, obecnie aktualizowany w perspektywie 2016 r., stawia na zapewnienie ciągłości bezpieczeństwa cyberprzestrzeni państwa, a także na zwiększenie poziomu bezpieczeństwa infrastruktury teleinformatycznej, w tym teleinformatycznej infrastruktury krytycznej oraz minimalizowanie skutków naruszeń w obszarze cyberprzestrzeni. Mówi również o tym projekt Strategii Rozwoju Systemu Bezpieczeństwa Narodowego 2020 (tzw. stratega średniookresowa), która stawia na aktywny udział Polski w budowie i funkcjonowaniu unijnych i sojuszniczych elementów struktur obrony cybernetycznej. Podnosi się tam m.in. konieczność udoskonalenia zasad i mechanizmów współpracy pomiędzy MON a ABW oraz stroną cywilną a wojskowym system obronnym państwa.

Zarazem Ustawa z 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw pozwala Prezydentowi RP wprowadzić jeden z stanów nadzwyczajnych (w zależności od okoliczności: stan klęski żywiołowej, stan wyjątkowy lub stan wojenny), gdy np. atak cybernetyczny na system zarządzania siecią energetyczną zagraża bezpieczeństwu państwa.

Uważamy, że należy przygotować rekomendacje dla Prezydenta RP, w jakich okolicznościach można wprowadzić jeden ze wspomnianych stanów nadzwyczajnych po ataku w cyberprzestrzeni. Winny im towarzyszyć scenariusze sytuacji kryzysowych w formie scenariuszy ćwiczeń z ochrony infrastruktury krytycznej przed atakiem cybernetycznym i reagowania kryzysowego po takim ataku. Zgodnie z zalecaniami NATO i ENISA, implementowanymi do Rządowego Programu Ochrony Cyberprzestrzeni, a także rekomendowanymi w Strategicznym Przeglądzie Obronnym, takie ćwiczenia należy organizować cyklicznie na różnych szczeblach. Brak ćwiczeń między sferą publiczną a prywatną, prowadzi do działań podważających sprawność państwa.

Liczymy na współpracę wszystkich zainteresowanych instytucji i osób. Niech ten ferment twórczy doprowadzi nas do umiejętnego zarządzania ryzykiem i przewidywania działań w sytuacjach kryzysowych!

IX Konferencja "Wolność i bezpieczeństwo"

Mistrzostwa Europy w piłce nożnej EURO 2012, które odbędą się w Polsce i na Ukrainie w czerwcu 2012, staną się znakomitą okazją do obserwacji jak działa nasz system zarządzania kryzysowego, zwłaszcza na tle XXX Letnich Igrzysk Olimpijskich w Londynie.

Czy wszystkie służby poradziły sobie z zadaniem? Jakie incydenty wydarzyły się podczas zawodów i czy wpłynęły na stopień bezpieczeństwa publicznego? Czy przygotowywane mozolnie systemy wsparcia teleinformatycznego spełniły swoją funkcję? Jakie wnioski płyną na przyszłość? Co nowego należy wprowadzić do systemu bezpieczeństwa pozamilitarnego po EURO 2012 zarówno od strony politycznej i organizacyjnej, ale również od strony zabezpieczenia teleinformatycznego?

Pochylimy się zarazem nad miejscem i rolą teleinformatyki na współczesnym polu walki, zastanowimy czym w rzeczywistości jest koncepcja wojny sieciocentrycznej, jakie jest miejsce na wojnie i w reagowaniu kryzysowym dla robotów - dronów.

Taka debata z udziałem specjalistów ds. bezpieczeństwa publicznego to możliwość przeprowadzenia krajowych ćwiczeń z ochrony infrastruktury krytycznej przed atakiem z cyberprzestrzeni. Ustawa z 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw wprowadziła pojęcie cyberprzestrzeni do polskiego porządku prawnego. Jeżeli Prezydent RP uzna, że np. atak cybernetyczny na system zarządzania siecią energetyczną zagraża bezpieczeństwu państwa, ma prawo wprowadzić jeden z stanów nadzwyczajnych (w zależności od okoliczności: stan klęski żywiołowej, stan wyjątkowy lub stan wojenny).

"Ustawa stwarza podstawy prawne do praktycznego uruchomienia prac planistycznych i organizacyjnych przez wszystkie organy władzy i administracji w zakresie uwzględniania w planach operacyjnych i programach przygotowań obronnych z jednej strony możliwych nowych zagrożeń w postaci cyberzagrożeń oraz z drugiej - wykorzystywania cyberprzestrzeni we własnych działaniach i systemach bezpieczeństwa na wszystkich szczeblach funkcjonowania państwa" - czytamy w komentarzu na stronach Biura Bezpieczeństwa Narodowego.

Ćwiczenia z ochrony infrastruktury krytycznej przed atakiem z cyberprzestrzeni i z reagowania kryzysowego post factum, pozwoliłyby sprawdzić jak ta ustawa ma zadziałać w praktyce, czy służby zarządzania kryzysowego, których wysiłek skupia się na minimalizacji klasycznych zagrożeń np. podczas EURO 2012, są w stanie interweniować po ataku z cyberprzestrzeni; jak wyglądałaby współpraca w ramach krajowych instytucji, organizacji i firm sektora publicznego i prywatnego przed i w trakcie takiego ataku; wreszcie ćwiczenia umożliwiłyby koordynację działań specjalistów od bezpieczeństwa teleinformatycznego z klasycznymi służbami zarządzania kryzysowego i bezpieczeństwa narodowego jak Straż Pożarna, Policja, Straż Miejska, Straż Graniczna, Wojsko Polskie i instytucje sojusznicze.

Przebieg konferencji

Formuła konferencji, która jest główną imprezą Roku Ochrony Cyberprzestrzeni Krytycznej ROCK 2012, pozwala na opracowanie i przedyskutowanie zawczasu realnego planu ćwiczeń ochrony cyberprzestrzeni. Zajmuje się tym konwersatorium "Pięć żywiołów", które pełni zarazem zaszczytną funkcję Rady Programowej konferencji.

Jednocześnie nasi eksperci obserwują przygotowania do EURO 2012, następnie zaś skupią się na analizie stanu bezpieczeństwa podczas samej imprezy.

W rezultacie pierwszego dnia wrocławskiej konferencji zajmiemy się EURO 2012 i implikacjami na przyszłość, jednocześnie już rozpoczynając międzynarodowe ćwiczenia z ochrony cyberprzestrzeni. Najprawdopodobniej postawimy na symulację ataków na obiekty teleinformatycznej infrastruktury krytycznej. Regulamin ćwiczeń zostanie opracowany przez uczestników konwersatorium. Główne zadanie to z jednej strony podniesienie w stan gotowości bojowej całego systemu zarządzania kryzysowego, zaś z drugiej - opracowanie przesłanek, które pozwoliłyby Prezydentowi RP do ogłoszenia jednego ze stanów nadzwyczajnych.

Na bazie dyskusji o EURO 2012 oraz doświadczeń z ćwiczeń przygotowano by dwa oddzielne raporty (szczegółowe do wewnętrznych analiz oraz ogólne - dostępne publicznie). Notabene jesteśmy przekonani o konieczności przygotowania tzw. raportu otwarcia, pokazującego obecny cyberbezpieczeństwa i stanu ochrony infrastruktury krytycznej.

Więcej o naszych konferencjach Wolność i bezpieczeństwo