Droga do pokonania jest tutaj podobna jak w innych krajach, gdzie zaczęto właśnie od zespołów reagowania na incydenty zagrażające bezpieczeństwu w sieciach teleinformatycznych. Potem okazywało się, że samo reagowanie to stanowczo za mało, że potrzebne jest ciało koordynujące działania w skali kraju. Wszędzie takie ogólnokrajowe organizmy powstały stosunkowo niedawno. Nie jesteśmy więc aż tak bardzo opóźnieni.

Możemy albo wykorzystać istniejące zespoły, albo stworzyć nowe od podstaw zarówno na poziomie cywilnym, jak i wojskowym. Bez wątpienia to drugie rozwiązanie byłoby znacznie droższe. Stąd nasze propozycje.

Co udało się osiągnąć do tej pory?

Pierwsze konkretne rezultaty powinny być widoczne w przyszłym roku. Tak jak wspominałem, powinniśmy wykorzystać istniejący już u nas potencjał, czyli przede wszystkim te zespoły, które mają doświadczenie w reagowaniu na incydenty. Bez wątpienia komórką, która pełni najważniejszą rolę, jest zespół NASK CERT Polska. Chcemy, by stał się on centrum technicznej obsługi KSOKITI.

Przygotowywane są plany inwestycji w naszą infrastrukturę krytyczną w ramach tzw. umów offsetowych związanych z kontraktem stulecia na samolot wielozadaniowy.

Być może uda się wykorzystać te fundusze do budowy KSOKITI. Jeśli chodzi o polskie sieci teleinformatyczne, potrzebna jest ich rozbudowa i funkcjonalna integracja, tak aby osiągnięta redundantność gwarantowała pewien poziom bezpieczeństwa.

Dzisiaj ta infrastruktura wydaje się trochę dziurawa, czasem okazuje się bowiem, że łącza zapasowe wykorzystują to samo łącze fizyczne.

Niestety, tak. Wiele pozostaje także do zrobienia w kwestii bezpieczeństwa. Dobrze, że wkrótce zostanie ustanowiona przez Polski Komitet Normalizacji polska norma bazująca na standardzie ISO/IEC 17799 Praktyczne zasady zarządzania bezpieczeństwem informacji.

Ale istnienie normy nie oznacza, że od razu trzeba jej przestrzegać.

Gdy istnieje norma, można stworzyć akty prawne i rozporządzenia, które będą się do niej odwoływać.

Czy istnieje rozsądna granica, której państwo nie powinno przekraczać, dbając o bezpieczeństwo swojej infrastruktury krytycznej? Przecież im bezpieczniej, tym więcej środków trzeba na to przeznaczać.

Nie da się wyznaczyć takiej granicy. Być może dlatego że trudno wycenić wartość niektórych zasobów. Jednym z przykładów są informacje niejawne, których cenę niezwykle trudno jest określić.