Państwo 2.0 2019. Bezpieczeństwo płynące z chmury rządowej

Administracja chce na bazie wybranych serwerowni budować chmurę rządową. To element zapewnienia ciągłości działania państwa w modelu tańszym, szybszym i bezpiecznym.

Karol Okoński, Sekretarz Stanu, Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Ministerstwo Cyfryzacji, podczas tegorocznej konferencji Państwo 2.0

Wykorzystanie technologii cyfrowych w administracji publicznej rośnie z roku na rok. Pojawiają się nowe usługi dla obywateli, państwo wdraża politykę otwartych danych, udostępniając coraz większe zasoby. A to oznacza między innymi dwie rzeczy – zwiększenie cyberbezpieczeństwa naszych danych oraz czekająca administrację operacja optymalizacji swoich zasobów IT.

Więcej danych, większe ryzyko

Dziś z profilu zaufanego korzysta już 2,8 mln obywateli. I liczba ta wzrasta z dnia na dzień, wraz z pojawiającymi się nowymi usługami, na przykład z wnioskowaniem w programie 500+, sprawdzanie punktów karnych, obowiązek Jednolitego Pliku Kontrolnego. Na stronach administracji pojawia się też coraz więcej informacji, co powoduje wzrost odwiedzin. Od 2015 do 2018 roku odwiedziny strony www.obywatel.gov.pl , zawierającej kluczowe treści z punktu widzenia obywatela, wzrosły z 2 do 9,5 mln. Strona www.biznes.gov.pl w tym czasie uzyskała pięciokrotny (z 1 do 5 mln) wzrost odwiedzin. Administracja otworzyła również dane publiczne – ponad 120 instytucji opublikowało 11000 zbiorów danych dla obywateli. Te liczby już robią wrażenie. Do tego dochodzą serwerownie (580 w administracji centralnej i infrastruktura krytyczna - z założenia niejawna. Jeśli dodamy do tego 870 różnego rodzaju systemów w administracji centralnej, z czego ponad 40 kluczowych dla funkcjonowania państwa, kwestia cyberbezpieczeństwa zaczyna nabierać naprawdę innego wymiaru. Duży stopień wykorzystania IT w administracji naturalnie, w dzisiejszych czasach, pociąga za sobą znaczne zwiększenie stopnia ryzyka.

Zobacz również:

Chronić kluczowe obszary

Karol Okoński, Sekretarz Stanu, Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Ministerstwo Cyfryzacji, podczas tegorocznej konferencji Państwo 2.0., organizowanej przez Computerworld, zaznaczył, że nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa, choć sama nie daje poczucia bezpieczeństwa, jest doskonałą bazą do budowania kompetencji i ról poszczególnych instytucji, które za bezpieczeństwo miedzy innymi naszych danych mają odpowiadać. Pierwszym etapem zapewnienia ciągłości działania państwa jest powołanie 3 jednostek CSIRT (Computer Security Incident Response Team) – CSIRT MON, NASK i GOV, siedmiu właściwych dla kluczowych sektorów gospodarki zapewniających ciągłość państwa (MC, ME, MI, MON, MGMiŻŚ, MZ, KNF) oraz operatorzy usług kluczowych i dostawcy cyfrowych usług kluczowych. Na razie wyznaczono 13 kluczowych operatorów w sektorze energetyki, 6 w transporcie (na razie tylko w transporcie wodnym), 19 w finansach i bankowości, 12 w obszarze zdrowia oraz 7 w obszarze infrastruktury cyfrowej. Jak zauważył minister Okoński, nie ma jeszcze operatorów w obszarze np. dystrybucji wody pitnej, ale wyznaczeni operatorzy to dopiero początek działań, gdyż trwa 320 postępowań na różnych etapach. Można się więc spodziewać, że docelowo kluczowych podmiotów, które mają zapewnić ciągłość działania państwa będzie 350-400.

Jak ma działać państwo?

To oczywiście dopiero pierwszy etap realizacji koncepcji bezpieczeństwa państwa, ponieważ równie ważne są takie elementy jak na przykład wdrożenie w kolejnym etapie spójnych dla wszystkich standardów bezpieczeństwa. Po co? Jak wyjaśnia min. Karol Okoński, by upewnić się, że administracja działa w najlepszy możliwy sposób i korzysta z najwyższych standardów.

Duży stopień wykorzystania IT w administracji naturalnie, w dzisiejszych czasach, pociąga za sobą znaczne zwiększenie stopnia ryzyka.

Wraz ustawą o Krajowym Systemie Cyberbezpieczeństwa pojawiają się wspomniani wyżej operatorzy usług kluczowych. Skala i unikalność usług, które wykonują, powoduje, że muszą oni w doskonały wręcz sposób zarządzać ryzykiem, mieć dobry system zarządzania informacji i jasno określone komunikowanie incydentów. Jak wyjaśniał Karol Okoński, odpowiedzią na te wyzwania, dotyczące zresztą szerzej administracji, powinno być spojrzenie bardziej przyjaznym okiem na cloud computing. Przypadki w administracji już są, ale na razie sporadyczne. Argumenty za chmurą są mocne, właściwie takie same, które przekonują firmy komercyjne do korzystania z cloud computingu - jednolite standardy bezpieczeństwa, efektywność wydawania środków, optymalizacja czasy realizacji, interoperacyjność. Jako przykład minister podaje przykład 580 serwerowni należących do sektora publicznego, które wymagają zatrudniania specjalistów, zakupu licencji, sprzętu. To obszar, który można optymalizować, zachowując znacznie lepszą kontrolę danych i zapewniając wyższe standardy bezpieczeństwa często przechowywanych tam danych krytycznych.

Dlatego administracja centralna – jak zapewniał podczas konferencji Państwo 2.0. minister Okoński, jest zdecydowana na wdrożenie modelu hybrydowego IT. Na bazie wybranych serwerowni będzie rozwijana chmura rządowa, co zapewni elastyczność wykorzystania zasobów, wyższy poziom bezpieczeństwa. Z tym pomysłem, zresztą już realizowanym od początku tego roku, powiązana jest koncepcja rządowego klastra bezpieczeństwa, które stworzą wspomniane serwerownie, ale nie tylko, ponieważ będą dołączane kolejne serwerownie, o ile będą spełniać ustalone standardy bezpieczeństwa. Chmurę rządową ma uzupełnić chmura publiczna, jednak kontrolowana pod kątem zamawiania usług przez administrację. Koncepcja ma ujednolicić zarządzanie danymi państwa i pomóc ustalić, kto jakie dane w chmurze rządowej zamieszczać będzie. I czy w tej chmurze, czy raczej w chmurze dostarczonej przez konkretnego, zweryfikowanego dostawcę, czy jednak tylko on-premise. To ma podlegać weryfikacji centralnej.

Plany są ambitne - pierwsze systemy spoza ministerstwa cyfryzacji trafią do powstałej chmury rządowej między kwietniem a czerwcem tego roku (jako pilotaż), przetarg na usługi, które trafią do katalogu chmurowego – jesienią. „Liczymy na odzew ze strony administracji. Zakładamy, że dzięki usługom, które zapewnimy, będziemy w stanie odpowiednio zarządzić obszarem cyberbezpieczeństwa państwa” – powiedział minister Okoński. Jak wspomniał, ministerstwo będzie wydawać pewne rekomendacje dotyczące wykluczenia niektórych produktów obecnych na rynku. Nie będzie działać pochopnie, ale mimo wszystko z uwzględnieniem ochrony państwa.

Wojska obronią cyberprzestrzeń

Postępująca cyfryzacja, komputeryzacja kolejnych dziedzin życia sprawiła, że coraz mniej dziedzin może odbywać się bez cyfrowego komponentu, bez technologii. To dotyczy również aspektów związanych z obronnością państwa. Szczególnie, gdy mówimy o działaniach mających na celu chronienie państwowej cyberprzestrzeni. Tomasz Zdzikot, Sekretarz Stanu w Ministerstwie Obrony Narodowej podczas konferencji państwo 2.0. przypomniał, że od 2014 roku w deklaracjach końcowych szczytów NATO wyraźnie jest zaznaczone, że cyberprzestrzeń na równi z innymi przestrzeniami staje się domeną działań militarnych. Wcześniej przedstawiciele dowództwa wspominali również, że każde państwo sojuszu musi potrafić bronić się w cyberprzestrzeni równie skutecznie jak na lądzie, wodzie czy w powietrzu. Dlatego też w Belgii powstało dedykowane centrum operacji w cyberprzestrzeni.

Takie stanowisko jedynie potwierdza, jak bardzo kwestie cyberbezpieczeństwa stały się dziś istotne dla funkcjonowania każdego państwa. Od ubiegłego roku w Polsce funkcjonuje ustawa i krajowym Systemie Cyberbezpieczeństwa. W ramach podziału zadań ministrowi MON przydzielono pakiet działań związany z budowaniem zdolności obrony w cyberprzestrzeni. MON to jeden z trzech CSIRT ustanowionych zapisem ustawy.

W 2018 roku ministerstwo podjęło prace analityczne dotyczące wzmocnienia zdolności resortu do działań w cyberprzestrzeni. Powstał projekt CYBER.MIL.PL, którego celem jest właśnie zwiększanie bezpieczeństwa państwa i obywateli. Jak zaznaczył minister Zdzikot, program nie powstał z niczego, ale ma dobrą bazę, również kadrową, która wpisuje się w ekosystem cyberbezpieczeństwa. Pod auspicjami MON funkcjonuje 5 uczelni wyższych, również profilowane licea. Na Wojskowej Akademii Technicznej oraz w Akademii Marynarki Wojennej w Gdyni, na specjalistycznych kierunkach, kształci się kadra specjalistów z zakresu cyberbezpieczeństwa. Ministerstwo, korzystając ze środków wydzielanych na prace badawcze, finansuje zadania w obszarze cyberbezpieczeństwa i kryptografii, realizowanre przez uczelnie będące w gestii MON. Resort ma też swoje jednostki operacyjne, jak na przykład Służbę Kontrwywiadu Wojskowego czy Narodowe Centrum Kryptologii.

Posiadając taką bazę kompetencyjną, 5 lutego MON ogłosił, że w ramach programu CYBER.MIL.PL powstanie nowy rodzaj wojsk – obrony cyberprzestrzeni. Do życia zostanie także powołany, na bazie m.in. Narodowego Centrum Kryptologii, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni. Minister Zdzikot zapowiedział również, że na wzór amerykańskiej Gwardii Narodowej również Wojska Obrony Terytorialnej zostaną uzupełnione o komponent cyberochrony.

Konsolidowane są też zasoby związane z ochroną i obroną sieci teleinformatycznych.

Ministerstwo ma też swoja receptę na niedobór kadr, szczególnie w zakresie specjalistów od cyberbezpieczeństwa. Remedium ma być kształcenie własnych kadr, zarówno na uczelnia wyższych jak i w liceach sprofilowanych, o czym wspominaliśmy.


TOP 200