W wydanym w czerwcu 2015 r. raporcie pt. „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP” Najwyższa Izba Kontroli zawarła negatywną ocenę działań jednostek zaangażowanych w zapewnianie bezpieczeństwa cyberprzestrzeni w Polsce.

Nieuświadomione zagrożenia

NIK podkreśla, iż „nie dostrzeżono, że powstała nowa kategoria zagrożeń, wymagająca pilnej reakcji państwa. Kierownictwo najważniejszych instytucji publicznych nie było świadome niebezpieczeństw związanych z funkcjonowaniem cyberprzestrzeni oraz wynikających z tego faktu nowych zadań administracji państwowej”. Efekty? Brak spójnych, systemowych działań identyfikujących zagrożenia i przeciwdziałających zagrożeniom, na jakie wystawiona jest polska cyberprzestrzeń; brak analiz na temat ryzyka dla krajowej infrastruktury teleinformatycznej czy wypracowanej strategii obrony, ram prawnych oraz procedur działania w razie ataku i odpowiedzialnych za ich egzekwowanie osób.

Zobacz również:

• Menedżer haseł - na które rozwiązanie warto postawić w 2024 roku

Działania naprawcze: osiem założeń

Ministerstwo Cyfryzacji podjęło wyzwanie – szykuje się do przygotowania spójnej, całościowej strategii bezpieczeństwa polskiej cyberprzestrzeni.

Zagadnienie to określono jako sumę działań w odniesieniu do trzech filarów: techniki, procedur oraz ludzi. „Jeśli chodzi o technikę – sprawa nie wygląda źle” – mówi gen. brygady Włodzimierz Nowak, wyspecjalizowany w zagadnieniach bezpieczeństwa ICT, doradca w gabinecie politycznym Ministra Cyfryzacji. „Instytucje, które muszą zadbać o cyberbezpieczeństwo, na bieżąco inwestują w tę technikę, na bieżąco ją doskonalą, starają się odpowiadać na zagrożenia”. „Procedury” oraz „ludzie” to natomiast obszary, które „wymagają sporego nakładu sił i energii po to, by sprawy te uporządkować” – dodaje gen. Nowak.

„Zidentyfikowaliśmy osiem głównych założeń, które powinny być przyjęte w jak najszybszych terminach po to, by podnieść cyberbezpieczeństwo na wyższy poziom” – mówi Włodzimierz Nowak. Szczegóły przedstawił podczas tegorocznej konferencji Computerworld „Państwo 2.0”.

1. Każdy element krajowego systemu telekomunikacyjnego musi być widziany w systemie reagowania na zagrożenia w cyberprzestrzeni oraz posiadać odpowiednią strukturę organizacyjną. Innymi słowy, „musi mieć swojego właściciela, jeżeli chodzi o cyberbezpieczeństwo” – mówi Włodzimierz Nowak. NIK zwracała uwagę, że bywa z tym różnie. Niektóre jednostki działają bardzo wydajnie (np. MON, ABW), inne nie realizują swoich zadań w tym zakresie, przede wszystkim z uwagi na braki systemowe (MSW, UKE).

2. Potrzebny jest system wczesnego ostrzegania. Taki system obejmować będzie wszystkie międzynarodowe i międzyoperatorskie punkty wymiany internetu. Obecnie nie ma jednostki, która posiadałaby wiedzę na temat tego, co dzieje się na transgranicznych i międzyoperatorskich punktach styku sieci komputerowych. Podmiotem, który weźmie odpowiedzialność za łączenie i kojarzenie zdarzeń w różnych punktach sieci, będzie CERT Narodowy – zespół koordynujący działania w odniesieniu do incydentów bezpieczeństwa teleinformatycznego na poziomie krajowym. Będzie on „zbierać te wszystkie dane i z tych danych pozyskanych od operatorów wyciągać wnioski, czy to, co się dzieje na łączach transgranicznych, to jest coś niebezpiecznego dla systemów krajowych, czy też to sytuacja, którą można pozostawić w gestii operatorów” – mówi gen. Nowak.

3. Należy stworzyć wielopoziomowe procedury reagowania na zagrożenia. Procedury te muszą zawierać przy tym jasno rozgraniczone progi reakcji oraz kanały informacji podejmujące najistotniejsze zagrożenia. Ich zakres czy odpowiedzialne podmioty muszą zostać uzgodnione między wszystkimi interesariuszami procesów. Szczególnie istotne będą procedery dotyczące reagowania na „zagrożenie istotnych funkcji państwa: systemy energetyczne, bankowe. Te, które wpływają na nasze życie i funkcjonowanie całego państwa” – podkreśla Włodzimierz Nowak. Chodzi tu zarówno o kradzieże danych czy uszkodzenia infrastruktury, ale i mniej oczywiste zagrożenia, takie jak nieautoryzowany dostęp serwisowy do systemów ICT. Inne wskazywane w tym punkcie zagrożenia to zmiana czy podmienianie informacji na stronach czy w różnych rejestrach państwa i jego jednostek, a także dokuczliwe ze społecznego punktu widzenia utrudnianie dostępu do usług administracji.

4. Konieczne jest wyznaczenie podmiotu, który będzie odpowiadał za całościowe bezpieczeństwo polskiej cyberprzestrzeni. „Nie ma dzisiaj jednej organizacji, która odpowiada za zarządzanie cyberbezpieczeństwem w kraju” – stwierdza Włodzimierz Nowak. Zwornikiem kompetencji w tym zakresie stanie się Ministerstwo Cyfryzacji. Rola ta obejmować będzie zarówno organizację systemu cyberbezpieczeństwa państwa i nadzorowanie tworzenia wynikających z niego struktur, jak i określanie kompetencji i wymagań dla uczestników tego procesu czy ewidencjonowanie danych na ten temat. Ministerstwo będzie także określało zasady szkoleń i ćwiczeń w tej dziedzinie, a także kierunki prowadzonych prac badawczo-rozwojowych.

5. „Wszystkie wprowadzane zasady muszą być formalnie i prawnie usankcjonowane” – podkreśla gen. Nowak. Muszą także posiadać określone źródła finansowania. „To oczywiście trudny element, ale pewne kroki już zostały podjęte” – mówi Nowak. Nowelizacja ustawy o działach administracji rządowej z 22 grudnia 2015 r. uzupełniła dział dotyczący informatyzacji o elementy z zakresu bezpieczeństwa IT oraz określiła Ministerstwo Cyfryzacji jako koordynatora systemu.

6. „Ocena ryzyka cyberprzestrzeni musi być ciągłym procesem”. Prawidłowa realizacja tego założenia wymagać będzie ścisłej współpracy zarówno z ośrodkami krajowymi, jak i podmiotami zagranicznymi. „Ocena ryzyka na razie co prowadzona jest wycinkowo, jednorazowo, akcyjnie” – przyznaje Włodzimierz Nowak.

7. Konieczne jest wzmocnienie ostatniej linii obrony. Aktualny stan? „U operatorów telekomunikacyjnych to funkcjonuje, natomiast dużo gorzej jest, jeśli chodzi o zasoby państwowe” – mówi gen. Nowak. Aby wzmocnić potencjał w tej dziedzinie, Ministerstwo Cyfryzacji będzie zawierało specjalne umowy z dostawcami sprzętu, operatorami oraz ośrodkami naukowymi, „które będą mogły – w przypadku dużych kłopotów i niemożności poradzenia sobie z problemami w cyberprzestrzeni przez administrację rządową, organizacje pozarządowe – […] je wspomagać z zewnętrznych źródeł wysoko specjalizowanych. I niekoniecznie krajowych”.

8. Dostosowanie architektury sieci do wymagań cyberbezpieczeństwa. „Okazuje się, że sama architektura sieci, organizacja dostępu do internetu, organizacja dostępu do serwisów daje możliwość dodatkowego monitorowania – a czasami i przeciwdziałania – pewnym zdarzeniom w sieci, które są bardzo niebezpieczne” – mówi Włodzimierz Nowak. Jednym z elementów działań w tym zakresie będzie stworzenie wspólnego intranetu dla serwisów rządowych, które dzielić będą pojedynczy punkt dostępu do internetu. Podobnie byłoby w przypadku województw. Ministerstwo będzie zmierzało do wykorzystania wybudowanych za unijne i samorządowe pieniądze sieci regionalnych, by na ich bazie stworzyć – wedle słów gen. Nowaka – „strukturę dostępową do Internetu, monitorowaną przez CERT wojewódzki” w trybie 24/h przez 7 dni w tygodniu. „Krótko mówiąc, administracja zespolona, niezespolona, nie musiałaby utrzymywać dodatkowych narzędzi zabezpieczających. Podłączona byłaby do takiego intranetu wojewódzkiego, który byłby nadzorowany przez CERT na poziomie województwa”.

Więcej informacji na temat założeń strategii cyberbezpieczeństwa RP znajduje się tutaj.