Strategia cybertaktyczna państwa

Zaproponowany w założeniach rządowej strategii cyberbezpieczeństwa system reagowania na incydenty, może być sprawny, ale czy wystarczy, by zapewnić szerzej rozumiane bezpieczeństwo?

Minister Cyfryzacji poddał publicznym konsultacjom założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej.

Bez nadmiernej uprzejmości dla rządu należy zauważyć, że dokument jest ciekawszy, w tym również lepszy, niż „Polityka ochrony cyberprzestrzeni RP” z 2013 roku. Wtedy zachowawczo preferowano wsobne samoograniczenie ochrony najwrażliwszych, głównie własnych rządowych zasobów. W rezultacie najważniejszą syntezą przygotowania Polski do zagrożeń z cyberprzestrzeni stał się raport NIK, wytykający większości instytucjom państwa zaniedbania. Ówczesnemu ministrowi administracji i cyfryzacji zarzucono, że firmując „Politykę…”, nie podjął działań, by ją zrealizować. Znacząco inną jakość prezentuje opracowana w ubiegłym roku w BBN „Doktryna cyberbezpieczeństwa RP”, bo jej przygotowanie poprzedziły rzetelne konsultacje angażujące środowiska spoza grona rządowych lub wojskowych „bezpieczniaków”. Jest to oczywiście dokument prezydencki na metastrategicznym poziomie, nie wchodzący w kompetencje władzy wykonawczej.

Zobacz również:

Minister już może

Minister Cyfryzacji uzyskał mandat ustawowy, by zajmować się cyberbezpieczeństwem. Założenia strategii są dokumentem jest spójnym i logicznym, zawierającym ambitny harmonogram działań. Trudno go jednak nazwać strategią, chociaż autorzy przyjęli ostrożnie, że na razie to „założenia”. Dokument brnie w sprawy procedur i wymagań, które zwykle rozważa się w dokumentach technicznych.

Jednym ze źródeł nieporozumień jest interpretacja dyrektywy NIS, wprowadzająca ramy dla uregulowań we wciąż niezagospodarowanym u nas administracyjnie cywilnym obszarze cyberbezpieczeństwa. Między innymi poprzez mechanizmy wymiany informacji. Projekt od kilku lat straszy polskich urzędników koniecznością podjęcia działań. Jakby nie było innych obiektywnych powodów, by zająć się energicznie cyberbezpieczeństwem.

Hasło dyrektywa NIS przewija się wielokrotnie w „założeniach”, ale bez refleksji co do uwarunkowań międzynarodowych. Tymczasem dyrektywa rodziła się długo i w bólach. Uzgodniona, ale wciąż ostatecznie niezatwierdzona do publikacji. Okres jej transpozycji to aż 21 miesięcy. Dyrektywa nie ma zastosowania wobec przedsiębiorców telekomunikacyjnych oraz usług zaufania w transakcjach elektronicznych. Dyrektywa wzoruje się na teoretycznie wprowadzonym od kilku lat systemie zgłaszania przez operatorów telekomunikacyjnych, ale autorzy dokumentu MC nawet się nie zająknęli, że w Polsce ten system jest praktycznie nieskuteczny.

Przy negocjowaniu dyrektywy ujawniło się jak ograniczona jest akceptacja dla wspólnotowej polityki bezpieczeństwa. Niektóre sektory nowej gospodarki bronią się przed nadzorem państwa. Immanentnie związany z tym aksjologiczny dylemat: ile wolności, ile bezpieczeństwa, jest w Europie daleki od rozstrzygnięć. Jeżeli MC powołuje się na dyrektywę NIS, to powinien przynajmniej w skrócie skomentować inne źródła polityki unijnej: strategię cyberbezpieczeństwa z 2013 roku, europejską agendę bezpieczeństwa, działania ENISA, Europejskiego Centrum Cyberprzestępczości, liczne programy badawcze, w tym 16 inicjatyw partnerstwa publiczno-prywatnego w dziedzinie cyberbezpieczeństwa. Wątki bezpieczeństwa pojawiają się w licznych unijnych projektach integrowania kluczowych systemów informacyjnych, sieci transeuropejskich, identyfikacji obywateli.

Strategia doświadczonego

Atrybutem strategii i punktem wyjścia, powinna być diagnoza skali i charakteru zagrożeń dla Polski, a strategia ma określić ramy dla środków zaradczych. Zamiast tego we wstępie zacytowano na jednej stronie kilka ogólnych globalnych statystyk z corocznego raportu popularnego dostawcy Symantec i jedną z ocen cyberprzestępczości, pochodzącą z raportu szacownego waszyngtońskiego think tanku CSIS. Żadnego konkretnego odniesienia do sytuacji Polski. MC powinno sięgnąć do zasobów, które mogłyby dostarczyć choćby NASK – cert.pl, cert.gov.pl, RCB. Niepotrzebnie zignorowano liczne niezależne inicjatywy, działania organizacji pozarządowych, wręcz niesprawiedliwie oceniono organizację ćwiczeń, różne doświadczenia sektorowe.

Planując strategię, trzeba się mierzyć z wyzwaniami rzeczywistymi, a nie administracyjnymi, biorąc pod uwagę ryzyka: strat finansowych w gospodarce, utraty konkurencyjności przedsiębiorstw, zaburzeń obiegu pieniądza w państwie, uszkodzenia infrastruktury, przerwania ciągłości działania żywotnych systemów komunalnych lub przemysłowych, systemów ochrony zdrowia, zdemolowanie prywatności konsumentów nowych usług. Taka analiza, to droga do oszacowania kosztów minimalizowania skutków zagrożeń, przypisania ich do odpowiednich rubryk w ustawie budżetowej i podjęcia negocjacji z sektorem prywatnym na temat jego udziału w wydatkach na bezpieczeństwo.

Tymczasem otrzymujemy przede wszystkim wstępnie zarysowany zestaw nowej struktury instytucjonalnej. To z pewnością frapujące dla urzędników, ale nie pierwszorzędne dla firm, instytucji lub osób prywatnych, które miałyby brać pod uwagę konieczność poddania się prawnym rygorom, w tym świadczeniami na rzecz państwa.

Na dodatek nie można być pewnym spójności tej instytucjonalnej koncepcji, a z zewnątrz trudno ją komentować. Minister Cyfryzacji ma zbudować centrum kompetencji i koordynacji w sprawach cyberbezpieczeństwa, ale jego relacje z innymi instytucjami nie naruszą przecież „autonomii” wojska, ABW, Policji, w jakim sensie również RCB, nie wspominając o BBN.

Reagowanie

Niektóre sygnalizowane posunięcia są zastanawiające, tym bardziej, że już się dokonują. Na przykład cert.gov, który dotąd uchodził za wewnątrzrządową jednostkę organizacyjną, ma podjąć obowiązki krajowego punktu kontaktowego do wymiany informacji w sprawach cyberprzestępstw. Niełatwo to zrozumieć, bo dotąd to raczej zadania Policji, w oparciu o kontakty z EC3 przy Europolu.

Nie do końca jasne są też zasygnalizowane w „Założeniach” uprawnienia NASK z możliwością decydowania o blokowaniu lub wyłączaniu sieci, należących do przedsiębiorców, a także umieszczania w punktach wymiany ruchu własnych sond. Z prawnego punktu widzenia moglibyśmy mieć do czynienia z emocjami podobnymi do tych, które wzbudziła niedawno przeforsowana ustawa inwigilacyjna. Na pewno pilnego wyjaśnienia wymaga też status NASK, który wciąż prowadzi na rynku działalność czysto komercyjną.

Cyberbezpieczeństwa, jakkolwiek by je zrozumieć, nie zapewni techniczna zdolność analizowania ruchu sieciowego i łączność zapasowa dla uprzywilejowanych. Sprawność muszą zachować wszystkie systemy informacyjne i łącznościowe, które mamy prawo subiektywnie oceniać jako ważne lub niezbędne.


TOP 200