W kierunku systemowego cyberbezpieczeństwa – przegląd dotychczasowych strategii i wnioski dla nowego otwarcia

Kamil Gapiński

23 lutego Ministerstwo Cyfryzacji opublikowało Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej, dokument programowy zapowiadający prace legislacyjne resortu cyfryzacji w zakresie bezpieczeństwa cywilnych systemów teleinformatycznej infrastruktury krytycznej. Jest to pierwszy projekt obecnego rządu w obszarze cyberbezpieczeństwa, choć podobne inicjatywy legislacyjne i strategiczne pojawiały się już wcześniej. Należy odnotować jednak fakt, iż dotychczasowe dokumenty opracowane przez administrację nie były prawnie wiążące. Nie nadawały one prawnych kompetencji odpowiednim jednostkom państwowym, przez co niemożliwa była ich pełna implementacja  (jedynym terminem wprowadzonym do polskiego ustawodawstwa jest „cyberprzestrzeń”, jej definicja znajduje się w Ustawie z dnia 27 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej). Problem nieuregulowania prawnego kwestii systemu cyberbezpieczeństwa przez lata był zarówno jednym z najważniejszych wyzwań, jak i zaniedbań w tym obszarze. Prowadził do rozmycia kompetencyjnego, braku podmiotu koordynującego oraz paraliżów decyzyjnych, jak w przypadku budowania potencjału cybernetycznego w Siłach Zbrojnych RP. Ponadto, zdaniem ekspertów, w ochronę cyberprzestrzeni w Polsce zaangażowanych jest zbyt wielu aktorów, nie do końca uświadomionych o swoich uprawnieniach. Opublikowany dokument Ministerstwa Cyfryzacji również posiada charakter „strategiczny”, ale docelowo jest zapowiedzią zmian legislacyjnych porządkujących system ochrony cyberprzestrzeni w Polsce.

Przegląd cyberstrategii

Do czasu pojawienia się Założeń obowiązującym dokumentem programowym była Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej przyjęta na drodze uchwały przez Radę Ministrów w czerwcu 2013 r. Nie jest ona zatem aktem powszechnie obowiązującym, jej rekomendacje dotyczą wyłącznie administracji państwowej. Polityka została opracowana wspólnie przez Ministerstwo Administracji i Cyfryzacji oraz Agencję Bezpieczeństwa Wewnętrznego w oparciu o doświadczenia Rządowego Zespołu Reagowania na Incydenty Komputerowe (CERT.GOV.PL działające w ramach ABW) oraz wnioski Komitetu Stałego Rady Ministrów dotyczące propozycji zawartych w Rządowym programie ochrony cyberprzestrzeni RP na lata 2009-2011 – założenia. Polityka jest dokumentem strategicznym, wyznaczającym kierunki rozwiązań prawno-organizacyjnych w zakresie ochrony cyberprzestrzeni przez administrację państwową. Celem strategicznym Polityki jest „osiągnięcie akceptowalnego poziomu bezpieczeństwa cyberprzestrzeni Państwa”. Dokument obejmuje m.in. „systemy administracji rządowej, organy władzy ustawodawczej, władze sądowniczą, samorząd terytorialny, a także systemy strategiczne z punktu widzenia bezpieczeństwa państwa” z wyłączeniem niejawnych systemów teleinformatycznych. Jest równocześnie deklaracją uczestnictwa przedstawicieli rządu w zapewnianiu bezpieczeństwa zasobów informacyjnych państwa i jego obywateli. Koordynację realizacji postanowień Polityki zapewnia minister właściwy ds. informatyzacji.
Dokument został przyjęty sceptycznie. Eksperci zarzucają mu niski poziom merytoryczny, brak rzetelnej analizy zagrożeń i zasobów oraz brak wykorzystania „dobrych praktyk” przyjętych międzynarodowo m.in. przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ang. European Union Agency for Network and Information Security, ENISA). Polityka nie precyzuje również kwestii finansowania procesu wdrażania zabezpieczeń. Enigmatycznym pozostaje także niedookreślony „akceptowalny poziom bezpieczeństwa”, potwierdzający niejako niewystarczające przygotowanie organizacyjne i merytoryczne zespołu zadaniowego, po części wynikające z niedofinansowania przedsięwzięcia. Pomimo obowiązku realizacji postanowień Polityki proces ten faktycznie nie zaistniał, na co wskazują wyniki kontroli Najwyższej Izby Kontroli z czerwca 2015 roku (Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP).

Istotnym dokumentem strategicznym obejmującym zbliżone do Polityki cele, jest Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej, przyjęta i podpisana przez Prezydenta Rzeczypospolitej w styczniu 2015 roku. Opracowany przez Biuro Bezpieczeństwa Narodowego dokument podobnie jak Polityka mieści się w kategorii opracowań strategicznych i zgodnie z założeniem autorów powinien być traktowany jako jednolita podstawa koncepcyjna, zapewniająca spójne i kompleksowe podejście do zagadnień cyberochrony i cyberobrony. Doktryna powstała na drodze konsultacji z sektorem prywatnym i pozarządowym, stanowi ponadto dokument wykonawczy do Strategii Bezpieczeństwa Narodowego RP. Efektem prac Biura i konsultacji zewnętrznych jest kilkudziesięciostronicowe opracowanie opisujące w punktach cele strategiczne w dziedzinie cyberbezpieczeństwa, zagrożenia wewnętrzne i zewnętrzne, koncepcję zadań operacyjnych oraz rolę i charakter podmiotów uczestniczących. Doktryna stanowi istotny punkt wyjścia realizacji działań strategicznych, jak i określa wizję współpracy poszczególnych podmiotów w zakresie cyberbezpieczeństwa. Przedstawia ona ponadto katalog najważniejszych zagrożeń i wyzwań. Podstawowym problemem Doktryny jest jego wyłącznie koncepcyjny i strategiczny charakter, choć jego niedoskonałość tkwi także w braku konkretnych rekomendacji instytucjonalnych, wytycznych co do źródeł finansowania systemu cyberbezpieczeństwa, a także w nieprecyzyjnym i niespójnym sformułowaniu kwestii tzw. zdolności ofensywnych i roli Sił Zbrojnych RP w systemie. Ponadto, Doktryna wspominając o partnerstwie publiczno-prywatnym, omija konkretne sposoby realizacji takiego przedsięwzięcia, skupiając się wyłącznie na płaszczyźnie zadaniowej. Pomimo widocznych braków i miejscami nazbyt ogólnych wniosków, dokument jest wartościową pozycją z punktu widzenia koncepcji systemowej. Jest również dowodem na wyraźny progres merytoryczny oraz większą rzetelność w zakresie identyfikacji i rozumienia problemu ochrony cyberprzestrzeni.

Warto przy tym wspomnieć o innym dokumencie Biura Bezpieczeństwa Narodowego, pośrednio stanowiącym uzupełnienie dla „Doktryny Cyberbezpieczeństwa RP”, a mianowicie Doktrynie Bezpieczeństwa Informacyjnego RP. Projekt tego dokumentu ukazał się w lipcu 2015 r. i jest odpowiedzią na wyzwania związane z zagrożeniami hybrydowymi i wojną informacyjną. Biorąc pod uwagę zmiany strukturalne w Biurze Bezpieczeństwa Narodowego, prace nad jego dokończeniem stoją pod znakiem zapytania. Możliwe jednak, że z doświadczeń poprzedników w tym obszarze skorzysta nowopowstały zespół ds. cyberbezpieczeństwa.

Więcej na stronie http://pulaski.pl/kmp/

regulamin

Poprzez kontynuację wyrażasz zgodę na używanie cookies. więcej informacji / more info

Poprzez akceptację wyrażasz zgodę na używanie cookies np. byśmy mogli lepiej dostosować wyświetlanie treści do oczekiwań naszych czytelników. The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Zamknij / Close