Obszar cyberbezpieczeństwa jest coraz szerzej wykorzystywany do działania o charakterze geopolitycznym. Fakt, że wszystkie największe mocarstwa, takie jak Stany Zjednoczone, Chiny, Federacja Rosyjska mocno inwestują w obszary związane z cyberbezpieczeństwem, pokazuje, że rosnącego znaczenia tego źródła zagrożeń i wpływu na geopolitykę nie można lekceważyć – mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń
Jaka jest rola państwa w zabezpieczaniu informacji niejawnych i jak odpowiednie organy wywiązują się z tego zadania?
Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń
– Zadania państwa w tym obszarze określa Ustawa o Ochronie Informacji Niejawnych, w ostatnich latach poddana nowelizacji. Są one dość jasno sprecyzowane i wydaje mi się, że dokument ten nie budzi kontrowersji, podobnie jak wypełnianie wynikających z niego zobowiązań przez państwo. Wprawdzie co jakiś czas słyszymy o wyciekach informacji niejawnych albo niewłaściwym ich przetwarzaniu, ale nie sądzę, by przypadki te były wynikiem wadliwej legislacji.
Warto podkreślić, że w tej szczególnej dziedzinie występuje mocna korelacja z regulacjami obowiązującymi w innych państwach. Funkcjonujemy w dwóch organizmach, które silnie rzutują na ten obszar, czyli Unii Europejskiej i NATO. Obowiązujące w nich zapisy legislacyjne są na tyle zbliżone, że często postępowania sprawdzające dotyczące dostępu do informacji niejawnych kończą się przyznaniem uprawnień dostępu do dokumentów krajowych oraz do informacji niejawnych wytwarzanych w obrębie tych sojuszy. Należy ufać, że polska ustawa korzysta z najlepszych praktyk międzynarodowych środowisk.
Czy równie pozytywnie należy oceniać nową Ustawę o Krajowym Systemie Cyberbezpieczeństwa, uchwaloną 5 lipca? Jakie są jej najważniejsze założenia w kontekście bezpieczeństwa państwa i czy pociągnie ona za sobą realne zmiany?
– Tutaj sprawa nie jest już tak jednoznaczna. Przede wszystkim dlatego, że nie mamy prostych, uznanych modeli referencyjnych, jak ma to miejsce w przypadku Ustawy o Ochronie Informacji Niejawnych. Uchwalona w lipcu ustawa podejmuje próbę zorganizowania systemu cyberbezpieczeństwa w Polsce zarówno na poziomie struktury organizacyjnej, jak i podstawowych procesów, które mają być realizowane. To niełatwe, bo brakuje modelowych systemów, które można byłoby uznać za standard i skupić się na zaimplementowaniu ich w krajowych warunkach. Wiele państw ma własne systemy, ale trudno byłoby je przenieść 1:1 w polskie realia.
Wiele osób ucieka od oceny ustawy, ograniczając się do stwierdzenia, że dobrze, że taka ustawa powstała. Osobiście rzadko przychylam się do takich ogólnikowych opinii, ale w tym przypadku ją podzielam. Praktyka pokaże, jak ustawa się sprawdzi. W świetle tego, że od lat borykamy się z brakiem legislacji w sferze cyberbezpieczeństwa, faktycznie trzeba na wstępie stwierdzić: „Dobrze, że w ogóle jest”. Jeśli miałbym odnieść się do konkretów, to całkiem nieźle zapowiada się system współpracy CERT-ów poziomu krajowego działających w ABW, MON, Naukowej i Akademickiej Sieci Komputerowej, który pozwoli im rozwinąć dotychczasowe doświadczenia we współdziałaniu. Jednocześnie są kwestie, które będą wymagały wnikliwej analizy, choćby koordynacja, bo w tej chwili ustawa przydziela to zadanie kilku organom, co może prowadzić do chaosu i konfliktów.
Ważną sprawą jest też budżet. W ustawie zaplanowano środki na poziomie 90 mln zł, które mają wystarczyć na 10 lat, co – jak wiadomo – jest absolutnie niewystarczające. Wyzwaniem na kolejne lata jest więc znalezienie sposobu na wzmocnienie tej puli i odpowiedni zapis w planach budżetowych państwa.
Jakie są szanse na stworzenie spójnej, instytucjonalnej strategii obrony przed cyberatakami? Czy ryzyko i zagrożenia, na jakie narażone są poszczególne resorty, organy administracji i branże, można mierzyć jedną miarą i przeciwdziałać im w jednolity sposób?
– W mojej ocenie doświadczenie i kompetencje zespołów poziomu krajowego są na tyle wysokie, że nie powinniśmy mieć obaw co do ich działania. Z drugiej strony najgroźniejsze przypadki będą wymagały decyzji na bardzo różnych poziomach, w tym na najwyższym poziomie zarządzania państwem. Wydaje mi się, że najlepsza formułą działania byłoby przeprowadzenie strategicznych ćwiczeń, które przy odpowiednio przygotowanych scenariuszach byłyby w stanie podsunąć taktyczne rozwiązania i zweryfikować, czy pomysły, które do tej pory się pojawiły, są dobre.
Wspomniał pan, że systemy cyberbezpieczeństwa w poszczególnych państwach mają różny kształt. Czy któryś z nich byłby dla nas najlepszym wzorem?
– Nie wydaje mi się, żeby którykolwiek system był dla nas wzorcowy. Byłbym raczej za tym, żeby przypatrzeć się poszczególnym rozwiązaniom stosowanych w różnych krajach. Na pewno warto przyjrzeć się bliżej, jak Brytyjczycy inwestują w budowanie fundamentów systemu cyberbezpieczeństwa, łącznie z rozwojem sektora gospodarki opartego o usługi w obszarze cyberbezpieczeństwa i edukacją społeczną. Jako przykład państwa, które ma w tej dziedzinie duże osiągnięcia, często podawany jest Izrael, jednak mimo pewnych dobrych praktyk wartych inspiracji trzeba pamiętać, że Izrael funkcjonuje w specyficznych warunkach ciągłych konfliktów i lepiej, żebyśmy w Polsce nie musieli stosować takich środków. Oczywiście nie można pominąć amerykańskich rozwiązań w dziedzinie obronności państwa, ale jakkolwiek dobrze spełniałyby one swoja rolę, to mówimy o zupełnie innej skali możliwości budżetowych. Niektóre rozwiązania strukturalne i mechanizmy stosowane za granicą na pewno są możliwe do przeniesienia na nasz grunt i warte przyjrzenia im się bliżej, zwłaszcza w kontekście rozwinięcia współpracy z sektorem badawczym i środowiskiem akademickim.
Czy informacja jest dziś równie groźną bronią co przykłady nowoczesnego dorobku militarnego, a wojny toczone w cyberprzestrzeni nie są już utopią, lecz realną wizją?
– Jak najbardziej. Potwierdzeniem tego jest fakt, że 2 lata temu na szczycie NATO w Warszawie zadecydowano, że cyberprzestrzeń jest kolejną domeną potencjalnych działań wojskowych. Ponieważ informacja może być dziś poważną bronią, w działaniach związanych z cyberbezpieczeństwem należałoby uwzględnić operacje informacyjne. Dziś najczęściej mówi się w tym temacie o dezinformacji czy fake newsach, ale trzeba zdać sobie sprawę, że to wszystko jest częścią dokładnie zaplanowanych, szerszych operacji, które mają wzmocnić siłę innych oddziaływań.
Jak silnie cyberzagrożenia i wrogie działania w sieci wpływają na geopolitykę i układ sił w skali globalnej?
– Nie można sprowadzać roli cyberzagrożeń do decydującej, ale istotnie coraz częściej się one pojawiają, zwłaszcza w formie wspomnianych operacji informacyjnych. Wystarczy przypomnieć kontrowersje związane z wyborami prezydenckimi w Stanach Zjednoczonych i spekulacje na temat cyberataków, które miały wtedy miejsce. To uświadamia, że obszar cyberbezpieczeństwa jest coraz szerzej wykorzystywany do działania o charakterze geopolitycznym. Fakt, że wszystkie największe mocarstwa, takie jak Stany Zjednoczone, Chiny, Federacja Rosyjska mocno inwestują w obszary związane z cyberbezpieczeństwem, pokazuje, że rosnącego znaczenia tego źródła zagrożeń i wpływu na geopolitykę nie można lekceważyć.
W jakich aspektach postępująca digitalizacja, będąca nieodłącznym elementem współczesnej cywilizacji, może przynieść więcej złego niż dobrego?
– Z digitalizacją jest tak jak z przysłowiowym młotkiem, który może posłużyć do dobrego albo do złego. Co chwila słyszymy o nowatorskich projektach, które mają silny pozytywny wpływ na różne aspekty życia – coś zmieniają na lepsze, pomagają określonym grupom społecznym, przyspieszają pewne procesy, poprawiają efektywność działania firm i państwa. Równolegle obserwujemy doniesienia o ryzykach, jakie niosą, zwłaszcza w kontekście ochrony prywatności. Wszystko zależy od intencji osoby, w której rękach znajdzie się dane narzędzie. Efekty rozwiązań teleinformatycznych nie zależą od ludzi, którzy je opracowują, lecz od tych, którzy robią z nich użytek, a tu już mamy do czynienia z kwestiami natury etycznej i politycznej.
Czy jako państwo jesteśmy dobrze zabezpieczeni na wypadek cyberataków?
– Żeby uczciwie odpowiedzieć na to pytanie, trzeba by się odnieść do jakiegoś wymiernego modelu oceny, którego nie mamy. Możemy jedynie spekulować. W wypowiedziach publicznych często powoływałem się na raport NIK z 2015 r., który był do niedawna jedyną całościową próbą odpowiedzi na postawione pytanie. Patrząc przez pryzmat raportu, nie byliśmy wówczas przygotowani na potencjalne cyberataki. Kilka lat minęło, ale w mojej ocenie – poza uchwaleniem ustawy – drastycznych zmian nie ma. Ważny ruch został wykonany, ale trzeba czasu – co najmniej 2 lat, żeby stwierdzić, czy dzięki ustawie faktycznie coś się zmieniło na plus. Tu niebagatelne znaczenie może mieć planowany system zarządzania cyberbezpieczeństwem na poziomie kraju, uwzględniający elementy analizy ryzyka, który pozwoli odpowiednio reagować na cyberzagrożenia. Dziś wiele pozostaje do zrobienia, a z oceną trzeba się wstrzymać.
Co na tę chwilę najbardziej niedomaga i wymaga najpilniejszej interwencji?
– Wskazałbym na koordynację systemu na poziomie krajowym i brak odpowiednich środków budżetowych na cele związane z cyberbezpieczeństwem, które szczególne jest zaniedbane w pewnych sektorach, np. ochrony zdrowia. Jednocześnie są obszary, które radzą sobie naprawdę nieźle – nabyły doświadczenie i niezbędne kompetencje, aby zabezpieczyć się na wypadek cyberataków i świadczą dobrze zabezpieczone usługi. Mówię głównie o sektorze finansowym, teleinformatycznym czy energetycznym. Od nich warto się uczyć. Na niższym poziomie administracji publicznej, czyli na szczeblu samorządowym, nie liczyłbym, że jednostki same zainicjują i zrealizują wszystkie konieczne zadania. Będą je realizowały pod warunkiem, że im się podpowie, jak to robić, i pomoże, przynajmniej dopóki same nie opanują tej sztuki. Na tę chwilę mamy pewne kierunki działań, ale brakuje konkretów i sieci współpracy. Na szczęście ustawa mówi o powoływaniu sektorowych zespołów ds. cyberbezpieczeństwa, co wyznacza przemysłowi kierunek koniecznych działań.
Jakie nowinki technologiczne mają szansę zmienić jakość zabezpieczeń w cyberprzestrzeni i gdzie na tle innych państw plasuje się Polska w tym kontekście?
– Jeśli mowa o cyberbezpieczeństwie, jesteśmy w krwiobiegu dostępnych rozwiązań klasy światowej, z których korzystają wszyscy. Są giganci, którzy przodują w produkcji rozwiązań informatycznych czy sprzętowych, i w Polsce też z nich korzystamy. Równolegle powinniśmy jednak sami rozwijać kompetencje i start-upy, a w efekcie próbować konkurować własnymi osiągnięciami z zagranicznymi rozwiązaniami. Ważnym elementem wzmacniania systemu cyberbezpieczeństwa w kraju powinny być rozwijane badania. W tym obszarze prym wiodą rozwiązania związane ze sztuczną inteligencją. Równolegle powinniśmy inwestować w nowinki związane z bezpieczeństwem kryptograficznym. Przełomowa może okazać się kryptografia kwantowa, choć w tym przypadku to oczywiście niezwykle wymagające przedsięwzięcie. W NCBiR realizowany jest program CyberSecIdent, pewne firmy próbują zajmować się innowacjami na rzecz cyberbezpieczeństwa, więc pewne pozytywne sygnały postępu są, ale zawsze można zrobić więcej.
Co stan cyberbezpieczeństwa w Polsce mówi nam o bezpieczeństwie narodowym jako takim?
– Nie ma wątpliwości co do tego, że rola cyberbezpieczeństwa w zapewnieniu bezpieczeństwa narodowego we wszystkich państwach będzie rosła. W Polsce jesteśmy dziś w dobrym momencie, żeby podjąć szereg działań i coś zmienić. Czy tak się stanie, będzie można odpowiedzieć za 2–3 lata. Na pewno mamy spory potencjał, ale cały czas brakuje nam kadr, gospodarczych osiągnięć i wyspecjalizowanych w cyberbezpieczeństwie wydziałów na uczelniach wyższych. Zadaniem na dziś jest przede wszystkim dobra implementacja nowej Ustawy o Systemie Cyberbezpieczeństwa.
Rozmawiała Małgorzata Szerfer-Niechaj
Dodaj komentarz