Krzysztof Szubert: rząd będzie miał własny intranet
Żadne państwo nie jest w stanie stawić czoło zagrożeniom cyberbezpieczeństwa w pojedynkę. Z Krzysztofem Szubertem, pełnomocnikiem rządu ds. Jednolitego Rynku Cyfrowego, rozmawia Marek Siudaj
Strategia cyberbezpieczeństwa została przyjęta w marcu 2017 r. Co udało się już osiągnąć w ciągu tego półrocza?
Krzysztof Szubert: Na początku trzeba oczywiście wspomnieć, że Ministerstwo Cyfryzacji ma już ministra odpowiedzialnego za kwestie cyberbezpieczeństwa. Został nim niedawno pan Krzysztof Silicki, który pełni w resorcie funkcję podsekretarza stanu.
Zamierzeniem wynikającym z Uchwały nr 52/2017 Rady Ministrów z 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 jest określenie ramowych działań, mających na celu uzyskanie wysokiego poziomu odporności krajowych systemów teleinformatycznych, operatorów infrastruktury krytycznej, usług kluczowych, dostawców usług cyfrowych, administracji publicznej, a także obywateli na ryzyko wynikające z zagrożeń występujących lub mogących wystąpić w cyberprzestrzeni. Proponowane kierunki strategiczne mają również wpływać na zwiększenie skuteczności organów ścigania i wymiaru sprawiedliwości w wykrywaniu i zwalczaniu przestępstw oraz działań o charakterze terrorystycznym w cyberprzestrzeni.
Krajowe Ramy przewidują przyjęcie Planu działań zawierającego zestawienie projektów szczegółowych realizowanych przez poszczególne resorty/podmioty. Obecnie trwają końcowe prace nad przygotowaniem wykazu tych projektów. Tym samym Plan działań będzie obejmować działania o charakterze legislacyjnym, projekty związane z budową systemów teleinformatycznych służące bieżącemu zarządzaniu cyberbezpieczeństwem, projekty o charakterze organizacyjne jak ćwiczenia, treningi i testy, czy też działania ciągłe, związane choćby z rozbudową polskiego potencjału technologicznego i dotyczące udziału Polski we współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa. W ramach realizacji Krajowych Ram Polityki Cyberbezpieczeństwa przygotowano i rozesłano w ramach prekonsultacji do poszczególnych ministerstw projekt ustawy o krajowym systemie cyberbezpieczeństwa. Opracowana została koncepcja funkcjonalna projektu Zintegrowanego Systemu Zarządzania Bieżącym Bezpieczeństwem Cyberprzestrzeni RP, w tym centralna warstwa analityczna, przeprowadzono ćwiczenia z zakresu cyberbezpieczeństwa CEREX, jak również we współpracy z Ministerstwem Rozwoju rozpoczęto realizację projektu Cyberpark ENIGMA.
Czy zostały już przeprowadzone zapisane w strategii audyty i co ujawniły? Czy ich rezultaty zbliżone są do oczekiwań co do stanu cyberbezpieczeństwa organów państwa, czy może jednak jest gorzej niż się spodziewano?
Zakładane w Krajowych Ramach wykorzystanie audytów jako pomiaru i oceny skuteczności wdrożonych systemów zarządzania bezpieczeństwem i adekwatności ustanowionych zabezpieczeń jest elementem pragmatycznego podejścia do cyberbezpieczeństwa ukierunkowanym na budowie wzajemnego zaufania pomiędzy sektorem przedsiębiorstw a administracją publiczną czy szerzej państwem, a nie poprzez mechanizmy stricte kontrolne. W tym sensie, audyty bezpieczeństwa teleinformatycznego winny służyć udoskonaleniu procesów biznesowych w nowej gospodarce i dodatkowo wspierać zadania państwa na rzecz cyberbezpieczeństwa. Oczywiście w sferze infrastruktury krytycznej, dużo ściślej powiązanej ze sferą zarządzania państwem takie mechanizmy są już wykorzystywane. W zmienionej ustawą o działaniach antyterrorystycznych ustawie o Agencji Bezpieczeństwa Wewnętrznego znajdują się przepisy dotyczące zadań zapobiegania i przeciwdziałania wykrywania przestępstw o charakterze terrorystycznym oraz ścigania ich sprawców oraz przeprowadzania w tym celu ocen bezpieczeństwa systemów teleinformatycznych wykorzystywanych przez operatorów infrastruktury krytycznej.
Stosowne dyspozycje dotyczące wykorzystania audytu i jego wyników znalazły się w dyrektywie 2016/1148 – dyrektywie NIS – i choćby z tego powodu znajdą się w ustawie o krajowym systemie cyberbezpieczeństwa, implementującej dyrektywę w polskim porządku prawnym. Na podstawie norm i dobrych praktyk oraz uwzględniając specyfiki poszczególnych sektorów wymienionych dyrektywą, opracowane zostaną spójne metodyki audytów służące weryfikacji spełniania wymagań bezpieczeństwa.
Czy rozważane jest wykorzystanie nowych technologii czy wręcz zmiana tych, używanych przez agendy państwowe, na inne, zapewniające większe bezpieczeństwo? Estonia na przykład w danych państwowych przeszła na technologię rejestru rozproszonego?
Jednym z przedsięwzięć przewidzianych do uruchomienia Krajowymi Ramami Polityki Cyberbezpieczeństwa jest planowane zbudowanie wewnętrznej sieci komputerowej łączącej ministerstwa i urzędy centralne wraz z bezpiecznym wyjściem do internetu publicznego. Rozwiązanie takie umożliwi funkcjonowanie administracji rządowej szczebla centralnego nawet w przypadku istotnych zakłóceń w sieci publicznej. Przyczyni się także do optymalizacji zapotrzebowania na usługi dostępu do internetu i spowoduje obniżenie kosztów takich usług.
Tak rozumiany Rządowy Klaster Bezpieczeństwa będzie architekturą scentralizowanego dostępu i ochrony pomiędzy wszystkimi sieciami administracji rządowej oraz miejscem udostępniania usług teleinformatycznych z bezpiecznym stykiem z sieciami publicznymi np. internet, punktu wymiany ruchu krajowe i zagraniczne. W węźle RKB będą mogły zostać ulokowane różne serwisy, takie jak wizerunkowe witryny informacyjne, biuletyny informacji publicznej, bezpieczna poczta elektroniczna czy też udostępnianie serwisów e-Usług dla obywateli. Sam węzeł będzie chroniony przed atakami, m.in. z wykorzystaniem narzędzi typu firewall, systemów IPS czy IDS. W początkowym etapie będzie on kierowany do administracji rządowej i ich systemów, nie jest jednak wykluczone jego rozszerzenie na jednostki administracji samorządowej.
Czy udało się już wzmocnić pozycję Polski w zakresie cyberbezpieczeństwa w Europie? Jakie działania są prowadzone, aby ten cel osiągnąć?
Żadne państwo nie może stawić czoła wyzwaniom w zakresie cyberbezpieczeństwa w pojedynkę. Dlatego przykładamy ogromną wagę do aktywnego uczestnictwa w procesie wypracowywania środków mających zapewnić solidne podstawy cyberbezpieczeństwa w UE. Liczymy na rozwój współpracy w UE w ramach powstających mechanizmów, takich jak Grupa Współpracy oraz sieć krajowych zespołów reagujących (CSIRT). Już teraz mogę zapowiedzieć naszą aktywność w debacie nad tzw. pakietem cyberbezpieczeństwa przedstawionym przez Komisję 13 września br.
Cyberprzestrzeń została również uznana przez NATO jako kolejna domena działań operacyjnych na Szczycie NATO w Warszawie w 2016. UE oraz NATO wypracowują wspólne procedury działania. Członkostwo w Sojuszu Północnoatlantyckim jest istotnym filarem bezpieczeństwa Polski jak i bezpieczeństwa euroatlantyckiego. Nasilające się ataki o charakterze hybrydowym czynią nieodzownym inwestowanie w zdolności odstraszania i obronne, w tym doskonalenia swojej odporności i zdolności do szybkiego i skutecznego reagowania na cyberataki.
W lutym br. Polska dołączyła do grupy państw sygnatariuszy porozumienia SOG-IS (Senior Official Group Information Security Systems). Dzięki temu w przyszłości będziemy mogli samodzielnie oceniać i certyfikować wyroby sektora IT. Porozumienie reguluje współpracę krajów Unii Europejskiej oraz EFTA, pracujących nad koordynowaniem polityk certyfikacji wyrobów sektora technologii informatyczno-komunikacyjnych. Skorzysta na tym Polska, która w przyszłości będzie mogła samodzielnie wystawiać certyfikaty, zgodne z przyjętą do polskiego systemu prawnego międzynarodową normą ISO/IEC 15408 Polska (norma ta pozwala w sposób formalny weryfikować bezpieczeństwo systemów teleinformatycznych). Wpłynie to także na zwiększenie poziomu cyberbezpieczeństwa. Dodatkowo zwiększy się konkurencyjność polskich przedsiębiorców na rynku globalnym. Warto wspomnieć, że w opublikowanym 13 września br. przez Komisje Europejską tzw. pakiecie cyberbezpieczeństwa istotnym elementem jest tworzenie nowych, europejskich systemów certyfikacji produktów i usług cyberbezpieczeństwa, które będą dostosowane do dynamicznie rozwijających się potrzeb w dziedzinie budowania zaufania do produktów i usług.