„Ustawa o KSC stwarza potencjał dla rozwoju polskiego sektora cyberbezpieczeństwa. Otwiera bowiem rynek usług w tym zakresie. Zapewnienie warunków do spełnienia jej wymogów jest w gestii każdego podmiotu uznanego za operatora usług kluczowych. Podejście bazujące na analizie ryzyka daje jednak szansę dopasowania zastosowanych rozwiązań do specyfiki konkretnej organizacji” – mówi Karol Okoński, Sekretarz Stanu w Ministerstwie Cyfryzacji, Pełnomocnik Rządu ds. Cyberbezpieczeństwa.

Jakie są obecnie najważniejsze, strategiczne cele i plany polityki cyberbezpieczeństwa polskiego rządu?

Obowiązującym w tej materii dokumentem są Krajowe Ramy Polityki Cyberbezpieczeństwa przyjęte przez rząd na początku 2018 roku. Będą one zastąpione przez Strategię Cyberbezpieczeństwa, której stworzenie przewiduje ustawa o Krajowym Systemie Cyberbezpieczeństwa. W Ministerstwie Cyfryzacji trwają prace nad jej przygotowaniem.

Kiedy można się będzie spodziewać gotowego dokumentu?

Mamy plan, żeby Strategia została przyjęta uchwałą Rady Ministrów w listopadzie tego roku. Wcześniej jej projekt chcemy poddać konsultacji. Na razie pracujemy nad nim razem z ABW i MON-em.

Jakie będą jej główne założenia?

Na razie nie można przesądzić, jaki ostatecznie kształt przyjmie. Budujemy ją w oparciu o rekomendacje Światowej Unii Telekomunikacyjnej. Będą w niej uwzględnione nie tylko kwestie zabezpieczeń lecz także edukacji, podnoszenia świadomości – nie tylko użytkowników lecz także specjalistów od bezpieczeństwa. Ważne miejsce zajmie działalność informacyjna na temat zasad „cyberhigieny”, bezpiecznego korzystania z technologii cyfrowych.

Oprócz wyznaczonych celów zostaną określone również przedsięwzięcia służące ich realizacji. Niektóre z nich są już w toku, jak na przykład budowa Krajowej Platformy Cyberbezpieczeństwa do wymiany informacji wspomagających rozpoznawanie ataków i reagowanie na incydenty. Większy akcent położymy także na współpracę międzynarodową.

Które obszary cyberbezpieczeństwa, w myśl tych założeń strategicznych, zostaną uznane za priorytetowe dla działań polskiego państwa?

Ważne miejsce poświęcimy procesowi certyfikacji. W planach jest powołanie polskiej jednostki mającej certyfikować narzędzia kryptograficzne i inne rozwiązania cyfrowe. Duże znaczenie będzie miało rozpoznanie wyzwań związanych z pojawianiem się najnowszych technologii – sztucznej inteligencji, internetu rzeczy, sieci 5G.

W większym stopniu chcemy promować standardy bezpieczeństwa IT w administracji publicznej, u operatorów infrastruktury krytycznej czy wśród operatorów usług kluczowych. W szczególności zależy nam na uporządkowaniu zasad korzystania z rozwiązań chmurowych. Powstaje Wspólna Infrastruktura Informatyczna Państwa, co powoduje konieczność klasyfikacji stosowanych systemów pod kątem warunków dopuszczalności wykorzystania rozwiązań typu cloud computing. W dużej mierze będzie się to odbywać poprzez propagowanie dobrych praktyk.

Ważne miejsce poświęcimy procesowi certyfikacji. W planach jest powołanie polskiej jednostki mającej certyfikować narzędzia kryptograficzne i inne rozwiązania cyfrowe. Duże znaczenie będzie też miało rozpoznanie wyzwań związanych z pojawianiem się najnowszych technologii – sztucznej inteligencji, internetu rzeczy, sieci 5G.

Jak ocenia Pan dotychczasowy przebieg procesu wdrażania ustawy o Krajowym Systemie Cyberbezpieczeństwa? Co okazało się największym wyzwaniem przy budowie KSC?

Są trzy instytucje kluczowe dla zarządzania systemem, czyli CSIRT-y – w NASK, ABW i MON. Musiały dostosować swoje działania do wymogów ustawy. To już zostało wykonane, podmioty te funkcjonują na bazie nowych przepisów. Jest wdrożona współpraca między nimi dotycząca przekazywania informacji czy konsultacji zgłoszeń.

Z kolei rolą organów właściwych odpowiadających za poszczególne sektory gospodarki jest wytypowanie potencjalnych kandydatów na operatorów usług kluczowych i przyznanie im takiego statusu w drodze decyzji administracyjnej. Ten proces wciąż jeszcze trwa.

Czy już wiadomo ile organizacji w skali całego kraju zostanie uznanych za operatorów usług kluczowych?

Spodziewamy się, że będzie to 400-500 podmiotów. Postępowanie administracyjne zostało wszczęte wobec około 350, a decyzje otrzymało dotychczas około 60 podmiotów. W pewnych sektorach – jak obronność czy bankowość – proces wyłaniania operatorów usług kluczowych już się zakończył, w innych – np. zdrowie, transport, zaopatrzenie w wodę – jest zaawansowany, w innych – m.in. energetyka – przebiega z trudnościami. Postępowania administracyjne jednak cały czas trwają i zakładamy, że do wakacji cały proces będzie już prawie zakończony. Chociaż trzeba też podkreślić, że lista operatorów usług kluczowych będzie podlegać stałej aktualizacji. Mogą dochodzić nowe podmioty, ale też te, które się na niej znalazły, mogą zostać wykreślone. Decyzja o uznaniu za operatora nie oznacza przypisania przedsiębiorstwu takiego statusu raz na zawsze. Od decyzji administracyjnej można się odwołać. Niektóre przedsiębiorstwa to robią.

Co może być powodem cofnięcia decyzji?

Część podmiotów próbuje przekonywać, że świadczenie przez nie usługi nie zależy od systemu informatycznego, ale jest wspierane przez IT jedynie w nieznacznym stopniu. Tutaj wkraczamy w obszar dyskusji, na ile IT decyduje o tym, czy przedsiębiorstwo będzie w stanie świadczyć swoje usługi, czy nie. Zwłaszcza w opiece zdrowotnej kwestie te wymagają szczególnej uwagi i dokładnego sprawdzenia każdego jednostkowego przypadku. Pamiętajmy bowiem, że ustawa o KSC obejmuje tylko te podmioty, których usługi działają w oparciu o systemy informatyczne.

Wywiązanie się z obowiązków wynikających z ustawy o KSC wymaga, jak w przypadku RODO, bazowania na analizie ryzyka. Czy dla organizacji uznanych za operatorów usług kluczowych nie stanowi to problemu?

Część firm musiała się z pewnością w tym zakresie doszkolić, korzystać z usług firm doradczych, aby ustalić punkt wyjścia i określić zadania do wykonania. Nikt jednak nie zgłaszał z tego tytułu specjalnych problemów, nikt nie kwestionował samej zasady bazowania na analizie ryzyka. Postrzegana jest ona raczej pozytywnie, bo daje szansę dopasowania działań i rozwiązań do specyfiki konkretnej organizacji. Nie docierają do nas żadne głosy, że to utrudnia wywiązanie się z wymogów ustawy. Może RODO trochę tu pomogło, pozwoliło już oswoić się z podejściem bazującym na analizie ryzyka….

Część podmiotów próbuje przekonywać, że świadczenie przez nie usługi nie zależy od systemu informatycznego, ale jest wspierane przez IT jedynie w nieznacznym stopniu. Tutaj wkraczamy w obszar dyskusji, na ile IT decyduje o tym, czy przedsiębiorstwo będzie w stanie świadczyć swoje usługi, czy nie.

Czy istnienie trzech CSIRT-ów nie powoduje w praktyce rozmywania się odpowiedzialności, nie utrudnia współpracy i koordynacji działań?

Zadanie koordynowania działalności CSIRT-ów należy do pełnomocnika rządu ds. cyberbezpieczeństwa. Jego rolą jest zadbać o ty, by cały system sprawnie funkcjonował. Może rozstrzygać pojawiające się wątpliwości co do kompetencji poszczególnych ośrodków, ułatwiać komunikację między nimi. Działa grupa robocza, która składa się z przedstawicieli trzech CSIRT-ów i Ministerstwa Cyfryzacji. W jej ramach podejmowane są wspólne dla wszystkich ustalenia. Jest też kolegium ds. cyberbezpieczeństwa, które ma głos doradczy dla pełnomocnika i dla premiera w sprawach cyberbezpieczeństwa. Jednym z tematów na jego najbliższym posiedzeniu będzie kwestia bezpieczeństwa sieci 5G.

A jak wygląda koordynacja działań na poziomie operacyjnym?

Na co dzień system funkcjonuje w ten sposób, że do każdego z CSIRT-ów trafiają zgłoszenia z określonego obszaru. To się w praktyce sprawdza. Jeśli ktoś przez pomyłkę czy z braku rozeznania przekaże zgłoszenie nie do właściwego ośrodka, to ten przesyła je w odpowiednie miejsce. Natomiast w sytuacji kiedy incydent zostanie rozpoznany jako krytyczny, to koordynacją działań zajmuje się zespół pod kierunkiem Rządowego Centrum Bezpieczeństwa. Bo w sytuacji krytycznej, na przykład braku prądu na dużym obszarze, potrzebne są działania nie tylko w dziedzinie rozwiązań cyfrowych. Planujemy zorganizowanie ćwiczeń, w trakcie których taki wariant działania zostanie przećwiczony a wnioski wykorzystane do usprawnienia systemu.

A co w sytuacji, gdyby incydent został zidentyfikowany jako atak ze strony obcego państwa? Czy wtedy koordynację działań przejmuje CSIRT w MON-ie?

MON przejmuje zarządzanie w sytuacji stanu wyjątkowego lub stanu wojny. Uznanie jednak, czy za atakiem stało obce państwo, należy do domeny MSZ. Wynika to z zasad współpracy międzynarodowej.

CSIRT-y będą się wymieniały informacjami między sobą. Czy będą też jednak udostępniały swoją wiedzę specjalistom od cyberbezpieczeństwa w firmach? Na jakie możliwości skorzystania z zasobów informacyjnych tych ośrodków centralnych można będzie liczyć?

Funkcja informacyjna, edukacyjna, wypracowywanie rekomendacji jest rolą organów właściwych, czyli w praktyce poszczególnych ministerstw. Jeżeli operator usługi kluczowej czuje się niedoinformowany, ma niedosyt wiedzy na temat koniecznych do zastosowania rozwiązań, to może skierować zapytanie do organu właściwego, poprosić o zebranie informacji na interesujący go temat czy udzielenie wskazówek co do specyficznych właściwości danego sektora. Może też zgłosić się ze swoimi wątpliwościami czy zapytaniami do mnie, jako pełnomocnika rządu ds. cyberbezpieczeństwa, gdy uzna że sprawa przekracza ramy tylko jednego sektora. Każdy przypadek jest analizowany i rozpatrywany z myślą o rozwiązaniu problemu i udzieleniu potrzebnej informacji.

W sytuacji kiedy incydent zostanie rozpoznany jako krytyczny, to koordynacją działań zajmuje się zespół pod kierunkiem Rządowego Centrum Bezpieczeństwa. Bo w sytuacji krytycznej, na przykład braku prądu na dużym obszarze, potrzebne są działania nie tylko w dziedzinie rozwiązań cyfrowych.

Czy w budżecie państwa pojawią się specjalne środki na cyberbezpieczeństwo? Czy będzie dostępny osobny fundusz na realizację wymogów ustawy o KSC?

Żaden centralny budżet na cyberbezpieczeństwo nie jest planowany. Wdrożenie ustawy o KSC leży w gestii podmiotów, które jej podlegają. Każda z organizacji może zabezpieczyć osobne, specjalne środki na cyberbezpieczeństwo w swoich budżetach.

Pieniędzy na cyberbezpieczeństwo zawsze będzie za mało. Ważne, aby wydatki na działania w tym zakresie traktować na równi z innymi, kluczowymi dla firm czy instytucji inwestycjami. Bo w przypadku lekceważenia potrzeb w tym zakresie konsekwencje mogą być dotkliwe.

Można posiłkować się funduszami unijnymi. Są, na przykład, uruchomione specjalne programy w NCBiR. Nie są to, co prawda, środki na wdrożenie czy utrzymanie, ale projekty realizowane przy ich wykorzystaniu mogą służyć usprawnianiu systemu cyberbezpieczeństwa w organizacjach i podnoszeniu w ten sposób poziomu bezpieczeństwa. Z takich możliwości korzysta m.in. Ministerstwo Cyfryzacji. Powstanie jednostki certyfikacyjnej będzie finansowane z funduszy unijnych. W nowej perspektywie finansowej Unii Europejskiej jest przewidziany specjalny budżet na projekty z zakresu cyberbezpieczeństwa w wysokości 2 mld euro.

Jak ocenia Pan szanse, by Polska stała się regionalnym ośrodkiem kompetencyjnym w zakresie cyberbezpieczeństwa? Od czego to będzie zależało? Jak państwo może wspomóc takie zamiary?

Rozwój sektora cyberbezpieczeństwa w naszym kraju może stymulować już chociażby powstanie polskiej jednostki certyfikującej, która będzie oferowała swoje usługi po cenach niższych niż jednostki zagraniczne. Polscy producenci mogą być bardziej zainteresowani certyfikowaniem swoich wyrobów w polskiej instytucji. Certyfikat będzie podnosił ich konkurencyjność rynkową. Europejski projekt utworzenia sieci centrów kompetencyjnych w zakresie cyberbezpieczeństwa też może pomóc rozwojowi polskich firm poprzez stymulowanie współpracy międzynarodowej. Poza tym, duży potencjał rozwojowy stwarza również ustawa o KSC. Operatorzy usług kluczowych mogą kupić usługę zarządzania bezpieczeństwem na zewnątrz. Pojawi się z pewnością również zapotrzebowanie na usługi audytów, które są wymagane przez prawo a mogą być wykonywane przez uprawnione podmioty prywatne. To otwiera rynek, który w konsekwencji może zyskać potencjał do rozwoju.

Rozmawiał Andrzej Gontarz. 

Cyberbezpieczeństwu państwa będzie poświęcona konferencja „CyberGOV. Bezpieczeństwo IT w sektorze publicznym” (23 maja 2019, Warszawa). Szczegółowe informacje o programie można znaleźć na stronie: https://cybergov.pl/.