* Trwa implementacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nakłada ona nowe obowiązki również na urzędy i instytucje publiczne.

* O najważniejszych wyzwaniach z zakresu cyberochrony w sektorze publicznym dyskutowali uczestnicy konferenecji „CyberGov 2019”. 

* Jedną z istotnych kwestii jest sposób egzekwowania obowiązujących przepisów w kontekście wymogów budowy skutecznego systemu cyberbezpieczeństwa. 

Z raportu pokontrolnego NIK wynika, że w administracji publicznej brakuje dostatecznych zabezpieczeń systemów teleinformatycznych i zasobów informacji. Brakuje też świadomości na temat wagi i skali zagrożeń oraz sposobów przeciwdziałania im. Czy sytuacja się zmieni pod wpływem obowiązującej od sierpnia 2018 roku Ustawy o Krajowym Systemie Cyberbezpieczeństwa? 

Jej wdrażanie wiąże się z szeregiem wyzwań. Zdaniem Jakuba Dysarza z Wydziału Strategii, Analiz i Współpracy Międzynarodowej Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji największe z nich związane są: z brakiem ekspertów na rynku, czasochłonnością wdrożenia potrzebnych rozwiązań, różnorodnością sektorów oraz z rozbieżnościami interpretacyjnymi.

Jakub Dysarz, Starszy Specjalista, Ministerstwo Cyfryzacji

Obowiązki podmiotów publicznych są inne niż operatorów usług kluczowych. Podmiot publiczny ma obowiązek zgłaszania każdego incydentu, który powoduje lub może powodować obniżenie jakości usługi publicznej. Zgłaszanie incydentów jest ważne, gdyż podstawę skutecznego działania w obszarze cyberbezpieczeństwa stanowi wymiana informacji. „Jeżeli nie będziemy wiedzieli, co się dzieje, nie będziemy też wiedzieli, jak zareagować” – podkreślał podczas wystąpienia na konferencji „CyberGOV 2019” Jakub Dysarz. 

Zwracał przy tym uwagę, że obecnie w CSIRT-ach tylko 15–20% zgłoszeń incydentów pochodzi z zewnątrz. Reszta z systemów własnych tych ośrodków. Potrzebna jest więc większa aktywność i zaangażowanie podmiotów objętych ustawą w proces wymiany informacji. Pomocne może tu być współdziałanie z innymi. Ułatwić to mają inicjatywy typu: Partnerstwo dla Cyberbezpieczeństwa, Narodowa Platforma Cyberbezpieczeństwa czy Wspólna Infrastruktura Informacyjna Państwa. 

Ministerstwo Cyfryzacji planuje dokonać jesienią tego roku oceny przebiegu wdrożenia ustawy o KSC. Obecnie widać, że nie wszystkie gminy czy powiaty radzą sobie z tym jednakowo dobrze. Są głównie różnice między dużymi i małymi ośrodkami. W dużych miastach, które dysponują zaawansowanymi, zazwyczaj zintegrowanymi systemami informatycznymi, dostosowanie się do nowych wymogów prawnych następuje szybciej i skuteczniej. Małe gminy nie posiadają zazwyczaj odpowiednich środków, które pozwalałyby im na zaimplementowanie potrzebnych rozwiązań. Celem resortu nie jest jednak karanie wszystkich spóźnialskich. Sankcje, jak mówił Jakub Dysarz, będą tylko dla wyjątkowo opornych. Być może też zostaną podjęte decyzje odnośnie do propozycji zmian w przepisach. 

Zgłaszanie incydentów jest ważne, gdyż podstawę skutecznego działania w obszarze cyberbezpieczeństwa stanowi wymiana informacji.

Kij czy marchewka?

Sposób egzekwowania odpowiedzialności za wdrożenie przepisów wzbudził emocje wśród uczestników panelu dyskusyjnego „Cybersecurity w cieniu innych priorytetów”. Uczestnicy debaty w większości opowiadali się za miękkim podejściem do oceny skuteczności podejmowanych w sektorze publicznym działań. Podkreślali wagę edukacji i podnoszenia świadomości przedstawicieli sektora publicznego w zakresie cyberbezpieczeństwa. 

Dariusz Jędryczek, Doradca Prezydenta ds. Informatyzacji i Cyberbezpieczenstwa, Urząd Miasta Wrocławia

Jak zauważył Dariusz Jedryczek, doradca prezydenta ds. informatyzacji i cyberbezpieczeństwa w Urzędzie Miasta Wrocławia, ustawa o KSC wprowadziła pojęcie cyberbezpieczeństwa do urzędniczego słownika, brakuje jednak sankcji za niewywiązywanie się z jej postanowień. W jednostkach publicznych nie ma natomiast zrozumienia dla spraw cyberbezpieczeństwa. W praktyce stosowane są od lat te same standardy, które nie pozwalają poważnie traktować obszaru cybersecurity. Sytuacja ta spowodowana jest m.in. brakiem odpowiednich środków na zatrudnienie wysokiej klasy specjalistów. „Trzeba odczarować koszty związane z cyberbezpieczeństwem, również w głowach księgowych. Nie stać nas na teoretyczbe cyberbezpieczeństwo” – mówił Dariusz Jędryczek. 

Agnieszka Aleksiejczuk, Dyrektor Departamentu Społeczeństwa Informacyjnego, Urząd Marszałkowski Województwa Podlaskiego

Zdaniem Agnieszki Aleksiejczuk, dyrektor Departamentu Społeczeństwa Informacyjnego Urzędu Marszałkowskiego Województwa Podlaskiego, zrozumienie dla kwestii bezpieczeństwa w sektorze publicznym jest coraz większe. Do wzrostu świadomości przyczyniła się też ustawa o KSC. Najgorzej  jest w gminach – im wyżej w strukturach administracji, tym lepiej. Szczególnie w miejscach, gdzie jest więcej środków na podjęcie stosownych działań. Wprowadzania reguł cyberbezpieczeństwa nie można jednak, w opinii Agnieszki Aleksiejczuk, wymuszać tylko karami. Ludziom odpowiedzialnym za ten obszar trzeba pomagać, udzielać im wsparcia.

Krzysztof Silicki, Wicedyrektor ds. Cyberbezpieczeństwa i Innowacji, NASK PIB

„Ustawa o KSC porządkuje wiele kwestii, daje ramy do działania. Istotne jest jednak, jak się podejdzie do jej implementacji. Jak wiele zależy chociażby od tego, kogo się wyznaczy do kontaktów – czy będzie to szef IT, czy sekretarz urzędu” – zwracał uwagę Krzysztof Silicki, wicedyrektor ds. cyberbezpieczeństwa i innowacji w NASK PIB. Jego zdaniem, ustawa otwiera perspektywy, które można wykorzystać albo nie. Trzeba patrzeć nie tylko na to, jakie obowiązki nakłada, ale też jakie możliwości daje. Nic nie stanie się od razu, efekty przyjdą po latach pracy. 

Eryk Trybulski, Kierownik Wydziału Bezpieczeństwa Systemów Teleinformatycznych, Centrum Systemów Informacyjnych Ochrony Zdrowia

Problemem mogą być liczne uwarunkowania prawno-organizacyjne, którym podlegają urzędy i instytucje publiczne. Wskazywał na to Eryk Trybulski, kierownik Wydziału Bezpieczeństwa Systemów Teleinformatycznych w Centrum Systemów Informacyjnych Ochrony Zdrowia. W biznesie, jego zdaniem, jest łatwiej, bo krótsza i prostsza jest ścieżka decyzyjna. „Jedyna nadzieja w ludziach, ale trzeba mieć wtedy najlepszych” – podkreślał Eryk Trybulski. 

Paweł Nogowicz, Ekspert, Polskie Towarzystwo Informatyczne

Zdaniem Pawła Nogowicza, eksperta reprezentującego Polskie Towarzystwo Informatyczne, samo uświadamianie i edukowanie nie wystarczą. Nie wystarczą też ludzie pracujący z pasją, chociaż ich zaangażowanie jest ważne. Niezbędne są przepisy, które będą służyły egzekwowaniu nakładanych obowiązków. „Potrzebne są regulacje i procedury, które będą wymuszały wprowadzanie zmian, obligowały do tworzenia skutecznego cyberbezpieczeństwa” – przekonywał Paweł Nogowicz. Zwracał uwagę, że łatwiej jest stworzyć rekomendację niż konkretny przepis, ale w cyberbezpieczeństwie bardziej potrzebne są przepisy i zasady, które będą wszystkich obowiązywały i których przestrzeganie będzie egzekwowane. 

Ustawa o KSC otwiera perspektywy, które można wykorzystać albo nie. Trzeba patrzeć nie tylko na to, jakie obowiązki nakłada, ale też jakie możliwości daje.

„Papierowe” bezpieczeństwo zwiększa zagrożenie

W swoim wcześniejszym wystąpieniu Paweł Nogowicz zwracał uwagę na możliwości oddziaływania przez nas na poziom cyberbezpeczeństwa w kraju. Zależy on od kilku czynników. Jest pochodną: wyzwań związanych z cyfryzacją, aktualnego poziomu cyfryzacji kraju i jego zmian, specyfiki działania sektora publicznego oraz zmian otoczenia prawnego. „Na istniejący poziom cyfryzacji wpływu nie mamy, ale na jego zmiany już tak. Podobnie jak na zmiany przepisów prawa stanowiącego kontekst procesów cyfryzacji państwa. Bo to my kreujemy całe otoczenie, które znajduje potem odzwierciedlenie w działaniu systemów informatycznych” – podkreślał Paweł Nogowicz. 

Według dostępnych danych poziom cyfryzacji w naszym kraju rośnie. W 2016 roku Polska została sklasyfikowana pod tym względem na 33 miejscu wśród 193 branych pod uwagę w rankingu państw. Trzeba jednak pamiętać, że wraz ze wzrostem poziomu cyfryzacji rośnie jednocześnie poziom zagrożenia, gdy zwiększa się obszar podatności. To wymaga stałej rozbudowy systemów cyberbezpieczeństwa. 

Z drugiej strony, błędy w cyfryzacji skutkują też błędami w cyberbezpieczeństwie. A nasze działania w zakresie cyfryzacji są, zdaniem Pawła Nogowicza, chaotyczne, nieprzemyślane, nieuporządkowane. Skutkują często jedynie tworzeniem pozornych rozwiązań, sprowadzających się głównie do troski o zapewnienie odpowiedniej dokumentacji, nie przekładają się na konkretne, realne poczynania. 

Zdaniem Pawła Nogowcza, za przykład takiego podejścia może służyć  wprowadzanie e-usług publicznych bez analizy ich bezpieczeństwa. Poważnym zagrożeniem może skutkować również nieprzemyślane, powszechne korzystanie przez instytucje publiczne i urzędy z chmury obliczeniowej, gdzie wszystko zależy od komercyjnego dostawcy, na którego działania organy państwa nie mają większego wpływu. 

„Brakuje nam prawdziwego, a nie papierowego, opartego tylko na normach i audytach, systemu zarządzania bezpieczeństwem. Brakuje skutecznego systemu nadzoru i kontrolowania ludzi odpowiedzialnych za cyberbezpieczeństwo” – zwracał uwagę Paweł Nogowicz. Jego zdaniem, brak mechanizmów informowania o incydentach jest często na rękę osobom decyzyjnym. Przełożeni osób odpowiedzialnych za bezpieczeństwo wolą niejednokrotnie nie wiedzieć, co się dzieje, ale to prosta drogą do eskalacji zagrożeń.

Wraz ze wzrostem poziomu cyfryzacji rośnie poziom zagrożenia, gdy zwiększa się obszar podatności. To wymaga stałej rozbudowy systemów cyberbezpieczeństwa. Błędy w cyfryzacji skutkują też błędami w cyberbezpieczeństwie.

Cyberprzestrzeń polem walki 

płk Przemysław Przybylak, Komendant, Centrum Operacji Cybernetycznych, Ministerstwo Obrony Narodowej

Na znaczenie cyberbezpieczeństwa dla obrony państwa zwracają coraz większą uwagę polskie siły zbrojne. Ministerstwo Obrony Narodowej uruchomiło   przeznaczony do działań w tym zakresie program „CyberMil.gov”. Zostały podjęte prace zmierzające do powołania Wojsk Obrony Cyberprzestrzeni. Jak poinformował płk Przemysław Przybylak, komendant Centrum Operacji Cybernetycznych w Ministerstwie Obrony Narodowej, w ich efekcie powstaną nowe struktury w siłach zbrojnych lub nastąpi modyfikacja istniejących struktur. „Cyberbezpieczeństwo jest jednym z pięciu priorytetów MON. W budżecie mamy zabezpieczone wystarczające środki na realizację związanych z tym zadań” – zapewniał płk Przemysław Przybylak. 

Warto zwrócić uwagę, że na szczycie NATO w 2016 roku przyjęto, iż cyberprzestrzeń jest pełnoprawną przestrzenią operacyjną, w której wojsko może prowadzić działania. „Dopuszcza się odpowiedź kinetyczną na atak w cyberprzestrzeni” – tłumaczył płk Przemysław Przybylak. Z takiej możliwości skorzystał już Izrael, który użył rakiet w odpowiedzi na skierowany przeciw niemu cyberatak. Trwają cały czas dyskusje, kiedy taka odpowiedź jest rzeczywiście uzasadniona i jaka może być jej faktyczna skuteczność. W wielu armiach świata, w tym również w Wojsku Polskim, trwają jednak starania, aby być na taką ewentualność przygotowanym. 

Nowe możliwości działania daje siłom zbrojnym w naszym kraju także Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Na jej mocy został ustanowiony w MON jeden z trzech krajowych CSIRT-ów. W stanie wojennym lub w stanie wojny będzie on odpowiadał za koordynację wszystkich działań. Trwają obecnie prace nad zbudowaniem potrzebnych do tego struktur. Celem jest stworzenie jednego, centralnego punktu operacyjnego, który będzie dostarczał dowódcom informacji o sytuacji w cyberprzestrzeni. Jak podkreślał płk Przemysław Przybylak, Wojsko Polskie przygotowuje się do działań w cyberprzestrzeni już od kilkunastu lat. Kierowane przez niego Centrum Operacji Cybernetycznych istnieje od 2010 roku. 

Zostały podjęte prace zmierzające do powołania w naszym kraju Wojsk Obrony Cyberprzestrzeni.

Skąd przychodzi zagrożenie

Michał Ostrowski, Regional Director Eastern Europe, FireEye

Według raportu „M-Trends” firmy FireEye, w 2018 roku 5% odnotowanych incydentów w naszym kraju dotyczyło urzędów państwowych. Być może nie jest to dużo, ale ranga tych ataków jest znacząca, gdyż dotyczą ważnych instytucji rządowych. Gdy do tego dodamy ataki na inne dziedziny sektora publicznego –edukację, przedsiębiorstwa użyteczności publicznej, ochronę zdrowia – to skala zagrożeń dla kraju i jego obywateli okazuje się być znacząca. 

Damian Hoffman, Senior System Engineer, FireEye

W jaki sposób atakujący dostają się do środka systemów urzędów i instytucji publicznych? „Głównym kanałem włamania jest e-mail. W polskich instytucjach 90% ataków zaczyna się od wiadomości poczty elektronicznej. Atakujący korzystają w większości z zamieszczonych w e-mailach linków lub załączników” – tłumaczyli podczas „CyberGov 2019” specjaliści z FireEye – Damian Hoffman, Senior System Engineer, i Michał Ostrowski, Regional Director Eastern Europe. Zwracali uwagę, że adresy e-mailowe ważnych osób w instytucjach można bez problemu znaleźć w sieci albo odtworzyć według wzoru obowiązującego w danym miejscu. Całe bazy danych z gotowymi namiarami można również nabyć przez internet na specjalnych portalach zajmujących nielegalnym handlem informacjami i narzędziami do włamań. Wiele danych udaje się też uzyskać z powszechnie dostępnych zasobów, takich jak: KRS, BIP-y czy ogłoszenia o przetargach.  

Jak urzędy i instytucje publiczne mogą się bronić przed atakami? „Zapisy prawne, np. Ustawa o KSC, nie mają na celu zapewnienia indywidualnej ochrony. Każdy musi robić analizę ryzyka dla własnych potrzeb. Bo inne są zagrożenia dla szpitala, a inne dla banku” – podkreślali Damian Hoffman i Michał Ostrowski. I uczulali, by dokonywać analizy ryzyka względem sytuacji, w jakiej znajduje się dana instytucja, a nie względem zapisów ustawy.