Polityka i prawo
Cyberbezpieczeństwo państwa kontra rzeczywistość
Minister Cyfryzacji udzieliła wyjaśnień w odpowiedzi na jedną z interpelacji poselskich. Jej treść wskazuje, że system cyberbezpieczeństwa wciąż jest oparty na wiele instytucji rządowych i ma charakter rozproszony i to pomimo prób jego centralizacji.
Minister Cyfryzacji Anna Streżyńska udzieliła formalnej odpowiedzi na interpelację nr 10945 grupy posłów Nowoczesnej w sprawie cyberbezpieczeństwa państwa. Posłowie wyrazili zaniepokojenie praktyką realizacji przetargów na dedykowaną infrastrukturę sprzętowo-systemową dla jednostek administracji publicznej, służb mundurowych oraz spółek Skarbu Państwa. Według posiadanych przez nich informacji, zakupy te realizowane są bez należytej weryfikacji sprzętu i oprogramowania pod kątem bezpieczeństwa i legalności jego pochodzenia.
Minister wyjaśniła we wstępie, że administracja publiczna zobowiązana jest pod groźbą sankcji karnych do stosowania i przestrzegania obowiązujących przepisów prawnych. Nakazują one korzystanie wyłącznie z licencjonowanego oprogramowania pochodzącego z legalnych źródeł. Na organach administracyjnych jako zamawiających spoczywa też obowiązek jasnego i precyzyjnego określenia żądanych specyfikacji, uwzględniając wszystkie wymagania i okoliczności. Jeśli zakupiony sprzęt jest używany, powinien być kupiony bez nośników. Może też zostać przed zakupem przetestowany, celem zapewnienia maksymalnego bezpieczeństwa.
Minister nie odpowiedziała, z jakich krajów są sprowadzane używane urządzenia, ile ich zakupiono ani ile było w związku z tym incydentów bezpieczeństwa. Nie przytoczono też żadnych danych statystycznych, których domagali się posłowie. Stwierdzono, że środki ochrony i systemy, w których mają być przetwarzane informacje niejawne od klauzuli poufne wzwyż, podlegają kontroli ABW albo SKW.
W treści interpelacji spytano również o bezpieczeństwo i skalę penetracji odpowiedniej infrastruktury przez osoby nieuprawnione, potencjalnie działające na rzecz obcych wywiadów. Resort cyfryzacji, jak przyznaje Minister, nie jest w stanie zapewnić pełnej ochrony polskiej cyberprzestrzeni bez nakreślenia spójnej strategii działania w tym obszarze. Ministerstwo tworzy finalną wersję długo oczekiwanego dokumentu „Krajowe Ramy Polityki Cyberbezpieczeństwa RP na lata 2017-2022”; przygotowywany jest również projekt ustawy o krajowym systemie cyberbezpieczeństwa, który zaimplementuje zapisy unijnej dyrektywy NIS.
Czytaj też: Bezpieczna Polska w cyfrowej erze. Strategia Cyberbezpieczeństwa na lata 2017-2022 [ANALIZA]
Istotne jest również, jak podkreśla Minister, stworzenie ram współpracy między sektorami publicznym i prywatnym, co umożliwiłoby wymianę doświadczeń i wzajemne wsparcie. Zajmuje się tym Narodowe Centrum Cyberbezpieczeństwa (NC Cyber), w którego strukturze działa m.in. odpowiedzialny za reagowanie na cyberincydenty zespół CERT Polska. Rozpoczęto już współpracę z największymi przedsiębiorstwami telekomunikacyjnymi, branżą energetyczną, bankami oraz innymi podmiotami z sektorów transportowego czy chemicznego.
Innymi słowy, Resort Cyfryzacji podejmuje takie działania, na jakie pozwalają mu wciąż dalekie od doskonałości ramy prawne, i które nie wkraczają w kompetencje innych podmiotów odpowiedzialnych za cyberbezpieczeństwo. Część problemów z pewnością rozwiąże spisanie dokumentów programowych, jednak do likwidacji nadmiernego rozdrobnienia zakresów obowiązków wciąż prowadzi daleka droga. W interesie bezpieczeństwa państwa leży to, by jak najszybciej doprowadzić do jej skrócenia. Pytanie tylko, kto miałby nadzorować i sfinansować niezbędne w sektorze cywilnym reformy.
Czytaj też: Polska tworzy cyberwojsko
Katarzyna Stróż