Polityka i prawo
Cyberbezpieczeństwo polską specjalnością eksportową?
W Kancelarii Prezesa Rady Ministrów odbyło się IV Forum Bezpieczeństwa Infrastruktury Krytycznej. Paneliści mówili o współpracy prywatno-publicznej, znaczeniu dyrektywy NIS oraz polskim potencjale cyberbezpieczeństwa.
Pierwszy wypowiadał się Paweł Szrota, zastępca szefa Kancelarii Prezesa Rady Ministrów. Według niego bezpieczeństwo infrastruktury krytycznej jest jednym z priorytetów obecnego rządu. Przygotowano dokument „Narodowy programy infrastruktury krytycznej”, w którym ochrona infrastruktury krytycznej ma opierać się na trzech filarach: współodpowiedzialności, zaufania i współpracy. Tych obszarów nie można zabezpieczyć bez udziału sektora prywatnego. Dokument nie przewiduje żadnych sankcji dla podmiotów, które nie dostosują się do nowego prawa. Zaznaczono jednak, że brak sankcji nie jest równoznaczny z brakiem odpowiedzialności. Szrota zauważył, że infrastruktura krytyczna to nie tylko budynki, ale również usługi, które są coraz częściej oparte na technologii informatycznej i dlatego konieczne jest wdrożenie odpowiednich rozwiązań cyberbezpiezceństwa. Zastępca szefa Kancelarii Prezesa Rady Ministrów podkreślił również znaczenie dyrektywy NIS. Jego zdaniem najważniejszym elementem ochrony infrastruktury krytycznej jest rzetelna ocena ryzyka.
Drugim panelistą był Piotr Woźny, podsekretarz stanu w Ministerstwie Cyfryzacji. Zwrócił on uwagę, że ważną rolę w planie Morawieckiego odgrywa „Cyberpark Enigma”. Inicjatywa ta polega na połączeniu zasobów w celu budowy zintegrowanego systemu cyberbezpieczeństwa. Woźny dodał, że przykładem powinien być sektor gier komputerowych, który stał się polską specjalizacją. Zaznaczył, że wcześniej Polska nie miała żadnych osiągnięć w tym obszarze i dlatego branża cyberbezpieczeństwa może stać się polską specjalizacją eksportową. Ponadto państwo ma zarówno potencjał, jak i wielu utalentowanych informatyków, o czym mają świadczyć wyniki olimpiad informatycznych. Polska w klasyfikacji medalowej zajmuje drugie miejsce, zaś jeśli chodzi o liczbę zdobytych medali – czwarte. Na koniec Woźny powiedział: "Mam nadzieję, że pozwoli to zbudować spójną strategię cyberbezpieczeństwa, którą uda nam się przełożyć na język ustaw".
Marek Kubiak, dyrektor Rządowego Centrum Bezpieczeństwa, jako ostatni zabrał głos. Podkreślił znaczenie współpracy państwa z operatorami w zapewnieniu bezpieczeństwa infrastruktury krytycznej. Dodał, że RCB jest bogatsze o doświadczenie ze szczytu NATO i ŚDM. Cały czas problemem pozostaje granica między obowiązkami państwa a operatorami infrastruktury krytycznej. Kubiak wskazał, że ochrona IK to z jednej strony obowiązek administracji publicznej, a z drugiej jej właścicieli, czyli przedsiębiorców. Jak powiedział – zgodnie z ustawą o zarządzaniu kryzysowym "ochrona IK to tak naprawdę obowiązek jej właściciela". Dodał, że "mamy zapis w ustawie, z którego wynika, że ochrona IK ma być jednak realizowana we współpracy z administracją państwową".
Dyrektor RCB stwierdził, że współpracę między państwem a przedsiębiorcami w ramach ochrony IK można porównać do relacji państwo–obywatel. Wyróżnił trzy obszary bezpieczeństwa:
- zapewnienie warunków do bezpiecznego funkcjonowania,
- budowanie świadomości zagrożeń i przekazywanie dobrych praktyk,
- wsparcie w sytuacji kryzysowej
"W ramach stwarzania warunków przygotowaliśmy ustawę o zarządzaniu kryzysowym, znowelizowaliśmy specjalnie dla was ustawę o zamówieniach publicznych, żebyście mogli wybrać fachowców, a nie najtańszą ofertę, włączyliśmy infrastrukturę krytyczną w system zarządzania kryzysowego" – mówił Kubiak do przedstawicieli sektora publicznego i prywatnego.
„Spotykamy się na forach IK w celach edukacyjnych. Prowadzimy merytoryczne szkolenia z różnych obszarów zapewniania bezpieczeństwa. A także wdrożyliśmy krajowy mechanizm ochrony IK umożliwiający wymianę informacji o zagrożeniach" – dodał, podkreślając rolę państwa w tym obszarze.
Żaden operator nie jest w stanie sam reagować na wszystkie występujące zagrożenia. W ramach wsparcia w sytuacji kryzysowej na mocy ustawy antyterrorystycznej zapewniliśmy wsparcie ze strony ABW, policji, wprowadzając stopnie alarmowe. Rozwijamy potencjał CERT-ów, które będą służyć pomocą przy potencjalnych atakach teleinformatycznych.
Czytaj też: PSE na celowników cyberprzestępców
IV Krajowe Forum Infrastruktury Krytycznej zorganizowało Rządowe Centrum Bezpieczeństwa. Jego celem jest identyfikacja kluczowych problemów oraz wypracowanie propozycji rozwiązań zwiększających bezpieczeństwo IK. W tegorocznej edycji mają być także przedstawione propozycje zmian do planowanej w przyszłym roku aktualizacji Narodowego Programu Ochrony Infrastruktury Krytycznej.
IK to system oraz wchodzące w jego skład powiązane ze sobą funkcjonalne obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego działania administracji publicznej, a także instytucji i przedsiębiorców. Część elementów infrastruktury krytycznej należy do prywatnych przedsiębiorców.
AK/PAP