#CyberMagazyn: Wszystkie bolączki cyber. Co trapi branżę?

2 października odbyła się V edycja Cyber24 Day, konferencji organizowanej przez naszą redakcję. Wśród wielu interesujących tematów znalazło się również miejsce na dyskusję o problemach trapiących branżę cyber, a także o rzeczywistych rezultatach działań w stosunku do oczekiwań.

W debacie poświęconej temu zagadnieniu udział wzięli: dr Joanna Pawełek, radczyni-minister ds. międzynarodowych aspektów cyberbezpieczeństwa w Departamencie Polityki Bezpieczeństwa Ministerstwa Spraw Zagranicznych; Janusz Cieszyński, poseł na Sejm RP i były minister cyfryzacji; Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji; ekspertka cyberbezpieczeństwa i audytorka SI Joanna Karczewska; Michał Kanownik, prezes Związku Cyfrowa Polska oraz Łukasz Gawron, prezes Polskiego Klastra Cyberbezpieczeństwa #CyberMadeInPoland.

Karczewska: Ustawodawca chce dobrze, wychodzi jak zwykle

Zapytana o największą bolączkę polskiego ustawodawstwa pod kątem cyberbezpieczeństwa Joanna Karczewska stwierdziła, że jest to „dodawanie do kolejnych ustaw zapisów związanych z cyberbezpieczeństwem”. Jako przykład podała tzw. ustawę Kamilka, która ma na celu ochronę osób małoletnich.

„(Ustawa – red.) wprowadza standardy, ale przy okazji opublikowano wytyczne również dotyczące bezpieczeństwa dzieci online. Pojawia się koordynator – kolejny do całej kolekcji, która już jest w przedszkolach i się troszczy o ochronę danych osobowych, o cyberbezpieczeństwo i o same dzieci. A do tego jeszcze dorzucono zalecenia, które się nijak nie mają do całego wysiłku, który włożyliśmy dotychczas w budowę ochrony danych osobowych, cyberbezpieczeństwa, bezpieczeństwa informacji. Kompletnie pominięto całe osiągnięcie legislacyjne” – powiedziała Karczewska, dodając, że ustawodawca „chce dobrze, a wychodzi jak zwykle”.

Dr Pawełek-Mendez: Rząd musi mieć opcję współpracy z firmami

Dr Pawełek-Mendez poruszyła z kolei sprawę współpracy międzynarodowej w zakresie spyware. Jej zdaniem, problem leży w koordynacji. „W commercial spyware tak naprawdę mamy bardzo wielu aktorów. Instrumenty szpiegowskie tworzą komercyjne firmy. I tak naprawdę, żeby rząd miał wiedzę na temat tego, jakie narzędzia istnieją, przez kogo są tworzone, komu są sprzedawane, to rząd musi mieć możliwość współpracy z firmami. Te firmy muszą ufać, musi być zbudowana platforma. I to jest podstawa takich działań” – przekazała podczas debaty przedstawicielka MSZ.

Istotnym elementem współpracy międzynarodowej była inicjatywa Stanów Zjednoczonych związana z rozporządzeniem wykonawczym prezydenta Joe Bidena dotyczącym zakazu wykorzystywania nielegalnych narzędzi szpiegowskich. „W tym roku na wiosnę także Polska została zaproszona przez Stany Zjednoczone do tej inicjatywy politycznej, która ma na celu budowanie świadomości. Odbyliśmy też konsultacje ze stroną amerykańską w lipcu. W rządzie próbujemy koordynować te działania, więc jest to temat międzynarodowy, nie tylko u nas” – wyjaśniła dr Pawełek-Mendez.

Dodała, że Polska uczestniczy w Pall Mall Process, które jest inicjatywą brytyjsko-europejską.

Cieszyński: bardzo się cieszę, że Fundusz Cyberbezpieczeństwa jest kontynuowany

Tymczasem poseł Janusz Cieszyński, zapytany o kwestię Funduszu Cyberbezpieczeństwa stwierdził, że problemy z nim związane nie wpłyną na poziom cyberochrony w Polsce. Zaznaczył jednocześnie, że obietnica dodatkowych pieniędzy dla specjalistów cyberbezpieczeństa jest bardzo dobra. 

„Bardzo się cieszę, że to jest kontynuowane, dlatego że to narzędzie może niezbyt eleganckie, ale bardzo skuteczne i wiem to z rozmów z przedstawicielami instytucji, które swoim pracownikom to świadczenie wypłacają. Wiem, że to jest game changer - sytuacja, w której rzeczywiście można zarobić dobre pieniądze, pracując w cyberbezpieczeństwie i w administracji” – wyjaśnił Cieszyński, wyrażając również nadzieję na przeznaczanie możliwie jak największych pieniędzy na rzecz Funduszu również w kolejnych latach.

Swoje stanowisko w tej kwestii przedstawiła również Joanna Karczewska, przytaczając historię informatyka, który chciał odejść z firmy, w której przeprowadzała audyt.

„Jak się dowiedział, że powstaje Fundusz i dzięki temu będzie miał wyższą pensję, to został. I ostatnio potwierdzałam, że nadal w niej jest. Ci ludzie odchodzili, a jak zaczęli mieć normalnie płacone, czyli rynkowo, to przestali odchodzić” – zaznaczyła.

Dulka: Traktować przedsiębiorstwa jak podmioty działające na rzecz kraju

Kwestię oczekiwań biznesu od ustawodawców pod kątem cyberbezpieczeństwa poruszył z kolei prezes Andrzej Dulka. Jednym z głównych problemów jest poważne traktowanie przedsiębiorstw, a w zasadzie jego brak. 

„(Przedsiębiorstwa oczekują – red.) traktowania jak podmiot gospodarczy, który działa na rzecz kraju, który wnosi wartość, który płaci podatki, który zatrudnia ludzi, który realizuje misję, rozumie tę misję w zadaniach realizowanych przez państwo. Chcemy kontrybuować w konsultacjach do najpoważniejszych aktów prawnych, które państwo wprowadza, gdy państwo decyduje o Prawie komunikacji elektronicznej, o wdrożeniu Kodeksu Łączności, o NIS-2, o AI Act” – powiedział prezes Polskiej Izby Informatyki i Telekomunikacji.

Jako przykład podał powódź, która przetoczyła się przez południowo-zachodnią Polskę w II połowie września.

Aby służby ratownicze, straż pożarna, policja mogła funkcjonować, muszą mieć łączność. Muszą się komunikować za pomocą sieci. Nie ma innego wyjścia. Dobrze jest posłuchać operatorów i też firm, które dostarczają i routery, i software, i wszystko. I powiedzieć: „podpowiedzcie nam, nauczcie nas, czego się nauczyliście z tego ostatniego wydarzenia, żeby następnym razem, jak ta powódź przyjdzie, a przyjdzie, żebyśmy mogli zareagować wcześniej". I odpowiedź jest bardzo prosta: nie doprowadźcie do sytuacji, gdzie my musimy tylko reagować
Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji

Gawron: Mnóstwo do zrobienia w ustawie o KSC

Sporą część dyskusji poświęcono problemom związanym z ustawą o Krajowym Systemie Cyberbezpieczeństwa. Zapytany o oczekiwania Polskiego Klastra Cyberbezpieczeństwa pod kątem nadchodzących projektów, Łukasz Gawron poruszył kwestię tego, czy Polacy są świadomi tego, co się stanie po przyjęciu ustawy.

„Czy wiemy, czy ministerstwa właściwe, które mają przeprowadzać na przykład kontrolę w podmiotach, mają do tego odpowiednie narzędzia, mają do tego odpowiednich ludzi? Czy (38 tys. podmiotów objętych KSC – red.) wie o tym, że będą w ogóle objęte ustawą? Teraz jest mnóstwo pytań, czy spółka-córka będzie, czy nie będzie. Tego jest naprawdę mnóstwo” – wskazał prezes PKC.

Jednocześnie, zdaniem Gawrona, Polska nie jest jeszcze gotowa na przyjęcie ustawy o Krajowym Systemie Cyberbezpieczeństwa. „W mojej opinii jeszcze jest mnóstwo do zrobienia, czas jest coraz krótszy, jeśli chodzi o przyjęcie ustawy. Jakaś forma wsparcia również by się przydała - czy to merytorycznego w postaci edukacji, czy to finansowego - w postaci bonów na cyberbezpieczeństwo, tak jak były bony na cyfryzację” – powiedział. 

Jest bardzo dużo możliwości wytrychów, które pomogłyby zepewnić miękkie lądowanie podmiotom związanym z wdrożeniem KSC. Ci, którzy podpadali pod ustawę, bo są infrastrukturą krytyczną, sobie z nią poradzą. Gorzej będzie (np. – red.) z przedsiębiorstwami wodno-kanalizacyjnymi. Nie wyobrażam sobie sytuacji, że przedsiębiorstwo wodno-kanalizacyjne w małym mieście, nie będzie miało środków na to, aby wdrożyć odpowiednie środki, organizacyjne i techniczne, aby uzyskać odpowiedni poziom cyberbezpieczeństwa
Łukasz Gawron, prezes Polskiego Klastra Cyberbezpieczeństwa.

Kanownik o KSC: przyjęcie ustawy byłoby fanstastyczną klamrą

O problemy związane z ustawą o Krajowym Systemie Cyberbezpieczeństwa został również zapytany Michał Kanownik. Określił ją mianem najdłużej konsultowanej ustawy w historii polskiego parlamentaryzmu.

„Czego zabrakło? Determinacji, twardego przekonania co do tego, że musimy to mieć, że nie chodzi tutaj o interesy jednej, drugiej strony, tylko że chodzi o bezpieczeństwo narodowe” – wyjaśnił prezes Związku Cyfrowa Polska.

Nie oszukujmy się, wokół tej ustawy jest mnóstwo interesów różnych podmiotów, różnych stron i te interesy niestety przeważają nad merytoryką. Tak długi okres tworzenia spowodował, że obecny rząd musiał dołożyć do niej implantację Dyrektywy NIS-2. Przez to powstał jeszcze większy projekt niż był wcześniej. Naprawdę zrobił się z tego ogromny akt prawny, z mnóstwem nowych obowiązków
Michał Kanownik, prezes Związku Cyfrowa Polska

Kanownik wyraził również nadzieję, że projekt zostanie przyjęty przez wszystkie partie w Sejmie. „To byłaby fantastyczna klamra, zmieniająca dyskusję o cyberbezpieczeństwie w Polsce. Wszyscy zgodzimy się, że dzisiaj z uwagi na wojnę w Ukrainie i generalnie sytuację globalną, jesteśmy na pierwszej linii frontu. I kwestia cyberbezpieczeństwa to absolutnie temat numer jeden z naszego punktu widzenia - państwa, poszczególnych firm, obywatela. Tu nie mówimy tylko i wyłącznie o interesie rządu czy urzędów centralnych. W tym akcie chodzi o bezpieczeństwo każdego Kowalskiego, Karnowskiego, każdej firmy, nawet najmniejszej” – wyjaśnił.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].