Suwerenność oznacza bezpieczeństwo? Będą nowe programy wsparcia i współpracy

Zagrożenia w cyberprzestrzeni w ostatnich latach stały się jednym z najważniejszych zagadnień związanych z bezpieczeństwem Polski. W ostatnich miesiącach mogliśmy usłyszeć nie tylko o dezinformacji, ale też o szeroko zakrojonych atakach na elementy infrastruktury krytycznej, czy kradzieżach danych z instytucji samorządowych. Opisywane na naszych łamach sytuacje obejmowały również m.in. wycieki ze sklepów internetowych.

O problemach związanych z cyberatakami i odpornością na zagrożenia dyskutowano również podczas konferencji Defence24 Days, która odbyła się w dniach 6-7 maja 2026 r. w Warszawie. Eksperci pochylili się nad sytuacją naszego kraju wobec rosnącej liczby ataków oraz stale rozwijającej się technologii.

W dyskusji moderowanej przez Szymona Palczewskiego z CyberDefence24 udział wzięli:

• Paweł Olszewski, wiceminister cyfryzacji;
• płk Łukasz Jaworski, szef CSIRT MON;
• Piotr Ferszka, Prezes Zarządu oraz Dyrektor Zarządzający SAP Polska;
• Paweł Wieczyński, Prezes Zarządu DataWalk S.A.;
• Krzysztof Kowalczyk, Enterprise Sales Director, HPE Polska;
• Dariusz Piotrowski, Dyrektor Zarządzający Dell Technologies Polska;
• Daryl Hyett, Kierownik ds. sprzedaży, zapewniania bezpieczeństwa informacji i cyberbezpieczeństwa, Viasat Government.

Ministerstwo: działamy holistycznie i wspieramy finansowo

Jedną z kluczowych kwestii poruszonych podczas debaty był poziom cyberbezpieczeństwa Polski oraz nadążanie za zachodzącymi zmianami.

Zapytany o rosnącą skalę incydentów, Paweł Olszewski zauważył, że mechanizmy i zagrożenia zmieniają się „z godziny na godzinę”, ale państwo musi być „bezwzględnie” na te przemiany gotowe. W tym kontekście trendy – zwłaszcza w zakresie incydentów - są stale monitorowane przez Ministerstwo Cyfryzacji.

„Uchwaliliśmy ustawę o krajowym systemie cyberbezpieczeństwa, wdrażającą dyrektowę NIS2. Była poddana bardzo ostremu lobbingowi, żeby jej nie uchwalić. Na szczęście udało się to i pan Prezydent ją podpisał. Rząd przyjął również Strategię Cyberbezpieczeństwa wyznaczającą kierunki działań, które musimy przyjmować jako państwo wraz z inwestycjami sięgającymi miliardów złotych” – powiedział wiceszef resortu cyfryzacji, wskazując jednocześnie na programy takie jak Cyberbezpieczny Samorząd czy Cyberbezpieczne Wodociągi.

Pierwotnie program Cyberbezpieczne Wodociągi miał alokację na poziomie 300 mln zł. Zgłosiło się ponad 700 instytucji wodociągowych, więc musieliśmy podwyższyć tę alokację dwukrotnie; wydajemy 700 milionów na zabezpieczenie wodociągów, tak aby każdy wodociąg, który się zgłosił i spełnia wymagania, te środki otrzymał. (Przeznaczyliśmy – red.) prawie 2 miliardy złotych na Cyberbezpieczny Samorząd. Przygotowujemy teraz program Lokalnych Centrów Cyberbezpieczeństwa na poziom samorządowy, żeby samorządy mogły tworzyć konsorcja, budować lokalne SOC-i. Z jednej strony jako Ministerstwo staramy się podchodzić holistycznie, z drugiej – tworzyć programy dofinansowania, zabezpieczenia dla najbardziej zagrożonych sektorów.
Paweł Olszewski, wiceminister cyfryzacji

Wiceminister zadeklarował również prace nad nową perspektywą wsparcia dla podmiotów rządowych i samorządowych; część środków przekazywanych na cyberbezpieczeństwo pochodzi bowiem z Unii Europejskiej.

„Nie są to jednostkowe programy. Chcemy natomiast objąć te sektory, które są najbardziej wrażliwe, dalej inwestować także w te, które są mniejsze, ale też kluczowe z punktu widzenia bezpieczeństwa państwa. Będziemy również dokonywali szkoleń na poziomie regionalnym, na poziomie wojewodów, samorządowców. To wszystko będzie miało miejsce od jesieni” – zapewnił Olszewski.

Atak Rosji obudził świadomość?

Jak z kolei znaczenie cyberprzestrzeni i podejście do sytuacji ocenia Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni?

Według płk Jaworskiego, w przestrzeni cyber siły militarne oraz pozamilitarne muszą działać „ramię w ramię” – nie wyznaczono w niej granic, zaś pomimo różnych priorytetów obu stron, ataki mogą spotkać zarówno infrastrukturę wojskową, jak i samorządową (cywilną).

„Po pełnoskalowym ataku na Ukrainę nasza percepcja cyberprzestrzeni zmieniła się diametralnie. Świadomość, że może odgrywać istotną rolę z punktu widzenia funkcjonowania systemu obronnego kraju stała się kluczowa. To było widoczne w momencie, kiedy Polska zaczęła być hubem dla Ukrainy w zakresie wsparcia; nasi adwersarze zza wschodniej granicy byli bardzo zainteresowani infrastrukturą, która była do tego celu wykorzystywana” – wyjaśnił szef CSIRT MON.

Z drugiej strony, działania Rosji spowodowały zwiększenie chęci kooperacji wśród partnerów. Mowa głównie o wymianie informacji wywiadowczych; płk Jaworski wskazał również na większe zainteresowanie inną współpracą i spotkaniami.

Bardzo dobrym przykładem był CSIRT Summit - ewidentnie było widać wzrost zaangażowania poszczególnych partnerów, jeżeli chodzi o zakres przekazywanych informacji i ich jakość. To powoduje, że poziom zaufania, współpraca rośnie w sposób bardzo dynamiczny i przekłada się też na naszą grupową odpowiedź. Jeżeli chodzi o kraje bałtyckie, kraje NATO, mamy tego samego adwersarza, mamy te same problemy, tutaj jest chęć skłócenia nas, podzielenia, a jesteśmy bardzo, bardzo mądrzy, bo jesteśmy w stanie to przewidzieć i konsultujemy swoje działania. Dzięki temu też zwiększamy koszty potencjalnych ataków. Adwersarz wie, że de facto działamy skutecznie.
Płk Łukasz Jaworski, szef CSIRT MON

Suwerenność: jak największa czy całkowita?

Jednym z elementów, którego znaczenie oraz świadomość w społeczeństwie w ostatnich latach znacznie wzrosły, jest kwestia suwerenności technologicznej.

Paweł Wieczyński zauważył, że cyberbezpieczeństwo ma różne warstwy: od lokalnych SOC po większe systemy. Autonomię i niezależność zapewniają nie tylko pochodzenie spółki, lecz także architektura systemów.

„Jesteśmy dostawcą platformy, którą w odróżnieniu od naszego głównego konkurenta, postawiliśmy od samego początku na architekturze opartej o autonomię i suwerenność klientów do takiego stopnia, że mówimy do nich: »Łączcie wszystkie dane, które chcecie, za pomocą naszego systemu, a my nawet nie chcemy wiedzieć jakie«. To jest zupełnie inny paradygmat budowania systemów bez telemetrii, wsadzania czy oferowania swoich inżynierów. Na to jest gigantyczny apetyt w Europie, bo o ile problem integracji danych jest problemem bardzo starym, to dzisiaj wszyscy na świecie wiedzą, że to jest duże wyzwanie” – powiedział szef DataWalk.

Na podejściu do budowy systemów sprawa się nie kończy. Zdaniem Wieczyńskiego, kluczowym elementem decyzji jest kwestia składowania danych, systemu, który je przechowuje i uzależnienia od zewnętrznych podmiotów.

Dzisiaj (architektura systemów – red.) to ważny element, na który należy patrzeć z perspektywy nie tylko pochodzenia firmy, ale też w jaki sposób się rozwinie sytuacja, gdyby na przykład dana firma powiedziała, że kończy współpracę. Czy to oznacza, że muszę wyłączyć system? Czy to oznacza, że dalej działam, tylko 'trudno', nie odbieram i nie płacę więcej? To są bardzo ważne strategiczne pytania na poziomie rządowym.
Paweł Wieczyński, Prezes Zarządu DataWalk S.A.

Do dyskusji włączył się jednak wiceminister Olszewski, zauważając, że o ile jest za suwerennością, tak nie może ona oznaczać izolacjonizmu. Polska, a nawet cały Stary Kontynent nie posiadają zasobów, aby zapewnić pełną suwerenność. Pomimo tego powinno się dążyć do tego, aby była ona jak największa.

„Jak ktoś mówi, że będzie stuprocentowa suwerenność, to kłamie albo nie wie co mówi. Teraz pracujemy nad ustawą o chmurze obliczeniowej i tam będzie skala suwerenności oceniająca wszystkie parametry. Ale trzeba sobie powiedzieć wprost: musimy budować swoje kompetencje i zasoby, ale jak dzisiaj powiemy, że robimy wszystko wyłącznie na polskich zasobach – no na tę chwilę jeszcze nie jesteśmy gotowi” – powiedział wiceszef resortu cyfryzacji.

Bezpieczeństwo to także ciągłość działania

Na istotną sprawę zwrócił z kolei uwagę Dariusz Piotrowski. Według jego słów, paradygmaty bezpieczeństwa ulegają zmianom; konieczne jest zrozumienie, że oprócz perimeter security trzeba również rozważyć ciągłość działania w zdegradowanym środowisku, przy braku dostępności części funkcjonalności.

„Ostatnie wydarzenia na Bliskim Wschodzie pokazały, że atak na centrum dużego hyperscalera był de facto atakiem na dane. Lokalizacja to jedno, ale część danych została zniszczona bezpowrotnie, a niektóre odtworzono dopiero po tygodniu czy dwóch. Spowodowało to kompletny brak ciągłości działania części instytucji” – podkreślił Dyrektor Zarządzający Dell Technologies Polska.

W kontekście suwerenności Piotrowski wskazał na mądre wykorzystywanie partnerstw. Jako przykład podał proces zbudowania procesora dorównującego Nvidii – układy tego typu projektuje się przez dziesięciolecia. Z drugiej strony, wykorzystanie procesora czy serwera nie powoduje braku komponentów wyprodukowanych w Polsce.

(Produkt – red.) oczywiście ma komponenty zagraniczne, ale może być w pełni suwerennie zdefiniowane. Suwerenność to jest wojsko, Ministerstwo Cyfryzacji. My jako dostawcy dajemy architektury i rozwiązania zgodne z NIS2 oraz innymi frameworkami. Jesteśmy usługodawcą wyższych celów, które realizuje rząd czy inne agendy rządowe i w ten sposób możemy tworzyć suwerenność.
Dariusz Piotrowski, Dyrektor Zarządzający Dell Technologies Polska

Kompetencjami trzeba się dzielić. A co w czasie kryzysu?

Suwerenność nie polega jednak wyłącznie na doborze partnerów i rozwiązań. Krzysztof Kowalczyk zauważył, że kluczowy jest zakres kompetencyjny, także w zakresie cyberbezpieczeństwa. Jego zdaniem, kompetencje są tym, czym trzeba się dzielić zarówno na poziomie rządowym, jak również wojskowym, bankowym czy organizacji regionalnych ze względu na wektory ataków.

„Powiedzieliśmy o współpracy. Przykład: polski model językowy był trenowany w polskiej instytucji na polskich danych na amerykańskim komputerze, ale mimo wszystko wytworzyliśmy coś, co jest nasze, co pozostawiło gigantyczne ilości kompetencji, możliwości. Czy Bielik będzie lepszy od ChataGPT? Nie musi. Pomimo, że prawdopodobnie nigdy nie dogoni największych dostawców rozwiązań AI, on będzie doskonale spełniał swoją rolę, ponieważ zawsze będzie mógł być dostosowany” – podkreślił Dyrektor HPE Polska.

Ważne jest również odpowiednie przygotowanie do kryzysu. Zapytany o sytuację, w której doszło do całkowitej utraty łączności, Daryl Hyett zauważył, że istotne jest zastanowienie się z danymi, które są „na ziemi”. Administrator musi wówczas wziąć pod uwagę ich zabezpieczenie, podatność na zmiany czy odporność na ataki. W tym przypadku można zastosować propozycje związane z ochroną „data-at-rest” (DAR).

„Rozwiązania te zapewniają szyfrowanie przechowywanych danych, kontrolę dostępu oraz zgodność z przepisami, wykorzystując niezrównaną technologię bezpieczeństwa, elastyczność operacyjną, sprawdzone doświadczenie oraz dedykowane wsparcie. Umożliwia to użytkownikom z sektora obronnego i rządowego bezpieczne przechowywanie i transportowanie wrażliwych danych poprzez obniżenie wymagań dotyczących postępowania z nimi z poziomu »Top Secret« do »Official« lub »Non-classified«” – zaznaczył przedstawiciel Viasat Government.