Nowa władza plany ma ambitne: Budowa rządowych klastrów cyberbezpieczeństwa, wojewódzkich centrów cybersecurity, Narodowego CERT-u, krajowego systemu wczesnego ostrzegania przed cyberzagrożeniami, CERT-ów sektorowych, operatorskich. Do tego lada dzień poznamy strategię, a do końca roku – ustawę o cyberbezpieczeństwie, która pozwoli w Polsce zaimplementować unijną dyrektywę NIS. Jak na razie poznaliśmy założenia strategii. Nie ma tam jednak ani słowa na temat tego, jakie są koszty wszystkich planowanych zmian, ani kto za to zapłaci – budżet państwa, biznes, wojsko?
Setki milionów zł co roku
- W założeniach do strategii cyberbezpieczeństwa brakuje podstawowej informacji o tym, kto zapłaci za jej wdrożenie. Te podmioty, które bezpośrednio będą odpowiedzialne za wdrożenie mogą nie udźwignąć finansowania. Mówimy o ogromnych kwotach. Gdybyśmy chcieli utrzymać stopień finansowania krajów, które już inwestują w Cybersecurity, to musielibyśmy wydawać setki milionów złotych rocznie. Badania pokazują, że te kwoty to 5-15% budżetów IT. Jeżeli zaś chcemy jeszcze nadrobić dystans między nami, a tymi, którzy od paru lat już inwestują w cybersecurity, to oznacza to konieczność wydania jeszcze większych środków – kilka miliardów złotych w perspektywie 3- 5 lat. Z tego powodu ważne dla powodzenia projektu jest zaplanowanie w budżecie państwa środków na wydatki związane z cyberbezpieczeństwem. To bardzo ważne i mam nadzieję, że rząd zajmuje się tą kwestią. Ponadto podmioty, które zostały zobligowane do realizacji zadań związanych z cyberbezpieczeństwem powinny wiedzieć, jaką część swojego budżetu mają na to przeznaczyć. Dlatego niektóre instytucje będą musiały poważnie przemyśleć kwestię finansowania cyberbezpieczeństwa. – mówi Artur Józefiak, ekspert od cybersecurity z firmy Accenture.
Jednym z wariantów rozważanych przy finansowaniu strategii jest partnerstwo publiczno-prywatne. Jeśli stworzylibyśmy narodowy system cyberbezpieczeństwa, to wiele podmiotów prywatnych, takich jak operatorzy infrastruktury krytycznej, będą same skłonne ponosić określony wkład finansowy czy technologiczny, żeby stworzyć ten system
- Jeżeli chcielibyśmy spojrzeć na całościowe, kompleksowe wydatki na cyberbezpieczeństwo RP, to mówimy co najmniej o kwotach rzędu setek milionów złotych w perspektywie 2-3 letniej. Każdy z programów proponowanych w strategii cyberbezpieczeństwa powinien być odpowiednio zabudżetowany. Musimy rozpatrywać dwa aspekty: ile administracja rządowa będzie chciała wyłożyć na cyberbezpieczeństwo, oraz ile wyłoży sektor prywatny? Nie słyszałem żadnych twardych kwot przeznaczonych na ten program. Nie pojawiły się żadne propozycje budżetowe i ciężko oczekiwać, żeby coś się zmieniło jeszcze w tym roku. Powinniśmy już zacząć rozmawiać o budżecie na lata 2017 -2019. Trzyletnia perspektywa to odpowiedni okres dla tak szybko zmieniającej się branży, jak cyberbezpieczeńśtwo. Zacznijmy jednak już rozmawiać o konkretnych kwotach. Dobra strategia musi to uwzględniać. Sam biznes nie zapewni nam cyberbezpieczeństwa, jeżeli państwo nie dołoży na to pieniędzy. Inne myślenie to mrzonki - dodaje Mirosław Maj, prezes fundacji Bezpieczna Cyberprzestrzeń.
Na razie brakuje jednak informacji, jakie kwoty zamierza zapisać w budżecie rząd.
- W administracji działa to w ten sposób, że najpierw zaakceptowana musi zostać strategia, a w ślad za nią będą podążać pieniądze. Jeśli państwo polskie uzna, że sprawa bezpieczeństwa w cyberprzestrzeni jest na tyle istotna, że warto na nią wydać określone pieniądze, to na pewno te pieniądze się znajdą – przekonywał gen. bryg. Włodzimierz Nowak, pełnomocnik ministra cyfryzacji ds. cyberbezpieczeństwa w rozmowie z naszym portalem w maju.
O jakich więc mówimy kwotach?
- Nie szacowaliśmy jeszcze tego. Myślę, że pod koniec czerwca będziemy znali pierwsze szacunki. Trzeba podzielić zadania na dwa obszary. Jeden obszar będzie finansowany przez rząd, a drugi przez sektory, które wchodzą w skład systemu cyberbezpieczeństwa, takie jak energetyka, transport, finanse – dodaje gen. Nowak.
Wynika z tego, że pierwsze informacje dotyczące wydatków powinniśmy poznać w ciągu najbliższych dni.
Budżet państwa - niestety
Skąd więc ministerstwo cyfryzacji weźmie te pieniądze?
No, niestety odpowiedź brzmi – z budżetu państwa - tłumaczył w wywiadzie dla naszego portalu Piotr Januszewicz, zastępca dyrektora departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji. - Nie da się tego inaczej zrobić, choć nie jest to cała prawda. Jednym z wariantów rozważanych przy finansowaniu strategii jest partnerstwo publiczno-prywatne. Jeśli stworzylibyśmy narodowy system cyberbezpieczeństwa, to wiele podmiotów prywatnych, takich jak operatorzy infrastruktury krytycznej, będą same skłonne ponosić określony wkład finansowy czy technologiczny, żeby stworzyć ten system. To będzie dla nich wartość dodana w postaci wymiany pomiędzy różnymi podmiotami informacji o zagrożeniach i sposobach zapobiegania lub likwidowania ich. Dzięki temu instytucje będą miały zmniejszone ryzyko zmaterializowania się zagrożenia u nich, będą też dysponowały systemem wczesnego ostrzegania. Temu ma służyć narodowe centrum cyberbezpieczeństwa. Koszty będą pokrywane z budżetów instytucji, które będą partycypowały w centrum – dodał Januszewicz.
Rządzący liczą na duże wsparcie ze strony biznesu. Podczas forum Cybergov.pl dyrektor Januszewicz wprost wyjaśniał – Przedsiębiorcy są zmuszeni do zastosowania się do dyrektywy NIS. Jak wiadomo najlepszym batem dla przedsiębiorców są straty. Najważniejsze to przełamać bariery udawania, że jest dobrze. Ważne jest zaufanie. Biznes musi zrozumieć, że jedziemy na jednym wózku. To nie jest dobra droga, żeby każdy na własną rękę budował sobie system cyberbezpieczeństwa. Żadne z przedsiębiorstw nie dysponuje samo możliwością reagowania na każdą formę cyberataku – tłumaczył Januszewicz.
Biznes zapłaci chętnie?
Licząc jednak na głębokie kieszenie biznesu, rządzący mogą się poważnie przeliczyć.
- Nie jestem przekonany, że biznes tak chętnie i z własnej woli wyłoży pieniądze na cyberbezpieczeństwo. Sektor prywatny trzeba przekonywać w sposób mądry – a nie tylko zasadą narzucania nowych obowiązków. Nie da się zbudować systemu cyberbezpieczeństwa, jeśli nie będzie współpracy między rządem a biznesem. Na świecie mówi się o zachętach dla biznesu, np. ulgach podatkowych. Szefowie firm muszą zrozumieć, że im się to po prostu opłaca. Oczywiście inaczej sprawa wygląda z operatorami infrastruktury krytycznej – dodaje Mirosław Maj.
Rozmawiając o cyberbezpieczeństwie Polski, cały czas mówi się o systemie nadzorowanym przez Ministerstwo Cyfryzacji. Jaka jest w tym rola sektora wojskowego? Dziś pozostaje to niejasne, a szczegóły dotyczące współpracy między resortem Cyfryzacji a MON owiane są mgłą tajemnicy. Można wręcz powiedzieć, że sygnałów o takiej współpracy po prostu nie ma.
Cyberbezpieczeństwo to dziedzina, na której jako państwo możemy zacząć zarabiać. Brytyjczycy poszli tym tropem i rozwinęli kawałek gospodarki w oparciu o to, co firmy wypracowały w dziedzinie cyberbezpieczeństwa. Dokładnie to samo można zrobić w Polsce.
- Pełny, kompleksowy system cyberbezpieczeństwa państwa to oczywiście ogromne wydatki sektora wojskowego. Warto jednak zwrócić uwagę, że nawet, jeśli mówimy o kwotach przechodzącym w miliardy złotych, to przy budżecie MON to i tak niewielki wydatek. Przy finansowaniu na poziomie 2 proc. budżetu MON bylibyśmy w stanie dołączyć do liderów w tej dziedzinie, jeżeli chodzi o zdolności obronne – przekonuje Mirosław Maj.
Co ważne, pieniądze na cyberbezpieczeństwo nie muszą być tylko wydatkiem dla skarbu państwa.
- Cyberbezpieczeństwo to dziedzina, na której jako państwo możemy zacząć zarabiać. Brytyjczycy poszli tym tropem i rozwinęli kawałek gospodarki w oparciu o to, co firmy wypracowały w dziedzinie cyberbezpieczeństwa. Dokładnie to samo można zrobić w Polsce. Musimy zainwestować w polskie start- upy i zacząć na tym zarabiać. Tu również istotny jest udział administracji rządowej – dodaje Mirosław Maj.
Prawdopodobnie przed szczytem NATO zacznie funkcjonować CERT Narodowy. Z kolei przed Światowymi Dniami Młodzieży ma pojawić się strategia cyberbezpieczeństwa. Wtedy szczegóły dotyczące wydatków powinny być już znane. Ciężko sobie wyobrazić, by taki dokument powstał w oderwaniu od kosztów niezbędnych do jego wdrożenia.
Czytaj też: Resort cyfryzacji: ustawa o cyberbezpieczeństwie do końca roku