Januszewicz o planie budowy architektury cyberbezpieczeństwa RP

Na konferencji „Inteligentne zarządzanie siecią i infrastrukturą IT” zorganizowanej przez Polski Instytut Rozwoju Biznesu, która odbyła się 11 kwietnia br., redakcja Cyberdefence24 miała okazję uczestniczyć w panelu „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej 2017-2020”. Piotr Januszewicz dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji wygłosił swoją prezentację na temat dalszych planów budowy systemu cyberbezpieczeństwa państwa.

Dyrektor Januszewicz, zaczął od wyjaśnienia, dlaczego na pierwszym etapie prac skupiono się nad opracowaniem strategii cyberbezpieczeństwa. Wyjaśnił, że dopiero posiadając podstawowe założenia można budować skutecznie system bezpieczeństwa sieciowego w kraju. Dopiero teraz po opublikowaniu dokumentu, ministerstwo może zacząć pracę nad ustawą, która pozwoli na stworzenie krajowego można przystąpić do dalszych prac.

Ustawa będzie w sposób precyzyjny regulowała wszystkie zadania i obszary jeżeli chodzi o usługi kluczowe i cyfrowe – powiedział Januszewicz. 

„Mając na uwadze, że odpowiedzialność za zapewnienie bezpieczeństwa usług leży przede wszystkim po stronie podmiotów je świadczących, rząd podejmie działania wspierające budowanie zdolności i kompetencji w zakresie cyberbezpieczeństwa wśród operatorów usług kluczowych, operatorów infrastruktury krytycznej oraz dostawców usług cyfrowych, uwzględniając ich różnorodną specyfikę i różny stopień dojrzałości w zakresie cyberbezpieczeństwa. Ponadto rząd będzie wspierał wszystkie te podmioty w reagowaniu na poważne incydenty, przede wszystkim w przypadku wystąpienia incydentów ponadsektorowych. W pierwszej kolejności zostanie zapewniona spójność działań w zakresie opracowywania kryteriów identyfikacji operatorów infrastruktury krytycznej i usług kluczowych, uwzględniająca potrzebę włączenia tych podmiotów do systemu zarządzania kryzysowego. Proces ten przebiegał będzie we współpracy ze wszystkimi sektorami. Następnie opracowane zostaną minimalne wymagania w zakresie bezpieczeństwa teleinformatycznego z uwzględnianiem zarządzania ciągłością działania. Osobnym reżimem objęci zostaną dostawcy usług cyfrowych. Rząd ma pełną świadomość międzynarodowej specyfiki tych podmiotów oraz konieczności zapewnienia takich regulacji, które będą sprzyjały rozwojowi rynku cyfrowego w Polsce.”

Budowanie systemu cyberbezpieczeństwa, dyrektor Januszewicz porównał do budowy mieszkania. W pierwszej fazie należy zacząć od pewnego planu lub architektury, na podstawie której będzie można dokonywać działań z zakresu Security by Design. Tak aby podczas projektowania systemów teleinformatycznych należy już myśleć w kategoriach bezpieczeństwa – podkreślił dyrektor Departamentu Cyberbezpieczeństwa

Problem polega na tym, jak podkreślał Januszewicz, że w pierwszej fazie zbyt mocno skupiamy się na usługach tak aby nasze rozwiązania dostarczały to co zaplanowaliśmy wcześniej. Jednak takie działania nie zapewniają bezpieczeństwa, co powoduje dobudowanie kolejnych elementów. Konsekwencjami takiego działania są narastające koszty.

Czytaj też: MSWiA chce zatrzymać odpływ specjalistów od IT

– Wszystko z powodu, że w fazie projektowania systemu, nikt nie pomyślał o tym, że system powinien być tak zbudowany, żeby w jego filozofii działania wykorzystywał elementy bezpieczeństwa – dodał Januszewicz.

Dyrektor zauważył, że podczas budowania nie może zabraknąć dobrych materiałów co w informatyce przekłada się na sprzęt i oprogramowanie. Ważne, aby ich pochodzenie i funkcjonalność była znana osobom odpowiedzialnym za budowanie systemy cyberbezpieczeństwa i żeby wobec nich nie było żadnych niedomówień. 

– Musimy myśleć o tym, żeby systemy był budowane z dobrych materiałów. Dobre materiały to sprawdzone oprogramowanie, urządzenia pod względem bezpieczeństwa. Oczywiście jest to warunek tylko wyjściowy, jest to podstawa do wyjścia. Najlepiej przebadane urządzenie, najlepiej przebadane oprogramowanie będzie miało podatności. Nigdy nie jesteśmy wstanie wyłapać wszystkich podatności – Piotr Januszewicz.

Ważnym elementem budowy systemów pozostaje także dobrze przygotowana kadra, w przypadku systemów IT chodzi o dobrze wyedukowanych i doświadczonych programistów, którzy podołają zadaniom. Jak podkreślił Januszewicz, potrzeba zmian w systemie edukacyjnym tak aby twórcy i użytkownicy rozwiązań potrafili w sposób bezpieczny korzystać z przekazanych im narzędzi.

Takie stanowisko przekłada się wprost na jedno z założeń „Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej 2017-2020” czyli „zwiększania potencjału narodowego i kompetencji w zakresie cyberbezpieczeństwa w cyberprzestrzeni”.