Januszewicz: Wiemy dobrze, jak zrobić rządowy klaster cyberbezpieczeństwa

Jaki jest cel powstania rządowego klastra bezpieczeństwa?

Rządowy klaster będzie fragmentem budowy klastrów bezpieczeństwa w różnych sektorach. Od niego chcemy zacząć, ponieważ serwisy i usługi rządowe są najbardziej narażone na ataki. Tam znajduje się najwięcej zasobów, informacji o obywatelach, informacji wrażliwych dla państwa. Mamy nadzieję, że budowę tego klastra uda się zacząć jeszcze w tym roku. Zobaczymy, na ile zdołamy to zrealizować przed Światowymi Dniami Młodzieży i szczytem NATO. Proszę pamiętać, że departament cyberbezpieczeństwa w ministerstwie cyfryzacji istnieje raptem od kilku miesięcy. Żeby cokolwiek można było zbudować zgodnie z zasadami finansowania i budżetowania państwa, trzeba przynajmniej rok wcześniej zaplanować na to środki. Wiadomo, że ta inwestycja nie powstanie za darmo. Możliwości zbudowania tego klastra zależą od uzyskania środków finansowych i to jest głównym ograniczeniem przy jego powstaniu. Na pewno nie jest nim brak wiedzy czy koncepcji budowy takiego klastra. Wiemy dobrze, jak to zrobić. Czekamy na finansowanie.

Do czego to przedsięwzięcie ma służyć?

Idea jest taka, by zrobić dwustopniowy system, w którym cała administracja rządowa będzie miała tylko kilka bram wyjściowych do internetu. Te bramy będą bardzo dobrze chronione przez systemy detekcyjne złośliwego oprogramowania. Środek będzie jeszcze dodatkowo chroniony wewnętrznym systemem. Zdecydowanie łatwiej jest się bronićwtedy, kiedy zewnętrzne środowisko mamy już przefiltrowane, a zajmujemy się tylko tym, co może zmaterializować się w środku. Teraz każde ministerstwo, każdy urząd ma własne połączenie z internetem, buduje własny system ochronny. To jest przede wszystkim nieefektywne finansowo. Lepiej zbudować kilka wyjść i zainwestować duże pieniądze, żeby można było porządnie je chronić, niż budować systemy ochronne w kilkudziesięciu miejscach, wydając na to o wiele większe pieniądze i chroniąc każde z tych środowisk osobno.

W jakim miejscu są prace nad krajowym systemem wczesnego ostrzegania przed cyberzagrożeniami?

Jesteśmy na etapie rozmów z operatorami. Zobaczymy wkrótce, jakie będą problemy techniczne przy realizacji tego projektu. Chcemy bardzo jasno podkreślić: celem systemu wczesnego ostrzegania nie jest jakakolwiek inwigilacja. Nikt nie zaimplementuje tam urządzeń, które będą zdolne do sprawdzania treści i formatu przesyłanych danych. Byłoby to bardzo ciężkie w realizacji i potwornie kosztowne przedsięwzięcie, które nie jest naszym celem. Naszym celem jest za to sprawdzenie informacji wchodzących do naszego państwa na punktach wejścia. Jeżeli odpowiednio wcześnie zidentyfikujemy tam wektory ataku, będziemy mogli na nie oddziaływać. Na wejściach do krajowych sieci mają stać urządzenia, które będą wykrywały próby ataku na nasze państwo. Chodzi o to, by nie dopuszczać zainfekowanego oprogramowania do wewnętrznych krajowych sieci, mieć możliwość potencjalnego zablokowania tego ruchu na granicy. Dokładnie tak samo straż graniczna kontroluje wszystkich, którzy wjeżdżają do kraju. Dzięki temu mamy mniejszy problem w środku.

Kiedy system będzie gotowy?

Trudno mówić o terminach, dlatego że wciąż trwają rozmowy i negocjacje, a także szacowanie skutków finansowych.

Finansowanie strategii cyberbezpieczeństwa to spora niewiadoma. Skąd wziąć pieniądze na tak duże przedsięwzięcie?

No, niestety odpowiedź brzmi – z budżetu państwa. Nie da się tego inaczej zrobić, choć nie jest to cała prawda. Jednym z wariantów rozważanych przy finansowaniu strategii jest partnerstwo publiczno-prywatne. Jeśli stworzylibyśmy narodowy system cyberbezpieczeństwa, to wiele podmiotów prywatnych, takich jak operatorzy infrastruktury krytycznej, będą same skłonne ponosić określony wkład finansowy czy technologiczny, żeby stworzyć ten system. To będzie dla nich wartość dodana w postaci wymiany pomiędzy różnymi podmiotami informacji o zagrożeniach i sposobach zapobiegania lub likwidowania ich. Dzięki temu instytucje będą miały zmniejszone ryzyko zmaterializowania się zagrożenia u nich, będą też dysponowały systemem wczesnego ostrzegania. Temu ma służyć narodowe centrum cyberbezpieczeństwa. Koszty będąpokrywane z budżetów instytucji, które będą partycypowały w  centrum

Kolejny pomysł ministerstwa cyfryzacji to wojewódzkie centra cyberbezpieczeństwa. W którym miejscu jest przygotowanie tego projektu?

W tym wypadku jesteśmy na etapie inwentaryzacji wojewódzkich zasobów. Tutaj problem jest większy, bo mówimy o administracji terenowej. Musimy przygotowaćporozumienia, bo przecież samorządów nikt nie może do niczego zmusić. Wydaje nam się, że z punktu widzenia ekonomicznego  konsolidacja i świadczenie usług przez wojewódzkie centra jest mniejszym obciążeniem finansowym  niż prowadzenie osobnych działań gminy w kwestii cyberbezpieczeństwa. Samorządy muszą się jednak na to zgodzić.

Kiedy wojewódzkie centra będą gotowe?

Trudno tu mówić o terminach. Mamy nadzieję, że w drugiej połowie roku będziemy przystępować do architektury technicznej. Wtedy rozpoczniemy rozmowy ze wszystkimi stronami zainteresowanymi budową wojewódzkich centrów.

Swój pomysł na cyberbezpieczeństwa ma ministerstwo rozwoju. Tak zwany plan Morawieckiego zakłada powstanie Cyberparku Enigma. Czy prace dwóch ministerstw są ze sobą w jakikolwiek sposób skoordynowane?

W planie Morawickiego Ministerstwo Cyfryzacji odgrywa ważną rolę. Pracujemy nad szczegółami tej współpracy.

Jaką rolę w stategii cyberbezpieczeństwa będzie odgrywać narodowe centrum cyberbezpieczeństwa?

Narodowe centrum będzie się składało m.in. z części operacyjnej – security operations center. Będą tam trafiały sygnały z różnych podmiotów. Te informacje będą dystrybuowane do instytucji, które wejdą w skład centrum. Wymiana informacji pomiędzy podmiotami umożliwi im szybkie reagowanie na zaistniałe sytuacje. Myślimy też o tym, żeby nawiązać bezpośrednią współpracę z policją. W momencie, gdy dojdzie do materializacji zagrożenia, będziemy mogli dokonać szybkiego zgłoszenia do organów ścigania, prokuratura przyjmie zgłoszenie, a sąd jak najszybciej wyda odpowiedni nakaz. Musimy spiąć w tym wielkim organizmie wiele organizacji, które umożliwią nam stworzenie struktury szybkiego reagowania na zagrożenia. Oczywiście wszystko musi przebiegać zgodnie z prawem. Chodzi nam o budowę ekosystemu cyberbezpieczeństwa.

Ostatni audyt NIK pokazuje poważne zaniedbania w kwestii bezpieczeństwa systemów informatycznych państwowych instytucji. Kontrola dotyczy okresu poprzednich rządów. Od przejęcia władzy przez PiS minęło już sześć miesięcy. Co zrobiło ministerstwo cyfryzacji, by poprawić sytuację opisaną w raporcie?

Myślę, że gdyby dziś NIK powtórzył swoją kontrolę, to byłoby zdecydowanie lepiej. Oczywiście nie ma jeszcze materialnych skutków naszych działań. Trudno się spodziewać radykalnych zmian w ciągu kilku miesięcy. Najważniejszy moment to przełom roku - czas planowania budżetowego. Wtedy pokażemy, jakie mamy plany na 2017 rok, co dokładnie chcemy zrobić i ile to będzie kosztowało. Myślę, że do końca tego roku będzie już dobrze widać, co zrobiliśmy i dokąd zmierzamy.

 Czytaj też: Prof. Szpyra: Polska musi rozwinąć potencjał ofensywny w cyberprzestrzeni