Polityka i prawo
Krajowe Ramy Polityki Cyberbezpieczeństwa RP 2017-2022 (XXIII Forum Teleinformatyki)
28 września w Miedzeszynie na XXIII Forum Teleinformatyki „Infrastruktura informacyjna państwa – usługi, komunikacja, bezpieczeństwo” wystąpił Krzysztof Politowski z Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Przedstawił on Krajowe Ramy Polityki Cyberbezpieczeństwa RP na lata 2017-2022.
KRPC wywodzą się z Uchwały nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa RP na lata 2017-2022. Jak mówił Politowski dokument „stanowi pewną deklarację polityczną na poziomie strategicznym odnośnie działań podejmowanych dla realizacji celów”.
Celem głównym jest „zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz cyfrowych”. Nawiązuje on do regulacji UE. Cele szczegółowe Wśród celów szczegółowych KRPC wymienia się:
1. Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów,
2. Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom,
3. Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni,
4. Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa.
Plan działań na rzecz wdrożenia KRPC to dokument planistyczny. Określa on ramowe obszary interwencji organów administracji rządowej do 2022 roku, zawiera wykaz zdań służących osiągnięciu celów KRPC oraz działań w odniesieniu do zidentyfikowanych zadań. Jak powiedział Politowski „planowane działania są zamknięte w 95%. Podstawową trudnością są kwestie finansowe”. Jak dodał plan będzie mógł być uzupełniany w interwałach 6 miesięcy i aktualizowany co 2 lata. Będzie możliwość znaczącej przebudowy planu. Jest to związane m.in. z sytuacją na Ukrainie, gdzie od 2013 r. mówimy o wojnie hybrydowej. Wymusiło to radykalną modyfikację podejścia do kwestii bezpieczeństwa. Ponadto określone zadania to nie tylko obszar Ministerstwa Cyfryzacji, ale i szereg innych resortów. Wśród nich znalazły się działania o charakterze legislacyjnym, organizacyjnym oraz technologicznym, a także okres czasu, koszty i efekty.
Wśród wybranych działań Planu KRPC jest ustawa o krajowym systemie cyberbezpieczeństwa. Celem tego jest opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS (tj. Network and Information Systems Directive, dyrektywy Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r.) oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego funkcjonowania państwa.
Wśród kolejnych przedsięwzięć ma być zbudowanie systemu bieżącego zarządzania bezpieczeństwem cyberprzestrzeni. Celem jest objęcie monitorowaniem i korelacją zdarzeń kluczowych usług informatycznych zapewniających bezpieczeństwo funkcjonowania państwa, obywateli i podmiotów gospodarczych, w tym dostarczanie rozwiązań, które umożliwią dostęp do informacji o stanie bezpieczeństwa teleinformatycznego, niezbędnego do oceny sytuacji i stanu bezpieczeństwa w cyberprzestrzeni w Polsce oraz koordynacji reagowania na incydenty komputerowe na poziomie krajowym. Jak dodał Politowski chodzi m.in. o możliwość precyzyjnego raportowania dla instytucji państwowych i oznaczania poziomu zagrożeń na mapie kraju.
Dalej wyróżnić można także utworzenie Rządowego Klastra Bezpieczeństwa, czyli zbudowanie bezpiecznej infrastruktury dla systemów teleinformatycznych państwa składającej się z CPD (Centra Przetwarzania Danych) i rozległej sieci komputerowej umożliwiającej bezpieczne łączenie się podmiotów rządowych pomiędzy sobą, z Internetem oraz świadczenie eUsług dla obywateli i przedsiębiorców. Jak poinformował Politowski planowana jest budowa 3 węzłów – 1 centralny oraz i 2-3 dodatkowych, położonych w znacznej odległości od siebie, co podnosiłoby poziom bezpieczeństwa na wypadek krytycznych sytuacji. Jedno z takich centrów miałoby być w stanie odtworzyć byt państwowy. Brano pod uwagę doświadczenia historyczne z prowadzenia konfliktów zbrojnych w historii Polski. Zwraca się też uwagę, iż zasoby w postaci informacji na informatycznych nośnikach danych są coraz większe.
Każdy z węzłów będzie się składał z dwóch ośrodków działających on-line w modelu Active/Active, działających równolegle. Taki tandem ma mieć dużą odporność jeżeli będzie działał co najmniej jeden. Replikacja danych pomiędzy dodatkowymi węzłami będzie odbywała się off-line. To nie ma być system zimnej rezerwy bez oddawania mocy obliczeniowej na potrzeby krajowe.
Jak zapewnił Politowski takich działań jest łącznie około 100. Obecnie Ministerstwo Sprawiedliwości także proceduje zmiany prawne, mające wspomóc ściganie działań związanych z cyberprzestępczością.