Strona główna
Ocena zapisów Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej 2020_dr Dominika Dziwisz
Wskazanie jedynie na Rosję jako źródło cyberzagrożeń może zamglić/zakłócić szersze postrzeganie problemów cyberbezpieczeństwa. Trzeba pamiętać o tym, że strategie bezpieczeństwa są dokumentami przyjmowanymi na kilka lat, a cyberprzestrzeń jest środowiskiem w najmniejszym stopniu przewidywalnym - stwierdziła dr. Dominika Dziwisz z Uniwersytetu Jagiellońskiego w ramach oceny Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej 2020.
12 maja 2020 prezydent Andrzej Duda zatwierdził tekst nowej Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej 2020. Wydaje się, że ważnym elementem tego dokumentu jest cyberbezpieczeństwo i bezpieczeństwo informacyjne. Jak wskazują zapisy dokumentu, dostrzeżono ich strategiczne znaczenie dla bezpieczeństwa państwa.
CyberDefence24.pl skierował prośbę do wybranych ekspertów z prośbą o dokonanie oceny zapisów nowej strategii pod względem zawartych w niej zapisów odnośnie cyberbezpieczeństwa. skierowaliśmy trzy pytania odnoszące się do interpretacji zagrożeń, ocenę wskazania Rosji jako jedynego kierunku zagrożeń dla obszaru informacyjnego oraz jakie są kluczowe zagrożenia, które pominięto w dokumencie.
Zestawienie opinii wszystkich ekspertów zawarte zostało w ramach analizy: "(Cyber)bezpieczna Polska. Strategia Bezpieczeństwa Narodowego okiem ekspertów"
Poniżej dostępna jest pełna treść oceny dr. Dominiki Dziwisz, ekspertki z Uniwersytetu Jagiellońskiego.
Jaka jest Pani opinia na temat zapisów strategii w kontekście zagrożeń w obszarze informacyjnym? Czy dokument interpretuje zagrożenia w obszarze informacyjnym we właściwy sposób?
Cyberbezpieczeństwo oraz bezpieczeństwo informacyjne zostały wyodrębnione w Strategii jako dwa oddzielne cele pierwszego filaru. To słuszne rozwiązanie, bo dzięki temu te obszary działania, obok zarządzania bezpieczeństwem narodowym i podniesienia odporności państwa na zagrożenia, potraktowano priorytetowo. Jest to sygnałem, że SBN stara się nadążyć za zmianami i współczesnymi wyzwaniami bezpieczeństwa, a także akcentuje potrzebę rozwoju zdolności w tym zakresie. W Strategii podkreślono znaczenie przestrzeni informacyjnej dla bezpieczeństwa Polski, wskazując na cztery rekomendowane kierunki działań w tym obszarze, a jednocześnie na konieczność: stworzenia jednolitego systemu komunikacji strategicznej państwa, aktywnego przeciwdziałania dezinformacji, a także edukacji w zakresie bezpieczeństwa informacyjnego. Warto dodać, że w Strategii zaznaczono potrzebę promowania nauk ścisłych w celu zwiększenia kompetencji technologicznych koniecznych do zapewnienia bezpieczeństwa państwa i obywateli.
Ostatecznie, można odnieść wrażenie, że zapisy dotyczące bezpieczeństwa informacyjnego zostały potraktowane w Strategii poprawnie, ale w sposób standardowy, przewidywalny i nieco lakoniczny. Niestety, w przeciwieństwie do Strategii z 2014 r. brakuje zapisu o konieczności zbalansowania stosowania środków służących zachowaniu bezpieczeństwa państwa i wolności osobistej obywateli oraz ochrony praw jednostki, w tym przede wszystkim prawa do prywatności. W czasach powszechnej, elektronicznej inwigilacji powinno to być standardem.
Czy w Pani opinii bezpośrednie wskazanie jedynie na Rosję jako na jedyny kierunek zagrożeń dla obszaru informacyjnego jest właściwym rozwiązaniem?
Strategia Bezpieczeństwa Narodowego z 2014 r. była przez niektórych krytykowana m. in. za brak jednoznacznego określenia relacji z Rosją. Autorzy Strategii ograniczyli się do wprowadzenia subtelnego zapisu, że "W sąsiedztwie Polski istnieje ryzyko konfliktów o charakterze regionalnym i lokalnym, które mogą nas angażować pośrednio lub bezpośrednio". Dlatego dla zwolenników bardziej „ostrego” języka zapisy nowej Strategii z 2020 r. jednoznacznie wskazujące, kto jest naszym największym wrogiem, również w cyberprzestrzeni, są oczekiwanym i właściwym rozwiązaniem. Bez wątpienia, agresywna polityka rządu rosyjskiego, który wspiera działania hakerów w cyberprzestrzeni jest źródłem niepokoju po stronie państw Zachodu, a przede wszystkim państw sąsiadujących. Rosjanie są postrzegani jako główne źródło zagrożeń w państwach bałtyckich, co również znalazło odzwierciedlenie w ich dokumentach politycznych i wojskowych.
Ostre postawienie sprawy i wskazanie w dokumencie strategicznym na Rosję jako jedyny kierunek zagrożeń dla obszaru teleinformacyjnego będzie wymagało od rządzących zdecydowanych działań i przyjęcia szczegółowych rozwiązań, które będą musiały odpowiedzieć na cyberzagrożenia ze strony „wrogiego” państwa. Strategia zresztą zapowiada, że jej zapisy „winny znaleźć rozwinięcie i odzwierciedlenie w krajowych dokumentach strategicznych w dziedzinie bezpieczeństwa narodowego i rozwoju Polski”. Najbliższe miesiące pokażą jakie rozwiązania w tym zakresie zostaną podjęte. Ze względu na specyfikę cyberzagrożeń i małą przewidywalność działań posunięć przeciwnika, regulacje w dziedzinie cyberbezpieczeństwa muszą być odpowiednie do najbardziej aktualnych problemów i nieustannie dostosowywane do bieżących trendów w rozwoju Sieci. Niestety bywa tak, że świeżo opracowane dokumenty w krótkiej perspektywie czasu mogą okazać się przestarzałe i nieskuteczne.
Wskazanie jedynie na Rosję jako źródło cyberzagrożeń może zamglić/zakłócić szersze postrzeganie problemów cyberbezpieczeństwa. Trzeba pamiętać o tym, że strategie bezpieczeństwa są dokumentami przyjmowanymi na kilka lat, a cyberprzestrzeń jest środowiskiem w najmniejszym stopniu przewidywalnym. Za kilka miesięcy cyberprzestrzeń może bowiem wyglądać zupełnie inaczej niż teraz i z innymi typami niebezpieczeństw oraz z innymi wrogami będziemy musieli się mierzyć. Możliwe, że niedługo większe zagrożenie niż Rosjanie będą generować np. Chińczycy chcący osłabić NATO przez testowanie odpowiedzi państw członkowskich. Także państwa konkurujące gospodarczo z Zachodem, starające się osiągnąć przewagę poprzez wykradanie informacji albo osłabianie pozycji innych, będą wykorzystywać cyberprzestrzeń do przeprowadzania wrogich działań. I wreszcie, niekoniecznie atakującym musi okazać się konkretne państwo, ale na przykład organizacja terrorystyczna.
Zasadniczą zmianą z jaką musimy się aktualnie skonfrontować jest to, że większość cyberoperacji celowo pozostaje poniżej progu „zbrojnej agresji”, a cyberprzestrzeń jest obszarem nieustannej rywalizacji. W tej „nowej normalności” przeciwnicy rozszerzają swoje wpływy bez uciekania się do fizycznej agresji. Prowokują i zastraszają bez obawy o konsekwencje prawne lub wojskowe. Innymi słowy, w obecnym świecie konflikty terytorialne będą miały mniejsze znaczenie i w rezultacie konieczne będzie zerwanie z tradycyjnym myśleniem w kategoriach zimnowojennych i głębszy namysł nad cyberzagrożeniami, które niekiedy błędnie analizowane są w tych samych kategoriach, co zagrożenia konwencjonalne.
Przede wszystkim jednak trzeba pamiętać o tym, że fragmenty Strategii wskazujące na Rosję jako wroga mogą być czynnikiem zapalnym i tak napiętych relacji na linii Warszawa-Moskwa. W kontekście cyberbezpieczeństwa należy założyć, że na cyberatak nie zawsze trzeba odpowiadać cyberatakiem, a rosyjski arsenał możliwości odpowiedzi jest duży i niestety większy niż Polski. W związku z tym powinno się zastanowić czy warto ryzykować pogorszenie relacji z Rosją, aby skonfrontować się̨ w cyberprzestrzeni. Na szczęście zapisy Strategii zostają nieco złagodzone w dalszych jej częściach i dokument popiera dwutorową politykę NATO wobec Rosji, czyli z jednej strony zakłada odstraszanie i obronę, ale przy jednoczesnej gotowości do dialogu.
Jakich kluczowych zagrożeń w obszarze informacyjnym zabrakło w dokumencie?
Niestety Strategia prezentuje zagrożenia w obszarze informacyjnym nazbyt powierzchownie i nie poświęca im wiele miejsca. W różnych miejscach strategii można odnaleźć odwołania do zasadniczych zagrożeń, czyli dezinformacji i wrogiej propagandy (głównie ze strony Rosji), manipulacji informacją, ataków zakłócających funkcjonowanie sieci teleinformatycznych, w tym przede wszystkim sieci łączności stacjonarnej i mobilnej, które stanowią podstawę wymiany informacji. Natomiast słusznie zauważono, że bezpieczne funkcjonowanie państwa i obywateli w przestrzeni informacyjnej zależy od zbudowania zdolności do ochrony przestrzeni informacyjnej, którą należy rozumieć jako przenikające się środowisko wirtualne, fizyczne oraz poznawcze. Innymi słowy, bezpieczeństwo w obszarze informacyjnym powinno być rozumiane jako nierozerwalnie związane z cyberbezpieczeństwem.
Ograniczono się do wprowadzenia czterech działań dla zapewnienia bezpieczeństwa informacyjnego:
- budowy zdolności do ochrony przestrzeni informacyjnej, w tym systemowego zwalczania dezinformacji,
- stworzenia jednolitego systemu komunikacji strategicznej państwa,
- aktywnemu przeciwdziałaniu dezinformacji poprzez budowę zdolności i stworzenie procedur współpracy z mediami informacyjnymi oraz społecznościowymi,
- dążeniu do zwiększenia świadomości społecznej o zagrożeniach związanych z manipulacją informacją poprzez edukację w zakresie bezpieczeństwa informacyjnego.
Niestety, bardziej niż ewentualne braki w katalogu kluczowych zagrożeń niepokoi to, w jaki sposób rząd może zapobiegać już zdefiniowanym problemom w obszarze informacyjnym. Szczególnie dotyczy to działania drugiego, czyli budowy jednolitego systemu komunikacji i współpracy z mediami. Ostatnie miesiące, a szczególnie okres prezydenckiej kampanii wyborczej, budzą słuszne obawy, że jeśli powstanie instytucja ds. zwalczania dezinformacji kontrolująca media, to w praktyce może to oznaczać kneblowanie mediów i wprowadzenie cenzury zgodnej z „narodową” narracją. Próby powołania takiej instytucji były podejmowane już w przeszłości np. w postaci osobliwej Maszyny Bezpieczeństwa Narracyjnego pomysłu doradcy Prezydenta RP prof. Andrzeja Zybertowicza. MaBeNa miała być maszyną do budowania polskiej soft power, czyli kształtowania właściwego (zgodnego z wizją rządzących) obrazu Polski za granicą. Z założenia taka maszyna miałaby być w kontrze np. do działań rosyjskich trolli czy niezgodnych z wizją rozwoju Polski działań UE. Działania w ramach MaBeNy były szczególnie widoczne podczas skompromitowanej akcji informacyjnej Polskiej Fundacji Narodowej na temat reformy sądownictwa.
Odnośnie działania pierwszego, kompetencja w zakresie komunikacji strategicznej jest rozdzielona między komórki pracujące w obrębie różnych resortów, w tym przede wszystkim Ministerstwa Obrony Narodowej i Ministerstwa Spraw Zagranicznych. W konsekwencji brakuje jednostki odpowiedzialnej za koordynację działań z zakresu komunikacji strategicznej na poziomie ponadresortowym. Wskutek tego występują problemy przypisania odpowiedzialności i sprawnego działania.
Ważnym zapisem Strategii jest zwiększanie świadomości społecznej o zagrożeniach związanych z manipulacją informacją poprzez edukację w zakresie bezpieczeństwa informacyjnego. W domyśle dotyczy to szczególnie dzieci, młodzieży oraz osób, które zawodowo zajmują się analizą informacji. Realizacja tego założenia powinna m. in. sprowadzać się do zorganizowania rzetelnej kampanii informacyjnej na temat rozpowszechniania fałszywych informacji, promowania wiedzy na temat wiarygodnych źródeł informacji oraz edukacji o zagrożeniach informacyjnych od wczesnych etapów edukacji szkolnej, aby od najmłodszych lat budować kompetencje świadomego użytkownika mediów. Analogicznie do edukowania na temat zagrożeń w świecie fizycznym, powinno się zaakceptować konieczność wpajania podobnych zasad w świecie wirtualnym. Kryzys związany z pandemią COVID-19 szczególnie uwidocznił braki edukacyjne w tym zakresie. Powszechna panika uczyniła społeczeństwo bardziej podatnym na fake newsy. Stąd zapewnienie cyberbezpieczeństwa, budowa świadomości zagrożeń i ochrona przed dezinformacją stały się jeszcze bardziej kluczowe. Można uznać, że przyjęcie SBN jest krokiem wspierającym świadomość zagrożeń i cyberbezpieczeństwo obywateli. Jednak ostatecznie wszystko zależy od jakości realizacji zapisów strategii. Pierwszym krokiem w celu wykorzystania potencjału tego dokumentu będzie wprowadzenie odpowiednich aktów wykonawczych. Możliwe jednak, że zapisy Strategii pozostaną martwym prawem i nie doczekają się rozwinięcia.