Potrzeba aktywnej obrony w przypadku zmasowanego ataku na polskie systemy teleinformatyczne i powiązanie tego rodzaju działania z doktryną bezpieczeństwa narodowego to w ocenie Ministerstwa Cyfryzacji jeden z 29 szczególnie zasługujących na uwagę postulatów, które zostały zgłoszone podczas zakończonych niedawno społecznych konsultacji założeń strategii cyberbezpieczeństwa dla RP.
Konsultacje „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” zostały ogłoszone na stronie internetowej Ministerstwa Cyfryzacji 23 lutego 2016 r. i miały trwać do 8 marca 2016 r. W rzeczywistości uwagi wpływały po terminie. Ostatnie stanowisko trafiło do resortu cyfryzacji 29 marca 2016 r.
Z informacji podanej do wiadomości publicznej przez Ministerstwo Cyfryzacji możemy się dowiedzieć, że w trakcie konsultacji wpłynęło w sumie 78 uwag. Były one zgłaszane na wiele sposobów. Jedne stanowiły dość obszerne opracowania na temat cyberbezpieczeństwa z uwagami w tle, inne przedstawiały uwagi w postaci recenzji w trybie zmian i komentarzy w tekście dokumentu. Kolejny sposób zgłaszania, to zwięzłe uwagi w punktach. Jak podkreśla Ministerstwo Cyfryzacji, trudno precyzyjnie określić ile uwag wpłynęło od osób prywatnych, ile od podmiotów gospodarczych, a ile od podmiotów publicznych. Trudność - czytamy w komunikacie resortu cyfryzacji - polega na tym, że niektóre osoby występowały w niejasnej roli i niełatwo ocenić czy występowały one prywatnie, czy w imieniu organu podmiotu (prawa handlowego bądź innego - przyp. red.).
Twórcy rządowego projektu odnotowali, że "w zdecydowanej większości zgłoszonych uwag bardzo pozytywnie odebrany został sam fakt publicznej prezentacji dokumentu prezentującego strategiczną wizję organizacji cyberbezpieczeństwa w Polsce. Należy przy tym zauważyć, że część autorów uwag odebrała opiniowany dokument jako właściwą strategię, a nie jako założenia do niej, co powodowało, że niektóre uwagi okazały się nieadekwatne. Wielu autorów wskazywało na eklektyczność dokumentu, występujące w nim powtórzenia i niekonsekwencje, a nawet sprzeczności".
W dalszej części komunikatu odnotowano, że "wiele z uwag powtarzało się w opiniach różnych autorów i te w szczególności wymagają starannego rozpatrzenia podczas pisania właściwej strategii".
Do tego rodzaju uwag zaliczono w szczególności następujące opinie:
- Strategia powinna wyraźnie określić cele jakie zamierza się osiągnąć poprzez jej wdrożenie, powiązania z innymi strategiami, w tym z tymi tworzonymi na podstawie ustawy o zasadach prowadzenia polityki rozwoju oraz określić czas w jakim strategia ma obowiązywać.
- Dokument strategii powinien być zwięzły, a co za tym idzie krótszy niż dokument założeń.
- Diagnoza stanu cyberbezpieczeństwa powinna być wsparta statystykami krajowymi.
- Wymagane jest opracowanie obowiązującej taksonomii w zakresie cyberbezpieczeństwa oraz używanie ugruntowanej terminologii w innych zakresach (np. z zakresu administracji publicznej).
- Strategia powinna dystansować się od rozwiązań technologicznych.
- Struktura systemu zarządzania cyberbezpieczeństwem powinna być prosta, a powiązania informacyjne pomiędzy elementami tej struktury jednoznacznie zdefiniowane.
- Przedstawionym założeniom zarzucane było podejście reaktywne i przez to skupienie się na postępowaniu z już zaistniałymi incydentami, podczas gdy należałoby położyć większy nacisk na działania profilaktyczne, szkolenia i edukację.
- Wyrażano wielokrotnie zaniepokojenie, czy postulowane w założeniach monitorowanie punktów wymiany ruchu internetowego nie naruszy prawa do prywatności i nie stanie się narzędziem pozyskiwania informacji przez organy ścigania.
- Wyrażano poparcie dla idei stosowania certyfikowanego sprzętu i oprogramowania w systemach teleinformatycznych w podmiotów publicznych (bezpieczny łańcuch dostaw), z jednocześnie zgłaszaną możliwością kolizji prawnej z prawem zamówień publicznych.
- Postulowano oparcie rozwiązań technicznych i organizacyjnych na uznanych standardach i normach.
- Postulowano zwrócenie większej uwagi na problematykę indywidualnego użytkownika cyberprzestrzeni.
- Zwracano uwagę na konieczność położenia w strategii większego nacisku na problematykę współpracy międzynarodowej, ze szczególnym uwzględnieniem współdziałania w ramach UE i NATO.
- Podkreślano konieczność zwrócenia większej uwagi na problematykę systemów sterowania w przemyśle, ze szczególnym uwzględnieniem systemów teleinformatycznych w obiektach infrastruktury krytycznej państwa..
- Wskazywano, że strategia powinna wskazać źródła finansowania cyberbezpieczeństwa.
- Pozytywnie odebrane zostało podejście do zaangażowania środowisk naukowo – badawczych i akademickich w problematykę cyberbezpieczeństwa.
- Wskazywano, że należy rozdzielić kwestie strategii od kwestii planu działań na rzecz wdrażania strategii.
- Wskazywano na konieczność podkreślenia roli partnerstwa prywatno–publicznego w zapewnieniu cyberbezpieczeństwa.
- Wskazywano na potrzebę aktywnej obrony w przypadku zmasowanego ataku na polskie systemy teleinformatyczne i powiązanie tego rodzaju działania z doktryną bezpieczeństwa narodowego.
- Postulowano potrzebę uwzględnienia w strategii roli organizacji pozarządowych.
- Pojawiły się dwubiegunowe opinie w zakresie struktury zarządzania bezpieczeństwem postulujące:
- centralizację zarządzania bezpieczeństwem,
- decentralizację zarządzania bezpieczeństwem.
- Postulowano konieczność uwzględnienia w systemie zarządzania cyberbezpieczeństwem roli służb w strukturach MON.
- Zwracano uwagę na konieczność dokonania licznych zmian w obowiązujących aktach prawnych i stworzenie nowych.
- Podkreślano rolę zarządzania ryzykiem w procesie zapewnienia cyberbezpieczeństwa.
- Zwracano uwagę na konieczność powiązania problematyki cyberbezpieczeństwa z zarządzaniem kryzysowym.
- Postulowano konieczność precyzyjnego określenia ról w systemie zapewnienia cyberbezpieczeństwa.
- Wskazywano, że strategia powinna wskazywać na mierniki i określać ich wartości: bazową i docelową.
- Zwracano uwagę na konieczność powiązania planowanej strategii z narodową strategią bezpieczeństwa sieci i systemów informatycznych, która będzie wymagana dyrektywą NIS.
- Zwracano uwagę na potrzebę uwzględnienia problematyki bezpieczeństwa przetwarzania w chmurze.
- Wskazywano na konieczność uwzględnienia już istniejących rozwiązań sektorowych, w tym występujących w tym zakresie przepisów.