Reklama

Polityka i prawo

Fot. Mon.gov.pl

5G to ważny element bezpieczeństwa narodowego. Zakłócenia sieci mogą wpłynąć na działania Wojska Polskiego [WYWIAD]

„Nie było decyzji strategicznej, żeby stworzyć jeden centralny budżet na cyberbezpieczeństwo. Wydatki będą wynikały z zaplanowanych działań i mam też nadzieje, że w przypadku, kiedy będzie to wymagało jakiś korekt czy odpowiedniego zabezpieczenia środków w budżetach poszczególnych resortów, ministrami będzie kierować chęć zrealizowania tej strategii” mówi Karol Okoński, pełnomocnik rządu ds. cyberbezpieczeństwa i wiceminister cyfryzacji. Minister powiedział również o przyszłości bezpieczeństwa sieci 5G, problemach z system certyfikacji oraz o tym co trzeba poprawić w Ustawie o krajowym systemie cyberbezpieczeństwa.

Panie Ministrze, jakie były największe osiągnięcia Pana kadencji jako pełnomocnika rządu ds. cyberbezpieczeństwa i sekretarza stanu w Ministerstwie Cyfryzacji ?

Przez 3 i pół roku w Ministerstwie poza cyberbezpieczeństwem, opiekowałem się bardzo wieloma tematami, przede wszystkim rozwojem rejestrów państwowych, cyfrową tożsamością, wspólną infrastrukturą informatyczną, architekturą informatyczną i otwieranie danych publicznych nieosobowych. Natomiast jeśli chodzi o obszar cyberbezpieczeństwa, to przez ostatni rok – od czasu powołania na Pełnomocnika - koncentrowałem się na dwóch podstawowych kwestiach. Jedna z nich, czyli strategia cyberbezpieczeństwa, została już zakończona, a druga jest  obecnie w mocno zaawansowanej fazie. To analiza dotycząca bezpieczeństwa sieci 5G. 

W momencie, kiedy na mocy nowej ustawy o krajowym systemie cyberbezpieczeństwa obejmowałem funkcję pełnomocnika rządu ds. cyberbezpieczeństwa, z tej samej ustawy wynikało przygotowanie przez Polskę strategii cyberbezpieczeństwa do końca października bieżącego roku. Pod auspicjami ministra cyfryzacji nad nowym dokumentem pracowała grupa ekspertów z NASK, ABW, MON. Dokument zastąpił Krajowe Ramy Polityki Cyberbezpieczeństwa. Teraz mogę już używać nazwy pełnoprawnej strategii, bo wcześniej takiej możliwości nie było. Strategia wyznaczyła 5 głównych priorytetów, których realizacja pozwoli na osiągnięcie głównego celu, czyli podniesienie poziomu odporności systemów sektora publicznego, ale również innych sektorów.

Mówimy o podniesieniu poziomu odporności administracji. Jak to będzie mierzone? Czy opracowano już odpowiednią metodologię?

Sama strategia wyznacza cele i kierunki oraz obszary, w których zamierzamy działać. Precyzyjne zadanie zmierzenia takiego poziomu oraz ustalenia potrzebnego budżetu do realizacji zadań będą wyznaczone w Planie Działań, który jest w trakcie przygotowania. Zgodnie ze strategią, w ciągu pół roku od czasu jej przyjęcia, czyli w II kwartale 2020 roku, Plan Działań zostanie opublikowany. Będzie on również przeglądem poprzedniego Planu Działań, który został stworzony w oparciu o Krajowe Ramy Polityki Cyberbezpieczeństwa.

Strategia miała na celu wpisać Polskę w to co się dzieje w obszarze cyberbezpieczeństwa w Unii Europejskiej. Mam tu na myśli wkomponowanie naszych działań w te inicjatywy, które są podnoszone na poziomie UE. To np. akt ws. cyberbezpieczeństwa i nowy program certyfikacji, który ma szanse zaistnieć na paneuropejskim poziomie. W obszarze badań i rozwoju, zamierzamy się wpisać w sieć Centrum Kompetencji Cyberbezpieczeństwa czy Digital Innovation Hubs w obszarze sztucznej inteligencji. Strategia jest konsultowana lokalnie, ale jednocześnie zakotwiczona w tym, co się dzieje na arenie europejskiej. Oczywiście ocena skuteczność nastąpi w momencie, kiedy będziemy realizować Plan Działań. Wydaje mi się, że dokument wyznacza z jednej strony ambitne cele, ale jednocześnie jest realistyczny.

Jak Pan rozumie odpowiedni poziom cyberbezpieczeństwa?

Z perspektywy administracji państwowej, sama strategia zakłada przygotowanie standardów cyberbezpieczeństwa, m.in. w obszarze chmury obliczeniowej, które są obecnie w trakcie przygotowywania. Analogicznie planujemy je też dla systemów państwowych, jak również dla obszaru aplikacji mobilnych. Zakładamy odwoływanie się do pewnych standardów na poziomie międzynarodowym. Nie zamierzamy niczego tworzyć od zera. Amerykański NIST, europejska ENISA czy ETSI wyznaczają pewne wymagania, które chcemy spełnić w obszarze systemów krytycznych oraz przedstawić, jako normę do spełnienia zakładając, że każdy z gestorów systemu musi przeprowadzać analizę ryzyka, do której metodologię również opracowujemy. Niezależnie od tej oceny chcemy, żeby nie schodzili oni poniżej pewnego poziomu wymaganych zabezpieczeń, procedur i odpowiedniego personelu, który się tym zajmuje.

Mówimy o dwóch wymiarach. W pierwszej kolejności maksymalne zabezpieczenie systemu, aby przeciwdziałać powstaniu ewentualnych incydentów. Jeżeli jednak będzie miał on miejsce, musimy być w stanie maksymalnie szybko zareagować i podzielić się informacjami, tak aby pozostałe podmioty w danym sektorze czy państwie były w stanie na to zareagować. 

W kwestii tych standardów chodzi o to, żeby ich przygotowywanie było poprzedzone konsultacjami. Tak też będzie się działo w obszarze chmury obliczeniowej. Chcemy razem z innym podmiotami określić tzw. minimalne wymagania. Natomiast będziemy musieli znaleźć złoty środek.

Mamy przykład dyskusji z operatorami telekomunikacyjnymi, gdzie odwołujemy się do raportów ENISY. To co my uważamy za pewien standard, absolutne minimum, niektórzy chcieliby traktować, jako maksimum. Każde z tych zabezpieczeń jest związane z jakimiś środkami, w które trzeba zainwestować dodatkowe pieniądze. Jest też jasne, że nie możemy narzucić takich wymagań, które w znaczny sposób obciążą finansowo lub negatywnie wpłyną na działalność podmiotów komercyjnych i publicznych. Znalezienie odpowiedniej równowagi będzie wyzwaniem.

W polskich warunkach jednym z problemów jeśli chodzi o strategie jest to, że rzadko kiedy ich założenia faktyczna są wdrażane. Co zrobić, aby to zmienić? Jaki pomysł na resort, aby nie powtórzyć błędów, które były w przeszłości?

Główną rzeczą, na którą chcieliśmy zwrócić uwagę jest fakt, żeby właśnie z racji wcześniejszego zaangażowania wszystkich innych ministerstw i wkomponowania strategii w cele MON, spróbować zmienić punkt widzenia, że to nie jest strategia ministerstwa cyfryzacji tylko strategia rządu. Dzięki tym konsultacjom i zaangażowaniu, powołaliśmy zespół roboczy, który pracował nad strategią. Pełnomocnik rządu ds. cyberbezpieczeństwa ma mandat do tego, by oczekiwać aktywnego przygotowania Planu Działań, jak również jego wykonania przez wszystkie podmioty. Jest również element wsparcia w postaci Kolegium Cyberbezpieczeństwa, któremu przewodniczy premier. Moją intencją było, by przygotowywany Plan Działań był poddany konsultacjom na poziomie Kolegium ds. Cyberbezpieczeństwa, co będzie równoznaczne z zobowiązaniem się poszczególnych ministrów do realizacji obietnic składanych przed premierem, który w posiedzeniach Kolegium uczestniczy. Wyzwaniem oczywiście będą również środki. Dlatego też od samego początku mówiliśmy, że dla każdego zaplanowanego działania te oczekiwane środki będą musiały być odpowiednio sformułowane.

Jakie środki zostaną przeznaczone na realizację celów strategii? 

Nie było decyzji strategicznej, żeby stworzyć jeden centralny budżet na cyberbezpieczeństwo. Wydatki będą wynikały z zaplanowanych działań i mam też nadzieje, że w przypadku, kiedy będzie to wymagało jakiś korekt czy odpowiedniego zabezpieczenia środków w budżetach poszczególnych resortów, ministrami będzie kierować chęć zrealizowania tej strategii. Odpowiednio wysoko umocowanie jej na poziomie premiera pozwoli te środki w odpowiedniej wysokości zarezerwować.

Czyli będzie to zależało od tego jak każdy minister będzie ustalał priorytety odnośnie cyberbezpieczeństwa w danym ministerstwie?

Same zadania będą przygotowane przez osoby, które w danych ministerstwach odpowiadają za tematy cyberbezpieczeństwa. Zakładam, że Kolegium ds. Cyberbezpieczeństwa będzie ich sojusznikiem w pozyskiwaniu finansów na ten cel.

Panie Ministrze, wspomniał Pan o kolegium ds. cyberbezpieczeństwa. Ile posiedzeń tego organu miało miejsce podczas Pana kadencji?

Do tej pory było jedno posiedzenie kolegium. 

Z uczestnictwem premiera Morawieckiego?

Pan premier w nim nie uczestniczył. W ostatniej chwili musiał odwołać swój udział. Na pewno nie jest to instytucja nadwyrężana. Tematem poruszanym na Kolegium była strategia wobec 5G. Plan Działań do strategii cyberbezpieczeństwa jest jednym z tematów, które takie Kolegium powinno zaopiniować i usankcjonować.

Drugą najważniejszą rzeczą, którą się Pan zajmował była strategia 5G. Jak wygląda przygotowanie do wdrożenia tej nowej technologii?

Zajmowałem się przygotowaniem polskiego stanowiska do skoordynowanego podejścia europejskiego odnośnie 5G, w tym przeprowadzeniem konsultacji z operatorami a także z innymi krajami europejskimi. Nasze stanowisko zostało przekazane do Komisji Europejskiej w połowie bieżącego roku. Nasz dokument nie został upubliczniony, ale wiem, że nasz wkład został w dużym stopniu wykorzystany w dokumencie UE dotyczącym podejścia do 5G.

W konsekwencji naszego podejścia i stanu prawnego w Polsce, do którego musimy się odwoływać, mamy strategię „na dwa takty”. W pierwszej kolejności zajmujemy się rozporządzaniem wynikającym z prawa telekomunikacyjnego. To są artykuły 175d (przyp. red. „Minister właściwy do spraw informatyzacji może określić, w drodze rozporządzenia, minimalne środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom”) oraz 176a o ciągłości świadczenia usług i planów działań w sytuacji zagrożeń. W drugim kroku chcemy nowelizować też ustawę o KSC, czyli przygotować zmiany, które może wejdą do sygnalizowanej już specustawy 5G. Zakładamy, że zmiany w tym obszarze dadzą możliwości większego wpływu na to, którzy dostawcy uczestniczą w poszczególnych postępowaniach oraz jakiego sprzętu operatorzy używają w systemach należących do infrastruktury krytycznej. To jest element, który przy obecnym stanie prawnym nie jest możliwy, a my jako państwo chcemy mieć taką możliwość. 

Dlaczego państwa, Unia Europejska a nawet NATO zaczęły zajmować się bezpieczeństwem sieci 5G i traktować to jako element bezpieczeństwa narodowego? Przy sieciach poprzedniej generacji nie miało to miejsca. Co się takiego stało, że 5G jest obecnie postrzegane jako elementy polityki bezpieczeństwa państwa?

To jest bardzo ciekawe zagadnienie. W pewien sposób zostało to wykreowane w ramach dyplomatycznego sporu i negocjacji handlowych pomiędzy USA i Chinami. Natomiast faktem jest, że z racji swoich parametrów (szybkość transmisji, dużo mniejsze opóźnienia) oraz możliwości podłączenia ogromnej liczby urządzeń, skala praktycznego wykorzystania 5G rośnie. Oczywiście to nie jest perspektywa roku czy dwóch, ale raczej 5 czy 10 lat, jednak faktycznie coraz więcej rozwiązań krytycznych dla funkcjonowania państwa będzie zależna od tej infrastruktury. 

Pamiętajmy też, że wojsko w zastosowaniu komunikacji czy zarządzania np. pojazdami bezzałogowymi będzie w dużym stopniu wykorzystywać sieci 5G. Potencjalne zakłócenia w tej sieci, czy możliwość wpływania na jej ciągłość działania może być postrzegana jako element bezpieczeństwa narodowego. 

Czyli 5G jest wyzwaniem strategicznym dla państwa. Przestało to być tylko problemem operatorów telekomunikacyjnych? 

Tak, zdecydowanie. Po prostu skala wykorzystania 5G, a w dłuższej perspektywie również powiązane z rozwojem sieci 5G wykorzystanie innych nowoczesnych technologii, jak np. drony czy autonomiczne auta, może spowodować, że brak kontroli państwa i wprowadzenia odpowiednich standardów cyberbezpieczeństwa w tym obszarze, może narazić państwo na pewne konsekwencje czy potencjalne zagrożenia czy też ingerencje ze strony grup kryminalnych czy państw trzecich. Możemy sobie wyobrazić sytuację, że w czasie kryzysu międzynarodowego jedno państwo może użyć groźby zakłócenia infrastruktury w innym. Dlatego też jest to tak istotne.

Powiedział Pan, że 5G będzie wiązało się z ogromną liczbą podłączonych do Internetu przedmiotów, czyli jednocześnie również potencjalnych celów. Jak kontrolować taki sprzęt? Na poziomie UE mówi się o systemie certyfikacji - jak miałby on wyglądać w praktyce? 

Jest to proces bardzo trudny. Na poziomie koncepcyjnym co prawda, wydaje się to dosyć proste, że mamy ważne obszary i komponenty infrastruktury, które poddajemy certyfikacji. Natomiast efektywne i praktyczne zbudowanie systemu certyfikacji, który pozwoli faktycznie dać poczucie dużego bezpieczeństwa wymaga stworzenia profili bezpieczeństwa, względem których można by certyfikować sieć 5G. Musimy stworzyć system, który będzie uwzględniał też fakt, że komponenty sieci 5G bazują w dużej mierze na rozwiązaniach programistycznych.

Podlegają one, z racji swojej natury, ciągłej aktualizacji. Więc system certyfikacji musiałby zawierać takie rozwiązania, które byłyby w stanie upewnić się, że ten dany komponent, który podlega certyfikacji później w swoim cyklu życia faktycznie wciąż spełnia te wymagania i wraz z kolejnymi poprawkami przeszedłby ten sam test, który był wcześniej wykonany. Dotykamy kilku elementów sprawdzenia wiarygodności.

Naturalne rozwiązanie jest takie, że oprogramowanie po testowaniu, w ramach swoich „binariów”, ma generowany kod, który zapewnia integralność. Czyli każda zmiana w tym kodzie może być rozpoznana. Każdy nowy element oprogramowania powinien podlegać automatycznej kontroli, całkowitej bądź wyrywkowej. To wszystko zależy od skali i znaczenia danego komponentu. Trudno sobie wyobrażać, by w bieżącym sposobie certyfikacji, w efektywny sposób dało się to przeprowadzić. Mówię zarówno o skali jak i narzędziach do tego używanych. 

Ważne jest również bezpieczeństwo łańcucha dostaw. Musimy wiedzieć czy faktycznie urządzenie umieszczone w sieci jest tym, które zostało przetestowane. Biorąc pod uwagę ilość komponentów, z których sieć się składa będzie to bardzo trudne. Oprócz samego przygotowania nowych profili względem których będzie badanie, sam proces certyfikacji i badań jest czasochłonny. Obecnie zarówno na szczeblu krajowym jak i unijnym debatuje się jak ten proces uprościć i spowodować, by był bardziej efektywny. Musimy również uwzględnić cykl życia danego urządzenia, czy produktu.

Część komponentów, które występują w 5G bazuje na oprogramowaniu. Mamy narzędzia, które pozwolą nam w efektywny sposób weryfikować w procesie ciągłym raz wydane certyfikacje dla urządzenia. Jednocześnie zdajemy sobie sprawę z tego, że ten proces będzie musiał wciąż podlegać pewnym uproszczeniom. Dlatego też, coraz ważniejsza staje się koncepcja zaufanego dostawcy. Z perspektywy procesów działania, które u niego funkcjonują, sposobu podejmowania decyzji i pewnej praktyki w działaniach, możemy uznać, że co do zasady w dużej mierze jesteśmy w stanie zaufać danemu dostawcy. Dopóki nie dopracujemy mechanizmów związanych z certyfikacją, które będą dużo bardziej zaawansowane niż te obecne, w jakimś stopniu będziemy musieli bazować na pewnym rodzaju weryfikacji dostawców jako takich - ich produktów i sposobu funkcjonowania samych firm. Jest to oczywiście w pewien sposób ułomne. Dopiero złożenie dwóch rzeczy da nam szansę dużo większego zarządzania tym ryzykiem. 

Panie ministrze, druga rzecz, która jest bardzo ważna obok strategii to ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie ponad rok temu. Co w niej nie funkcjonuje poprawnie, co należy zmienić?

Rok po wejściu w życie ustawy, wciąż trwa proces wyznaczania operatorów usług kluczowych. Ma to miejsce w kilku sektorach takich jak np. energetyka i zdrowie. Wygląda na to, że minimalne progi, które służą wyznaczeniu operatorów usług kluczowych zostały wskazane zbyt nisko. Za duża liczba podmiotów się na nie kwalifikuje.

Z drugiej strony widzimy tendencje, że podmioty zamiast poczucia odpowiedzialności za cyberbezpieczeństwo, w twórczy sposób próbują te progi ominąć. Trzeba się zastanowić w jaki sposób znowelizować ustawę oraz jak zbudować przekonanie o odpowiedzialności za bezpieczeństwo własnych systemów i sieci wśród organów właściwych czy poszczególnych spółek.  Musimy pamiętać, że tego nie unikniemy, ponieważ obecnie każda branża jest silnie uzależniona od strony informatycznej. Mówimy tu o obszarze czystego IT, ale również automatyki przemysłowej.

W momencie osiągnięcia pewnej skali działalności, dane podmioty muszą poczuć większą odpowiedzialność za to, że teraz od nich zależy również ciągłość działania państwa. Będziemy rozmawiać z przedstawicielami sektorów, czy niektóre progi nie zostały wyznaczone pochopnie i za nisko. Ale na pewno złym kierunkiem będzie podnoszenie tych progów, tak aby tych podmiotów było po prostu mniej. Wtedy możemy stracić z oczu to, że generalnie miały być one tak wyznaczone, by faktycznie upewnić się, że nie pominiemy żadnego przedsiębiorstwa, w którym wystąpienie incydentu bezpieczeństwa może po prostu spowodować, że na przykład część populacji w Polsce nie będzie mieć wody czy prądu.

Na pewno w planie jest rewizja progów, ale również rewizja sankcji oraz przeprowadzenie akcji uświadamiających i to w większych stopniu z poziomu organów właściwych, co do roli, jakie dane przedsiębiorstwo pełni. Rozporządzanie jednoznacznie mówi, że o wpisaniu na listę operatorów usług kluczowych decyduje kilka kryteriów jak np. stopień uzależnienia od działań systemów informatycznych. Element ten jest czasami sporny i wzbudza dyskusję. W jaki sposób system informatyczny wpływa lub nie na to, że dany podmiot może dalej świadczyć usługi czy też na odwrót. Myślę, że w tym obszarze będziemy chcieli bardziej precyzyjnie to wskazać.

Jakie największe wyzwania czekają pana następcę?

Jest ich zapewne wiele. Mam nadzieje, że zostaną potrzymane czynności, które rozpoczęliśmy, czyli aktywne wpływanie na to, co się dzieje na arenie europejskiej jeśli chodzi o cyberbezpieczeństwo. W obszarze pewnych priorytetów takich jak np. temat certyfikacji 4-letnia kadencja rządu to okres, w którym można już osiągnąć dostrzegalny postęp. Będzie w tym okresie również realizowany i finalnie przesądzany kształt sieci kompetencji centrów ds. cyberbezpieczeństwa w Europie. Ważne jest, by przez tę sieć były dystrybuowane środki przewidziane na cyberbezpieczeństwo w programie Digital Europe, ale też w programie Horizon Europe. Odpowiednia aktywna rola kształtująca na arenie europejskiej oraz relacje, w tym osobiste, które zbudowałem z szefami najważniejszych światowych centrów cyberbezpieczeństwa, jak Stany Zjednoczone, Izrael czy Korea Południowa powinny być podtrzymane. W Polsce to jeszcze większe współdziałanie pomiędzy sektorem cywilnym a militarnym. Będą również ważne tematy, które są na pograniczu zakresu działań pełnomocnika rządu ds. cyberbezpieczeństwa, a też są istotne. Mam tu na myśli np. łączność strategiczną, która wymaga współpracy z Ministerstwem Obrony Narodowej i Ministerstwem Spraw Wewnętrznych i Administracji. Wciąż nierozstrzygnięty jest temat łączności dla energetyki i co zrobić z pasmem 450 mHz, (przewidziane właśnie dla energetyki). Ostatni ważny temat, to w jakim stopniu wzmocnić poszczególne sektory newralgiczne takie jak energetyka, finanse czy telekomunikacja oraz zapewnić skuteczny system wymiany informacji, dzielenie się wiedzą o podatnościach i potencjalnych zagrożeniach.

Czy już wiadomo, kto będzie Pana następcą?

Jeszcze nie wiadomo. O ile wiem minister Zagórski toczy na ten temat rozmowy. Decyzji jeszcze nie ma. Minister Zagórski z pewności chciałby, by czas kiedy nie ma pełnomocnika był jak najkrótszy. Wydaje mi się, że w styczniu poznamy mojego następcę. 

Reklama

Komentarze

    Reklama