Polityka i prawo
"Bony na cyberbezpieczeństwo" nie dla samorządów. Ministerstwo oferuje inne narzędzia wsparcia
Ministerstwo Cyfryzacji nie planuje wprowadzenia dla jednostek samorządu terytorialnego bonów na cyberbezpieczeństwo. Wspiera jednak powstanie regionalnych centrów bezpieczeństwa oraz centrów wymiany i analizy informacji – pisze minister cyfryzacji w odpowiedzi na interpelację poselską.
Posłanka Agnieszka Soin i poseł Jarosław Krajewski z klubu parlamentarnego Prawo i Sprawiedliwość zwracają uwagę na nasilenie się cyberataków w związku a pandemią koronawirusa. Piszą oni w interpelacji poselskiej, że zgodnie z danymi przedstawionymi przez SecDev Group najwięcej ataków hakerskich odnotowano w Stanach Zjednoczonych oraz we Włoszech, a więc w państwach, gdzie liczba chorych jest największa. W marcu natężenie cyberzagrożeń wzrosło w tych krajach o 25–30 proc. Problem dotyczy jednak również Polski . Przejawia się on w atakach na użytkowników bankowości elektronicznej, szpitale, laboratoria medyczne, zakłady testowania szczepionek i dostawców usług krytycznych. W kwietniu mieliśmy m.in. również do czynienia z poważnym wyciekiem danych sędziów i prokuratorów z Krajowej Szkoły Sądownictwa i Prokuratury.
W związku z tym przedstawiciele PiSu zapytali ministra o liczbę ataków hakerskich na instytucje państwowe w marcu 2020 roku, plany wsparcia cyberbezpieczeństwa samorządów oraz plany wprowadzenia rozwiązań prawnych w zakresie dopuszczenia kwalifikowanych wydatków na bezpieczeństwo IT jako wydatków na innowacje.
Minister odpowiedział, że w marcu CSIRT NASK zanotował 838 zarejestrowanych incydentów, w tym sektorze administracji publicznej zarejestrował 41 incydentów. Biorąc pod uwagę klasyfikację incydentów według typów (eCSIRT.net) największa liczba incydentów dotyczyła oszustw komputerowych (658 incydentów – w tym 565 to phishing), na drugim miejscu sklasyfikowano złośliwe oprogramowanie (63 incydenty), a na trzecim obraźliwe i nielegalne treści (40 incydenty).
Wg. danych CSIRT GOV w terminie 28.02. - 02.04.2020 r. (na ogólną liczbę 2082 zarejestrowanych incydentów) zarejestrowano: w ministerstwach 703 incydenty, w urzędach 529 incydenty, w instytucjach 185 incydenty, a w administracji publicznej 75 incydenty. Należy również podkreślić, że w okresie 20.03. - 26.03.2020 r. odnotowano 187 incydentów lub zdarzeń wykorzystujących motyw pandemii COVID-19. Biorąc pod uwagę typy zarejestrowanych zdarzeń najwięcej dotyczyło wirusa, czyli infekcji złośliwym oprogramowaniem komputera (1191 incydenty). Drugą najpopularniejszą kategorią zdarzeń było skanowanie – odnotowano 323 prób skanowania zasobów IT, natomiast trzecią kategorią był phishing – zarejestrowano 171 wiadomości typu phishing, próbujących nakłonić użytkownika do uruchomienia złośliwego załącznika lub odwiedzenia spreparowanej witryny. Minister przypomina jednak żeby nie wysuwać pochopnych wniosków na podstawie tych danych, przypominając, że od wielu lat utrzymuje się stała tendencja wzrostowa liczby zgłoszeń.
Marek Zagórski podkreślił, że ministerstwo cyfryzacji bada potrzeby samorządów i przygotowuje usługi, wzorowane na rozwiązaniach, przyjętych przy budowie portalu GOV.PL, standaryzujące i podnoszące cyberbezpieczeństwo w jednostkach samorządu terytorialnego.
W ramach platformy technologicznej ministerstwo udostępni narzędzia do publikacji bezpiecznych stron internetowych wraz z systemem BIP. Rozwiązanie to będzie zapewniało możliwość integracji z istniejącymi systemami samorządów. Udostepnienie narzędzia jest zaplanowane na 2022 r. przy czym już rozpoczęły się działania pilotażowe – poinformował Minister.
Ponadto Ministerstwo wesprze powstawanie regionalnych SOC (Security Operations Center – operacyjne centrum bezpieczeństwa) i ISAC (Information Sharing and Analysic Center- Centra Wymiany i Analizy Informacji), które znacząco podniosą poziom cyberbezpieczeństwa. Co więcej, w ramach planowanej dedykowanej osi strategicznej w nowym POPC (Program Operacyjny Polska Cyfrowa), jednostki samorządu terytorialnego będą jednym z najważniejszych docelowych beneficjentów – zapowiedział Minister.
Ministerstwo Cyfryzacji nie planuje natomiast wprowadzenia dla jednostek samorządu terytorialnego „bonów na cyberbezpieczeństwo” lub szerzej „bonów na cyfrowe innowacje”. Tym nie mniej inicjatywa stworzenia zachęt do zakupu rozwiązań innowacyjnych w tym w szczególności w zakresie cyberbezpieczeństwa, zwłaszcza oferowanych przez podmioty polskie wydaje się warta rozważenia i zostanie przeanalizowania.
Odpowiadając na pytanie o możliwość wprowadzenia rozwiązań prawnych w zakresie dopuszczenia kwalifikowanych wydatków na bezpieczeństwo IT jako wydatków na innowacje, minister napisał, że za opracowanie instrumentów wsparcia na rzecz wzrostu konkurencyjności gospodarki odpowiada Ministerstwo Rozwoju.
Obecne przepisy prawa (ustawa o innowacyjności) już teraz wprowadzają szereg ulg i zwolnień podatkowych, m.in. zwiększenie wysokości ulgi podatkowej na działalność badawczo-rozwojową do 100 proc. Zatem firmy technologiczne, realizujące innowacyjne rozwiązania już teraz mogą korzystać z tego mechanizmu tj. zwolnień na innowacje. W związku z powyższym, Ministerstwo Cyfryzacji, z racji istniejących regulacji prawnych, nie planuje występować do Ministerstwa Rozwoju z propozycją wprowadzenia nowych rozwiązań prawnych w zakresie dopuszczenia kwalifikowania wydatków na bezpieczeństwo IT jako wydatków na innowacje (co wiązałoby się z odpisem CIT).
Minister podkreśla, że zakup gotowych (dostępnych na rynku) rozwiązań, produktów czy usług z zakresu cyberbezpieczeństwa trudno zakwalifikować jako wydatek na innowację. Cyberbezpieczeństwo systemów i sieci wykorzystywanych przez administrację publiczną czy sektor prywatny jest koniecznością w obecnych czasach i powinno być jednym z priorytetów osób zarządzających firmami oraz kierujących urzędem.