Opublikowane ostatnio przez Ministerstwo Cyfryzacji założenia strategii cyberbezpieczeństwa oceniam pozytywnie, choć kilka elementów może budzić niepokój. Przede wszystkim zmarginalizowana jest rola Ministerstwa Obrony Narodowej. Wymiar wojskowy jest wspomniany tylko na początku dokumentu. Później MON pojawia się jako partner do dyskusji o kształcie cyberprzestrzeni. Zauważmy, że w innych krajach to właśnie ministerstwo właściwe ds. obrony jest stroną aktywną, jeśli chodzi o cyberbezpieczeństwo - ze względu na wiedzę i dostęp do większych środków, w tym środków przymusu. Instytucje cywilne są co najwyżej partnerami. Tu jest zupełnie na odwrót. Niedobrze, że pomysł na centralny organ cyberbezpieczeństwa rozważany jest w oderwaniu od MON.
Nie można budować cyberbezpieczeństwa w oderwaniu od kwestii geopolitycznych. Nasza sytuacja jest specyficzna i rozwiązania w tej materii powinny to uwzględniać.
Inną kwestią jest kurczowe trzymanie się dyrektywy unijnej NIS. Mamy do czynienia z recepcją unijnych wymogów, brakuje natomiast pomysłu, jak aktywnie wykorzystać tę nadciągającą zmianę.
Prawo unijne dopuszcza zmiany regionalne. To oczywiste, że Polska jako flankowe państwo NATO i Unii ma wyjątkowe znaczenie strategiczne i dlatego powinniśmy mieć specyficzne rozwiązania w kwestii cyberbezpieczeństwa. Nie można budować cyberbezpieczeństwa w oderwaniu od kwestii geopolitycznych. Nasza sytuacja jest specyficzna i rozwiązania w tej materii powinny to uwzględniać.
W końcu sąsiadujemy z krajami, które nie są w NATO i UE, a doświadczenia Estonii sprzed kilku lat powinny nas skłaniać do tego, żeby nie tylko biernie przyjmować regulacje, ale aktywnie je tworzyć. Pewne rzeczy powinniśmy regulować bardziej szczegółowo, inne mniej. Na ten moment trzeba poczekać na konkretne propozycje rządu, aby mówić o szczegółach nowych regulacji.
Oczywiście mówiąc o cyberbezpieczeństwie mamy problem natury prawnej i społecznej. Zacieśnianie kwestii obronnych może prowadzić do ograniczenia wolności i swobód osób korzystających z Sieci. Te dwie kwestie trzeba wyważyć. Ponieważ jesteśmy bardziej narażeni na atak niż inne kraje, rozsądne wydaje się wprowadzenie bardziej restrykcyjnych rozwiązań związanych z cyberbezpieczeństwem, gwarantujących jednak poszanowanie praw jednostki.
Dobrym przykładem mogą być dla nas państwa bałtyckie. Litwa i Estonia są dużo bardziej zaawansowane w przygotowaniach do cyberataku.
Ciężko jest mi oceniać zdolności Polski do obrony przed potencjalnym cyberatakiem ze strony wrogiego mocarstwa, gdyż większość informacji na ten temat nie jest publicznie dostępna. Z dostępnych informacji nie wynika, jak liczne są zespoły w strukturach wojskowych i czym się zajmują. Doświadczenie podpowiada jednak, że poziom taktyczny zawsze jest pokłosiem myślenia strategicznego. Skoro tego brakuje, to mogę jedynie domniemywać, że w wypadku ataku mielibyśmy spory problem. To nie musi być od razu scenariusz Estonii, gdzie doszło do zablokowania komputerów, tak jak w XIX wieku blokowało się porty.
Bardziej prawdopodobne są scenariusze hybrydowe. Chodzi o akcję przygotowywaną przez kilkanaście miesięcy, po której następuje np. zmasowany atak DDOS, połączony z kradzieżą istotnych danych i uzyskaniem przewagi informacyjnej w Sieci. To byłaby bardzo precyzyjna operacja, która wyłączyłaby państwo z cyberprzestrzeni na wielu płaszczyznach. Cele mogą być różne, np. infrastruktura krytyczna, instytucje finansowe, bez których sparaliżowana zostanie gospodarka. To mogą być cele cywilne lub wojskowe, prywatne bądź publiczne. Mówimy o bardzo wielu scenariuszach i należy zakładać najgorsze z nich.
Najważniejsze zadania na teraz to konsensus na poziomie państwowym co do podziału kompetencji. Druga sprawa to odpowiednie regulacje prawne, a trzecia: przygotowanie kompleksowej strategii obrony dla państwa uwzględniającej elementy wojskowe, cywilne, organizacje społeczne, państwowe. Dobrym przykładem mogą być dla nas państwa bałtyckie. Litwa i Estonia są dużo bardziej zaawansowane w przygotowaniach do cyberataku. Powinniśmy się od nich uczyć. Bardzo potrzebne są też symulacje cyberataków, prowadzone metodą gier wojennych. Takie ćwiczenia przeprowadzane są m.in. w USA i dają do myślenia zarówno politykom, jak i obywatelom. Coś takiego bardzo by się nam przydało.
Piotr Trąbiński – ekspert Narodowego Centrum Studiów Strategicznych (NCSS) w dziedzinie cyberbezpieczeństwa. Jest absolwentem Uniwersytetu Warszawskiego z tytułem magistra w dziedzinie prawa i doktorantem w Katedrze Prawa Informatycznego na UKSW.