Potrzeba ćwiczeń i testów cyberbezpieczeństwa przed szczytem NATO

Dość tanim kosztem i w stylu dawnej KGB, czyli za pomocą „niewidzialnej ręki” w postaci zorganizowanej grupy przestępczej pokroju APT28, Moskwa może dokonać cyberataku na rządowe serwery, wykradając i publikując w Sieci poufne informacje i dokumenty dotyczące zakulisowych zabiegów czołowych polskich polityków i dyplomatów o zgodę USA i największych państw Europy Zachodniej na instalację stałych baz NATO na wschodniej rubieży Sojuszu. Jesteśmy w stanie wyobrazić sobie, że polskiej racji stanu szczególnie mogłyby zaszkodzić kradzież  i ujawnienie danych wskazujących na to, jakimi środkami dyplomacja Warszawy usiłuje przeciągnąć na swoją stronę poszczególne kraje prowadząc tajne rozmowy czy wręcz targi o charakterze bilateralnym. Konsultacje tego rodzaju niejako z definicji mają to do siebie, że wypłynięcie na światło dzienne ich przebiegu często oznacza nie tylko fiasko całego długotrwałego procesu, ale dodatkowo stawia ich uczestników w kłopotliwym położeniu wobec państw trzecich. Wyobraźmy więc sobie hipotetycznie, że władze RP np. próbując przekonać do swego stanowiska Waszyngton, Paryż czy Berlin, poufnie zadeklarowałyby, że nie będą inicjować działań związanych z Ukrainą, które mogą być niezgodne z polityką USA czy zachodnich uczestników rozmów w formacie normandzkim z Rosją. Zdobycie takich informacji czy dokumentów przez cyberprzestępców związanych z rosyjskimi służbami specjalnymi i ujawnienie ich w Sieci położyłoby się cieniem na relacjach Warszawy z Kijowem.

Naszkicowany powyżej scenariusz to oczywiście spekulacja, ale biorąc pod uwagę znane nam z wcześniejszych lat i udokumentowane dzięki działaniom Departamentu Bezpieczeństwa Teleinformatycznego ABW czy firm takich jak FireEye przypadki cyberataków na organy administracji rządowej RP, np. Ministerstwo Obrony Narodowej, powinniśmy być przygotowani na najgorsze.

Skoro w marcu br. ofiarą ukierunkowanego ataku typu DDoS padł kraj tak mało podatny na cyberzagrożenia jak Szwecja, to tym bardziej z podobnym ryzykiem musi liczyć się Polska, która – jak wynika z raportu zespołu prof. V.S. Subrahmaniana z University of Maryland – znalazła się pośrodku grupy 44 przebadanych pod tym kątem państw.

Chociaż do szczytu NATO zostało niewiele ponad trzy miesiące, jak dotychczas zamiast ćwiczeń, szkoleń i testów, o których wspomina zakres zadań Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji, mamy znaczące symptomy militaryzacji odpowiedzialnego za tę problematykę pionu resortu kierowanego przez Annę Streżyńską. Odwrotnie niż w krajach, w których kompetencje w zakresie ochrony bezpieczeństwa cyberprzestrzeni konsoliduje się w instytucjach ściśle związanych z siłami zbrojnymi.

Kierunek działań zainicjowanych w ostatnich miesiącach przez Ministerstwo Cyfryzacji wskazuje, że niektórzy decydenci wydają się rozumieć poziom zagrożeń, które wiążą się z obecnością w cyberprzestrzeni. Dowodzi tego opublikowany ponad miesiąc temu dokument pt. „Założenia strategii cyberbezpieczeństwa dla Rzeczyspospolitej Polskiej”, którego opracowanie nadzorował sekretarz stanu w resorcie cyfryzacji Witold Kołodziejski.

Autorzy dokumentu trafnie zauważyli, że „funkcjonujący w Polsce system ochrony cyberprzestrzeni ma charakter rozproszony, polegający na wzajemnym współdziałaniu odpowiedzialnych podmiotów, zarówno w sferze cywilnej, wojskowej oraz tej związanej z cyberprzestępczością”. Prawdą jest też, że „aktualnie w Polsce brak jest jednoznacznych procedur oraz określonych poziomów reakcji na zagrożenia zidentyfikowane w sieciach teleinformatycznych”, a „kompetencje związane z bezpieczeństwem cyberprzestrzeni dzielone są m.in. pomiędzy Ministerstwo Obrony Narodowej, Rządowe Centrum Bezpieczeństwa, Ministerstwo Cyfryzacji, jak również Radę Ministrów, Agencję Bezpieczeństwa Wewnętrznego, Komendę Główną Policji, Ministerstwo Sprawiedliwości, Urząd Komunikacji Elektronicznej i CERT Polska znajdujący się w strukturze Naukowej i Akademickiej Sieci Komputerowej (NASK)”. W omawianych założeniach zwrócono też uwagę na to, iż „w Polsce funkcjonują publiczne i prywatne zespoły ds. reagowania na incydenty komputerowe (CERT), obejmujące swoim zakresem m.in. administrację rządową, wojskową oraz Policję, a także zespoły utworzone przez operatorów telekomunikacyjnych oraz środowiska naukowobadawcze”, lecz „podmioty uczestniczące w procesie (działania systemu cyberbezpieczeństwa  - przyp. red.) nie mają jasno określonych progów reakcji”. Trudno więc nie zgodzić się z twórcami „Założeń strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”, gdy piszą oni, że „pilne i niezbędne jest wdrożenie spójnego podziału kompetencji z zakresu obowiązków, procedur oraz szkoleń, treningów i kierunków prac badawczo-rozwojowych” i „utworzenie trzypoziomowej struktury systemu cyberbezpieczeństwa w warstwie strategicznej, operacyjnej i technicznej”.

Problem w tym, że o ile ostateczna wersja cytowanego dokumentu ma zostać opracowana do 4 maja br., a 19 maja zaprezentowana na konferencji CYBERGOV w Warszawie, to w Monitorze Polskim ukaże się najwcześniej we wrześniu br., czyli co najmniej dwa miesiące po strategicznie ważnym dla Polski lipcowym szczycie NATO.

Czy oznacza to, że sprawy o żywotnym znaczeniu dla bezpieczeństwa narodowego stawiane są przez gabinet Beaty Szydło na dalszym planie niż program „Rodzina 500+”, którego start, przewidziany 1 kwietnia br.. swoją drogą również jest obarczony ryzykiem związanym z cyberzagrożeniami wynikającymi z możliwości składania wniosków o pomoc finansową od państwa przez Internet?

Niepokoić musi jednak nie tylko kalendarz prac legislacyjnych nad aktem prawnym definiującym założenia strategii cyberbezpieczeństwa RP, ale także żółwie tempo organizacji pionu odpowiedzialnego za ten obszar kompetencji w Ministerstwie Cyfryzacji. Zgodnie z zapowiedziami minister Anny Streżyńskiej z ub.r. miał być powołany pełnomocnik do spraw cyberbezpieczeństwa w randze podsekretarza stanu w Ministerstwie Cyfryzacji. Według nieoficjalnych informacji kandydatem szefowej resortu cyfryzacji do tego stanowiska był gen. bryg. Włodzimierz Nowak, który przez wiele lat w różnych strukturach MON i NATO zajmował się łącznością i teleinformatyką, a po odejściu ze stanowiska dyrektora Departamentu Polityki Zbrojeniowej resortu obrony narodowej został doradcą w gabinecie politycznym Anny Streżyńskiej. Wszystko wskazuje jednak na to, że plany minister cyfryzacji związane z osobą Włodzimierza Nowaka zostały z jakichś przyczyn zahamowane bądź poniechane. Pojawiła się w tym kontekście koncepcja jakoby przyczynił się do tego minister obrony narodowej Antoni Macierewicz. Wykładnia o tyle ciekawa, że o tym, iż oficjalny komunikat o nominacji gen. bryg. Włodzimierza Nowaka na stanowisko wiceministra cyfryzacji odpowiedzialnego za cyberbezpieczeństwo jest tylko kwestią czasu, w styczniu br. przekonywał piszącego niniejsze słowa jeden z menedżerów Związku Banków Polskich, który chciał już wysyłać list gratulacyjny do byłego wojskowego.

Jeden z doradców pani minister, który prosił o anonimowość, przekonywał nas, że Anna Streżyńska nie musi poszukiwać kandydata na podsekretarza stanu – pełnomocnika ds. cyberbezpieczeństwa, gdyż w razie potrzeby może sama zająć się tą problematyką lub delegować do tego zadania wiceministra – Piotra Woźnego. Obie te osoby – jak zapewniło nas cytowane źródło – dostatecznie dobrze orientują się w zagadnieniach związanych z bezpieczeństwem cyberprzestrzeni.

A co w takim razie z wiceministrem Witoldem Kołodziejskim, któremu szefowa resortu cyfryzacji powierzyła nadzór nad opracowaniem „Założeń strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”? Dlaczego ten urzędnik nie może zostać pełnomocnikiem rządu ds. cyberbezpieczeństwa? Rozwiązania tej zagadki niestety nie znamy.

Podobnie jak i powodów, dla których do tej pory jest wakat na stanowisku dyrektora Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji.

W Biuletynie Informacji Publicznej na stronie www.mc.gov.pl widnieje jedynie lakoniczna wzmianka o tym, że zastępcą dyrektora Departamentu Cyberbezpieczeństwa jest Piotr Januszewicz (oficer Wojska Polskiego w stopniu pułkownika, wcześniej komendant Centrum Bezpieczeństwa Cybernetycznego w Białobrzegach i pracownik Narodowego Centrum Kryptologii. Tak jak Włodzimierz Nowak reprezentuje korpus osobowy oficerów łączności i informatyki. Zasiada też w Stałym Zespole ds. Cyberbezpieczeństwa przy szefie Biura Bezpieczeństwa Narodowego  – przyp. red.). Departament nie ma własnego numeru telefonu ani poczty elektronicznej, posiada natomiast rozległy zakres kompetencji („Realizujemy zadania związane z szeroko rozumianym bezpieczeństwem cyberprzestrzeni. Do naszych głównych zadań należy: opracowywanie i wdrażanie dokumentów strategicznych oraz aktów prawnych z zakresu cyberbezpieczeństwa, prowadzenie współpracy krajowej i międzynarodowej, opracowywanie wytycznych i standardów w zakresie ustanawiania odpowiednich środków ochrony systemów teleinformatycznych, przygotowywanie analiz z zakresu stanu cyberbezpieczeństwa oraz ryzyk dla cyberbezpieczeństwa państwa, a także opracowywanie centralnych planów szkoleń, ćwiczeń i testów. W zakresie realizacji zadań współpracujemy z uczelniami, instytutami, organizacjami pozarządowymi oraz sektorem prywatnym. Prowadzimy również sprawy związane z nadzorem Ministra nad Naukową i Akademicką Siecią Komputerową (NASK)”).

Moskwa może dokonać cyberataku na rządowe serwery, wykradając i publikując w Sieci poufne informacje i dokumenty dotyczące zakulisowych zabiegów czołowych polskich polityków i dyplomatów o zgodę USA i największych państw Europy Zachodniej na instalację stałych baz NATO na wschodniej rubieży Sojuszu. Polskiej racji stanu szczególnie mogłyby zaszkodzić kradzież i ujawnienie danych wskazujących na to, jakimi środkami dyplomacja Warszawy usiłuje przeciągnąć na swoją stronę poszczególne kraje prowadząc tajne rozmowy czy wręcz targi o charakterze bilateralnym.

Chociaż do szczytu NATO zostało niewiele ponad trzy miesiące, jak dotychczas zamiast ćwiczeń, szkoleń i testów, o których wspomina zakres zadań Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji, mamy znaczące symptomy militaryzacji odpowiedzialnego za tę problematykę pionu resortu kierowanego przez Annę Streżyńską. Odwrotnie niż w krajach, w których kompetencje w zakresie ochrony bezpieczeństwa cyberprzestrzeni konsoliduje się w instytucjach ściśle związanych z siłami zbrojnymi. To oryginalny trend zważywszy, że w opublikowanych założeniach „Strategii cyberbezpieczeństwa dla Rzeczypospolitej” zapisano, iż bezpieczeństwo obywateli w Internecie powinno być stawiane na równi z ochroną militarną kraju.