Część działań związanych z zapewnieniem bezpieczeństwa w sieci będzie ograniczana limitami wydatków. Eksperci mają wątpliwości, czy będziemy bezpieczni.
Podpisana przez prezydenta ustawa o krajowym systemie cyberbezpieczeństwa ma sprawić, że Polska będzie skutecznej bronić się przed atakami w sieci. Wdraża ona do naszego prawa unijną dyrektywę o cyberbezpieczeństwie NIS (Network and Information Systems Directive).
Ustawa nakłada obowiązki związane z cyberobronnością na operatorów usług kluczowych oraz dostawców usług cyfrowych. Ci pierwsi to m.in. najważniejsze przedsiębiorstwa z sektora bankowego, ochrony zdrowia, sektora energetycznego, przewoźnicy czy firmy zaopatrujące w wodę pitną. Ministerstwo Cyfryzacji przewiduje, że będzie ok. 335 takich operatorów. Będą oni musieli szacować ryzyko ataków na ich systemy informatyczne i stosować odpowiednie zabezpieczenia, w przypadku ataku podejmować działania naprawcze, a także ciągle sprawdzać, czy w zabezpieczeniach nie ma luk.
Druga grupa to dostawcy usług cyfrowych, czyli internetowe platformy handlowe czy wyszukiwarki internetowe. W związku z międzynarodowym charakterem ich działalności ta część regulacji ma być ustalana na poziomie UE.
Eksperci przyznają, że ustawa była potrzebna, ich wątpliwości budzą jednak kwestie finansowe. Roczne wydatki na realizację nowych obowiązków zostały bowiem sztywno określone dla każdego z sektorów.
– Zapisane w ustawie limity wydatków na działania dotyczące cyberbezpieczeństwa są za niskie. Otrzymaliśmy ustawę, na którą wszyscy czekali, umożliwia ona podjęcie realnych i pożytecznych działań, ale jeśli chcemy mieć naprawdę skuteczną obronę, musimy znaleźć na to pieniądze – mówi nam Robert Siudak, ekspert Instytutu Kościuszki zajmujący się tematyką bezpieczeństwa w sieci. Zwraca uwagę, że stworzenie krajowego systemu cyberbezpieczeństwa oznacza nie tylko wskazanie podmiotów, które będą w nim uczestniczyć i określenie ich obowiązków, ale także realne działania. Do tego potrzebne są procedury, ludzie i technologie.
– A to wszystko kosztuje – dodaje.
Jako przykład wskazuje limity wydatków dotyczące np. sektora zdrowia, które wynoszą ok. 400 tys. zł rocznie. – To za małe środki, biorąc pod uwagę choćby zarobki dobrych specjalistów od cyberbezpieczeństwa. Rocznie jeden taki specjalista kosztuje co najmniej 100 tys. zł – mówi.
W przypadku sektora gospodarki wodnej, który ma nadzorować cyberbezpieczeństwo dostaw wody pitnej, limit rocznych wydatków to również ok. 400 tys. zł. Podobne kwoty zapisano dla sektora transportowego. Blisko 800 tys. zł przyznano sektorowi energetycznemu. Najwięcej, bo kilkanaście milionów złotych rocznie, będzie mieć do wydania Ministerstwo Cyfryzacji, które ma stworzyć specjalny system informatyczny odpowiedzialny za ostrzeżenia przed cyberzagrożeniami.
– Należy zapytać, kto ostatecznie zapłaci za cyberbezpieczeństwo. Jeżeli nie wygospodarujemy adekwatnych pieniędzy na szkolenia, kadry i sprzęt, to zapłacimy za to wszyscy wyciekami danych, przerwaniem funkcjonowania konkretnych usług cyfrowych – podkreśla Siudak z Instytutu Kościuszki.
Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń, który przez wiele lat był szefem zespołu CERT Polska w NASK i doradcą ministra obrony narodowej, uważa, że wprowadzone limity są skutkiem braku pieniędzy.
– Jak się ustala mechanizmy dotyczące limitów, to być może zakłada się, że pieniędzy może zabraknąć – mówi.
Zwraca uwagę, że ograniczenia finansowe dotyczą ministerstw, którym podlegają instytucje włączane do krajowego systemu cyberbezpieczeństwa. A one, zgodnie z nowymi przepisami, będą miały obowiązek przekazywać informacje o atakach do jednego z trzech zespołów reagowania na incydenty bezpieczeństwa komputerowego (z ang. CSIRT – Computer Security Incident Response Teams). Zadaniem CSIRT będzie zaś wsparcie cyberobrony. Według Maja to jest jeden z najważniejszych elementów krajowego systemu. Zespoły te, działające w MON, ABW i NASK, będą mogły korzystać także z własnych budżetów i z nich finansować część swoich zadań.
– Należy zakładać, że w najważniejszych sytuacjach dotyczących zagrożeń dla cyberbezpieczeństwa nie ma ograniczeń finansowych, o których mowa w ustawie – zaznacza. – Ale nie wyobrażam sobie, że ten system nie będzie rok po roku zasilany większymi środkami – dodaje.
Mimo wątpliwości związanych z kwestiami finansowymi Maj cieszy się, że ustawa powstała, bo daje możliwość budowy krajowego systemu cyberbezpieczeństwa. Uważa jednak, że za dwa, trzy lata przepisy będą musiały być znowelizowane, by uwzględnić wnioski wynikające z ich praktycznego działania.
Ministerstwo Cyfryzacji przekazało DGP, że reguła wydawania środków publicznych zapisana w ustawie o krajowym systemie cyberbezpieczeństwa została sporządzona zgodnie z przepisami ustawy o finansach publicznych. Resort zapewnia, że nie ma zagrożenia bezpieczeństwa państwa, a wydatki zostały określone w porozumieniu z poszczególnymi instytucjami i zaakceptowane przez Ministerstwo Finansów.
