Ministerstwo Administracji i Cyfryzacji i ABW przygotowały Politykę Ochrony Cyberprzestrzeni. Dokument wskazuje, jak zabezpieczyć rządową infrastrukturę przed informatycznymi problemami. Rozwiązuje też kompetencyjny spór w sprawie odpowiedzialności za bezpieczeństwo cyfrowe państwa.
Największą nowością przedstawioną w Polityce Ochrony Cyberprzestrzeni jest wymóg powołania w każdym urzędzie administracji rządowej specjalnego urzędnika odpowiedzialnego za zapewnienie cyberbezpieczeństwa. Urzędy nie będą musiały zatrudniać nowych osób, wystarczy wyznaczenie jednego z pracowników i odpowiednie go przeszkolenie.
– I to tak naprawdę w całym dokumencie jest jedynym istotnym postulatem – ocenia Joanna Świątkowska, ekspert Instytutu Kościuszki koordynująca projekt „Cel: Cyberbezpieczeństwo”. Jej zdaniem dokument przygotowany przez resort cyfryzacji i ABW ma poważne braki, choćby dlatego że nie uwzględnia zmian zachodzących w technologiach. – Zupełnie nie wzięto w nim pod uwagę tego, że coraz więcej procesów zarządzanych jest w chmurze czy coraz powszechniejszej pracy urzędników na urządzeniach mobilnych – dodaje.
Opracowanie zaleca także wzmocnienie zespołów reagowania na cyberataki, czyli CERT-ów przy ABW i NASK. Większą rolę NASK widać też w ogłoszonej właśnie decyzji, że od połowy przyszłego roku pod tę jednostkę naukową przechodzi opieka i kontrola nad domenami gov.pl – czyli przysługującymi tylko instytucjom rządowym. Do tej pory zarządzał nimi Instytut Podstawowych Problemów Techniki działający przy Polskiej Akademii Nauk.
Dokument nie bierze pod uwagę istnienia nowych technologii
Na tym jednak zmiany w dbaniu o cyberbezpieczeństwo się kończą. – Tak naprawdę równie dobrze tego planu można by było w ogóle nie uchwalać – podumowuje Wiesław Paluszyński z Polskiego Towarzystwa Informatycznego. – Jest tak mało szczegółowy, że w ogóle nie wyznacza konkretnych standardów, jakie powinny być zachowane w celu ochrony cyberprzestrzeni. Dużo konkretniejsze są standardy pracy, w tym dbania o e-bezpieczeństwo administracji, określone w ustawie o Krajowych Ramach Interoperacyjności uchwalonej w marcu tego roku – zauważa Paluszyński. I dodaje, że to nie znaczy, iż strategia ochrony cyberprzestrzeni jest niepotrzebna. Przeciwnie, powinna być jednak bardziej konkretna, np. w kwestiach międzynarodowych czy współpracy z przedsiębiorcami – dodaje.
Polityka Ochrony Cyberprzestrzeni RP to zapowiadana od początku roku nowa wersja Rządowego Planu Ochrony Cyberprzestrzeni. Poprzedni obowiązywał tylko do końca 2010 r., ale kolejny opracowany na lata 2011 – 2016, który miał pomóc w ochronie krytycznej infrastruktury, leżał na półce.
A o tym, że jest co chronić, może świadczyć choćby atak hakerów na samorządowe serwisy oraz BIP-y we wrześniu ubiegłego roku. Zaatakowanych zostało kilkaset biuletynów. Po kliknięciu zamiast właściwych danych pojawiał się szkolny samochód i napis zawierający m.in. stwierdzenie, że polskie szkoły uczą „spożywać duże dawki alkoholu”. Z kolei na przełomie stycznia i lutego w ramach protestów przeciwko przystąpieniu do ACTA haktywiści (hakerzy aktywiści) zablokowali działalności kilkudziesięciu rządowych i samorządowych witryn.
Niemniej dokument Polityka Ochrony Cyberprzestrzeni ma jedną, niezaprzeczalną zaletę. Ustala mianowicie, że za bezpieczeństwo infrastruktury informatycznej państwa odpowiada Ministerstwo Administracji i Cyfryzacji. Do tej pory nie jasne było, kto ma to robić – ono czy MSW.
