Państwo i prywatny biznes są na siebie skazane , jeśli chodzi o zapobieganie zagrożeniom w sieci. Muszą jednak rozsądnie podzielić się obowiązkami i kosztami. Nowe przepisy poszły we właściwym kierunku.
Wzajemne uzależnienie widać szczególnie w sferze infrastruktury krytycznej. – Część z niej jest w rękach prywatnych, np. banków i firm telekomunikacyjnych, a część w rękach państwa, np. energetyka. Konieczna jest współpraca, bo inaczej nie da się zapewnić bezpieczeństwa – mówi DGP Przemysław Dęba, dyrektor odpowiedzialny za bezpieczeństwa systemów teleinformatycznych, infrastrukturę ICT i cyberbezpieczeństwo w Orange Polska.
W tym układzie państwo – sektor prywatny to na państwie spoczywa większa odpowiedzialność, bo pełni ono podwójną rolę. – Z jednej strony dysponuje funkcjami kontrolnymi, z drugiej musi tak działać, aby przedsiębiorcy mu ufali. Tu sprawdzi się otwarty dialog i precyzyjna definicja celu i zadań współpracy, ale także transparentne ustalenie podziału kosztów związanych z zapewnieniem cyberbezpieczeństwa – tłumaczy Dęba.
Nie tylko wymagania
Według Mirosława Maja, szefa Fundacji Bezpieczna Cyberprzestrzeń, współtwórcy zespołu CERT w NASK i byłego doradcy Ministerstwa Obrony Narodowej, krokiem w dobrą stronę w tych relacjach są rozwiązania zapisane w obowiązującej już ustawie o krajowym systemie cyberbezpieczeństwa. – Odchodzą one od modelu, w którym państwo stawia wymagania, zajmuje się kontrolą i nic nie daje w zamian – podkreśla Maj. – Z jednej strony są postawione wymagania wobec sektora prywatnego, ale z drugiej – państwo bierze na siebie część odpowiedzialności i zadań – dodaje, podkreślając zalety modelu współpracy polegającego na wymianie informacji, wzajemnym wsparciu i dzieleniu odpowiedzialności. Zwraca też uwagę, że nowe przepisy zlikwidowały mało skuteczne rozwiązania. – Nie ma już tego, że sektor prywatny musiał ileś tam razy raportować te same informacje do różnych instytucji. Trzeba zgłaszać incydenty do jasno wskazanych instytucji, ale w zamian można oczekiwać wsparcia w poradzeniu sobie z nimi – podkreśla.
Ale według Łukasza Bromirskiego, dyrektora technicznego polskiego oddziału Cisco, państwo powinno kontrolować, a nawet wymusić, aby firmy transparentnie informowały o cyberatakach. – Częściowo mamy już w Polsce taką sytuację dzięki RODO i ustawie o Krajowym systemie cyberbezpieczeństwa, ale to jeszcze nie wszystko – mówi DGP.
Zgadza się z nim Dęba. Jego zdaniem państwo mogłoby – w zakresie dozwolonym przepisami prawa – stymulować wymianę informacji między prywatnymi firmami oraz sektorem publicznym w zakresie podatności i cyberataków, jak również proponować wspólne standardy bezpieczeństwa. – Czasami firmy prywatne niechętnie dzielą się informacjami na temat incydentów, które ich dotknęły, bo może to naruszyć wizerunek firmy u klientów. Inne z kolei szukają w cyberbezpieczeństwie swojej przewagi konkurencyjnej – mówi nasz rozmówca.
Rzeczywiście prywatne firmy z natury rzeczy konkurują między sobą i dzięki temu mają szanse na opracowanie najlepszych rozwiązań, które trafiają następnie na rynek. – Wiedza na temat tych rozwiązań powinna także spływać w miarę regularnie do sektora publicznego po to, żeby był w stanie efektywnie zabezpieczać państwo i mógł edukować społeczeństwo – podkreśla Bromirski. – Dzięki temu np., że podzielimy się jakąś próbą złośliwego oprogramowania, ktoś inny znajdzie rozwiązanie, którym też może się podzielić – tłumaczy Maj.
Bromirski widzi także rolę państwa w pilnowaniu, aby nie doszło do wynaturzenia konkurencji między firmami, którego skutkiem może być zagrożenie dla naszych danych. Czyli np. handlowanie nimi bez wiedzy ich właścicieli.
Więcej kompetencji
Kolejny istotny aspekt współpracy to, jak zwracają uwagę eksperci, rola czynnika ludzkiego w administracji państwowej. Zdaniem eksperta Cisco w sektorze państwowym na stanowiskach kierowniczych powinni pracować specjaliści, którzy będą w stanie nie tylko zarządzać infrastrukturą teleinformatyczną państwa, ale będą także posiadali szeroką wiedzę na temat cyberbezpieczeństwa. – Bo ci ludzie podejmują decyzje dotyczące wydawania publicznych pieniędzy – wyjaśnia.
W takich krajach jak Estonia ludzie w administracji publicznej mają bardzo dużą wiedzę techniczną o cyberbezpieczeństwie. – W Polsce nie jest tak kolorowo, ale jest lepiej, niż było pięć czy 10 lat temu. Choć zarobki nie są zachęcające do pracy w administracji publicznej, to jednak coraz więcej osób z dużą wiedzą techniczną pojawia się na stanowiskach dyrektorów czy naczelników wydziałów w urzędach – mówi Łukasz Bromirski. Ale wiedza bez praktyki jest mało skuteczna. Dlatego według naszego rozmówcy jednym z ważnych elementów budowy i wzmacniania cyberbezpieczeństwa państwa są różnego rodzaju ćwiczenia. – To dzięki nim buduje się sieć kontaktów i znajomości między specjalistami z administracji państwowej a specjalistami z sektora prywatnego, które potem mogą procentować – dodaje. – W organizacji ćwiczeń wyspecjalizowały się firmy czy fundacje prywatne, dlatego nie wydaje mi się, aby musiało w ich organizację włączać się państwo, choć absolutnie powinno być ich uczestnikiem – przekonuje.
Mirosław Maj zwraca uwagę, że ustawa o krajowym systemie cyberbezpieczeństwa zakłada organizację ćwiczeń, choć nie precyzuje, ile razy w roku należałoby je przeprowadzać. – Obecnie brakuje ćwiczeń na poziomie najwyższym, które sprawdzą, co się stanie w państwie, jeśli dojdzie do cyberataku – dodaje. Jak mówi, chodzi o przetestowanie działań na poziomie ministrów rządu.
Bromirski zwraca uwagę, że bardzo ważną rolą państwa, w której sektor prywatny nie jest w stanie w całości zastąpić administracji publicznej, jest edukacja. – Szkoła od podstawówki do studiów niezależnie od kierunku powinna edukować na temat cyberbezpieczeństwa – mówi.
Wtóruje mu Dęba. – Bez podnoszenia świadomości internautów nie zwiększy się poziom cyberbezpieczeństwa. A to jest zadanie, które mogą wspólnie realizować zarówno organizacje społeczne, państwo, jak i prywatne firmy. Uważam, że najważniejsza jest świadomość zagrożeń i odpowiednia profilaktyka – dowodzi. Przyznaje jednak, że mimo pozytywnej oceny ustawy o krajowym systemie cyberbezpieczeństwa brakuje w niej większego nacisku na ochronę zwykłych użytkowników.
Odpowiedzialność
Rola państwa bezwzględnie wzrasta w przypadku, kiedy mamy do czynienia z cyberwojną. – Państwo w takiej sytuacji powinno posiadać możliwości, aby sięgnąć po zasoby firm czy w ekstremalnej sytuacji poprosić je o pomoc w trybie nakazowym – mówi Łukasz Bromirski.
W sytuacji poważnego cyberataku największym wyzwaniem jest odpowiedź na pytanie, czy jest on skierowany przeciw konkretnej firmie czy państwu. Bo od tego zależy, jaka ma być reakcja. – Czyli czy mamy tylko się bronić, czy odpowiedzieć atakiem, który zneutralizuje przeciwnika. Ale w tym ostatnim przypadku istnieje wiele zagrożeń, np. takie, że możemy skrzywdzić postronne osoby lub całe firmy czy instytucje, wyłączając sieć komputerową jakiegoś szpitala, z której albo faktycznie działa atakujący, albo tylko podszywa się pod nią, albo wykorzystuje tymczasowo do ataku – mówi.
Bromirski uważa, że w najbliższej przyszłości należy wprowadzić odpowiedzialność firm produkujących oprogramowanie za błędy w nim. – Dominującą kulturą rynkową jest to, że firmy nie ponoszą odpowiedzialności za to, jak działa ich oprogramowanie, w szczególności w kontekście luk w systemach bezpieczeństwa. To musi się zmienić – podkreśla.
Obowiązki dla biznesu
Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm 5 lipca 2018 r., 1 sierpnia podpisał ją prezydent RP, a 28 sierpnia weszła w życie. Jednym z jej zadań jest uporządkowanie współpracy państwa z sektorem prywatnym. Przepisy definiują operatorów usług kluczowych, czyli instytucje, których działanie zależy od systemów informatycznych, np. firmy energetyczne, przewoźników lotniczych i kolejowych, szpitale, banki, przedsiębiorstwa zajmujące się zaopatrzeniem w wodę. Obowiązki w zakresie cyberochrony nałożone zostały na internetowe platformy handlowe, firmy świadczące usługi przetwarzania danych w chmurze i wyszukiwarki internetowe.
Wymienione podmioty zobowiązane są do zabezpieczenia swoich systemów, szacowania ryzyka i przekazywania informacji o zagrożeniach do CSIRT, czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego. Działają one w ABW, NASK i MON.
Powołany został pełnomocnik rządu ds. cyberbezpieczeństwa, którego zadaniem jest m.in. koordynowanie działań Rady Ministrów w sprawie bezpieczeństwa informatycznego Polski.
Ustawa zakłada także utworzenie od 1 stycznia 2021 r. systemu teleinformatycznego służącego do wymiany informacji o cyberzagrożeniach.
