Będziemy chcieli przetestować reakcje służb i instytucji na wyciek danych polityków, do jakiego doszło w Niemczech - mówi w wywiadzie dla DGP Karol Okoński, wiceminister cyfryzacji i pełnomocnik rządu ds. cyberbezpieczeństwa.

Co by pan zrobił, gdyby dowiedział się, że doszło do wycieku danych polskich polityków analogicznego jak w Niemczech?
Przede wszystkim uczuliłbym wszystkich na przestrzeganie elementarnych zasad bezpieczeństwa obecności w sieci. Na szczęście dziś jesteśmy, jeśli chodzi o kwestie z tym związane, w zupełnie innym miejscu niż jeszcze trzy lata temu. To, że mamy wreszcie w Polsce ustawę o krajowym systemie cyberbezpieczeństwa, która konsoliduje w jednym akcie prawnym działania związane z cyberbezpieczeństwem państwa, powoduje, że mamy doprecyzowaną ścieżkę działania. W takiej sytuacji mógłbym więc zaangażować odpowiednie zespoły do spraw incydentów komputerowych, które zebrałyby informacje o tym, co się wydarzyło, sprawdziły, czy wcześniej nie było informacji o atakach. Musimy być świadomi, że jednym z problemów, jaki mamy, nie tylko zresztą w Polsce, ale i na świecie, jest to, że nie wszystkie incydenty naruszenia bezpieczeństwa są zgłaszane. A to jest bardzo ważne. Dzięki temu można przeciwdziałać następnym atakom. W zależności od oceny sytuacji mógłbym zawnioskować o powołanie zespołu ds. incydentów krytycznych, którego działanie przewiduje nasza ustawa, a który włącza wszystkie służby i RCB w działania w ramach zarządzania kryzysowego. Reakcje na takie zdarzenia jak w Niemczech będziemy zapewne chcieli przetestować w ramach ćwiczeń.
Czy były jakieś informacje ze strony niemieckiej dotyczące tej sprawy, np. że w Polsce też może dojść to takich zdarzeń?
Na poziomie ministerialnym nie, ale i tak przyglądamy się sprawie. Nie wykluczam jednak, że służby między sobą się kontaktowały i jakąś notatkę na ten temat otrzymam.
Czy rozważa pan wprowadzenie jakichś zaleceń dla naszych polityków, dotyczących standardów cyberbezpieczeństwa?
Niewykluczone, że jakaś rekomendacja powinna się pojawić. Na przykład dotycząca używania sprzętu prywatnego, zasad kopiowania danych czy ich przesyłania w sieci. Pracujemy nad standardami bezpieczeństwa, choć one w pierwszej kolejności dotyczą serwerowni, czyli przetwarzania danych w rejestrach państwowych. W dalszej kolejności myślimy o takich obszarach jak stacje robocze i telefony komórkowe.
Czy w ramach krajowego systemu cyberbezpieczeństwa przewiduje pan ćwiczenia, nie tylko na poziomie technicznym, ale również z udziałem ministrów i samego premiera?
Oczywiście. Chcemy w tym roku zorganizować przynajmniej jedne ćwiczenia na poziomie krajowym z ewentualnym uczestnictwem jeszcze innego kraju po to, by zasymulować incydent, który dotyka więcej niż jednego państwa europejskiego. Niewykluczone, że włączymy w te ćwiczenia podmioty komercyjne. Rozważamy też udział osób na stanowiskach politycznych, być może nawet premiera. Ale to musimy jeszcze ustalić. Ćwiczenia to jedyny sposób, by sprawdzić zapisy i procedury krajowego systemu cyberbezpieczeństwa.
Ustawa zakłada wyznaczenie operatorów usług kluczowych, którzy mają strategiczne znaczenie dla działania i bezpieczeństwa państwa. Którzy z nich są najsłabiej przygotowani?
Najbardziej dojrzały w obszarze bezpieczeństwa jest sektor finansowy, czyli banki, energetyka też jest na niezłym poziomie. Ale mamy też słabsze obszary i zdajemy sobie z tego sprawę. Decyzje o wyznaczeniu operatorów usług kluczowych są w toku. Chciałbym, żeby wszystkie zapadły w ciągu dwóch miesięcy. I będę wywierał presję, by ten proces zakończył się jak najszybciej. Szacujemy, że w sumie operatorów usług kluczowych będzie między 400 a 500.
Pojawiają się informacje, że Ministerstwo Zdrowia chciałoby, aby część szpitali nie była wyznaczona jako operatorzy usług kluczowych. Co pan na to?
To bardziej skomplikowane. Operatorzy usług kluczowych wyznaczani są po to, by w razie incydentu zachowana była ciągłość działania państwa. Siłą rzeczy obszar zdrowia nie może być w prosty sposób z tego wykluczony. Do dyskusji jest oczywiście, gdzie ustawimy próg, co jest, a co nie jest usługą kluczową. Nie chodzi o to, by wymuszać ogromne inwestycje bez uzyskania wartości, o którą nam chodzi. Ale stawką jest bezpieczeństwo. Nie wykluczam, że niektóre z ministerstw ustawiły ten próg zbyt wysoko. Po wyznaczeniu operatorów usług kluczowych mogą mieć refleksję, że może trzeba było to inaczej zrobić. Na pewno musimy przede wszystkim dokończyć wybór operatorów usług kluczowych według zasad, które ustaliśmy. Potem są przewidziane terminy dotyczące dostosowania się operatorów do obowiązków. Nie wykluczam zmian, ale pod warunkiem, że uwzględnione będą analizy po pewnym okresie. Będziemy mogli wtedy ocenić, co działa dobrze, a co można poprawić.
A jak wygląda sytuacja w sektorze transportu?
O ile z sektorem energii czy finansowym mieliśmy dosyć sporo spotkań i dyskusji przed i po uchwaleniu ustawy, to z sektorem transportu te interakcje były mniejsze. Kiedy zostaną wybrani operatorzy usług kluczowych, chciałbym z Ministerstwem Infrastruktury ustalić sposób wypracowania rekomendacji dla tej branży. W tym momencie nie ma jeszcze listy operatorów w tym sektorze. Poza dyskusją jest, że ta branża ma ogromne znaczenie.
Czy nie brał pan pod uwagę testów penetracyjnych robionych na systemach państwowych? Tak, żeby specjaliści, mówiąc kolokwialnie, „postrzelali” do systemów administracji i sprawdzili, gdzie są słabe punkty?
Mówi pan o „bug bounty”… Są takie pomysły, podstawę prawną do tego typu działania mamy. Trzeba jednak pamiętać, że takie akcje muszą być odpowiednio zorganizowane i zabezpieczone, by ktoś niechciany się do tego nie przyłączył i nie zagroził bezpieczeństwu państwa. Proszę jednak pamiętać, że testy bezpieczeństwa są wykonywane regularnie, szczególnie przy okazji wdrożeń nowych wersji systemów.
Nie widzę działań promocyjno-edukacyjnych w obszarze cyberbezpieczeństwa organizowanych przez ministerstwo. Kiedy to się zmieni?
Na pewno się zmieni, i to wkrótce. Poprzedni rok był poświęcony na wybór koncepcji. Głównym kanałem, w którym chcemy działać, będzie sieć i media społecznościowe. Doskonale jednak wiemy, że jeśli chodzi o bezpieczeństwo w sieci, nic nie zastąpi świadomości obywateli.