Na krótką chwilę tematem kampanii stały się inwigilacja, prywatność i cyberbezpieczeństwo. Wszystko przez zainteresowanie oprogramowaniem szpiegowskim stosowanym przez polskie organy ścigania. Temat przeminął, wyzwania pozostały.
Cyberbezpieczeństwo jest szerokim zagadnieniem. Dziwi zatem, że temat rzadko jest w Polsce rozważany na poważnie. Dziś to głównie dziedzina technologii, polityki technologii i polityki bezpieczeństwa, ale cyberbezpieczeństwo oddziałuje też na gospodarkę, biznes, infrastrukturę krytyczną, bezpieczeństwo wewnętrzne i zewnętrzne, wojsko, a nawet stosunki międzynarodowe. Podczas wrześniowej sesji prac grupy roboczej w ONZ Polska wyraziła opinię, że nie potrzeba nowych między narodowych traktatów stabilizujących bezpieczeństwo w kontekście ryzyka cyberataków. Szeroki zakres tematyczny w połączeniu z szybką ewolucją problemów może wywołać zawroty głowy nawet wśród ekspertów.
Rozpoczynając prace nad stanem krajowego cyberbezpieczeństwa w 2010 czy nawet 2014 r., byłoby nam łatwiej osiągnąć dobrą pozycję na skalę światową. Dziś jest to już gonitwa. Bez kompleksowego i strategicznego podejścia nadrabiać będzie coraz trudniej. Negatywne konsekwencje mogą stać się społecznie odczuwalne w terminie średniookresowym. Dobrze, że w upływającej kadencji Sejmu rękawica została podjęta. Powstały strategie, plany inwestycyjne, programy badawcze. W większości w resorcie cyfryzacji.
Polacy rozumieją wagę cyberproblemów. Według badań Pew z 2018 r. 69 proc. z nas uważa, że w wyniku cyberataku wyciekną informacje wrażliwe z punktu bezpieczeństwa państwa, 59 proc. liczy się z uszkodzeniem infrastruktury po cyberataku. Tylko 30 proc. ocenia, że Polska jest dobrze przygotowana na cyberatak. Ta optymistyczna prognoza jest jednym z najniższych wyników na świecie. Dziś w porównaniu z sytuacją w ochronie zdrowia czy edukacji cyberbezpieczeństwo może wydawać się tematem hermetycznym. W tej sytuacji odpowiedzialność za wszystko, co zrealizowano i czego zaniechano, spada na ekspertów i polityków.
Cyberbezpieczeństwo w tej czy innej formie jest obecne w programach dwóch ugrupowań: PiS oraz w mniejszym stopniu KO. 2019 r. to pod tym względem krok milowy – wreszcie przyszli reprezentanci narodu wydają się jasno dostrzegać istnienie problemu i konieczność zajęcia się nim. W dokumencie największej opcji opozycyjnej cyberbezpieczeństwo jest wymienione w kontekście cyberprzestępczości, co jest realnym problemem gospodarczym. Podkreśla się też konieczność edukacji w temacie na poziomie szkolnym. Na tym temat się kończy.
Takie ujęcie problemu skupia się jednak na cyberbezpieczeństwie jako zagadnieniu bezpieczeństwa wewnętrznego. Problem polega na tym, że podejście „byle polska wieś spokojna” w odniesieniu do cyberbezpieczeństwa jest nieadekwatne, a żeby to zrozumieć, wystarczy spojrzeć na to, jak niektóre państwa testowo przeprowadzają cyber ataki na inne jako metody wywierania wpływu politycznego.
Dokument programowy PiS jest bardziej rozbudowany i obejmuje edukację, szkolnictwo, technologie, gospodarkę i wojsko. Program zawiera też dłuższy akapit poświęcony planowanemu powołaniu nowego rodzaju sił zbrojnych, wojsk obrony cyberprzestrzeni. Ten dobry pomysł jest potrzebą czasów. To samo robi dziś wiele innych państw, a część uczyniła to jakiś czas temu. Robi to też Polska, bo program partyjny powtarza to, co już jest wdrażane na poziomie państwowym. Być może przepisanie aktywnych planów i działań państwa do programu to przywilej partii rządzącej.
Warto jednak zastanowić się, dlaczego cyberbezpieczeństwo jest nagle traktowane poważnie. Wyjaśnienie zagadki znajduje się w otoczeniu prawno-technicznym: cyberbezpieczeństwo jest priorytetem UE. W poprzedniej kadencji Komisji Europejskiej uchwalono wiele regulacji. Jedną z tych mających wpływ na cyberbezpieczeństwo jest szeroko znane RODO.
W kwestii kompleksowego podejścia do cyberbezpieczeństwa Polska długo nie miała szczęścia. Nie starczy jednej dłoni, by zliczyć próby opracowania planów budowy samych dokumentów strategicznych. W jednym z takich przedsięwzięć brałem udział. To UE prawnie wymusiła konieczność sporządzenia jakiejś formy dokumentu opisującego strategię działania i planowanego podejścia. Nie było wyboru.
Podobnie sprawa może mieć się z cyberarmią, którą warto budować samą przez się, bez motywacji zewnętrznych. Trudno jednak nie zauważyć, że plan osiągnięcia gotowości operacyjnej (2024 r.) przypada blisko czasu, gdy analogiczną gotowość ma osiągnąć centrum NATO (2023 r.). Dzięki powstaniu cyber armii powstaje dodatkowe pole współpracy w ramach Sojuszu. To dobrze. Trzeba jednak przyznać, że nie prowadzi się rozmowy w sposób pozwalający ekspercko ocenić, czy planowane środki mogą doprowadzić do osiągnięcia celów ani nawet, jakie są te cele.
Ze względu na to, jak wygląda rzeczywistość geopolityczna wokół nas, aktywne działania musiałby podejmować każdy polski rząd. Kierując się tą logiką, nie dziwi, że cyberbezpieczeństwu w programie partii rządzącej poświęcono wiele miejsca. Rozczarowuje, choć nie musi zaskakiwać, że w programie największej partii opozycyjnej tematyce tej poświęcono mniejszą uwagę. Powodem może być brak wymuszonego praktycznym zapotrzebowaniem zaplecza eksperckiego w dziedzinie cyfryzacji i cyberbezpieczeństwa, na co zresztą wskazuje hasłowy rzut na taśmę propozycji wdrożenia głosowania przez internet.
Realizacja tego przedsięwzięcia w obecnych warunkach mogłaby wręcz obniżyć cyberbezpieczeństwo państwa. Zaskakuje, że tematu nie podjęły inne ugrupowania, które przecież są zainteresowane rozbiciem politycznego duopolu. Można oczekiwać, że w 2020, a najpóźniej w 2023 r. sytuacja ulegnie zmianie. Ale wtedy już po szczegółach, a nie ogólnikach, będzie można oceniać, jaki naprawdę jest stan państwa pod względem cyberbezpieczeństwa i jaka jest świadomość tematu oraz kompetencje wśród elit nad Wisłą.