Mamy najwyżej trzy lata, aby zbudować cybersystem, który zabezpieczy instytucje państwowe, samorządowe i sektor prywatny.
Nigdy. Nie zamierzam być ministrem.
Zapewne tak, ale to już będzie decyzja minister Streżyńskiej.
Dziś tak naprawdę każdy poczuwa się tylko do tego, by chronić swoje dane i swoje systemy. I tu, trzeba przyznać, sytuacja jest na niezłym poziomie. Ale to jest niewystarczające. Zamierzamy zbudować system ochrony oparty na trzech poziomach. Po pierwsze bezpośredniej, podstawowej ochrony danych. Druga część to tworzenie klastrów bezpieczeństwa. W przypadku instytucji rządowych chcemy zbudować specjalny intranet, do którego wszystkie te klastry będą podłączone. Dzięki temu wymiana informacji między ministerstwami będzie się odbywała w ramach zamkniętej sieci. A jeżeli zlokalizujemy cokolwiek, co może zagrozić cyberbezpieczeństwu, możemy blokować to już na wejściu. Obok klastru rządowego mają działać też analogiczne wojewódzkie dla samorządów i branżowe.
Wszystkie będą musiały z rządowym współpracować, ale zachowają swobodę działania. Trzecia część nowych zasad to system wczesnego ostrzegania, czyli monitorowanie tego, co w ogóle dzieje się w sieci. Tego do tej pory nie mieliśmy.
To za mało. Owszem, ARAKIS i CERT-y w obecnym kształcie pewne zagrożenia wyłapywały, ale mają za małe kompetencje, by wszystko wykryć. Internet, wbrew temu, co nam się wydaje, ma granice. Są tzw. transgraniczne punkty wymiany internetu, przez które odbywa się komunikacja z innymi krajami. Obecnie są one monitorowane tylko przez operatorów. I to każdego z nich indywidualnie. Owszem, sprawdzają, czy u nich w sieciach nie ma jakichś anomalii czy ataków, ale brakuje mechanizmu pozwalającego kontrolować, czy te indywidualne dane, pojedynczo niegroźne, po zsumowaniu nie są groźne lub nie świadczą o nadciągającym zagrożeniu. Wiedząc o tym, można zapobiec atakom, nawet zablokować łącze. I, co ważne, chodzi o to, by takie rozbite ataki móc blokować nie tylko w stosunku do instytucji państwowych, ale całościowo – dla ogółu państwa.
Jesteśmy w lesie. Żeby to zmienić, musimy najpierw dobrze i jasno rozdzielić kompetencje.
To nie taka prosta sprawa. Jest czterech graczy: MSWiA, MON, ABW i MC. I każdy z nich przyznaje się do odpowiedzialności za sferę cyberbezpieczeństwa. Każdy ma rację, tyle że odpowiada za inną część tego zagadnienia. MSWiA odpowiada za ściganie przestępców. W przypadku zagrożeń terrorystycznych najważniejsza jest ABW, a w tych militarnych oczywiście MON. To jest jasne. W przeszłości brakowało tu tego ogniwa, jakim jest resort cyfryzacji, bo to on odpowiada za to, by zharmonizować współpracę zarówno między dużymi graczami, jak i cywilnymi elementami: rejestrami, systemami bankowymi, finansowymi, energetycznymi, transportowymi, tak by obywatel czuł się bezpieczny w sieci. Dużo będzie zależało od zrozumienia, jak ten system ma funkcjonować. Ważne, by pogodzić interesy wszystkich instytucji i wdrożyć specjalny program szkoleniowo-treningowy. Spotykam się np. z rektorami politechnik, by z nimi rozmawiać o zmianach w programach nauczania. Chodzi o to, by projektanci systemów od początku tworzyli je już nie tylko intuicyjne i funkcjonalne, ale też bezpieczne. Musimy mieć w urzędach zdyscyplinowanych administratorów technicznych i administratorów treści. Przed szczytem NATO i Światowymi Dniami Młodzieży jeszcze w czerwcu robimy szkolenia, by wszystkich uczulić na pewne zagadnienia. Ważne, by z problemami zgłaszać się do CERT-u Narodowego. A to tylko część prac. Dziś kto odpowiada za pani bezpieczeństwo w internecie?
Właśnie. A chcemy, by był to także operator dostarczający pani internet. By jego zadaniem było monitorowanie i zawiadamianie pani o ewentualnych zagrożeniach, o tym, że ważność programu antywirusowego się skończyła. Internauta nie powinien z tymi problemami zostawać sam. Najwięcej zainfekowanych komputerów, tzw. zombi, jest w naszych domach. A więc samo dbanie o instytucjonalne bezpieczeństwo to mało. By te wszystkie zadania dograć, konieczne są zmiany w prawie, od stworzenia ustawy o cyberbezpieczeństwie po nowelizację prawa telekomunikacyjnego.
Struktura jak najbardziej. Już mamy pewne instytucje, które wypracowują tutaj kierunki działań. Prócz organizacji międzynarodowych to np. Biuro Bezpieczeństwa Narodowego czy Rządowe Centrum Bezpieczeństwa. Ale konieczne jest zorganizowanie reszty systemu, a szczególnie CERT-u Narodowego jako takiego centrum ostrzegawczego i ratunkowego działającego w systemie 24 godziny na dobę. Dotąd ochrona cyberprzestrzeni w często funkcjonowała od 8 do 16. A w większości ministerstw nie było nawet zespołów ds. cyberbezpieczeństwa. Dopiero teraz są powoływane.
Już jakieś 80 proc.
Samorządy są samorządne, więc mamy tu ograniczone możliwości. Ale mamy pomysł na specjalne klastry wojewódzkie, które także będą pełniły całodobowe dyżury. Te wojewódzkie klastry będą oferować pomoc, monitoring, szybkie reagowanie tak, by nawet po pracy urzędów była kontrola i opieka nad ich systemami.
Budżet będzie, gdy będzie zatwierdzona strategia. Ale nie demonizowałbym tu pieniędzy. Tu nie są potrzebne ogromne sumy. Ważniejsze są struktury i odpowiedni system. Co do finansowania: CERT Narodowy będzie umiejscowiony w NASK, a więc część kosztów jego funkcjonowania będzie pokrywana przez państwo, a część, jako że NASK zarabia, będzie możliwa do pokrycia komercyjnie.
To nie będzie wielka armia. Każdy klaster to kilku, kilkunastu ekspertów. Jeszcze nie mamy pełnych szacunków, ale w przypadku ministerstw potrzeba nam na wzmocnienie zasobów ludzkich 6 mln zł rocznie. Tyle ma wynieść budżet tzw. złotej setki. Doskonale wiemy, administracja ma ten poważny minus, że ma siatkę płac, sporo niższych niż rynkowe. Ale mamy zatrudnionych sporo inteligentnych, świetnych ludzi, których jeszcze nie wyłowił biznes. Stąd pomysł na stworzenie puli dodatkowych pieniędzy, aby ich zmotywować. To ma być ok. 100 ekspertów, którzy będą tworzyć specjalny zespół. Te 6 mln zł rocznie to nie są wielkie pieniądze dla rządu, a wartość dodana z tej inwestycji może być ogromna.
Sektory krytyczne są świadome zagrożeń i same sobie nieźle zorganizowały system. Problem był w tym, że nie było obiegu informacji o tym, że coś się dzieje. Teraz te informacje będzie zbierał CERT Narodowy i jeśli uzna, że zagrożenie jest realne, poinformuje CERT-y kolejnych sektorów.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu