Mamy najwyżej trzy lata, aby zbudować cybersystem, który zabezpieczy instytucje państwowe, samorządowe i sektor prywatny.
Panie generale, kiedy będziemy do pana mówić per „ministrze”?
Nigdy. Nie zamierzam być ministrem.
Będzie obiecywany wiceminister odpowiedzialny za te zadania?
Zapewne tak, ale to już będzie decyzja minister Streżyńskiej.
Jak ma wyglądać organizacja systemu?
Dziś tak naprawdę każdy poczuwa się tylko do tego, by chronić swoje dane i swoje systemy. I tu, trzeba przyznać, sytuacja jest na niezłym poziomie. Ale to jest niewystarczające. Zamierzamy zbudować system ochrony oparty na trzech poziomach. Po pierwsze bezpośredniej, podstawowej ochrony danych. Druga część to tworzenie klastrów bezpieczeństwa. W przypadku instytucji rządowych chcemy zbudować specjalny intranet, do którego wszystkie te klastry będą podłączone. Dzięki temu wymiana informacji między ministerstwami będzie się odbywała w ramach zamkniętej sieci. A jeżeli zlokalizujemy cokolwiek, co może zagrozić cyberbezpieczeństwu, możemy blokować to już na wejściu. Obok klastru rządowego mają działać też analogiczne wojewódzkie dla samorządów i branżowe.
Mają być podległe rządowemu?
Wszystkie będą musiały z rządowym współpracować, ale zachowają swobodę działania. Trzecia część nowych zasad to system wczesnego ostrzegania, czyli monitorowanie tego, co w ogóle dzieje się w sieci. Tego do tej pory nie mieliśmy.
A system ARAKIS działający przy CERT-ach, czyli zespołach powołanych do reagowania na cyberzagrożenia w ABW czy Naukowej i Akademickiej Sieci Komputerowej?
To za mało. Owszem, ARAKIS i CERT-y w obecnym kształcie pewne zagrożenia wyłapywały, ale mają za małe kompetencje, by wszystko wykryć. Internet, wbrew temu, co nam się wydaje, ma granice. Są tzw. transgraniczne punkty wymiany internetu, przez które odbywa się komunikacja z innymi krajami. Obecnie są one monitorowane tylko przez operatorów. I to każdego z nich indywidualnie. Owszem, sprawdzają, czy u nich w sieciach nie ma jakichś anomalii czy ataków, ale brakuje mechanizmu pozwalającego kontrolować, czy te indywidualne dane, pojedynczo niegroźne, po zsumowaniu nie są groźne lub nie świadczą o nadciągającym zagrożeniu. Wiedząc o tym, można zapobiec atakom, nawet zablokować łącze. I, co ważne, chodzi o to, by takie rozbite ataki móc blokować nie tylko w stosunku do instytucji państwowych, ale całościowo – dla ogółu państwa.
Jaki jest nasz obecny poziom zabezpieczenia?
Jesteśmy w lesie. Żeby to zmienić, musimy najpierw dobrze i jasno rozdzielić kompetencje.
O tym, że jest źle, wiemy od półtora roku z kontroli NIK, a i prace w resorcie trwają blisko pół roku. Więc to powinno być już w miarę jasno ustalone.
To nie taka prosta sprawa. Jest czterech graczy: MSWiA, MON, ABW i MC. I każdy z nich przyznaje się do odpowiedzialności za sferę cyberbezpieczeństwa. Każdy ma rację, tyle że odpowiada za inną część tego zagadnienia. MSWiA odpowiada za ściganie przestępców. W przypadku zagrożeń terrorystycznych najważniejsza jest ABW, a w tych militarnych oczywiście MON. To jest jasne. W przeszłości brakowało tu tego ogniwa, jakim jest resort cyfryzacji, bo to on odpowiada za to, by zharmonizować współpracę zarówno między dużymi graczami, jak i cywilnymi elementami: rejestrami, systemami bankowymi, finansowymi, energetycznymi, transportowymi, tak by obywatel czuł się bezpieczny w sieci. Dużo będzie zależało od zrozumienia, jak ten system ma funkcjonować. Ważne, by pogodzić interesy wszystkich instytucji i wdrożyć specjalny program szkoleniowo-treningowy. Spotykam się np. z rektorami politechnik, by z nimi rozmawiać o zmianach w programach nauczania. Chodzi o to, by projektanci systemów od początku tworzyli je już nie tylko intuicyjne i funkcjonalne, ale też bezpieczne. Musimy mieć w urzędach zdyscyplinowanych administratorów technicznych i administratorów treści. Przed szczytem NATO i Światowymi Dniami Młodzieży jeszcze w czerwcu robimy szkolenia, by wszystkich uczulić na pewne zagadnienia. Ważne, by z problemami zgłaszać się do CERT-u Narodowego. A to tylko część prac. Dziś kto odpowiada za pani bezpieczeństwo w internecie?
Ja sama.
Właśnie. A chcemy, by był to także operator dostarczający pani internet. By jego zadaniem było monitorowanie i zawiadamianie pani o ewentualnych zagrożeniach, o tym, że ważność programu antywirusowego się skończyła. Internauta nie powinien z tymi problemami zostawać sam. Najwięcej zainfekowanych komputerów, tzw. zombi, jest w naszych domach. A więc samo dbanie o instytucjonalne bezpieczeństwo to mało. By te wszystkie zadania dograć, konieczne są zmiany w prawie, od stworzenia ustawy o cyberbezpieczeństwie po nowelizację prawa telekomunikacyjnego.
A więc musi tu być jakaś struktura i konkretny odpowiadający za zarządzanie nią.
Struktura jak najbardziej. Już mamy pewne instytucje, które wypracowują tutaj kierunki działań. Prócz organizacji międzynarodowych to np. Biuro Bezpieczeństwa Narodowego czy Rządowe Centrum Bezpieczeństwa. Ale konieczne jest zorganizowanie reszty systemu, a szczególnie CERT-u Narodowego jako takiego centrum ostrzegawczego i ratunkowego działającego w systemie 24 godziny na dobę. Dotąd ochrona cyberprzestrzeni w często funkcjonowała od 8 do 16. A w większości ministerstw nie było nawet zespołów ds. cyberbezpieczeństwa. Dopiero teraz są powoływane.
I wszystkie resorty je już mają?
Już jakieś 80 proc.
Czy na samorządy i ich działania też będzie nacisk?
Samorządy są samorządne, więc mamy tu ograniczone możliwości. Ale mamy pomysł na specjalne klastry wojewódzkie, które także będą pełniły całodobowe dyżury. Te wojewódzkie klastry będą oferować pomoc, monitoring, szybkie reagowanie tak, by nawet po pracy urzędów była kontrola i opieka nad ich systemami.
Do tej pory poważnym problemem przy cyberbezpieczeństwie były naciski, by wszelkie zmiany wprowadzać bezkosztowo w ramach tego, co już w kraju mamy. NIK ostro za to krytykowała poprzedni rząd. Macie na te rewolucje zaklepany poważny budżet?
Budżet będzie, gdy będzie zatwierdzona strategia. Ale nie demonizowałbym tu pieniędzy. Tu nie są potrzebne ogromne sumy. Ważniejsze są struktury i odpowiedni system. Co do finansowania: CERT Narodowy będzie umiejscowiony w NASK, a więc część kosztów jego funkcjonowania będzie pokrywana przez państwo, a część, jako że NASK zarabia, będzie możliwa do pokrycia komercyjnie.
A wojewódzkie klastry? Tam trzeba będzie zatrudniać, a ludzie z rynku teleinformatycznego nie są tani.
To nie będzie wielka armia. Każdy klaster to kilku, kilkunastu ekspertów. Jeszcze nie mamy pełnych szacunków, ale w przypadku ministerstw potrzeba nam na wzmocnienie zasobów ludzkich 6 mln zł rocznie. Tyle ma wynieść budżet tzw. złotej setki. Doskonale wiemy, administracja ma ten poważny minus, że ma siatkę płac, sporo niższych niż rynkowe. Ale mamy zatrudnionych sporo inteligentnych, świetnych ludzi, których jeszcze nie wyłowił biznes. Stąd pomysł na stworzenie puli dodatkowych pieniędzy, aby ich zmotywować. To ma być ok. 100 ekspertów, którzy będą tworzyć specjalny zespół. Te 6 mln zł rocznie to nie są wielkie pieniądze dla rządu, a wartość dodana z tej inwestycji może być ogromna.
Mają być jeszcze CERT-y przeznaczone dla konkretnych sektorów, np. energetycznego, transportowego czy telekomunikacyjnego, czyli dla prywatnych przedsiębiorstw. To będą ich autonomiczne instytucje, czy będą podlegać CERT-owi Narodowemu?
Sektory krytyczne są świadome zagrożeń i same sobie nieźle zorganizowały system. Problem był w tym, że nie było obiegu informacji o tym, że coś się dzieje. Teraz te informacje będzie zbierał CERT Narodowy i jeśli uzna, że zagrożenie jest realne, poinformuje CERT-y kolejnych sektorów.