Normatywna definicja „cyberprzestrzeni” znajduje się w ustawie z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw. Cyberprzestrzenią jest przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne wraz z powiązaniami między nimi oraz relacjami z użytkownikami. System informatyczny to zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego[1].
Na mocy art. 2 ust. 1 ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej, art. 2 ust. 1 ustawy o stanie wyjątkowym, art. 2 ustawy o stanie klęski żywiołowej.
Bezpieczeństwem, w tym bezpieczeństwem cyberprzestrzeni zajmować się muszą właściwe organy władzy państwowej. W dzisiejszych czasach kwestie cyberbezpieczeństwa czy cyber wojny są istotnym elementem doktryn wojennych i obronnych wielu państw świata. Zagrożenia w tym obszarze wynikają również ze strony międzynarodowych grupo terrorystycznych i przestępczych. Ofiarami cyberprzestepczości padają państwa, poszczególne urzędy, systemy energetyczne, bankowe i inne. Ofiarami są także obywatele.
Tymczasem w Polsce poziom działań organów państwa dla zabezpieczenia bezpieczeństwa w cyberprzestrzeni jest bardzo niski. Świadczą o tym wnioski z raportu Najwyższej Izby Kontroli z 23 czerwca 2015 r. Wnioski te są niestety druzgocące dla polskiej administracji. Warto przytoczyć tu kilka zdań z Raportu NIK:
Administracja państwowa nie podjęła dotychczas niezbędnych działań, mających na celu zapewnienie bezpieczeństwa teleinformatycznego Polski. (…) bezpieczeństwo Polski w dalszym ciągu jest postrzegane jedynie w sposób konwencjonalny. Nie dostrzeżono, że powstała nowa kategoria zagrożeń, wymagająca pilnej reakcji państwa. Kierownictwo najważniejszych instytucji publicznych nie było świadome niebezpieczeństw związanych z funkcjonowaniem cyberprzestrzeni oraz wynikających z tego faktu nowych zadań administracji państwowej. (…) Działania podmiotów państwowych związane z ochroną cyberprzestrzeni były prowadzone w sposób rozproszony i bez spójnej wizji systemowej. (…) Dopiero w czerwcu 2013 r.
Rada Ministrów przyjęła „Politykę Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem braku porozumienia i źle rozumianego kompromisu, o niskiej jakości, nieprecyzyjny i obarczony wieloma błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość (…) podmiotów, co pozwala stwierdzić, że jej praktyczne zastosowanie w celu poprawy bezpieczeństwa teleinformatycznego państwa było jedynie symboliczne. (…) nie opracowano założeń systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Zgodnie ze stanowiskiem Ministra Finansów wskazującym na konieczność „bezkosztowego” wykonywania tych zadań, nie zostały również przydzielone żadne dodatkowe środki finansowe na ich realizację, co (…) praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego. (…) Nie były dotychczas prowadzone żadne prace legislacyjne mające na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. (…) Podmioty administracji państwowej nie podejmowały rzetelnych i adekwatnych działań w celu ustanowienia wymogów w zakresie bezpieczeństwa cyberprzestrzeni. (…) Podmioty państwowe w ogóle nie wykonywały w tym zakresie (kontroli przestrzegania ustanowionych wymogów z zakresu bezpieczeństwa teleinformatycznego – przypis DZP) obowiązków wynikających
z ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.
Podzielić należy wnioski i zalecenia NIK, a w szczególności:
- Ukierunkowanie działań państwa związanych z utrzymaniem bezpieczeństwa cyberprzestrzeni przede wszystkim na infrastrukturę krytyczną;
- Przyjęcie przez Radę Ministrów narodowej strategii zarządzania zagrożeniami występującymi w cyberprzestrzeni określającej: cele i strukturę organizacyjną krajowego systemu ochrony cyberprzestrzeni, zadania poszczególnych jego uczestników i przypisane do nich, precyzyjnie zdefiniowane produkty, mierniki i terminy realizacji;
- Określenie systemu finansowania zadań związanych z ochroną cyberprzestrzeni;
- Przyjęcie ram prawnych krajowego systemu ochrony cyberprzestrzeni, poprzez uchwalenie odrębnej ustawy jak również dokonanie inwentaryzacji i nowelizacji istniejących obecnie regulacji prawnych dotyczących m.in. zarządzania kryzysowego, Prawa telekomunikacyjnego, informatyzacji;
- Wyznaczenie krajowego organu koordynującego działania innych podmiotów w zakresie ochrony cyberprzestrzeni, będącego jednocześnie ERTem narodowym.
Zaleceniem nad którym szczególnie warto się zatrzymać, jest wskazanie przez NIK, że warunkiem efektywnej ochrony cyberprzestrzeni, jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych. NIK zasadnie wskazuje bowiem, że budowa cyberprzestrzeni odbyła się w zasadzie bez nadzoru i współpracy instytucji państwowych. Również przeważająca większość infrastruktury obsługującej polską cyberprzestrzeń jest w rękach podmiotów komercyjnych (głównie prywatnych), a podmioty te dysponują unikalną wiedzą i przygotowanymi pracownikami.
Według mnie państwo powinno nie tylko podjąć funkcje koordynacyjne działań administracji i podmiotów prywatnych oraz wymieniać z sektorem prywatnym informacje i narzucać mu standardy w zakresie ochrony cyberprzestrzeni. Moim zdaniem konieczne tu jest prawdziwe partnerstwo pomiędzy organami państwa oraz podmiotami prywatnymi zarówno tymi które zarządzają infrastrukturą krytyczna jak i tymi najbardziej narażonymi na cyberataki.
Budowa tego partnerstwa powinna rozpocząć się od wspólnej pracy analitycznej i prawnej nad postulowaną przez NIK nową ustawą określającą ramy prawne krajowego systemu ochrony cyberprzestrzeni, oraz przegląd istniejących regulacji w zakresie zarządzania kryzysowego, Prawa telekomunikacyjnego i informatyzacji. W proces wypracowania właściwych rozwiązań prawnych należy zaangażować wielu interesariuszy i ekspertów – firmy prywatne i reprezentujące ich organizacje takie jak Polska Izba Informatyki i Telekomunikacji, przedstawicieli nauki, prawników zajmujących się tą tematyka i organizacje obywatelskie. Nowe rozwiązania i standardy nie mogą zostać narzucone podmiotom prywatnym a muszą być wypracowane w porozumieniu z nimi. W przeciwnym bowiem razie nowy system nie będzie prawidłowo funkcjonował. Bez pełnego, partnerskie zaangażowania sektora prywatnego nie da się również zidentyfikować i zinwentaryzować pełnej listy infrastruktury krytycznej, co jest warunkiem koniecznym i wstępnym dla budowy narodowej strategii cyberbezpieczeństwa. Konieczne jest również zaangażowanie istniejących prywatnych zespołów CERT. Właściciele infrastruktury krytycznej i inne podmioty prywatne muszą mieć poczucie współodpowiedzialności za bezpieczeństwo cyberprzestrzeni. Nie da się tego zbudować nie budując partnerskich relacji.
[1] definicja z art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
Bardzo ciekawy artykuł Panie Wojciechu, dobrze zobrazował Pan problematykę, którą chyba dopiero zaczynamy na nowo poruszać – współpracy państwa i narodu.