Gen. Nowak: budujemy wojewódzkie klastry cyberbezpieczeństwa

Wiadomo, że wprowadzenie strategii cyberbezpieczeństwa nie będzie tanie. Mówimy o setkach milionów złotych każdego roku. Czy Ministerstwo Cyfryzacji ma pewność, że znajdą się na to pieniądze?

- W administracji działa to w ten sposób, że najpierw zaakceptowana musi zostać strategia, a w ślad za nią będą podążać pieniądze. Jeśli państwo polskie uzna, że sprawa bezpieczeństwa w cyberprzestrzeni jest na tyle istotna, że warto na nią wydać określone pieniądze, to na pewno te pieniądze się znajdą.

O jakiej kwocie mówimy?

Nie szacowaliśmy jeszcze tego. Myślę, że pod koniec czerwca będziemy znali pierwsze szacunki. Trzeba podzielić zadania na dwa obszary. Jeden obszar będzie finansowany przez rząd, a drugi przez sektory, które wchodzą w skład systemu cyberbezpieczeństwa, takie jak energetyka, transport, finanse.

Wiemy, że do końca czerwca powstanie strategia cyberbezpieczeństwa, a do końca roku – ustawa o cyberbezpieczeństwie. Jakie są pozostałe terminy dla zadań Ministerstwa Cyfryzacji? Kiedy gotowy będzie system wczesnego ostrzegania, klaster bezpieczeństwa rządowego?

Już prowadzimy rozmowy z operatorami internetowymi na ten systemu wczesnego ostrzegania. Uruchomimy go tak szybko, jak tylko to będzie możliwe. Zapewne w ograniczonym zakresie zacznie on funkcjonować jeszcze przed szczytem NATO. Przymierzamy się bardzo intensywnie do klastra bezpieczeństwa rządowego. Spodziewam się, że – również w pewnym zakresie - uda się go wprowadzić do końca czerwca.

Wiele instytucji i polityków opozycji obawia się, że monitorowanie sieci oznacza zaglądanie do treści, z których korzystają internauci. To narzędzie może być wykorzystywane do inwigilacji na szeroką skalę.

Nie. System wczesnego ostrzegania ma za zadanie tylko i wyłącznie monitorowanie natężenia ruchu i monitorowanie wektorów potencjalnego ataku, gdyby taki się pojawił. Chodzi też o to, aby agregować te dane w jednym miejscu. Ataki, o których tu mówimy, często są kierowane z zagranicy do kilku operatorów, kilku punktów wymiany internetu. Na pojedynczym punkcie nie widać takiego ataku, natomiast gdy zbierze się te dane z kilku punktów, wyraźnie widać, skąd pochodzi wektor ataku.

Własne plany wobec cyberbezpieczeństwa ma ministerstwo rozwoju. W jaki sposób prace nad strategią cyberbezpieczeństwa pokrywają się z tzw. planem Morawieckiego i zapowiedzią budowy Cyberparku Enigma?

Te prace są skorelowane, ponieważ wszystko jest robione pod egidą minister Streżyńskiej. Na tym polu jest pełna współpraca. Wymieniamy się informacjami, uczestniczymy w  pracach ministerstwa rozwoju. Nie widzę tutaj zagrożenia.

Jaki jest cel przygotowywania ustawy o cyberbezpieczeństwie? Jaką rolę ma ona pełnić, skoro powstaje już strategia cyberbezpieczeństwa?

Ustawa przede wszystkim będzie musiała się odnieść do dyrektywy NIS. Musimy wdrożyć do polskiego porządku prawnego wszystkie zalecenia z dyrektywy.  Ustawa będzie rozszerzona również o współdziałanie sektora rządowego z innymi sektorami. Będzie  w sposób syntetyczny obejmowała prawa i zakresy obowiązków osób uczestniczących w działaniach w cyberprzestrzeni.

Jaki jest cel budowy narodowego CERT-u na bazie CERT Polska, który działa w strukturze NASK? Czy nie lepiej byłoby skupić się na budowie CERT-ów sektorowych?

To jest błędna informacja. Nie będzie jednego CERT-u. CERT Narodowy będzie odpowiadał za system wczesnego ostrzegania i -  częściowo - za monitorowanie klastra rządowego. Wszystkie pozostałe zadania będą delegowane do CERT-ów operatorskich, sektorowych takich jak energetyka, transport, bankowość. W okresie natężenia spodziewanych zagrożeń, takich jak szczyt NATO i Światowe Dni Młodzieży, będziemy organizować wspólny War- room, gdzie wielu graczy będzie siedziało w jednym miejscu i będą mogli bardzo szybko wymieniać się informacjami. To nam się bardzo dobrze sprawdziło przy programie 500 plus, gdzie wszyscy interesariusze siedzieli w jednym pokoju, szybko wymieniali się informacjami. Ich działania były dzięki temu bardzo szybkie.

Co biznes zyska na współpracy z rządem w kwestii cyberbezpieczeństwa?

Biznes przede wszystkim zyska bezpieczną sieć. Będziemy podnosili świadomość użytkowników. Nieświadomi użytkownicy są przyczyną wielu problemów biznesu. To przez nich kradzione są pieniądze, dane, to takim osobom najłatwiej ukraść tożsamość. Stąd też szeroki program obejmujący również edukację użytkowników, administratorów, prokuratorów, sędziów. Ogólny poziom bezpieczeństwa wzrośnie i to właśnie będzie wartość dodana dla biznesu.

Mówi Pan o wzmocnieniu cyberbezpieczeństwa samorządów. W zarządach wojewódzkich mają powstać jednostki odpowiedzialne za bezpieczeństwo cyberprzestrzeni.

Jest to bardzo istotne zadanie. Dzisiaj nie ma takich zasobów finansowych, żeby można było w każdym mieście powiatowym wprowadzić całodobowe dyżury pilnujące serwisu samorządowego. Nie ma też takiej potrzeby. Chcemy budować wojewódzkie klastry bezpieczeństwa, gdzie jedna służba będzie monitorowała serwisy samorządowe przez całą dobę.

Z naszych informacji wynika, że zostanie Pan wiceministrem ds. cyberbezpieczeństwa.

Nie potwierdzam i nie zaprzeczam. Na razie jestem żołnierzem i dopóki tak jest, nie ma tematu.  

Czytaj też: Kandydat na dowódcę brygady CERT Narodowy

Minister Cyfryzacji podsumowuje półrocze i zapowiada zmiany w ePUAP