Paweł Pudłowski dla CyberDefence24.pl: Polska ciągle nie traktuje poważnie kwestii cyberbezpieczeństwa

Andrzej Kozłowski: Jak Pan ocenia polski stan cyberbezpieczeństwa, odnosząc się do raportu NIKu z 2015 roku i ostatnio raportu CERT.GOV?

Doktor Paweł Pudłowski: Moim zdaniem widzimy tylko wierzchołek góry lodowej, tylko to, co się przebija. Cyberbezpieczeństwo i cyberzagrożenia nie są tak widoczne i kolorowe jak zabójstwa czy wybuchy. Jednak ich konsekwencje mogą być nawet większe niż te, o których wyżej wspomniałem. Obecny status quo uważam za mierny. Myśle, że nie tylko jesteśmy otwarci na zagrożenia z zewnątrz, ale jesteśmy też nieskonsolidowani w środku. Panel podczas ostatniego Forum w Krynicy, który prowadziłem, o współpracy publiczno-prywatnej, miał na celu pokazanie, że tylko i wyłącznie przy współpracy tych dwóch, czy nawet trzech podmiotów. Obywatele też odgrywają pewną rolę, jest szansa na to, żeby w jakiś sposób móc się zabezpieczać, wcześniej wykrywać incydenty i próbować na nie odpowiednio reagować. Obecnie jednostki komercyjne budują ochronę na własny użytek i użytek swoich klientów.

Uważam, że rząd po macoszemu traktuje ten aspekt. Uczestniczyłem w szkoleniu w Akademii Obrony Narodowej na początku tego roku. Szkolenie dotyczyło strategii bezpieczeństwa kraju. Proszę sobie wyobrazić, że przez trzy dni szkolenia ani słowem nie zająknięto się o cyberzagrożeniach. Pokazuje do podejście do obecnej sytuacji w świecie, która to nie będzie polegała na ataku na port czy na punkt graniczny, ale uważam, że pierwsze będzie odcięcie nas od możliwości zarządzania infrastrukturą krytyczną. Na moje pytanie w tej sprawie nie uzyskałem dobrej odpowiedzi i dlatego, pozwoliłem sobie napisać interpelacje do ministra obrony narodowej z pytaniem na jakim etapie są prace, jak oni postrzegają bezpieczeństwo naszego kraju, naszej infrastruktury, głównie telekomunikacyjne, ale również dostałem zdawkową odpowiedź.

Moim zdaniem sytuacja się jednak poprawia. Przedstawiono projekt uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa RP na lata 2016 – 2020. Po panelu w Krynicy rozmawiałem z Panem generałem Nowakiem, wiem że prace są zaawansowane, również w przypadku ustawy, która będzie wdrażała dyrektywę NIS do polskiego porządku prawnego, ale nie tylko.

A. K.: Wspominał Pan o roli Ministerstwa Obrony. Niestety bardzo niewiele wiadomo o roli MON-u w obszarze cyberbezpieczeństwa. Czy wie Pan na ten temat coś więcej? Czy uważa Pan, że rola MON powinna być większa, bo jeżeli patrzymy na inne kraje, to tam zaangażowanie ministerstwa obrony jest zdecydowanie większe?

P.P.: Uzyskałem od Pani Minister Cyfryzacji podczas Komisji Sejmowych informacje jak wygląda podział kompetencji. W tej sferze jest MON, który powinien nas bronić głównie przed zagrożeniami zewnętrznymi. Ministerstwo Spraw Wewnętrznych i Administracji razem z policją odpowiedzialne są za bezpieczeństwo wewnętrzne i ściganie, które jest bardzo trudne. Co z tego, że mamy IP w Helsinkach? To wymaga współpracy międzynarodowej. Trzeci element to ABW, które powinno chronić rząd i instytucje rządowe. Moim zdaniem taka koncepcyjna układanka jest dobra. I mamy oczywiście Ministerstwo Cyfryzacji, które jest wszędzie. W firmach porównałbym do subject matter experts, czyli mamy kilka placówek, które w danym obszarze posiadają kompetencje. Specjaliści świadczą usługi wewnętrzne, w tym przypadku dla korporacji zwanej państwem. Odnośnie bardziej szczegółowej odpowiedzi z MON - my nie dostaliśmy żadnej informacji oprócz odpowiedzi na moją interpelację.

Chciałbym zorganizować wspólne spotkanie z MON i z Komisją ds. Służb Specjalnych. W pierwszym kwartale bieżącego roku pojawiła się informacja o przejęciu infrastruktury krytycznej na Ukrainie. Zasygnalizowałem wówczas, że chciałbym się spotkać z przedstawicielem Polskich Sieci Energetycznych i porozmawiać w jaki sposób oni się bronią. Przykładem dobrej działalności jest PERN. Podczas jednego z paneli na Forum w Krynicy, przedstawiciel PERN-u mówił jak poważnie podchodzą do tego tematu. W firmach często dominuje przekonanie, że ten koszt po stronie informatyki jest niepotrzebny i wszyscy są zadowoleni. Dopiero jak coś źle się dzieje to wszyscy mają do siebie pretensje. PERN jest przykładem firmy, która wyprzedzająco zdała sobie sprawę, że w obecnym zdigitalizowanym i zależnym od rozwiązań cyfrowych świecie nie można tych spraw pozostawiać samym sobie. Uważam, że więcej firm w obszarze infrastruktury krytycznej pójdzie tym samym śladem i zacznie współpracować.

Ponadto sądzę, że CERT Narodowy pod egidą Ministerstwa Cyfryzacji powinien rozbudowywać SoC przy NASK-u i powinien on zawierać elementy możliwe do rozwijania dla spółek. Tylko przy współpracy publiczno-prywatnej, czyli koordynacji przepływu informacji i działań. Nie mam na myśli inwestycji czy kupowania usług. Chodzi o współpracę, wszystkim zależy na tym samym, żeby bardzo szybko wykrywać incydenty i je eliminować. Wczoraj miałem rozmowę z IBM i posiadają oni technologie umożliwiające zauważanie pewnych kroków, które prowadzą do wejścia do systemu, z wyprzedzeniem.

A. K.: W 2015 roku w raporcie PwC, pojawiła się informacja, że dopiero w 2015 roku firmy chciały raportować o cyberatakach, których padły ofiarą. Wcześniej w ogóle problem dla nich nie istniał. Druga to, że firmy w Polsce ogólnie nie są chętne do współpracy - nie tylko z sektorem publicznym, ale również między sobą. Co zrobić w takim razie, żeby je zachęcić i czy nie uważa Pan, że powinniśmy mówić nie tylko o współpracy publiczno-prywatnej, ale również pomiędzy podmiotami prywatnymi?

P.P.: Współpraca jest oczywiście konieczna. Wydaje mi się, że dla większości firm informacja, że ich system jest nieszczelny, że informacje o ich klientach wyciekły, że z kont bankowych znikają pieniądze jest informacją gorszącą. Nie mam zaufania do banku, który notorycznie informuje o tym, że są włamania do jego systemu. Nie mam zaufania do dostawcy usług GSM, który nie ma dobrej infrastruktury zabezpieczenia. Moim zdaniem są obszary, w których tak naprawdę nie musimy poznawać skali zagrożeń. Tylko mamy właściwy, odpowiednio wcześniej przystosowany system przeciwdziałania jak np. w SOC w NASK-u. Przygotowane tam są stanowiska dla różnych spółek, które współpracują. Czyli jeżeli coś się dzieje, mamy na miejscu specjalistów, którzy mają połączenie ze swoimi systemami. Także to jest bardzo dobre rozwiązanie i brakuje tego spoiwa, który moim zdaniem powinno być Ministerstwo Cyfryzacji.

Ubolewam, że strategia tworzy się tak długo, bo to jednak jest cały czas praca koncepcyjna, którą później trzeba będzie wdrażać, a to już mija prawie rok. Wiem że ministerstwo ma dużo innych zadań związanych również z e-PUAP, z naszymi bazami danych z rejestracjami itd. Dopracowanie tej strategii jak najszybciej jest kluczowe. Można stworzyć system zamknięty, w którym jesteśmy skupieni na reakcji, na odpowiednie wyprzedzające poznanie incydentu, przeciwdziałanie jemu no i wykluczeniu ewentualnych, negatywnych efektów.

A. K.: Z czego wynika problem jeśli chodzi o ściganie cyberprzestępców w Polsce? Z braku informatyki śledczej, złych przepisów prawnych czy braku doświadczenia odpowiednich ludzi?

P.P.: Problem jest złożony i nie ma jednej odpowiedzi. Dodatkowo do tego co Pan wymienił ja bym dodał jeszcze, że w większości przypadków jest to jednak zagrożenie międzynarodowe. To nie jest tak, że Ci ludzie przychodzą z innej gminy i kradną samochód, który gdzieś fizycznie się potem znajduje. Mówimy o świecie wirtualnym, czyli przestępca może być w Singapurze, Helsinkach, Nowym Yorku czy w Moskwie. Przestępcy poprzez przekierowania systemów bardzo dobrze się maskują. Nasze plenipotencje co do ścigania ograniczają się głównie do naszego okręgu. Uważam, że prawo jest dobre. Chociaż oczywiście, zawsze jest w opóźnieniu do nowych metod przestępczych, ale tutaj nie widzę głównego problemu. Pewnym problemem jest stan wiedzy w policji, bo jednak to są innego rodzaju wykroczenia. Ponadto jest również za mało ludzi.

A. K.: Jeśli chodzi o aspekt międzynarodowy, czy Państwo powinno zapewnić ochronę cyberbezpieczeństwa firmom, które inwestują na rynkach o podwyższonym ryzyku? Mówię tutaj głównie o Chinach i Rosji, gdzie cyberszpiegostwo traktowane jest jako element strategii firm.

P.P.: Myślę, że jest duży obszar do nadrobienia jeżeli chodzi o współpracę międzynarodową w tym zakresie. 9 lat temu został przeprowadzony na Estonię jeden z największych ataków na świecie. Zainicjowało to rozwój polityki cyberbezpieczeństwa przez NATO. Został stworzony departament, w którym na początku pracowała grupa około 100 specjalistów, którzy przygotowali od podstaw system obrony. Moim zdaniem NATO jest najbardziej predestynowane, przynajmniej w tej sferze obronności, do tego, żeby wprowadzić pewne standardy, które egzekwowane byłby w danych krajach i być może stanowiłby wzorzec dla pewnych rozwiązań wewnętrznych.

W cyberprzestrzeni prym wiodą Amerykanie, zaraz za nimi są Chińczycy, Rosjanie, Izrael. Polska pomimo tego, że ma znakomitych informatyków jest w tej dziedzinie gdzieś w środku stawki. Nie jesteśmy na pewno na końcu. Mamy z jednej strony sojuszników, o których możemy się uczyć, z drugiej jednak, ewentualnych konkurentów w tej dziedzinie, których działania powinniśmy odpowiednio wcześniej umieć rozpoznać. Dlatego widzę dużą rolę NATO czy innych instytucji, które mogłyby powstać w ramach Interpolu. Taka wymiana informacji o tym co się dzieje w pewnym zakresie następuje, ale na pewno jest tu obszar, który można rozwijać.

A. K.: Wracając do dyskusji na temat współpracy publiczno-prywatnej. Rozmawiamy o najważniejszych przedsiębiorstwach z sektora infrastruktury krytycznej, a co tak naprawdę z małymi i średnimi przedsiębiorstwami, które mają fundamentalne znaczenie dla polskiej gospodarki. Mają one problemy finansowe i automatycznie, czy też kadrowy, żeby się zabezpieczyć, a też są tak naprawdę celem ataków? Czy tutaj uważa Pan, że Państwo również tym podmiotom powinno oferować pomoc?

P.P.: Na pewno pomoc informacyjną, szkoleniową. Z jednej strony mówimy o twardych rozwiązaniach, ale często najsłabszym ogniwem systemu jest człowiek, który może przekazać swoje hasło lub nie zabezpieczyć używanego sprzętu. W konsekwencji następuje włamanie. Natomiast od strony rozwiązań informatycznych to sytuacja jest bardziej skomplikowana. Ciężko jest mówić o systemie antywirusowym stworzonym przez państwo i udostępnianym za darmo małym i średnim przedsiębiorstwom.

A. K.: W Stanach Zjednoczonych dominuje model oparty na współpracy dobrowolnej, ale w niektórych sektorach, jak np. w energetycznym, zostały wprowadzone obowiązkowe standardy cyberbezpieczeństwa, które należy wprowadzić, bo w innym wypadku firmom grożą kary. Czy Pan uważa, że jest to dobry sposób? Czy to jest sposób, żeby zachęcić firmy czy nawet je zmusić, żeby współpracowały i dbały o cyberbezpieczeństwo, chociażby w obszarze bezpieczeństwa infrastruktury krytycznej?

P.P.: Nie jestem zwolennikiem kar. Uważam, że odpowiedni standard zabezpieczeń powinien być deklaratywny i wynikać z woli danego przedsiębiorcy do bronienia siebie i zrozumienia dlaczego to jest ważne. Dlatego podkreślam aspekt edukacyjny. Uważam, że powinniśmy oferować naszym przedsiębiorcom rozwiązania, wskazywać w jaki sposób się bronić, szkolić ich i ich pracowników, czego nie udostępniać, do jakich sieci się podłączać, a do jakich nie. Jeżeli przedsiębiorcy nie zastosowaliby się do tych darmowych porad to myśleć o jakiś konsekwencjach. Natomiast nie możemy wymagać od przedsiębiorców, żeby nie wiadomo jak się zabezpieczali na własny koszt.

A. K.: Mam pytanie odnośnie świadomości zagrożenia w cyberprzestrzeni w administracji publicznej. Czy w Sejmie organizowane są jakiekolwiek szkolenia, które mają wyjaśnić jaki jest stopień zagrożenia i jak się przed nim chronić?

P.P.: Ta świadomość jest różna. Rzeczywiście były zorganizowane szkolenia, a Sejm podchodzi do tego odpowiedzialnie. Biuro Analiz Sejmowych przygotowało przed pierwszym posiedzeniem szczegółowe szkolenie na ten temat. Zostaliśmy wyposażeni w iPad-y, które są odpowiednio zabezpieczone. Każdy ma skrzynkę na serwerze sejmowym z której może korzystać. Były w przeszłości ataki na serwery sejmowe, ale chyba nic strasznego się jednak nie stało. Inną kwestią jest też zarządzanie dostępem do danych. W większości posłowie mają dostęp do informacji tajnych i te informacje nie są nadmiernie nam przydzielane. Z wyjątkiem oczywiście specjalnych komisji, komisji służb specjalnych czy MON-u. Natomiast w większości, te informacje są publiczne i dotyczą prac nad ustawami. Nie widzę tutaj nadmiernego zagrożenia.

A. K.: Czy sonda ARAKIS.GOV została już podłączona do Kancelarii Sejmu?

P.P.: Nie została ona jeszcze podłączona, cała sprawa się toczy. Ja nie uczestniczę w decyzjach. Pan wie jak jest zorganizowany Sejm, jest także jego administracja, która podlega PiS-owi.

A. K.:  Gdzie PiS popełnia błędy jeśli chodzi o cyberbezpieczeństwo? Co Pana zdaniem powinno się zrobić lepiej?

P.P.: Podstawową rzeczą jest aby szybciej przeprowadzać działania analityczne. Strategia powinna być gotowa po trzech miesiącach. Następnie kolejne dwa miesiące na uzgodnienia międzyresortowe i na wypowiedź opozycji. Strategie wdrażamy po maksimum 6 miesiącach naszego działania i proponujemy rozwiązanie. Jesteśmy opóźnieni, więc pierwsza z rzeczy, którą pod adresem PiS-u, którą od początku podkreślam, że nie mamy czasu i nie może być tak, że przez rok pracujemy nad strategią, która powinna powstać przed objęciem władzy. Partia Nowoczesna przeprowadza właśnie konsultacje eksperckie w różnych obszarach m.in. innowacyjności, cyfryzacji, gdzie aspekt cyberzagrożeń jest istotny. Jeżeli wszystko pójdzie zgodnie z planem no to mamy jeszcze trzy lata, żeby zagadnienia te dopracować i być odpowiednio przygotowanym.

Jako posłowie opozycji współpracujemy w ramach komisji z PiS. Ubolewam nad tym, że nasze poprawki nie są brane pod uwagę, a jeżeli tak to w zawoalowany sposób wracają w Senacie jako poprawki PiS-u. Bardzo liczę na to, że jednak z tym nowym rokiem sejmowym, PiS zacznie na nas patrzeć jak na cenny element układanki politycznej i stronę, którą może zaoferować własne rozwiązanie. Uważam, że za mało jest dialogu, za mało jest otwartości po stronie PiS-u na rozwiązania tzw. opozycji.

Czytaj też: Pudłowski: Streżyńska ma rację, krytykując e-państwo

Doktor nauk ekonomicznych Paweł Pudłowski jest posłem Sejmu VIII kadencji oraz członkiem partii Nowoczesna. Jest przewodniczącym Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.