Hiszpania pracuje nad nową strategią cyberbezpieczeństwa [ANALIZA]

21 sierpnia 2018, 10:30
NATO_SPAIN
Fot. Nato.int

W lipcu hiszpańska Rada Bezpieczeństwa Narodowego - CSN (Consejo de Seguridad Nacional), pod przewodnictwem króla Filipa VI, zdecydowała o podjęciu prac nad nową Narodową Strategią Cyberbezpieczeństwa, mającą zastąpić obowiązującą obecnie strategię z 2013 roku. Jednocześnie CSN uchwaliła procedurę przygotowania dokumentu, ogłoszoną w zarządzeniu Ministra Prezydencji w dzienniku urzędowym BOE (Boletin Oficial de Estado).

Przegląd i nowelizację obowiązującej od 2013 roku strategii przewiduje przyjęta w grudniu ubiegłego roku (przez ówczesny rząd Mariano Rajoya) Narodowa Strategia Bezpieczeństwa - ESN2017. Dokument ten uznał zapewnienie bezpieczeństwa w cyberprzestrzeni za jedno najważniejszych obszarów działania państwa w sferze bezpieczeństwa narodowego. Dynamiczne zmiany jakie następują w dziedzinie zagrożeń w cyberprzesterzeni sprawiają, że rozwiązania przewidziane w 2013 roku w celu ich zwalczania tracą systematycznie na skuteczności, co wymaga wypracowania mechanizmów i narzędzi adekwatnych do obecnej rzeczywistości, zdolnych sprostać także wyzwaniom przyszłosci.

Dodatkowym bodźcem jest także Dyrektywa NIS z 2016 roku, zobowiązująca państwa członkowskie UE do posiadania strategii bezpieczeństwa sieci i systemów informatycznych. Pomimo że Hiszpania formalnie taką strategię posiada to, z uwagi na narastające zagrożenia w tym obszarze odnotowywane w ostatnich miesiącach, zdecydowano, że konieczne jest wypracowanie nowego podejścia, zawartego w zaktualizowanej Strategii Cyberbezpieczeństwa. Podejście to powinno zapewniać spojrzenie z perspektywy bezpieczeństwa narodowego na wszystkie obszary, w których zagrożone mogą zostać hiszpańskie interesy narodowe.

Decyzja Rady przewiduje precyzyjną i drobiazgową procedurę przygotowania projektu strategii oraz kolejnych faz jego autoryzacji przez poszczególne organy konsultacyjne i decyzyjne, aby finalnie ją zaaprobować przez Radę Bezpieczeństwa Narodowego, jako najwyższy organ państwowy, właściwy w sprawach bezpieczeństwa narodowego. Zwyczajowo przewodniczy mu premier, jednak w razie udziału w obradach króla, to on przejmuje przewodnictwo.

Przyjęta procedura zakłada, że organem odpowiedzialnym przed Radą za przygotowanie ostatecznej wersji projektu jest podległa jej (jako organ pomocniczy) Narodowa Rada Cyberbezpieczeństwa - CNC, na czele której stoi sekretarz stanu - dyrektor Narodowego Centrum Wywiadu - CNI (Centro Nacional de Inteligencia), jedynej w hiszpańskim systemie służby specjalnej na poziomie państwowym. Do pomocy Radzie powołane zostały dwa zespoły o charakterze doradczym i eksperckim: Komitet Roboczy, składający się z przedstawicieli administracji oraz Komitet Ekspertów Niezależnych, składający się z przedstawicieli sektora prywatnego i publicznego oraz organizacji społecznych.

Główny ciężar prac faktycznie spadnie jednak na usytuowany w strukturach Ministerstwa Prezydencji (odpowiednik naszej Kancelarii Prezesa rady Ministrów) Departament Bezpieczeństwa Narodowego - DSN (Departamento de Seguridad Nacional). To jego zadaniem będzie organizacja i koordynacja prac obu komitetów oraz techniczna obsługa Rady Cyberbepieczeństwa. To on będzie odpowiedzialny za przygotowanie wspólnie z komitetami pierwszej roboczej wersji strategii i przedłożenie jej do aprobaty  Radzie Cyberbezpieczeństwa. W wersji ostatecznie przyjętej przez Radę strategia zostanie skierowana jako formalny projekt do zatwierdzenia przez Narodową Radę Bezpieczeństwa.

Zgodnie z wytycznymi sformułowanymi przez CNS projekt strategii powinien zawierać szerokie i przekrojowe ujęcie zagadnienia cyberbezpieczeństwa narodowego, wskazując jednoznacznie zarówno dobra podlegające ochronie, jak również precyzyjnie określone ryzyka i zagrożenia dla nich. Zawierać powinna także wyszczególnione cele do osiągnięcia, jak również konkretne kierunki i ścieżki planowanych i oczekiwanych działań. Intencją Rady Bezpieczeństwa Narodowego jest, by finalny dokument wytworzony został  w warunkach maksymalnie szerokiego konsensusu, a także aby zawarte w nim postanowienia i dyspozycje zostały rozpowszechnione w społeczeństwie, albowiem w dzisiejszych czasach nikt nie jest w stanie uwolnić się od oddziaływania cyberprzestrzeni. Warunkiem skutecznego systemu bezpieczeństwa narodowego, jest w ocenie Rady, uświadomienie i uwrażliwienie obywateli na zagrożenia i sposoby ich zwalczania jak również ich udział w podejmowanych inicjatywach i mechanizmach zapobiegających i neutralizujących.

W związku z niedawnym wejściem w życie polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa, także w Polsce niebawem stanie się konieczne rozpoczęcie prac nad naszą strategią cyberbepieczeństwa, która zastąpi obowiązujące od 2017 tzw. Krajowe Ramy. Przygotowując działania warto przyjrzeć się, a może nawet skorzystać, z przykładów innych krajów, które swoje prace już rozpoczęły. W tym kontekście na uwagę zasługuje model przyjęty przez Królestwo Hiszpanii. Zawiera on co najmniej kilka interesujących rozwiązań, wartych uwzględnienia podczas prac nad polską strategią.

Przede wszystkim zwraca uwagę ścisłe powiązanie narodowej strategii cyberbezpieczeństwa ze strategią bezpieczeństwa narodowego. Wyraża się ono zarówno wprost w dyspozycji zawartej w decyzji Rady Bezpieczeństwa Narodowego (CSN) o ustanowieniu procedury tworzenia strategii, jak również w powierzeniu zadania przygotowania dokumentu Narodowej Radzie Cyberbezpieczeństwa, będącej organem pomocniczym CSN. Wyrazem praktycznym jest wyznaczenie jako organu merytorycznego odpowiedzialnego za przygotowanie wstępnej wersji strategii Departamentu Bezpieczeństwa Narodowego, pełniącego tę samą funkcję w ramach prac nad Strategią Bezpieczeństwa Narodowego.  Dzięki temu zachowana zostaje pełna spójność wizji, filozofii i metodologii tworzenia strategii cyberbezpieczeństwa oraz bezpieczeństwa narodowego. Daje to niemal pełną pewności, że perspektywa bezpieczeństwa narodowego zawarta w strategii z 2017 roku zostanie w pełnie odzwierciedlona w nowej strategii cyberbezpieczeństwa.

Przyjęta przez CSN procedura ukazuje także bardzo ważny aspekt, jakim jest najwyższy priorytet jaki pracom nad strategią nadaje najwyższa władza państwowa w osobie króla oraz premiera rządu, stojących na czele Rady Bezpieczeństwa Narodowego, ostatecznie akceptującej strategię. Jest to jednoznaczny sygnał dla wszystkich uczestników systemu cyberbezpieczeństwa, że przyjęte w dokumencie rozwiązania posiadają moc najwyższych czynników państwa. Jest to niezwykle istotna właściwość, decydująca o efektywności całej strategii.

W tym kontekście warto podkreślić szczególną rolę, jaką procedura tworzenia strategii przypisuje dyrektorowi Narodowego Centrum Wywiadu - CNI, który stoi na czele Rady Cyberbezpieczeństwa. Jest to jeszcze jeden wyraz ścisłego powiązania strategii z systemem bezpieczeństwa narodowego. Podmiotowa rola służb specjalnych w tworzeniu strategii cyberbezpieczeństwa, jakkolwiek dla wielu wydaje się oczywista, to w polskich realiach dotychczas nie była praktykowana, pozostawiając naszym służbom role w najlepszym razie drugoplanowe.

Na szczególną uwagę zasługuje także  wyrażone wprost w decyzji CSN oczekiwanie, aby nowa strategia cechowała się kompleksowym, horyzontalnym i holistycznym podejściem do zagadnienia cyberbezpieczeństwa. Doświadczenia wiodących państw w dziedzinie budowy systemów cyberbezpieczeństwa w ostatnich latach jednoznacznie wskazują, że tylko takie podejście gwarantuje efektywność stosowanych rozwiązań. Włączenie takiej dyspozycji do decyzji Rady wskazuje, iż władze Hiszpanii mają pełna świadomość najnowszych trendów oraz wolę budowy strategii państwa w oparciu o najlepsze praktyki wypracowane przez inne państwa. Należy liczyć, że nasze władze pójdą tym samym tropem.

Ostatnia, choć nie najmniej istotna, kwestia to samo ogłoszenie procedury tworzenia strategii w postaci zarządzenia ministra Prezydencji. Opracowanie, zatwierdzonej przez Radę Bezpieczeństwa Narodowego, przejrzystej i jednoznacznej instrukcji regulującej tryb prac nad strategią oraz upowszechnienie jej za pośrednictwem dostępnych kanałów komunikacji zapewnia zwiększenie świadomości oraz partycypacji społecznej, które są niezbędnym warunkiem powodzenia polityki państwa w tej dziedzinie. Wypada zgodzić się z hiszpańską Radą, że każdy współczesny obywatel, niezależnie od jego woli, stanowi przedmiot oddziaływania cyberprzestrzeni, zatem skuteczna obrona przed jego negatywnymi skutkami wymaga świadomości zagrożeń i metod obrony przed nimi, a zatem świadomego udziału w systemie cyberbezpieczeństwa. Filozofia ta, bazująca na najlepszych praktykach wypracowanych przez wiodące państwa, powinna zostać również zastosowana w pracach nad przygotowaniem polskiej strategii cyberbezpieczeństwa.

KomentarzeLiczba komentarzy: 1
Krzysztof J. Jakubski
środa, 22 sierpnia 2018, 13:08

Czy można się wzorować na Hiszpanii? W pewnych kwestiach tak. Ale zawsze trzeba brać pod uwagę specyfikę lokalną. A Hiszpania pod tym względem jest bardzo specyficzna - należy pamiętać o regionalizacji władzy cywilnej, specyficznym spojrzeniu na armię itp. itd. Całkowicie nie mogę się zgodzić ze stwierdzeniem \"Podmiotowa rola służb specjalnych w tworzeniu strategii cyberbezpieczeństwa, jakkolwiek dla wielu wydaje się oczywista, to w polskich realiach dotychczas nie była praktykowana, pozostawiając naszym służbom role w najlepszym razie drugoplanowe.\" Niestety była praktykowana aż za nadto czego przykładem jest m.in. to, że m.in. w ABW prowadzone były czynności mające na celu przygotowanie kompleksowej, narodowej strategii przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. W toku prac powstało siedem kolejnych projektów strategii: „Rządowy program ochrony cyberprzestrzeni RP na lata 2008–2011” (listopad 2008 r.); „Rządowy program ochrony cyberprzestrzeni RP na lata 2009–2011” (styczeń 2009 r.); „Rządowy program ochrony cyberprzestrzeni RP na lata 2009–2011” – założenia (marzec 2009 r.); „Rządowy program ochrony cyberprzestrzeni RP na lata 2011–2015” (maj 2010 r.); „Rządowy program ochrony cyberprzestrzeni RP na lata 2011–2016” (czerwiec 2010 r.); „Rządowy program ochrony cyberprzestrzeni RP na lata 2011–2020” (kwiecień 2011 r.); „Polityka bezpieczeństwa cyberprzestrzeni RP” (maj 2011 r.). Żaden z wymienionych dokumentów nie został zatwierdzony przez Radę Ministrów i przyjęty do realizacji, co wynikało przede wszystkim z ich niskiej jakości oraz nierzetelnego przygotowania. Mimo mojego mundurowego rodowodu nie jestem zwolennikiem wychwalania roli ABW i służb wojskowych, a negowania w czambuł cywilów. Jest to z samej istoty jest podejrzane, zwłaszcza, iż znane wcześnieszej rozbieżne stanowiska oraz współzawodnictwo kierownictwa MSWiA, MON i ABW w zakresie pożądanej struktury koordynacji systemu ochrony cyberprzestrzeni, w tym spory personalne dotyczące powołania i obsadzenia stanowiska Pełnomocnika Rządu ds. Ochrony Cyberprzestrzeni RP. Niektóre pomysły ABW (choćby umiejscowienie, na podstawie stanowiska kierownictwa MSWiA i ABW ze stycznia 2008 r., Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL w strukturach tej służby) można uznać za co najmniej dyskusyjne. Owszem obserwacja i analiza poczynań innych jest wskazana, ale przyjmowanie lub naśladownictwo ich rozwiązań bez dogłębnej analizy przyczyn ich przyjęcia, nie jest dobrym rozwiązaniem

Reklama C24-A1
Reklama
Tweets CyberDefence24