Minister Streżyńska: „Nie powstanie nowa instytucja, całościowo koordynująca zagadnienie cyberbezpieczeństwa Polski”

23 października 2017, 14:32
Ministerstwo Cyfryzacji Logo achrom

Minister Cyfryzacji Anna Streżyńska w odpowiedzi na poselską interpelację w sprawie harmonogramu prac oraz zakresu współpracy z innymi resortami przy tworzeniu Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 (KRPC) poinformowała, że Plan działań na rzecz ich wdrożenia ma zostać przyjęty w terminie do sześciu miesięcy od uchwalenia przez Radę Ministrów KRPC. Dodała też, iż powołano grupę ekspertów reprezentujących Ministerstwo Cyfryzacji, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych i Administracji, Służby Kontrwywiadu Wojskowego, Agencji Bezpieczeństwa Wewnętrznego, Komendy Głównej Policji, Biura Bezpieczeństwa Narodowego oraz instytutu badawczego Naukowa i Akademicka Sieć Komputerowa. 

Parlamentarzysta Arkadiusz Marchewka z Platformy Obywatelskiej w formie interpelacji poselskiej nr 15624 zadał minister cyfryzacji Annie Streżyńskiej pytania m.in. o podział zadań z zakresu cyberbezpieczeństwa pomiędzy Ministerstwo Obrony Narodowej a Ministerstwo Cyfryzacji, odpowiedzialnych za koordynację narodowego systemu ochrony przed cyberatakami, konsultacje dotyczące Planu działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa, tworzenie nowej instytucji całościowo koordynującej zagadnienie cyberbezpieczeństwa Rzeczypospolitej Polskiej, termin zakończenia przygotowań aktów normatywnych związanych z KRPC oraz zakres obowiązków podsekretarza stanu w Ministerstwie Cyfryzacji Krzysztofa Silickiego, w tym i o to czy obejmuje on koordynację przygotowań Planu działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa.

 

Jak twierdzi minister Streżyńska plan działań zawierać będzie zestawienie konkretnych projektów realizowanych przez poszczególne resorty/podmioty. Celem „jest rozbudowa krajowego systemu cyberbezpieczeństwa w taki sposób, aby wykraczał poza bieżące zarządzanie incydentem i był ukierunkowany na zbudowanie zdolności w zakresie stałego monitorowania oraz zarządzania cyberbezpieczeństwem w skali kraju. Proponowane kierunki strategiczne mają też wpływać na zwiększenie skuteczności organów ścigania i wymiaru sprawiedliwości w wykrywaniu i zwalczaniu przestępstw oraz działań o charakterze terrorystycznym w cyberprzestrzeni”.

 

Obecnie trwają końcowe prace nad przygotowaniem wykazu tych projektów. Ujęte w nim będą działania o charakterze legislacyjnym, projekty związane z budową systemów teleinformatycznych służące bieżącemu zarządzaniu cyberbezpieczeństwem, projekty o charakterze organizacyjnym (jak ćwiczenia, treningi i testy), czy też działania ciągłe związane choćby z rozbudową polskiego potencjału technologicznego i dotyczące udziału Polski we współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa. W ramach realizacji Krajowych Ram Polityki Cyberbezpieczeństwa przygotowano i rozesłano w toku prekonsultacji do poszczególnych ministerstw projekt ustawy o krajowym systemie cyberbezpieczeństwa. Opracowana została także koncepcja funkcjonalna projektu Zintegrowanego Systemu Zarządzania Bieżącym Bezpieczeństwem Cyberprzestrzeni RP, w tym centralna warstwa analityczna. Przeprowadzono również ćwiczenia z zakresu cyberbezpieczeństwa CEREX, a we współpracy z Ministerstwem Rozwoju rozpoczęto realizację projektu Cyberpark ENIGMA.

Anna Streżyńska, Minister Cyfryzacji

 

W ocenie minister wspomniane działania „odpowiadają trendom światowym. Ponadto projektowana ustawa będzie transponować do polskiego porządku prawnego dyrektywę NIS (Network and Information Systems Directive)”. Chodzi tu przede wszystkim o wprowadzenie do ustawodawstwa krajowego wymogów dotyczących cyberbezpieczeństwa oraz zgłaszania incydentów w sektorach kluczowych, przyjęcie krajowej strategii cyberbezpieczeństwa, wyznaczanie przez państwa członkowskie organów właściwych z zakresu cyberbezpieczeństwa, pojedynczych punktów kontaktowych oraz CSIRT (zespołów reagowania na incydenty komputerowe), którym powierzone zostaną zadania związane z cyberbezpieczeństwem. Jak zaznacza minister „dyrektywa przewiduje również stworzenie Grupy Współpracy (zapewniającej strategiczne współdziałanie oraz wymianę informacji pomiędzy państwami członkowskimi) oraz Sieci CSIRT (składającej się z zespołów CSIRT państw członkowskich UE)”.

 

Zakłada się stworzenie rejestru poważnych incydentów na potrzeby krajowe i współpracy z państwami członkowskimi Unii Europejskiej. Ustanawia się również rejestr pośrednich CSIRT, czyli zespołów zajmujących się obsługą incydentu, które mogą świadczyć usługi na potrzeby krajowego systemu cyberbezpieczeństwa. Rejestr ten ma być prowadzony przez ministra właściwego do spraw informatyzacji. CSIRT poziomu krajowego rozumieć należy jako współpracujące ze sobą CSIRT NASK (Cert.pl), CSIRT MON (MIL-Cert) oraz cert.gov.pl – znajdujący się w strukturze Agencji Bezpieczeństwa Wewnętrznego. Planowane jest również utworzenie CSIRT poziomu krajowego koordynującego reagowanie na poważne incydenty bezpieczeństwa cyberprzestrzeni na poziomie krajowym.

Anna Streżyńska, Minister Cyfryzacji

 

Celem nowego krajowego systemu bezpieczeństwa ma być „zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów teleinformatycznych służących do ich świadczenia. Efektem będzie podniesienie odporności priorytetowych usług udostępnianych z wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni. Tym samym projektowana regulacja pozytywnie wpłynie na zapewnienie ciągłości ich działania, aby zarówno obywatele jak i przedsiębiorstwa mieli do nich stały dostęp. Przez krajowy system cyberbezpieczeństwa należy rozumieć wszystkie nowe w obrocie prawnym podmioty, realizujące techniczne i organizacyjne zadania w systemie”.

 

W systemie mają znaleźć się: operatorzy usług kluczowych, dostawcy usług cyfrowych, CSIRT poziomu krajowego, narodowe centrum cyberbezpieczeństwa, CSIRT pośrednie, organy właściwe do spraw cyberbezpieczeństwa, pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa oraz infrastruktura teleinformatyczna służąca wymianie informacji na potrzeby tego systemu. Co ważne „nie zostaną w niego włączone podmioty już funkcjonujące w polskim systemie prawnym – np. organy ścigania lub instytucje zajmujące się edukacją. Nie oznacza to jednak, że nie mogą być im dodane nowe zadania związane z cyberbezpieczeństwem w ustawach szczegółowych dla tych obszarów”.

 

Jak dodała minister: „projekt ustawy formułuje obowiązki w zakresie bezpieczeństwa teleinformatycznego dla operatorów usług kluczowych – przedsiębiorców bądź organów administracji świadczących usługi o podstawowym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorzy usług kluczowych będą zobowiązani do przekazywania informacji o zaistniałych incydentach (lub podejrzeniu wystąpienia incydentu), a także do ich obsługi we współpracy z CSIRT pośrednimi i zespołami tworzącymi CSIRT poziomu krajowego. Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych - internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów obowiązki dla dostawców usług cyfrowych będą objęte łagodniejszym reżimem regulacyjnym. Projekt ustawy odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej”.

 

Na podstawie Krajowych Ram, jak i projektowanej ustawy nie powstanie nowa instytucja, całościowo koordynująca zagadnienie cyberbezpieczeństwa Rzeczypospolitej Polskiej. Duża część zadań związanych z koordynacją systemu zapewnienia bezpieczeństwa teleinformatycznego już istnieje w obowiązujących przepisach. (…) Projekt nie przewiduje koordynacji narodowego systemu ochrony przed cyberatakami, gdyż żadne państwo nie jest w stanie stworzyć takiego systemu, można jedynie niwelować zagrożenia. Należy zaznaczyć, że ustawa implementująca ww. dyrektywę powinna być przyjęta do 9 maja 2018 r.

Anna Streżyńska, Minister Cyfryzacji

 

Minister przypomniała, iż kompleksowy system bezpieczeństwa teleinformatycznego znalazł się „wśród zaleceń pokontrolnych skierowanych do byłego Ministerstwa Administracji i Cyfryzacji, w związku z kontrolą przeprowadzoną przez Najwyższą Izbę Kontroli w 2014 r. w instytucjach publicznych odpowiedzialnych za bezpieczeństwo cyberprzestrzeni. W latach 2011-2015, gdy funkcjonowało Ministerstwo Administracji i Cyfryzacji, nie istniała w strukturze organizacyjnej wyspecjalizowana jedna komórka do spraw bezpieczeństwa informacji”. Zadania związane z bezpieczeństwem teleinformatycznym były rozproszone „w Departamencie Informatyzacji, Departamencie Zarządzania Kryzysowego i Skutków Usuwania Klęsk Żywiołowych oraz w Wydziale Informatyki Biura Dyrektora Generalnego (obecnie Departament Infrastruktury Państwa) i były realizowane posiadanymi zasobami”.

 

Minister Cyfryzacji uznając, że ochrona cywilnej cyberprzestrzeni RP jest jednym z priorytetów przekształconego resortu, utworzył nową komórkę organizacyjną, tj. Departament Cyberbezpieczeństwa. Wcześniej nie było jednego ośrodka koordynującego ten niezmiernie istotny obszar nowoczesnej gospodarki, wpływający bezpośrednio na bezpieczeństwo obywateli oraz przedsiębiorców.

Anna Streżyńska, Minister Cyfryzacji

 

Jak dodała minister cyfryzacji o zadań Departamentu Cyberbezpieczeństwa należy:

a) prowadzenie spraw związanych z bezpieczeństwem cyberprzestrzeni Rzeczypospolitej Polskiej, w szczególności związanych z kształtowaniem polityki ochrony cyberprzestrzeni Rzeczypospolitej Polskiej;
b) przygotowywanie projektów dokumentów rządowych z zakresu cyberbezpieczeństwa;
c) opracowywanie, wdrażanie i przeglądy dokumentów strategicznych w zakresie spraw związanych z bezpieczeństwem cyberprzestrzeni na obszarze podlegającym jurysdykcji Rzeczypospolitej Polskiej, w szczególności strategii cyberbezpieczeństwa Rzeczypospolitej Polskiej;
d) koordynacja budowy struktur i określanie obowiązków uczestników procesu zapewnienia cyberbezpieczeństwa;
e) koordynacja tworzenia procedur działania w sytuacjach zagrożeń związanych z cyberbezpieczeństwem;
f) inicjowanie i koordynacja działania innych podmiotów w obszarze cyberbezpieczeństwa w zakresie: procedur, szacowania ryzyka, szkoleń, ćwiczeń, treningów i testów;
g) inicjowanie i wnioskowanie o uruchomienie badań naukowych lub prac rozwojowych w obszarze cyberbezpieczeństwa;
h) współpraca ze szkołami i uczelniami w zakresie upowszechniania wiedzy dotyczącej cyberbezpieczeństwa;
i) współpraca międzynarodowa, w tym obejmująca realizację zobowiązań międzynarodowych Rzeczypospolitej Polskiej, w zakresie cyberbezpieczeństwa;
j) prowadzenie rejestru pełnomocników do spraw bezpieczeństwa cyberprzestrzeni;
k) prowadzenie spraw związanych z nadzorem Ministra nad Naukową i Akademicką Siecią Komputerową.

 

Do tego minister Streżyńska nadmieniła, iż podsekretarz Stanu Krzysztof Silicki wykonuje czynności kierownictwa wobec Departamentu Cyberbezpieczeństwa, a zatem odpowiada za wszystkie wymienione wyżej działania.

KomentarzeLiczba komentarzy: 0
No results found.