Ministerstwo Cyfryzacji nie ma środków na strategię cyberbezpieczeństwa?

30 września 2017, 12:42
Krzysztof Silicki

W czwartek odbyło się posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Posłowie dyskutowali o Krajowych Ram Polityki Cyberbezpieczeństwa na lata 2017-2022 oraz o Ustawie o Cyberbezpieczeństwie, która ma wejść w życie na wiosnę 2018 roku. Dowiedzieliśmy się również, że Ministerstwo Cyfryzacji nie dysponuje dedykowanym budżetem na wdrożenie strategii cyberbezpieczeństwa na rok 2018.

Jak pierwszy głos zabrał podsekretarz stanu w Ministerstwie Cyfryzacji Krzysztof Silicki. Powiedział on, że wprowadzenie Ustawy o cyberbezpieczeństwie ustanowi nowy porządek legislacyjny w cyberprzestrzeni. Obecnie temat cyberbezpieczeństwa zyskuje coraz większe zrozumienie i wagę we wszystkich krajach, również w Polsce. Polska jako członek UE zobowiązana jest do wprowadzenie dyrektywy Network and Information Security (NIS), która ma wzmocnić bezpieczeństwo sieci i systemów na terenie całej UE. Każde państwo ma na wdrożenie tego dokumentu 21 miesięcy, czyli niewiele czasu. Instytucje UE pomagają krajom członkowskim w implementacji tego dokumentu.

Wiceminister Silicki w swoim wystąpieniu nawiązał do wniosków z raportu NIK z 2015 roku mówiąc, że potrzebny jest system, w ramach którego instytucje będą koordynowały działania.

Silicki powiedział, że zespół międzyresortowy pracuje nad projektem ustawy od dawna. Opracowywany jest również model operacyjny. W jego skład wejść mają trzy CERTy i NC Cyber. Jego zdaniem należy wykorzystać wiedzę, kompetencje różnych stron i resortów.

Drugą prezentację przestawił Dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji Piotr Januszewicz, który skupił się na dwóch głównych tematach: strategii cyberbezpieczeństwa, która z racji formalnej nazywa się Krajowymi Ramami Polityki Cyberbezpieczeństwa na latach 2017-2022.

W pierwszej fazie swojej prezentacji dyrektor Januszewicz przedstawił proces powstania tego strategicznego dokumentu. Na wiosnę w 2016 roku, powstał draft który następnie został przesłany do konsultacji. Kolejna wersja została opublikowana we wrześniu. Ostateczna wersja, została przyjęta przez Radę Ministrów w maju. Od tego momentu autorzy dokumentu mają 6 miesięcy na przygotowanie Planu działań na rzecz wdrażania Krajowych Ram Polityki Cyberbezpieczeństwa.

Czytaj też: Krajowe Ramy Polityki Cyberbezpieczeństwa RP 2017-2022 (XXIII Forum Teleinformatyki)

Celem głównym strategii jest zapewnienie wysokiego poziomu cyberbezpieczeństwa dla sektora prywatnego, publicznego i obywateli. Dyrektor Januszewicz dodał, że Ministerstwo Cyfryzacji myśli nie tylko o bezpieczeństwie sfery publicznej, ale również prywatnej i przede wszystkim o obywatelach. Tylko współpraca tych wszystkich podmiotów może doprowadzić do podniesienia poziomu bezpieczeństwa.

Cztery cele szczegółowe Krajowych Ram to:

1. Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów,

2. Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom,

3. Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni,

4. Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa

Plan działań zbudowany jest w ten sposób, że cel główny rozbity jest na cele szczegółowe. Do każdego celu szczegółowego przypisane są tzw. kierunki interwencji. Każdy kierunek interwencji i zadania w jego ramach są realizowane przez instytucje. Wynika to z ich obowiązków statutowych. Są też zadania o charakterze projektowym i te zadania mają na celu osiągnięcie konkretnych efektów, które są wpisane w Krajowe Ramy. Każde zadanie opisane jest fiszką projektową, w której określony jest właśnie cel, co ma zrealizować zadanie, ile to zadanie ma kosztować i jaki jest harmonogram jego realizacji. Plan działań powinien zostać przyjęty do 9 listopada.

 

Ustawa o krajowym systemie cyberbezpieczeństwa

W dalszej części swojej prezentacji dyrektor Januszewicz mówił o ustawie, która ma implementować dyrektywę NIS. Najważniejsze są obowiązki które wynikają z tego dokumentu.Należy podkreślić, że ustawa sama w sobie nie tworzy oddzielnego bytu. Musi się ona wkomponować w system bezpieczeństwa państwa i uzupełnić obszar o cyberbezpieczeństwo. Celem projektu jest opracowanie uregulowań prawnych umożliwiających implementację dyrektywy NIS, ale trzeba podejść zdecydowanie szerzej w celu utworzenia efektywnego systemu cybebezpieczeństwa. Musi zostać zagwarantowane niezakłócone świadczenie usług cyfrowych.

Po pierwsze należy zidentyfikować operatorów usług kluczowych oraz wymagania bezpieczeństwa teleinformatycznego dla nich. Ponadto należy wyznaczyć organy kluczowe dla tych operatorów.

Przyjęto założenie stworzenia systemu zdywersyfikowanego a nie scentralizowanego w zakresie identyfikacji tych podmiotów. Każdy podmiot powinien mieć zabezpieczone systemy przez zespołu Computer Emergency Response Team (CERT).

Kolejnym zadaniem Ustawy jest wyznaczenie pojedynczego punktu kontaktowego, który będzie realizował współpracę międzynarodową oraz koordynował na poziomie krajowym współpracę na poziomie polityczno-strategicznym.

Ponadto Ustawa wyznaczy CERTy dla operatorów i dostawców usług kluczowych. Każdy taki podmiot musi mieć zabezpieczone systemy przez takie zespoły

Dodatkowo, ważnym jest zbudowanie sieci wymiany i raportowania na poziomie Unii Europejskiej na temat poważnych incydentów u operatorów usług kluczowych oraz istotnych elementów u dostawców usług cyfrowych.

Kolejne zadanie to przyjęcie w unijnej procedurze wymagań dla dostawców usług cyfrowych, dlatego, że będą oni podlegali innym aktom prawnym. Kolejną rzeczą jest przyjęcie Krajowej Strategii Bezpieczeństwa Sieci i Informacji.

Dyrektor Januszewicz mówił o zidentyfikowanych głównych podmiotach wspomniał, że są to przede wszystkim właściwe podmioty ds. cyberbezpieczeństwa, zespoły Computer Security Incident Response Team (CSIRTy) poziomu krajowego, operatorzy usług kluczowych oraz dostawcy usług cyfrowych i inne zespoły reagowania na incydenty. Ważną rolę ma odgrywać Rządowe Centrum Bezpieczeństwa (RCB) w obszarze zarządzania kryzysowego, które będzie usuwało skutki materializacji zagrożeń w cyberprzestrzeni.

W ramach projektu Ministerstwo Cyfryzacji zamierza objąć podmioty, które nie są uwzględnione w dyrektywie NIS jak np. edukacja w obszarze cyberbezpieczeństwa. Kolejnym obszarem jest włączenie administracji publicznej do systemu cyberbezpiezpieczństwa, ponieważ powstanie taka sytuacja, że cześć podmiotów administracji publicznej będzie jednocześnie operatorami usług kluczowych.  Administracja publiczna powinna pokazać że systemy są należycie zabezpieczone. Główne aglomeracje miejskie (smart city) coraz częściej opierają się na najnowszych technologiach, które są podatne na ataki.

Dyrektor kontynuował mówiąc o architekturze systemu. Jego główni aktorzy, którzy występują to organy właściwe np. ministerstwa, która mają zabezpieczyć poszczególne sektory wynikające z dyrektywy NIS, jak np. banki, infrastruktura rynku, energia, infrastruktura cyfrowej telekomunikacji, transport, instalacje wodno-kanalizacyjne, dostawcy usług cyfrowych i obszar zdrowia. Na tych instytucjach ma spocząć główna odpowiedzialność, ale ma im również zostać dana swoboda przekazywania zadań związanych z wykonywaniem tego obszaru. W ramach działów administracji kluczową rolą pełnić będą MON, MS, MSWiA.

Należy stworzyć efektywny systemy współpracy. Sieci CISRTów poziomu krajowego będzie zbudowane na MILCERT (CERT MON), CERT.GOV.Pl (ABW) i CERT (NASK), Będzie to podstawa do koordynowania wszystkich działań w zakresie cyberbezpieczeństwa i incydentów, które powstaną. Niezbędne jest zaangażowanie organów ścigania. Celem jest zbudowanie takiego systemu, w którym czas pomiędzy materializacją zagrożenia a jego zwalczaniem jest zminimalizowany do poziomu, który da się uregulować prawem.

W Ministerstwie Cyfryzacji ma zostać zlokalizowany pojedynczy punkt kontaktowy, który będzie realizował współpracę międzynarodową. Zasilanie informacyjne będzie miał z poziom CSIRTu krajowego i będzie ono pełnić rolę brokera informacyjnego dla wszystkich interesariuszy krajowego systemu cyberbezpieczeństwa. RCB ma odpowiadać za zarządzanie kryzysowe, stanowić swoisty sztab w obszarze zarządzania kryzysowego.

Zdaniem Dyrektora, poziom techniczny może tylko minimalizować zagrożenia w cyberprzestrzeni. Najczęściej dochodzi jednak do sytuacji, że materializacja zagrożenia ma bezpośredni wpływ na funkcjonowanie przedsiębiorstw czy życie obywateli.

Ścieżka reagowania musi być tak zorganizowana żeby działała w sposób automatyczny.

Dyrektor Januszewicz przedstawił też sposób obsługi incydentów. Kiedy następuje materializacja zagrożenia np. w przedsiębiorstwach, do akcji wkraczają CERTy lub Information Sharing and Analysis Center (ICASy). Dyrektor powiedział, że ważne jest dokładne zdefiniowanie czym się zajmują konkretne CERTy, żeby uniknąć dublowania ich roli. W przypadku gdy zagrożenie może wpływać na funkcjonowanie państwa, musi zostać dostarczone do RCB wtedy zapadną decyzję odnośne wejścia w system zarządzania kryzysowego.

Dyrektor powiedział, że dąży się do stworzenia jednego miejsca, gdzie przedsiębiorstwa będą zgłaszały informacje o incydentach. Celem jest uniknięcie sytuacji raportowania w różne miejsce przy użyciu różnych formularzy. Pojedynczy punkt kontaktowany ma również odpowiadać za kontrolowanie spełniania przez CSIRTy wymagań technicznych i operacyjnych. Będą one zabezpieczały podmioty, które są istotne z punktu widzenia interesu społeczno-gospodarczego państwa. Do tego punktu mają być również przekazywane wszystkie informacje od operatorów i dostawców. Kolejną funkcją jest rola łącznika w obszarze współpracy transgranicznej.

Ustawa ma być przekazana do Sejmu między lutym a marcem 2018 roku. Dyrektor ma nadzieję, że prezydent podpisze ją w kwietniu tego samego roku.

W ramach dyskusji posłowie poruszyli kilka istotnych kwestii. Jedną z nich było finansowanie z budżetu. Jak się okazuje, w budżecie Ministerstwa Cyfryzacji na rok 2018 nie ma będzie dedykowanych środków na wdrożenie Krajowych Ram. Być może będzie tu można liczyć na wykrojenie części środków z MON, które ma dysponować 2 miliardami na cyberbezpieczeństwo. Chociaż kwota ta nie została potwierdzona na spotkaniu przez przedstawiciela MON. Minister Streżyńska stara się również o uruchomienie rezerwy rzędu 60-70 milionów złotych.

Posłowie zwrócili również uwagę, że konieczna jest edukacja nie tylko młodych ludzi, ale przede wszystkim osób w średnim wieku i starszych, które mają problemy z korzystaniem z podstawowych funkcji komputera. Ponadto podkreślono konieczność zachowania odpowiedniej równowagi pomiędzy bezpieczeństwem a prywatnością.

Czytaj więcej: Bezpieczna Polska w cyfrowej erze. Strategia Cyberbezpieczeństwa na lata 2017-2022 [ANALIZA]

 

 

 

KomentarzeLiczba komentarzy: 1
Towariszczjacho
niedziela, 9 grudnia 2018, 19:25

Dyrektywami będziemy wzmacniali Cyberbezpieczeństwo - brawo tylko tak dalej ...

Reklama C24-A1
Reklama
Tweets CyberDefence24