CO Z TĄ STRATEGIĄ BEZPIECZEŃSTWA RP? – CZĘŚĆ III

Trzecia część rozważań nad Strategią Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej.


Na stronie internetowej PRESS, potwierdziła to również stacja TVN24 – w dniu 23.11.2020 r. ukazał się artykuł o alarmującym tytule „Holenderski dziennikarz włamał się na spotkanie online ministrów obrony krajów UE.”


Jeszcze bardziej alarmująca jest treść, z której dowiadujemy się, że „holenderska minister Ank Bijleveld opublikowała na Twitterze zdjęcie dokumentujące swój udział w zdalnym szczycie. Ktoś zauważył na nim pięć z sześciu cyfr kodu dostępu do spotkania i poinformował o tym redakcję RTL Nieuws. Ta wpisała ostatnią cyfrę kodu i Verlaan bez problemu dołączył do spotkania”.


W tym przypadku mieliśmy do czynienia z tzw. „Hackingiem komputerowym” polegającym na nieuprawnionym dostępie do informacji nieprzeznaczonej dla osoby, która łamie lub omija zabezpieczenia. Szczęśliwie był to dziennikarz, który ujawnił swoje włamanie, przeprosił i wyłączył się. Pytanie ile oczu i uszu śledziło to i inne niejawne spotkania polityków, wojskowych, czy innych decydentów i zapoznało się z informacjami, z którymi nie powinni się zapoznać.

Pozyskanie danych niejawnych w ten sposób jest stosunkowo tanie i nieporównywalnie bezpieczniejsze niż za pomocą osobowych źródeł informacji czyli mówiąc językiem ludzkim poprzez szpiegów (agentów wywiadu).


Ataków cybernetycznych można dokonywać nie tylko na video konferencje. Mając złe zamiary można w ten sposób zaatakować ważne systemy funkcjonowania państwa: energetykę, systemy bankowe, telekomunikację, inteligentne systemy zarzadzania transportem radiolokację, elektroniczny system wyborczy czy inne systemy wojskowej i cywilnej infrastruktury krytycznej państwa. Przykładem destrukcyjnego zastosowania malware-u (ang. malicious software) było wywołanie celowych awarii sieci energetycznych w USA czy na Ukrainie.


Z punktu widzenia państwa bardzo ważne jest zapewnienie atrybutów informacji jakimi są:

- poufność – informacje znają tylko osoby do niej dopuszczone i nikt inny,

- dostępność – w każdej chwili mamy dostęp do zgromadzonych danych,

- integralność – dane nie zostały w żaden sposób przekształcone bez naszej wiedzy i woli,

- autentyczność – pewność co do nadawcy informacji,

- z powyższymi łączą się także: rozliczalność i niezawodność.


Jak zatem zapewnić cyberbezpieczeństwo w ważnych dziedzinach funkcjonowania państwa? Co o tym mówi Strategia Bezpieczeństwa Narodowego RP?


We wstępie „Środowisko bezpieczeństwa” autorzy dostrzegają zagrożenie w postaci cyberataków w ramach wojny hybrydowej oraz dziedzinach wymieniony przeze mnie wyżej.

Ponadto o zagrożeniach cybernetycznych w Strategii czytamy w dziale „Odporność Państwa i Obrona Konieczna” Zwiększyć odporność na zagrożenia przede wszystkim w zakresie: ciągłości rządzenia i funkcjonowania państwa, skutecznych dostaw energii, niekontrolowanego przepływu osób i relokacji ludności, gromadzenia, ochrony oraz zagospodarowania zasobów żywności i wody, zdolności do postępowania w przypadku wystąpienia zdarzeń o charakterze masowym, odpornych sieci telekomunikacyjnych i systemów teleinformatycznych, systemów informowania i ostrzegania ludności oraz wydolnego systemu transportowego”. Dalej w Strategii czytamy: „Rozwijać zdolności państwa w zakresie zapobiegania i reagowania na zagrożenia o charakterze terrorystycznym oraz zwalczania przestępczości zorganizowanej, z uwzględnieniem działalności przestępczej w cyberprzestrzeni”. „Zwiększać zdolności w zakresie kryptologii, wytwarzania urządzeń telekomunikacyjnych wyposażonych w moduły kryptograficzne złożone z produkowanych w Polsce podzespołów mikroelektronicznych i własnego oprogramowania”.Uzyskać zdolności operacyjne do prowadzenia pełnego spektrum działań militarnych w cyberprzestrzeni, rozwijać wojska obrony cyberprzestrzeni oraz zbudować zdolności do prowadzenia działań w przestrzeni kosmicznej, jak również do działań informacyjnych”.


Ponadto w Strategii Bezpieczeństwa … znajdujemy cały rozdział zatytułowany „Cyberbezpieczeństwo”.


Strategia przewiduje następujące działania:

1. Zwiększać poziom odporności systemów informacyjnych wykorzystywanych w sferze publicznej i prywatnej oraz militarnej i cywilnej oraz osiągnąć zdolność do skutecznego zapobiegania, zwalczania oraz reagowania na cyberzagrożenia,

2. Wzmacniać defensywny potencjał państwa poprzez zapewnienie ciągłego rozwoju krajowego systemu cyberbezpieczeństwa,

3. Uzyskać zdolności do prowadzenia pełnego spektrum działań militarnych w cyberprzestrzeni,

4. Rozwijać krajowe zdolności w obszarze testowania, badania, oceny i certyfikacji rozwiązań

i usług z obszaru cyberbezpieczeństwa,

5. Rozwijać kompetencje, wiedzę oraz świadomość zagrożeń i wyzwań wśród kadr administracji publicznej oraz w społeczeństwie w obszarze cyberbezpieczeństwa,

6. Wzmacniać i rozbudowywać potencjał państwa m.in. poprzez rozwój rodzimych rozwiązań w zakresie cyberbezpieczeństwa oraz prowadzenie finansowanych przez państwo prac badawczo-rozwojowych w obszarze nowoczesnych technologii …,


Co ciekawe nie ma żadnej wzmianki o wspólnych wysiłkach w zakresie bezpieczeństwa informatycznego w dziale: Sojusz Północnoatlantycki i Unia Europejska. Efekty braku takiej współpracy były aż nadto widoczne podczas konferencji, o której napisałem na wstępie.

Europa dąży do niezależności technologicznej od innych ośrodków (Azja, Ameryka), choć Polska jak się wydaje zwyczajowo wkłada kij w szprychy. W informacji Ministerstwa Spraw Zagranicznych dla Sejmu RP z 15 stycznia 2020 r. czytamy:


„Dostrzegając potrzebę zsynchronizowania i ułatwienia działań europejskim podmiotom w obszarze cyberbezpieczeństwa, szczególnie w kontekście rozwoju nowych technologii i badań, Polska wspierała też aktywnie prace nad rozporządzeniem ustanawiającym Europejskie Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa oraz sieć krajowych ośrodków koordynacji. Pomimo akceptacji dla celu regulacji - powierzenia jednemu podmiotowi wdrożenia i koordynacji różnych programów europejskich (zwłaszcza - Cyfrowa Europa i Horyzont Europa) w obszarze cyberbezpieczeństwa - Polska podtrzymała swe wątpliwości dotyczące formuły prawnej centrum, jego zasad finansowania, roli programu Horyzont Europa w jego wdrażaniu czy relacji projektowanego centrum wobec innych agencji UE”.


Jak wygląda realizacja ochrony przed zagrożeniami w tym zakresie ? Na internetowej stronie rządu (gov.pl) znajdujemy akty prawne wydane w związku z cyberbezpieczeństwem:

  • Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 1560)

  • Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. poz. 1806)

  • Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180)Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080)

  • Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999)

  • Rozporządzenie Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa (Dz. U. poz. 1952)

  • Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. 2019 poz. 2479)

  • Rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług (Dz. U. poz. 1831)

  • Rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług (Dz. U. poz. 1830).

Biorąc pod uwagę ilość wydanych aktów prawnych można sadzić, że zagrożenie jest dostrzegane i podejmowane są działania zapobiegawcze. Szczególny nacisk kładziony jest na zapobieganie, analizę zdarzeń, wykrywanie incydentów, raportowanie o incydentach oraz podejmowanie działań zapobiegających negatywnym zdarzeniom w przyszłości.


Czy podejmowane dotąd działania były skuteczne? Obawiam się, że nie o czym świadczą kolejne działania legislacyjne. We wrześniu br. skierowano do konsultacji projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.


W uzasadnieniu czytamy:

Państwo polskie nie posiada narzędzi reagowania na próby zakupu kluczowych elementów infrastruktury, które nie zostały uznane za infrastrukturę krytyczną. Powoduje to, w szczególności w sektorze telekomunikacji, ryzyko utraty kontroli nad infrastrukturą o istotnym znaczeniu dla bezpieczeństwa państwa.


Drugim wykrytym brakiem jest niemożność bezpośredniego wpływania na podmioty krajowego systemu cyberbezpieczeństwa w zakresie stosowanych środków bezpieczeństwa.Mechanizmy w ustawie mają charakter zarówno prewencyjny (wymogi bezpieczeństwa oraz nadzór nad ich wdrożeniem), jak i wspierający (wsparcie instytucjonalne zespołów reagowania na incydenty oraz wytyczne organów właściwych), jednak nie umożliwiają działań o masowym charakterze w czasie trwania incydentu – instytucje nie mogą reagować na postępujące ataki i np. nakazać określonego zachowania chroniącego przed infekcją.


Brakuje również narzędziumożliwiającychinstytucjom państwowym zajmującym się bezpieczeństwem ocenę zależności przedsiębiorców od podmiotów z siedzibą poza Unią Europejską. Narzędzia takie powinny pozwalać na ustalenie czy dostawca jest kontrolowany przez obcy rząd bez możliwości odwołania się do niezawisłego sądu; czy dostawca ma przejrzystą strukturę własności; oraz czy dostawca, w swojej historii, wykazywał się etycznym postępowaniem korporacyjnym oraz, czy podlega on porządkowi prawnemu, w który zapewnia przejrzystość działalności firm”.

Dodatkowym wymogiem wobec dostawców urządzeń w szczególności w zakresie urządzeń do telekomunikacji i sieci 5G ma być „prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”.


Prawdopodobnie chodzi o wyeliminowanie z rynku Chin, ewentualnie innych azjatyckich potentatów. Zastanawiam się, czy przyjmując za wiążący element przestrzegania praworządności przez kraj pochodzenia sprzętu – w obecnej sytuacji będzie można dopuścić polskie firmy?


Miejmy nadzieję, że Realizacja Strategii Bezpieczeństwa Narodowego doprowadzi do maksymalizacji bezpieczeństwa cybernetycznego Polski. Pełne bezpieczeństwo nie jest możliwe. Jeśli ktoś twierdzi inaczej to zwyczajnie kłamie. Należy jednak podejmować wysiłki dla poprawy sytuacji. Instytut Bezpieczeństwa i Rozwoju Międzynarodowego będzie się przyglądał oraz chętnie uczestniczył w pracach wszystkich zainteresowanych instytucji.

Firmy, które chcą zapewnić sobie właściwy status na rynku tj. wiarygodność muszą spełniać wymogi określone międzynarodowymi normami. Taka norma jest m.in. 27001/17.


W normie PN-EN ISO/IEC 27001/17 – „określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarzadzania bezpieczeństwem i formacji w organizacji, z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Nie dopuszcza się pominięcia żadnego z wymagań określonych w Rozdziałach od 4 do 10, jeśli organizacja deklaruje zgodność z niniejszą Normą Międzynarodową”.


Instytut Bezpieczeństwa i Rozwoju Międzynarodowego prowadzi szkolenia skierowane do szefów firm, instytucji oraz ich pracowników w zakresie przygotowania się do audytu i certyfikacji normą ISO/IEC 27001/17.

Ostatnio opublikowane: