Już dawno minęły czasy, kiedy głównym celem hakerów było sprawdzenie swoich umiejętności w programowaniu czy zrobienie głupiego żartu. Dziś działania cyberprzestępców nakierowane są na cele finansowe oraz wyrządzenie szkód, wywołanie chaosu. Nic więc dziwnego, że na celowniku cyberprzestępców często są instytucje rządowe, administracyjne czy samorządowe oraz infrastruktura krytyczna. Z tego względu cyberbezpieczeństwo staje się także zadaniem państwa. A niezbędnym elementem do zbudowania spójnego systemu bezpieczeństwa cybernetycznego kraju jest współpraca pomiędzy administracją cywilną, wojskiem, policją oraz podmiotami prywatnymi. Stąd ten obszar staje się coraz częściej przedmiotem regulacji.
Krzysztof Silicki, zastępca Dyrektora ds. Cyberbezpieczeństwa i Innowacji w NASK, podkreśla, że ubiegły rok w Polsce pod tym względem był przełomowy.
– W maju ubiegłego roku zaczęły obowiązywać przepisy związane z wdrożeniem unijnego ogólnego rozporządzenia o ochronie danych osobowych (RODO/GDPR). Jest to swoista rewolucja, zapewniająca o wiele silniejszą niż do tej pory ochronę prywatności. Przyjęcie ustawy poprzedził proces długotrwałych konsultacji społecznych i międzyresortowych. W lipcu zaś przyjęto ustawę o krajowym systemie cyberbezpieczeństwa, która wraz z aktami delegowanymi, nakreśla kształt ekosystemu cyberbezpieczeństwa RP – przypomniał Krzysztof Silicki w czasie prezentacji raportu „Cyberbezpieczeństwo A.D. 2018”, który stanowi podsumowanie ubiegłego roku w zakresie polskich i światowych regulacji w obszarze cyberbezpieczeństwa.
Ustawa o krajowym systemie cyberbezpieczeństwa wskazuje m.in. na szczególną rolę tzw. operatorów usług kluczowych. Są to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, zależne od systemów informatycznych. Ustawa wskazuje sektory, w których mają zostać zidentyfikowani operatorzy usług kluczowych: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej.
Ustawa wyznacza trzy CSIRT-y (zespoły reagowania na incydenty bezpieczeństwa komputerowego) poziomu krajowego: CSIRT NASK w strukturach Państwowego Instytutu Badawczego NASK, CSIRT GOV w strukturach Agencji Bezpieczeństwa Wewnętrznego oraz CSIRT MON w strukturach Resortu Obrony Narodowej. Każdy CSIRT poziomu krajowego ma jasno określony zakres podmiotów, które zobowiązane są raportować i którym świadczy on wsparcie.
I tak CSIRT MON koordynuje obsługę incydentów zgłaszanych przez podmioty podległe Ministrowi Obrony Narodowej i przedsiębiorstwa o szczególnym znaczeniu gospodarczo-obronnym. CSIRT GOV koordynuje incydenty zgłaszane przez administrację rządową, Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz operatorów infrastruktury krytycznej. CSIRT NASK koordynuje natomiast incydenty zgłaszane przez pozostałe podmioty, w tym m.in. operatorów usług kluczowych, dostawców usług cyfrowych i jednostki samorządu terytorialnego.
– Do CSIRT NASK incydenty mogą także zgłaszać osoby fizyczne, czyli zwykli obywatele. Można więc powiedzieć stanowi tzw. CERT ostatniej szansy – podkreśla Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii w NASK PIB i jedna ze współautorów raportu.
Trzeba też podkreślić, że ustawa zakłada ścisłą współpracę CSIRT-ów poziomu krajowego. Jej elementem jest opracowanie procedur postępowania w przypadku incydentu, którego koordynacja wymaga zaangażowania więcej niż jednego CSIRT.
Magdalena Wrzosek podkreśla, że wdrożenie ustawy o krajowym systemie cyberbezpieczeństwa to wyzwanie zarówno dla administracji, jak i sektora prywatnego.
Dużym wyzwaniem jest organizacja systemu w poszczególnych sektorach, związana z ustanowieniem sektorowych zespołów cyberbezpieczeństwa oraz zmianami w prawie sektorowym. Organy właściwe muszą także zbudować kompetencje nadzorcze w zakresie cyberbezpieczeństwa, co może być niełatwe w związku z niedoborem specjalistów w tej dziedzinie.
Z pewnością, jak podkreślają eksperci, jak ostatecznie będzie wyglądał krajowy system cyberbezpieczeństwa zdecydują nie tylko zapisy tej ustawy (choć bardzo ważne), ale i praktyczne ustalenia pomiędzy najważniejszymi graczami w tym obszarze.
