Ekspert o strategii cyberbezpieczeństwa: diagnoza zagrożeń - dobra, ale brak strategicznych pomysłów
W rządowej strategii cyberbezpieczeństwa dobrze zdiagnozowano zagrożenia ze strony adwersarzy czyli m.in. cyberprzestępców oraz służb obcych państw - powiedział w Studiu PAP prezes Fundacji Bezpieczna Cyberprzestrzeń Mirosław Maj. Zabrakło jednak nowych, strategicznych pomysłów - dodał.
10 marca Rada Ministrów przyjęła Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029, przygotowaną przez Ministerstwo Cyfryzacji, we współpracy z innymi resortami oraz instytucjami kluczowymi dla bezpieczeństwa państwa. Uchwała w sprawie strategii została opublikowana w ubiegłym tygodniu w Monitorze Polskim.
Jako główne zagrożenia w polskiej cyberprzestrzeni resort wymienił w dokumencie wzrost liczby cyberataków na Polskę w związku z pełnoskalowym atakiem Rosji na Ukrainę; walkę o dominację gospodarczą, która obejmuje produkty i surowce niezbędne dla rozwoju technologii (w tym tzw. wojna o chipy), a także rozwój nowych i przełomowych technologii (w tym kwantowej oraz AI).
Jak ocenił Mirosław Maj, autorzy strategii bardzo dobrze rozpoznali zagrożenia oraz trafnie zidentyfikowali najgroźniejszych adwersarzy, takich jak cyberprzestępcy, tzw. „haktywiści” („hakerzy-aktywiści”, którzy wykorzystują swoje umiejętności m.in. w celach politycznych - PAP), a także służby obcych państw, bezpośrednio zaangażowane w operacje w cyberprzestrzeni.
Jednym z celów strategii jest wzmocnienie suwerenności technologicznej Polski w obszarze cyberbezpieczeństwa. Rząd chce realizować ten cel m.in. przez ułatwienia w zamówieniach publicznych, czy pilotażowe wdrożenia w instytucjach publicznych. Rząd zapowiedział również inwestycje w krajowe, nowoczesne technologie m.in. w zakresie półprzewodników czy rozwiązań kryptograficznych.
Zdaniem Mirosława Maja, w strategii brakuje „świeżości”, czy też „rewolucyjności”, czyli nowych, konkretnych i strategicznych pomysłów, np. w obszarze wzmacniania suwerenności cyfrowej, tworzenia nowych polskich rozwiązań w obszarze cyberbezpieczeństwa, czy też cyberdyplomacji. - Takie pomysły dawałyby lekki „efekt wow”. Na zasadzie „o, tutaj pojawiło się coś nowego”, co sprawi, że za chwilę będziemy mogli się pochwalić polskimi produktami na arenie międzynarodowej - tłumaczył.
Jak ocenił ekspert, w strategii mógłby się znaleźć określony współczynnik implementacji polskich rozwiązań w strukturach administracji publicznej. - To pierwszy krok do suwerenności. Niektórzy twierdzą, że te rozwiązania nie zawsze są wystarczająco dojrzałe, ale one nigdy nie będą dojrzałe, jeżeli nie będzie dla nich konkretnego wsparcia, np. w produkcyjnym wdrożeniu tych rozwiązań i budowaniu konkretnego na nie zapotrzebowania - mówił.
Strategia zakłada, że w celu szybszego wykrywania sprawców przestępstw w internecie zostaną przygotowane projekty zmian przepisów umożliwiających organom ścigania szybszy dostęp do danych objętych tajemnicę bankową. Miałoby się to odbywać jedynie na podstawie postanowienia prokuratora, bez udziału właściwego miejscowo sądu okręgowego, jak to ma miejsce obecnie. - Nie jestem specjalistą z tego tematu, ale obywatelsko włącza mi się czerwona lampka, jak słyszę, że ktoś chciałby coś robić bez decyzji sądu, bo sąd z założenia pozostaje tym miejscem, w którym w sposób obiektywny powinno się to ocenić - wskazał Maj, pytany o pomysł uproszczenia przepisów ws. dostępu do tajemnicy bankowej.
Rząd zapowiedział w strategii, że zmieni przepisy tak, aby umożliwić wprowadzenie tzw. kontratypów działań operacyjnych i analitycznych podejmowanych w cyberprzestrzeni przez funkcjonariuszy służb specjalnych i policyjnych. Kontratypy to inaczej okoliczności wyłączające bezprawność czynu. Po ich określeniu i wprowadzeniu, niektóre działania służb w cyberprzestrzeni wypełniające znamiona przestępstwa w świetle prawa, nie byłyby karalne. W dokumencie zaznaczono, że kontratypy będą dotyczyć działania funkcjonariusza, które odbywa się w ramach jego ustawowych zadań, służy ochronie interesu publicznego oraz podlega określonym warunkom legalności i nadzoru, przy zastosowaniu zasady proporcjonalności. Działanie takie miałoby być objęte nadzorem przez sąd lub prokuratora.
- Kontratyp jest proponowany łącznie z nadzorem sądowym i to jest dobra wiadomość - ocenił Mirosław Maj. Dodał, że rozwiązanie to od dawna występuje w polskim prawie i w niektórych, określonych przypadkach jego zastosowanie jest uzasadnione. Podkreślił, że należy jednak poczekać z oceną na konkretne propozycje odnoszące się do działań funkcjonariuszy w cyberprzestrzeni, które miałyby być objęte kontratypem.
Według strategii, jeszcze w 2026 roku powinny powstać wojewódzkie zespoły specjalistów cyberbezpieczeństwa, które będą wspierać lokalne podmioty publiczne w obsłudze incydentów, odzyskiwaniu danych, czy prowadzeniu działań podnoszących świadomość o cyberbezpieczeństwie.
- Myślę, że to jest dobry pomysł. (...) Mamy braki w kadrach i jest wiele ośrodków, gdzie nadal cyberbezpieczeństwem zajmuje się przysłowiowy informatyk, w niektórych przypadkach pracujący na pół etatu. I to jest oczywiście wydmuszka - ocenił ekspert. Dodał, że popiera tworzenie regionalnych ośrodków, które będą działać na zasadzie świadczenia usług wspólnych dla podmiotów publicznych. Wskazał, że istnieje około 30 potencjalnych usług, które takie centra mogą świadczyć, dlatego ważne jest, które z nich zostaną wybrane oraz na jakich warunkach usługi będą oferowane.
- Warto pochwalić, że chyba minął czas, w którym moglibyśmy bezkrytycznie narzekać na to, że nie ma środków na cyberbezpieczeństwo, bo coraz to dowiadujemy się o nowych programach dla samorządów, dla administracji. Pieniądze na cyberbezpieczeństwo są i musi to w jakiś sposób poprawić poziom cyberbezpieczeństwa. Tylko teraz pozostaje zagadką, czy poprawi w sposób optymalny - podkreślił ekspert.
Zaznaczył, że finasowanie zostało uwzględnione w strategii, ale wraz z grantami powinny pojawić się pomysły np. na to, jak państwo poradzi sobie z problemem braku kadr albo z problemem kontynuacji finansowania.
Monika Blandyna Lewkowicz (PAP)
mbl/ mrr/ grg/
