Z oficjalnego dokumentu opublikowanego właśnie na stronie BBN wiemy jak polskie władze podchodzą do kwestii bezpieczeństwa kraju w obliczu wszelkiego rodzaju zagrożeń cybernetycznych.
"Doktryna Bezpieczeństwa Rzeczypospolitej Polskiej" określa zagrożenia wewnętrzne i zewnętrzne oraz przedstawia sposoby walki z nimi. Jest podstawą do tworzenia rozwiązań prawnych w tym zakresie. Przeanalizowaliśmy napisany niezwykle urzędowym językiem dokument - oto tezy w nim zawarte.
Przesłanie Prezydenta
Bronisław Komorowski we wstępie do "Doktryny" przypomina, że ogólnie pojęta cyberprzestrzeń jest "nowym obszarem aktywności państwa, podmiotów prywatnych i obywateli". Cyberprzestrzeń tworzą "systemy komputerowe, sieć internetowa, a także użytkownicy - instytucje państwowe, podmioty gospodarcze i obywatele.", dlatego też władze państwowe muszą być gotowe na różnego rodzaju sytuacje i działania.
"Cyberprzestrzeń jest polem konfliktu, na którym przychodzi nam zmierzyć się nie tylko z innymi państwami, ale także z wrogimi organizacjami, jak choćby z grupami ekstremistycznymi, terrorystycznymi czy zorganizowanymi grupami przestępczymi. Dlatego jednym z istotnych priorytetów polskiej strategii stało się bezpieczeństwo tego nowego środowiska." - czytamy w dokumencie.
"Doktryna" jest więc odpowiedzią na różnego rodzaju zagrożenia.
"Doktryna cyberbezpieczeństwa wskazuje strategiczne kierunki działań dla zapewnienia pożądanego poziomu bezpieczeństwa Rzeczypospolitej Polskiej w cyberprzestrzeni. Jednocześnie powinna być traktowana jako jednolita podstawa koncepcyjna, zapewniająca spójne i kompleksowe podejście do zagadnień cyberochrony i cyberobrony - jako wspólny mianownik dla działań realizowanych przez podmioty administracji publicznej, służby bezpieczeństwa i porządku publicznego, siły zbrojne, sektor prywatny oraz obywateli. "
Strategiczne cele "Doktryny"
Najważniejsze dla naszych władz ma być "zapewnienie bezpiecznego funkcjonowania Rzeczypospolitej Polskiej w cyberprzestrzeni", które ma być osiągnięte poprzez:
- rozpoznanie zagrożeń - redukowanie potencjalnych możliwości ataku (np. poprzez lepsze systemy zabezpieczeń) - ochronę ważnych systemów informatycznych - aktywne działania wymierzone w atakujących lub zagrażających nam - odtwarzanie do stanu pierwotnego zaatakowanej infrastruktury.
Zagrożenia wewnętrzne
W dokumencie możemy znaleźć informacje na temat zagrożeń. Nie jestem przekonany, czy urzędnikom udało się je zdefiniować zawsze w sposób jasny i prawidłowy. Twórcy "Doktryny" określają zagrożenia w świecie cyfrowym szukając - chyba niepotrzebnie - analogii do świata "rzeczywistego".
"Mowa o zjawiskach takich, jak cyberprzestępczość, cyberprzemoc, cyberprotesty czy cyberdemonstracje o charakterze destrukcyjnym, zakłócające realizację istotnych zadań administracji publicznej oraz sektora prywatnego."
W tej części znajdziemy też wykaz różnego rodzaju infrastruktur szczególnie wrażliwym na ewentualny atak. Na przykład:
Wśród cyberzagrożeń szczególnie istotne są te dotyczące infrastruktury krytycznej państwa, sterowanej za pomocą systemów informatycznych. W tym zakresie nadzwyczaj niebezpieczne dla państwa mogą być celowe ataki na systemy komunikacji (łączności) zapewniające sprawne funkcjonowanie podsystemu kierowania bezpieczeństwem narodowym, podsystemu obronnego i podsystemów ochronnych, a także podsystemów wsparcia (gospodarczego i społecznego).
Praca przy komputerze Fot. Sebastiaan ter Burg/Flickr Fot. Sebastiaan ter Burg/Flickr
Dokument określa też jakie nieodpowiednie działania narażają nasze cyfrowe bezpieczeństwo. Są wśród nich: nieprawidłowe finansowanie struktur powołanych do zapewnienia bezpieczeństwa, tworzenie złego prawa, wprowadzanie zmian w prawie bez konsultacji społecznych. To szczególnie ważny obszar, który "Doktryna" stara się zdefiniować:
"Ryzyka w obszarze cyberbezpieczeństwa RP wiążą się z lukami i słabościami istniejącymi w systemie cyberbezpieczeństwa. Ich najpoważniejszymi źródłami są m.in. coraz szersze zagospodarowanie cyberprzestrzeni może stwarzać ryzyko braku akceptacji społecznej dla racjonalnego określenia granicy między wolnością osobistą i ochroną praw jednostki w świecie wirtualnym a stosowaniem środków służących zapewnieniu akceptowalnego poziomu bezpieczeństwa. Może to powodować trudności we wprowadzaniu nowych, efektywnych systemów bezpieczeństwa w cyberprzestrzeni.
Władze zdaje więc wprowadzanie "efektywnych systemów bezpieczeństwa" może się czasem spotkać ze sprzeciwem obywateli.
Zagrożenia zewnętrzne
Polska musi być przygotowana na to, że zostanie wciągnięta do konfliktu rozgrywającego się między państwami również na płaszczyźnie cyfrowej. Wojna prowadzona w cyberprzestrzeni jest dziś integralną częścią działań wojennych - nie można po prostu rozdzielić tych dwóch kwestii.
"Rozwój technologii teleinformatycznych oraz internetu prowadzi do powstawania nowych zagrożeń zewnętrznych, takich jak cyberkryzysy i cyberkonflikty z udziałem podmiotów państwowych i niepaństwowych, w tym także groźbę cyberwojny. Operacjew cyberprzestrzeni stanowią dziś integralną część klasycznych kryzysów i konfliktów polityczno-militarnych (wojen), w ramach ich hybrydowego charakteru" - czytamy w dokumencie.
Zagrożeniem dla naszego kraju jest również szpiegostwo prowadzone przez władze obcych państw i firmy.
Źródłem zagrożenia w cyberprzestrzeni są też terroryści i ekstremiści:
"Źródłami zagrożeń w cyberprzestrzeni są także organizacje ekstremistyczne, terrorystyczne oraz zorganizowane transnarodowe grupy przestępcze, których ataki w cyberprzestrzeni mogą mieć podłoże ideologiczne, polityczne, religijne, biznesowe i kryminalne."
Jak zamierzamy się bronić?
W "Doktrynie Bezpieczeństwa Rzeczypospolitej Polskiej" określono szereg działań podejmowanych przez instytucje państwowe w celu zapewnienia nam bezpieczeństwa cyfrowego. Wśród najważniejszych należy wymienić:
- rozpoznawanie źródeł zagrożenia - monitorowanie stanu infrastruktury, ze szczególnym uwzględnieniem tej potrzebnej do obsługi prac związanych z NATO i Unią Europejską - rozwój kryptografii i analizy metod kryptograficznych - przygotowanie instrukcji, które trzeba będzie wykonać w różnych instytucjach w razie ataku - zwalczanie cyberprzestępczności - edukowanie społeczeństwa.
Na ten ostatni aspekt szczególną uwagę zwraca redakcja portalu Niebezpiecznik.pl. Polska bierze bowiem pod uwagę "zaangażowanie obywateli" w kwestię cyberbezpieczeństwa.
Warto też podkreślić, że doktryna w kilku miejscach namawia do wspierania podmiotów prywatnych w zakresie cyberbezpieczeństwa, wymiany doświadczeń na styku rząd - sektor prywatny a także wskazuje na znaczenie działań edukacyjnych skierowanych do ogółu społeczeństwa - czytamy na portalu.
W jaki sposób to angażowanie obywateli miałoby się odbywać? Szczególnie, że w Doktrynie czytamy o "wolontariacie dla cyberbezpieczeństwa" . Wyjaśnia to cytat z "Doktryny"
"Należy opracować programy kształcenia kadr na potrzeby systemu cyberbezpieczeństwa (także ścieżki kariery pozwalające przyciągnąć najlepszych specjalistów). Ważne jest prowadzenie działań informacyjnych i edukacyjnych o charakterze profilaktycznym w zakresie przygotowania obywateli do ich ochrony (w tym samoochrony) przed zagrożeniami w cyberprzestrzeni. Należy uznać indywidualnych użytkowników, ich umiejętności i świadomość bezpieczeństwa, za jeden z filarów cyberbezpieczeństwa państwa, a co za tym idzie, kształtować mechanizmy przekazywania wiedzy oraz umiejętności w taki sposób, aby służyły zwiększeniu szans na osiągnięcie pożądanego poziomu cyberbezpieczeństwa."
Ogólnie działania obronne można podzielić na trzy kategorie:
- tworzenia podstaw ciągłego funkcjonowania systemu teleinformatycznego, zapewniającego akceptowalny poziom bezpieczeństwa, szczególnie na potrzeby podsystemu kierowania bezpieczeństwem narodowym, w tym obronnością państwa; - zapewnienia strukturalnego wsparcia i finansowania prac badawczo-rozwojowych w zakresie tworzenia nowych, narodowych rozwiązań w dziedzinie teleinformatyki i kryptologii; przeglądu i analizy regulacji istniejących w sferze cyberbezpieczeństwa w celu precyzyjnego określenia potrzeby ewentualnych zmian naprawczych i uzupełniających.
W dokumencie ponownie czytamy o potrzebie dialogu między władzą, przedsiębiorstwami, a obywatelami, bez którego trudno będzie zapewnić nam bezpieczeństwo.
Wspólnej dbałości o cyberbezpieczeństwo państwa służy:
dialog publiczno-prywatny w zakresie przygotowywania projektów legislacyjnych sprzyjających tworzeniu efektywnych zasad i procedur działania w sferze cyberbezpieczeństwa; budowa porozumienia w obszarze celów i zadań systemu cyberbezpieczeństwa poprzez dialog na poziomie teoretycznym oraz praktycznym; promowanie na poziomie krajowym oraz międzynarodowym polskich rozwiązań i produktów w dziedzinie cyberbezpieczeństwa; efektywna współpraca i wsparcie państwa w dziedzinie cyberbezpieczeństwa dla prywatnych operatorów elementów infrastruktury krytycznej sterowanych przy użyciu systemów teleinformatycznych oraz operatorów i dostawców usług teleinformatycznych; zaangażowanie przedstawicieli sektora publicznego, prywatnego oraz obywateli w proces ciągłego kształcenia i podnoszenia świadomości zagrożeń w obszarze cyberbezpieczeństwa.
Udany dokument?
Jak "Doktrynę" oceniają specjaliści? Redakcja Niebezpiecznika podkreśla:
"Podsumowując, duży plus dla BBN za sugerowanie podejmowania decyzji na podstawie analizy ryzyka, za zwrócenie uwagi, że nabywanie kodów źródłowych systemów wojskowych jest istotne, podobnie jak i przygotowanie scenariuszy na wypadek ataku. Pochwała należy się także za wskazanie koniecznych, a często bagatelizowanych w kontekście bezpieczeństwa czynności, takich jak monitoring czy regularne audyty bezpieczeństwa (oby nie skończyło się tylko na szumnych słowach i pięknych planach ). Minus natomiast przyznajemy za niepotrzebne komplikowanie dokumentu (np. termin "środowisko cyberbezpieczeństwa", "wymiar preparacyjny", "cyberdemonstracje", " cyfryzowane zadania państwa")."
Zgodzę się z Niebezpiecznikiem - język dokumentu uniemożliwia zrozumienie niektórych zapisów. Wiele spraw jest niepotrzebnie komplikowanych. Mimo wszystko "Doktryna" określa w prawidłowy sposób główne zagrożenia i sposoby reagowania na nie. Miejmy tylko nadzieję, że "wprowadzanie nowych, efektywnych systemów bezpieczeństwa w cyberprzestrzeni" nie będzie oznaczać działań wbrew naszej woli.
"Doktrynę Bezpieczeństwa Rzeczypospolitej Polskiej" można pobrać ze strony Biura Bezpieczeństwa Narodowego.
