Mówiąc o zapewnianiu ochrony cyberprzestrzeni w Polsce należy wyjść od koordynacji. Cyberbezpieczeństwo charakteryzuje się dziś tym, że nie da się go rozpatrywać tylko w jednej instytucji. Podział kompetencji jest bardzo rozmyty – stwierdzili uczestnicy panelu dyskusyjnego konferencji „Strategia cyberbezpieczeństwa RP” organizowanej przez Fundację im. Kazimierza Pułaskiego. 

Potencjał ochronny cyberprzestrzeni Polski traci na niedoskonałym podziale kompetencji podmiotów. Problem leży głównie w ustawodawstwie – prawne umocowanie odpowiedzialności poszczególnych instytucji nie jest silne – ocenił dr Krzysztof Liedel, dyrektor Departamentu Prawa i Bezpieczeństwa Pozamilitarnego w Biurze Bezpieczeństwa Narodowego. Nie należy jednak powoływać kolejnej organizacji, która pełniłaby funkcję koordynatora.  Zdaniem dr. Liedela, lepszym rozwiązaniem jest usprawnienie współpracy między instytucjami. Dziś organizacje współpracują miedzy sobą na zasadzie umów, a nie ustaw. Dzięki odpowiednim rozwiązaniom prawnym, instytucje będę zobowiązane przekazywać sobie informacje. Pewne działania mogłaby koordynować instytucja rządowa, np. Rządowe Centrum Bezpieczeństwa.

Wątpliwości budzi również ilość podmiotów odpowiedzialnych za ten obszar bezpieczeństwa. Kompetencje w tym zakresie posiadają m.in. ABW, Siły Zbrojne RP i Kontrwywiad. – W sprawach najważniejszych może to doprowadzić do paraliżu decyzyjnego – zauważył płk dr hab. inż. Piotr Dela z Wydziału Bezpieczeństwa Narodowego Akademii Obrony Narodowej. Pierwsze kroki ku zmianie na lepsze zostały już podjęte. Rozwiązane zostały m.in. kwestie definicyjne. Z inicjatywy Prezydenta Rzeczypospolitej udało się wprowadzić pierwsze definicje z obszaru cyberbezpieczeństwa do ustaw (m. in. do ustawy o stanie wyjątkowym).

Eksperci wielokrotnie wspominali o wysokim znaczeniu ochrony infrastruktury krytycznej przed cyberatakami. Najsłabszym ogniwem w tych staraniach jest niestety człowiek. – Niezbędne jest kształcenie i budowanie świadomości. O bezpieczeństwie w sieci trzeba edukować już na poziomie szkoły podstawowej, nie są to duże koszty – ocenił płk Dela.

Tematyką cyberbezpieczeństwa i edukacji na tym polu jest szczególnie zainteresowane Narodowe Centrum Badań i Rozwoju, gdzie powstał oddzielny sektor dedykowany temu zagadnieniu. – Wnioski o dofinansowanie na badania w obszarze cyber można składać w ramach programów operacyjnych „Inteligentny Rozwój” oraz „Wiedza Edukacja Rozwój” – mówił dr inż. Stanisław Dyrda, ekspert NCBiR. – W ostatnich latach widać wzrost środków przeznaczanych na cyberbezpieczeństwo. Przykładem jest kwota 120 mln złotych przeznaczona na Narodowe Centrum Kryptologii – dodał.

„Współpraca z przemysłem w obszarze cyberbezpieczeństwa jest niezbędna. Niestety, badania naukowe nie są wykorzystywane. Uczelniom wyższym trudno jest się przebić także do administracji. Nie wiadomo z czego to wynika” – ocenił płk dr hab. inż. Piotr Dela.

Współpraca na linii sektor prywatny-administracja jest niezbędna, jeśli państwo chce operować dostatecznym potencjałem obronnym w cyberprzestrzeni. Koordynacja tej współpracy okazuje się jednak problematyczna i zależna od wielu czynników. Inne są także priorytety – przedsiębiorstwa są nastawione przede wszystkim na zysk. Zdaniem ekspertów, nie zawsze to idzie w parze z bezpieczeństwem. „Sektor prywatny został zaproszony do prac nad 'Doktryną Cyberbezpieczeństwa RP’, jednak obie strony odrzuciły zasadę partnerstwa publiczno-prywatnego. Konieczne jest wypracowanie nowych mechanizmów współpracy” – stwierdził dr Krzysztof Liedel, dyrektor Departamentu Prawa i Bezpieczeństwa Pozamilitarnego w BBN.

Zasygnalizowany został także istotny problem kadrowy. „Cyberbezpieczeństwem  powinno się zajmować duże grono wysoko wykwalifikowanych specjalistów. Mówimy tu o dużych zasobach, nawet kilka tysięcy osób. Jednak nie ma dla nich zaplecza, uczelnie nie kształcą tego typu ludzi” – ocenił dr inż. Stanisław Dyrda z Narodowego Centrum Badań i Rozwoju. Eksperci podchodzą również sceptycznie do kwestii współpracy międzynarodowej. Zdaniem Liedela, istnieje potrzeba kooperacji, jednak niezbędna jest tu praca u podstaw. „Państwa i organizacje międzynarodową muszą zgadzać się już na poziomie definicyjnym. Cyberbezpieczeństwo nie ma granic. Trudno zatem wyobrazić sobie działania w tym obszarze bez współpracy międzynarodowej. Obecnie w internecie mamy tzw. 'dziki zachód’. Przepisy nie nadążają za rozwojem technicznym – nie jest uregulowana kwestia działań w sieci, których wynikiem jest przestępstwo w realu” – dodał. Europejska współpraca w dziedzinie cyber musi zmierzyć się także z potencjalnym konfliktem interesów różnych krajów. „Współpraca w tym obszarze może skończyć się tak, jak w przypadku wspólnej polityki zagranicznej czy europejskiej armii” – podkreślił Dela.

Odpowiednie przygotowanie państwa do działań w cyberprzestrzeni to również zapewnienie zdolności ofensywnych. „Doktryna Cyberbezpieczeństwa RP” stawia za cel operacyjny m.in. „zwalczanie (dezorganizowanie, zakłócanie i niszczenie) źródeł zagrożeń”. „Doktryna jest dokumentem o charakterze ogólnym, wyznaczającym kierunki. Na tym etapie nie mamy możliwości ofensywnych” – ocenił Liedel. Zdaniem dyrektora, w tym obszarze powraca brak formalnego umocowania. „Doktryna nie jest ustawą, ale została przyjęta przez Radę Bezpieczeństwa Narodowego i instytucje państwowe zobowiązały się ja implementować” – dodał.

Oprac. Kamil Gapiński

***

Konferencja „Strategia cyberbezpieczeństwa RP” jest pierwszym wydarzeniem z cyklu mini konferencji „Cyberbezpieczeństwo Polski”. Wnioski pokonferencyjne będą stanowiły zbiór najważniejszych zadań, które stoją przed polskim ustawodawstwem w obszarze bezpieczeństwa teleinformatycznego. Celem projektu jest również wypracowanie rekomendacji, których treść będzie mogła służyć jako inspiracja dla nowej strategii bezpieczeństwa Unii Europejskiej. Zbiór zadań i rekomendacji zostanie udostępniony w formie publikacji. Cykl spotkań odbywa się w ramach Road to Warsaw Security Forum 2015.