Międzyresortowa grupa robocza zakończyła prace nad projektem Strategii Cyberbezpieczeństwa. Teraz dokument trafi do KRMC w celu zaopiniowania. W skład międzyresortowej grupy wchodzili przedstawiciele ministerstw Cyfryzacji, Obrony Narodowej, Spraw Wewnętrznych i Administracji oraz Agencji Bezpieczeństwa Wewnętrznego, Rządowego Centrum Bezpieczeństwa, Biura Bezpieczeństwa Narodowego oraz NASK.
Jeśli Strategia uzyska pozytywną opinię Komitetu Rady Ministrów ds. Cyfryzacji – trafi pod obrady rządu. Później zostanie przyjęta w drodze uchwały.
Głównym celem tego dokumentu jest zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych.
Rozwój społeczny i gospodarczy w coraz większym stopniu zależny jest od szybkiego i nieskrępowanego dostępu do informacji oraz jej wykorzystania w zarządzaniu, produkcji, sektorze usług oraz przez podmioty publiczne. Stały rozwój sieci i systemów informatycznych, w tym operacje na dużych zasobach danych, służą rozwojowi komunikacji, handlu, transportu czy też usług finansowych. W cyberprzestrzeni tworzymy i kształtujemy relacje społeczne, a Internet stał się narzędziem do wpływania na zachowania grup społecznych, a także oddziaływania w sferze politycznej.
Każde znaczące zakłócenie funkcjonowania cyberprzestrzeni, czy to o charakterze globalnym, czy lokalnym, będzie miało wpływ na bezpieczeństwo obrotu gospodarczego, poczucie bezpieczeństwa obywateli, sprawność funkcjonowania instytucji sektora publicznego, przebieg procesów produkcyjnych i usługowych, a w rezultacie na ogólnie pojmowane bezpieczeństwo narodowe.
Informacja jest narażona na utratę dostępności, integralności i poufności w wyniku oddziaływań pochodzących z różnych źródeł, w tym działań zamierzonych, polegających na dystrybucji szkodliwego oprogramowania, włamań do systemów teleinformatycznych, blokowaniu możliwości świadczenia usług. Atakującymi mogą być zarówno grupy przestępcze, działające z chęci zysku, pobudek terrorystycznych, jak i grupy, za którymi mogą stać obce państwa, a działania takie służą pozyskaniu informacji, destabilizacji politycznej lub gospodarczej albo wywołaniu niezadowolenia społecznego.
Zapewnienie bezpieczeństwa informacji jest wyzwaniem dla wszystkich podmiotów tworzących krajowy system cyberbezpieczeństwa, a więc podmiotów gospodarczych świadczących usługi przy wykorzystaniu systemów teleinformatycznych, użytkowników cyberprzestrzeni, organów władzy publicznej, a także wyspecjalizowanych podmiotów zajmujących się bezpieczeństwem teleinformatycznym w sferze operacyjnej. Jest to tym istotniejsze, iż Polska jest ściśle powiązana z innymi państwami poprzez współpracę międzynarodową w ramach takich organizacji jak UE, NATO, ONZ czy OBWE. Współpraca ta odgrywa istotną rolę w walce z rosnącą liczbą incydentów powodowanych nielegalnymi działaniami w cyberprzestrzeni, prowadzącymi do strat materialnych i wizerunkowych.
Zakres Strategii
Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022 jest krajową strategią w zakresie bezpieczeństwa systemów teleinformatycznych w rozumieniu Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii zwanej dalej Dyrektywą NIS.
W szczególności Strategia wskazuje:
- cele w zakresie bezpieczeństwa teleinformatycznego,
- główne podmioty zaangażowane we wdrażanie strategii w zakresie bezpieczeństwa teleinformatycznego,
- ramy zarządzania służące realizacji celów krajowej strategii w zakresie bezpieczeństwa teleinformatycznego,
- na potrzebę zapobiegania i reagowania w odniesieniu do incydentów oraz przywracania stanu normalnego zakłóconego incydentem, w tym zasady współpracy pomiędzy sektorami publicznym i prywatnym,
- podejście do oceny ryzyka,
- kierunki podejścia do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa,
- działania odnoszące się do planów badawczo-rozwojowych w zakresie bezpieczeństwa teleinformatycznego,
- podejście do współpracy międzynarodowej w zakresie cyberbezpieczeństwa.
Niniejsza Strategia wprowadzona w drodze uchwały Rady Ministrów, oddziałuje w sposób bezpośredni na podmioty administracji rządowej, a w sposób pośredni, po przyjęciu z inicjatywy Rady Ministrów przepisów prawa powszechnego, na pozostałe podmioty władzy publicznej, przedsiębiorców i obywateli.
Wizja
W roku 2022 Polska będzie krajem bardziej odpornym na ataki i zagrożenia płynące z cyberprzestrzeni. Dzięki synergii działań wewnętrznych i międzynarodowych cyberprzestrzeń RP stanowić będzie bezpieczne środowisko umożliwiające realizowanie wszystkich funkcji państwa i pozwalać na pełne wykorzystywanie potencjału gospodarki cyfrowej, przy równoczesnym poszanowaniu praw i wolności obywateli.
Cel główny
Zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych.
Cele szczegółowe
- Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa.
- Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom.
- Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni.
Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa.
Cel szczegółowy 1 – Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa
Dostosowanie otoczenia prawnego do potrzeb i wyzwań w obszarze cyberbezpieczeństwa
Rozbudowa krajowego systemu cyberbezpieczeństwa wymaga zmian prawnych. W związku z tym zostanie dokonany przegląd istniejących przepisów prawa w celu ich harmonizacji, zwiększenia efektywności działania i poprawy przepływu informacji pomiędzy wszystkimi interesariuszami zaangażowanymi w aktywne budowanie krajowego systemu cyberbezpieczeństwa.
Najdalej idące zmiany będą wynikać z obowiązku implementacji do polskiego porządku prawnego Dyrektywy NIS. Zawiera ona dyspozycje do określenia wymagań bezpieczeństwa w odniesieniu do podmiotów prywatnych i państwowych z sektorów energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę oraz infrastruktury cyfrowej, świadczących usługi kluczowe. Zapewnienie skuteczności krajowego systemu cyberbezpieczeństwa wymaga włączenia do niego sektora publicznego oraz telekomunikacyjnego, a także uwzględnienia kwestii związanych z usługami zaufania i usługami publicznymi świadczonymi przez sektor prywatny. Ponadto Dyrektywa NIS wprowadza minimalne wymagania dla dostawców usług cyfrowych, to jest internetowych platform handlowych, wyszukiwarek internetowych i usług przetwarzania w chmurze.
Za przygotowanie propozycji zmian prawnych w zakresie cyberbezpieczeństwa w swych obszarach kompetencyjnych odpowiadają właściwi ministrowie.
W ramach prac legislacyjnych minister właściwy do spraw informatyzacji, we współpracy z innymi resortami, dokona przeglądu regulacji sektorowych i szczególnych, które dotyczą omawianej problematyki oraz regulacji prawnych, które mogą mieć oddziaływanie na inne obszary, na przykład na ochronę danych osobowych, czy infrastrukturę krytyczną w kontekście Narodowego Programu Ochrony Infrastruktury Krytycznej. Niezbędne będzie również podjęcie prac legislacyjnych mających na celu uregulowanie obszaru z zakresu wytwarzania, posiadania, pozyskiwania oraz wykorzystywania specjalistycznych narzędzi z zakresu prowadzenia działań militarnych w cyberprzestrzeni przez resort obrony narodowej.
Uregulowane zostaną kwestie współpracy operacyjnej, w tym właściwej koordynacji działań i wymiany informacji pomiędzy instytucjami odpowiedzialnymi za bezpieczeństwo narodowe, działania antyterrorystyczne oraz bezpieczeństwo wewnętrzne i porządek publiczny.
Z uwagi na dynamikę procesów zachodzących w obszarze cyberbezpieczeństwa niezbędne będzie okresowe monitorowanie zjawisk tam zachodzących i inicjowanie ewentualnych zmian w przepisach prawa.
Udoskonalenie struktury krajowego systemu cyberbezpieczeństwa
Wobec dynamicznego rozwoju społeczeństwa informacyjnego, elektronicznej administracji i gospodarki cyfrowej, jak również w świetle zagrożeń w cyberprzestrzeni zostaną wzmocnione struktury krajowego systemu ochrony cyberprzestrzeni.
W świetle planowanych zmian prawa zadaniem organów państwowych będzie określenie zakresu odpowiedzialności podmiotu koordynującego krajowy system cyberbezpieczeństwa, obowiązków i uprawnień uczestników systemu oraz sposobów oddziaływania koordynatora na uczestników systemu. Należy również określić kompetencje organów właściwych, odpowiedzialnych za sprawowanie nadzoru w zakresie systemów teleinformatycznych w sektorach, w których świadczone są usługi kluczowe i usługi cyfrowe.
Dotychczasowe działania w obszarze cyberbezpieczeństwa podmiotów ze sfery cywilnej, wojskowej, sektora publicznego i prywatnego oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości miały charakter rozproszony, co bezpośrednio wpływało na niską efektywność tego systemu. Wdrożenie skutecznego systemu cyberbezpieczeństwa będzie możliwe poprzez skonsolidowanie i zharmonizowanie działań wszystkich interesariuszy. W tym celu niezbędne będzie zastosowanie podejścia procesowego, poprzez dokonanie identyfikacji procesów, ról poszczególnych interesariuszy i ich zasobów.
Rozwój krajowego systemu cyberbezpieczeństwa wiąże się również z rozbudową struktur zajmujących się cyberbezpieczeństwem na poziomie operacyjnym, w tym Narodowego Centrum Cyberbezpieczeństwa (NCC), CSIRT Narodowego, sektorowych zespołów reagowania na incydenty (CSIRT sektorowe), centrów wymiany i analizy informacji oraz potrzebą właściwego umocowania kompetencyjnego na poziomie ustawy odpowiednich struktur, w tym NCC oraz CSIRT Narodowego. Niezbędne jest ustanowienie systemowych rozwiązań pozwalających na wymianę informacji pomiędzy interesariuszami i dzielenie się wiedzą, co do zagrożeń i incydentów.
Warunkiem prawidłowego działania systemu będzie również doprecyzowanie wzajemnych powiązań pomiędzy poszczególnymi interesariuszami krajowego systemu cyberbezpieczeństwa, w tym organów odpowiedzialnych za bezpieczeństwo narodowe, działania antyterrorystyczne, bezpieczeństwo wewnętrzne oraz porządek publiczny, prokuraturę oraz sądownictwo.
Rząd w ramach współpracy administracji rządowej z administracją samorządową będzie rekomendował i działał na rzecz jednostek samorządu terytorialnego w zakresie tworzenia klastrów bezpieczeństwa dla tej administracji.
Zwiększenie efektywności współdziałania podmiotów zapewniających bezpieczeństwo cyberprzestrzeni RP
Podstawą skutecznej reakcji na zagrożenia i ataki jest funkcjonowanie niezawodnych i bezpiecznych mechanizmów wymiany informacji pomiędzy interesariuszami krajowego systemu cyberbezpieczeństwa. Z drugiej strony powszechnie występującym problemem jest niechęć tych podmiotów do dzielenia się informacją na temat zauważonych zagrożeń, incydentów oraz szacowanych strat. Niezależnie od rozwiązań prawnych określających jednoznaczne mechanizmy wymiany informacji o cyberbezpieczeństwie, w pierwszym okresie konieczne jest utworzenie lub rozbudowa krajowej sieci CSIRT (narodowy, sektorowe, komercyjne i przedsiębiorców), które wymieniałyby kluczowe informacje o zagrożeniach bezpieczeństwa i incydentach w danym sektorze bądź dziale administracji rządowej.
Mechanizmy systemu wymiany informacji zostaną skonstruowane tak, aby podmiotom uczestniczącym zapewnić ochronę interesów, w tym ochronę tajemnicy przedsiębiorstwa, ochronę wizerunku oraz ochronę innych istotnych wartości.
Krytycznym czynnikiem procesu zwiększenia efektywności współdziałania podmiotów zapewniających bezpieczeństwo cyberprzestrzeni RP, jak i doskonalenia systemu reagowania na incydenty, będą ćwiczenia i treningi pozwalające na sprawdzenie skuteczności działania w skali krajowej i międzynarodowej.
Realizując te zadania na poziomie europejskim Polska zintensyfikuje działania na rzecz zapewnienia bezpieczeństwa Jednolitego Rynku Cyfrowego jako motoru wzrostu gospodarczego i innowacyjności. Ponadto istotne jest dążenie do szerszego uwzględnienia aspektów cyberbezpieczeństwa w pracach nad pogłębieniem Wspólnej Polityki Zagranicznej i Bezpieczeństwa Unii Europejskiej.