O wyzwaniach i możliwościach związanych z ochroną instytucji sektora publicznego dyskutowali podczas czwartej konferencji „CyberGOV” przedstawiciele samorządów lokalnych i jednostek administracji centralnej odpowiedzialni za obszar IT, bezpieczeństwa informacji i cyberbezpieczeństwa. Głównym tematem rozmów był rozwój i doskonalenie systemu cyberbezpieczeństwa w Polsce oraz wynikające z nich zadania i wyzwania stojące przed poszczególnymi urzędami i jednostkami administracji publicznej. Aktualnego kontekstu dla spotkania dostarczyła finalizacja prac legislacyjnych nad ustawą o Krajowym Systemie Cyberbezpieczesńtwa.
„Ostatnie miesiące to okres intensywnych konsultacji. 5 czerwca w Sejmie odbyło się pierwsze czytanie ustawy, a dzień później była ona dyskutowana na posiedzeniu połączonych Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej. Po zakończeniu prac w Sejmie i Senacie, w lipcu ustawa ma zostać skierowana do podpisu Prezydenta” – mówił Karol Okoński, podsekretarz stanu w Ministerstwie Cyfryzacji.
To jednak nie koniec prac nad prawnymi aspektami systemu cyberbezpieczeństwa w Polsce. Trzeba jeszcze przygotować wiele rozporządzeń wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i ustawy Prawo telekomunikacyjne. Planowane jest także wprowadzenie jednolitego systemu certyfikacji w obszarze cyberbezpieczęństwa, który ma pozwolić jednostkom objętym prawem zamówień publicznych na lepsze kontrolowanie używanych produktów. Prace mają być sprzężone z działaniami prowadzonymi na arenie europejskiej nad Cybersecurity Act.
Centrum certyfikacji ma zostać Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK PIB). Będzie on współpracować z dwoma innymi Instytutami – Łączności i EMAG – które będą pełnić rolę laboratoriów. Na finansowanie projektu mają być w maksymalnym stopniu wykorzystane środki z Narodowego Centrum Badań i Rozwoju (NCBiR). Realizacja projektu została przewidziana na trzy lata. Wcześniej, po około 24 miesiącach, mają pojawić się pierwsze certyfikaty testowe. W późniejszym okresie przygotowany zostanie także proces „lekkiej certyfikacji”, który lepiej zabezpieczy interesy i własność intelektualną mniejszych polskich firm.
Architektura Krajowego Systemu Cyberbezpieczeństwa jest skomplikowana, a kompetencje podzielone pomiędzy wielu uczestników systemu. Mimo to ustawa o KSC nie rozwiązuje wszystkich problemów. „Otwieramy drzwi do nieumeblowanego pokoju. Teraz trzeba dużo pracy wielu osób, żeby ten pokój umeblować” – mówił podczas dyskusji panelowej Juliusz Brzostek z Centrum Cyberbezpieczeństwa w NASK PIB. Pozostali paneliści zgadzali się, że budowanie fundamentów systemu jest ważne, ale też podkreślali, że podejmowane działania, szczególnie w obrębie administracji publicznej, muszą być precyzyjnie definiowanie.
„Ustawa o KSC przypisuje odpowiedzialność, ale nie określa konsekwencji. Nie udziela też odpowiedzi na pytanie, skąd brać środki na działania zapisane w ustawie” – komentował Paweł Nogowicz z Polskiego Towarzystwa Informatycznego. Widać wyraźnie, że meblowanie tego pokoju będzie trudne. Uczestnicy dyskusji wyrażali nadzieje, że nie skończy się tylko na otwieraniu drzwi. (Więcej o dyskusji panelowej w ramce na końcu tekstu).
Planowane jest wprowadzenie jednolitego systemu certyfikacji w obszarze cyberbezpieczęństwa, który ma pozwolić jednostkom objętym prawem zamówień publicznych na lepsze kontrolowanie używanych produktów. Centrum certyfikacji ma zostać Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK PIB).
Globalne konteksty
Ciekawy punkt odniesienia dla polskich działań w obszarze cyberbezpieczeństwa stanowiły wystąpienia: Rika Veenendaal, koordynatora z Computer Emergency Response Team w Holandii, Gabriela Dinu, dyrektora departamentu w National Cyberint Center w Rumunii, oraz Adama Haertle, redaktora naczelnego serwisu ZaufanaTrzeciaStrona.pl.
Rik Veenendaal zwracał uwagę na prostotę holenderskiego systemu cyberbezpieczeństwa oraz kluczowe znaczenie współpracy jego uczestników. Wszystkie incydenty w Holandii są obsługiwane w jednym miejs
cu: National Cyber Security Center (NCSC). Współpracuje ono z jednostkami rządowymi oraz prywatnymi CERT-ami. Promował także „ludzkie podejście do bezpieczeństwa”, przesuwając na dalszy plan technologię, a nawet procedury, śmiejąc się przy tym, że to zupełnie nietypowe dla człowieka wywodzącego się ze środowisk wojskowych. Powoływał się na słowa Henry’ego Forda, że spotkanie stanowi początek, pozostanie razem postęp, ale dopiero współpraca oznacza sukces. „Istnieją trzy fundamenty bezpieczeństwa: zaufanie, współpraca i współdzielenie informacji. Cyberbezpieczeństwo to wspólny wysiłek, a bez kooperacji pozostajemy ślepi” – podkreślał Rik Veenendaal.
Podobnego zdania był Kash Valji, Director of Consulting Systems Engineering w Fortinet, który mówił o znaczeniu wymiany informacji i rozwoju partnerstw dla podniesienia poziomu oraz jakości cyberbezpieczeństwa. Rik Veenendaal zwracał także uwagę na konieczność transparentnej komunikacji ze środowiskiem oraz edukacji publicznej w zakresie cyberzagrożeń i podejmowanych w obszarze cyberbezpieczeństwa działań.
Gabriel Dinu, reprezentujący jednostkę rumuńskich służb informacyjnych, opowiadał o swojej organizacji i przedstawiał krajobraz zagrożeń w naszym regionie Europy. „Skupiamy się na poznawaniu podatności i cyberzagrożeń, próbujemy identyfikować i neutralizować zagrożenia w czasie rzeczywistym. Kluczowe znaczenie mają informacje, kim są atakujący, jakie mają możliwości i co jest ich celem. Obecnie koncentrujemy się na czterech kategoriach zagrożeń: grupach sponsorowanych przez państwa takich jak APT28 Sofacy czy Turla, cyberprzestępczości, a także cyberekstremizmie i cyberterroryzmie” – mówił Gabriel Dinu.
Z kolei Adam Haertle opowiedział o konkretnych przypadkach ataków na administrację publiczną i infrastrukturę krytyczną w kraju oraz za granicą w ciągu w ciągu ostatnich kilku lat. Jego prezentacja to przede wszystkim historia zaniedbań i drobnych błędów oraz ludzkiej naiwności prowadzących do poważnych incydentów. Pokazała jednocześnie, że dotychczas nie mieliśmy do czynienia z poważnymi konsekwencjami niefrasobliwego podejścia do problematyki cyberbezpieczeństwa.
Istnieją trzy fundamenty bezpieczeństwa: zaufanie, współpraca i współdzielenie informacji. Cyberbezpieczeństwo to wspólny wysiłek, bez kooperacji jesteśmy całkowicie ślepi.
Bezpieczeństwo regionalne i lokalne
O bardzo ciekawym, pilotażowym programie budowy regionalnych centrów SOC (Security Operations Center), realizowanym przez Politechnikę Wrocławską z wybranymi jednostkami regionalnymi, opowiadał dr inż. Jacek Oko, zastępca kanclerza Politechniki Wrocławskiej ds. informatyzacji i dyrektora Wrocławskiego Centrum Sieciowo-Superkomputerowego. „Wypracowaliśmy model, z którego mogą korzystać inni. Nawiązując do wcześniejszych wypowiedzi, ustawa o KSC otworzyła drzwi do pokoju, a my oferujemy trochę mebli do niego” – mówił Jacek Oko.
Regionalne centrum SOC ma działać na użytek podmiotów publicznych z możliwością rozszerzenia aktywności na podmioty niepubliczne. Ma stanowić rozwiązanie komplementarne z usługami Narodowego Centrum Cyberbezpieczeństwa (NCCyber). Zaproponuje wyposażenie sprzętowo-programowe stosowane w punkcie klienckim, a także wypracuje system organizacyjny i oprogramowanie dla funkcjonowania regionalnych centrów cyberbezpieczeństwa integrujących urządzenia klienckie z danego obszaru. Zajmie się również integracją centrów regionalnych z NCCyber. Ważne jest to, że projekt może przynieść w efekcie oszczędności sięgające wielu milionów złotych.
Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii w NASK PIB, a zarazem oficer łącznikowy Europejskiej Agencji Bezpieczeństwa Sieci i Informacji, mówiła o europejskich dobrych praktykach w zakresie partnerstwa publiczno-prywatnego, powołując się na badanie i raport przygotowane przez NASK. Maciej Warda
szko, dyrektor Pionu Bezpieczeństwa i Kontroli Wewnętrznej w Centralnym Ośrodku Informatyki zwracał uwagę na wyzwania związane z zabezpieczeniem rejestrów państwowych. Renata Davidson i Igor Ziniewicz z Davidson Consulting i Wspólnicy mówili z kolei o ciągłości działania instytucji publicznych w Polsce w kontekście wymogów dyrektywy NIS, ustawy o KSC oraz najlepszych praktyk biznesowych.
Nad wpływem ustawy o KSC na stosowanie audytu IT w urzędach administracji publicznej w Polsce zastanawiała się Joanna Karczewska, ekspert i audytor ISACA Warsaw Chapter. „Czy ustawa o KSC zmieni zakres wykorzystania i podejście do audytu w administracji publicznej? Oby tak było!” – mówiła Joanna Karczewska. Zgodnie z dyrektywą i ustawą audyty bezpieczeństwa powinny być prowadzone przez właściwy organ lub wykwalifikowanego audytora, którzy mogą wydać wiążące polecenia wprowadzenia środków zaradczych. Wykaz certyfikatów uprawniających do przeprowadzenia audytu określi w drodze rozporządzenia rząd.
Operatorzy usług kluczowych będą mieli obowiązek wykonania audytu bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata – po raz pierwszy w 2019 roku. Audyt powinien być przeprowadzony przez co najmniej dwóch audytorów. Operatorzy usług kluczowych będą też zobowiązani ponieść koszty audytu. Za nieprzestrzeganie wymogów ustawy przewidziane są kary, choć mniejsze niż w RODO.
Operatorzy usług kluczowych będą mieli obowiązek wykonania audytu bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata – po raz pierwszy w 2019 roku. Audyt powinien być przeprowadzony przez co najmniej dwóch audytorów. Operatorzy będą też zobowiązani ponieść koszty audytu.
Dostaliśmy szansę. Jak ją wykorzystamy?
O otwieraniu drzwi i meblowaniu pokoju, czyli o tym, jak zbudować zdrowy, sprawny i wydajny system cyberbezpieczeństwa, rozmawiali podczas „CyberGOV 2018” uczestnicy panelu dyskusyjnego.
Ustawa o KSC została przygotowana w odpowiedzi na dyrektywę NIS. Czekało na nią wielu interesariuszy. Potrzebowali ram prawnych do współpracy i budowania porozumień, gdyż trudno zbudować efektywne kanały komunikacyjne bez odpowiednich umocowań prawnych. Paneliści zastanawiali się, czy ustawa oraz proces jej przygotowania mogą stanowić dobry fundament dla dalszych działań w zakresie cyberbezpieczeństwa, czy dają nadzieję, że w przyszłości powstanie skuteczny system ochrony przed cyberzagrożeniami. Pomimo sukcesu, jakim jest samo przygotowanie ustawy, pozostają wątpliwości i obawy, np. w kwestii przywództwa czy finansowania zadań.
Otwierając dyskusję, Paweł Nogowicz z Polskiego Towarzystwa Informatycznego pytał retorycznie: „Czy gdyby nie było NIS, czy Polska zostałaby zobowiązana do przygotowania ustawy? Czy KSC byłoby wtedy tematem naszej rozmowy? Nie! Zabrakłoby motywacji, żeby ten stan rzeczy uporządkować. Są pilniejsze tematy, a cyberbezpieczeństwo to zagadnienie trudne i wymagające dodatkowych środków finansowych”. Zgadzał się z nim Juliusz Brzostek z Centrum Cyberbezpieczeństwa w NASK PIB. „NASK organizuje prace CERT Polska od blisko 20 lat. Przez ten czas staraliśmy się wpływać, inspirować, angażować, ale nie mieliśmy regulacji, które konstytuowałaby funkcjonowanie CERT Polska. Dlatego nasze działania prowadzone były w takim zakresie, na jaki pozwalały istniejące regulacje” – mówił Juliusz Brzostek.
Jakub Dysarz z Wydziału Strategii, Analiz i Współpracy Międzynarodowej w Departamencie Cyberbezpieczeństwa w Ministerstwie Cyfryzacji wskazywał jednak, że działania legislacyjne były podejmowane konsekwentnie od dłuższego czasu. Przykład stanowią zmiany wprowadzone w Prawie telekomunikacyjnym dotyczące obowiązku zgłaszania incydentów. Jednocześnie przyznawał, że dzięki NIS rozmawiamy o systemie w tak szerokim zakresie. „Gdyby nie było zobowiązania Polski wobec Unii Europejskiej, pewnie rozmawialibyśmy o ustawie, która obejmowałaby część podmiotów, jej zakres nie byłby tak szeroki” – mówił Jakub Dysarz.
Wszyscy zgadzali się, że dyrektywa NIS stanowiła bardzo dobrą przesłankę do podjęcia działań. Pozytywnie oceniano także ogromny wysiłek legislacyjny, z jakim wiązało się przygotowanie ustawy. Niemniej wyrażano wątpliwości i obawy, czy ta okazja została dobrze wykorzystana. Część panelistów przekonywała jednak, że ustawa o KSC zawiera w większości tylko to, czego wymaga NIS. Tym samym nie rozwiązuje wielu istotnych problemów i w związku z tym trzeba ją potraktować jako niewykorzystaną szansę. Podnoszono także kwestię środków finansowych na realizację celów zapisanych w ustawie. „Czy w związku z ustawą będziemy w stanie stworzyć powiązane z celami konkretne zadania do realizacji i czy znajdą się środki na realizację tych zadań?” – zastanawiał się Paweł Nogowicz.
Płk Grzegorz Małecki z Fundacji im. Kazimierza Pułaskiego zwracał uwagę, że prace były prowadzone nazbyt punktowo – sektorowo i środowiskowo. „Zabrakło podejścia systemowego. Pojawiały się ciekawe pomysły, ale nie zostały wdrożone w życie. Dlatego można mieć wątpliwości, czy KSC przyniesie efekt, jakiego wszyscy oczekują” – oceniał Grzegorz Małecki.
„To jest ustawa, a nie magiczny dokument. To tylko pierwszy krok” – odpowiadał Jakub Dysarz. Jednocześnie przypominał osobom kwestionującym zasadność przygotowania tak obszernej ustawy i proponującym rozwiązanie części problemów rozporządzeniami, że to była konieczność. „Nie można było wykorzystać rozporządzeń, ponieważ obowiązki na podmioty prywatne muszą być nakładane drogą ustawową” – podkreślał Jakub Dysarz.
Wszyscy paneliści zgadzali się, że osoby odpowiedzialne za przygotowanie ustawy w Ministerstwie Cyfryzacji wykonały ogromną pracę, a obecny kształt ustawy stanowi konieczny kompromis. Należy mieć nadzieję, że w ciągu roku czy dwóch lat pojawi się możliwość uzupełnienia ustawy o kolejne zagadnienia, których obecnie nie udało się uwzględnić. „Ustawa tworzy fundamenty, choć tylko na podstawowym poziomie. Nadal brakuje wskazania jednolitego przywództwa. Ze względu na presję czasu zabrakło też wizji dochodzenia do modelu docelowego. Działając ad hoc, nie uda się stworzyć całościowego rozwiązania” – mówił Grzegorz Małecki.
Dużo wątpliwości wzbudziły zwłaszcza kwestie przywództwa w obszarze cyberbezpieczeństwa. Ustawa nie określa ostatecznej odpowiedzialności za ten obszar. W tej sytuacji można mieć obawy o efektywność i skuteczność budowy systemu oraz podejmowanych w jego ramach działań. „NIS i jej implementacja, czyli ustawa o KSC, dużo miejsca poświęcają obsłudze incydentów. To była najpilniejsza sprawa do załatwienia na tym etapie. Wiadomo było, że incydenty trzeba zgłaszać, ale nie było określone gdzie” – tłumaczył Jakub Dysarz. Jego zdaniem, ośrodek decyzyjny ukonstytuuje się w przyszłości na bazie stworzonych teraz fundamentów prawnych.