Co dalej z Krajowym Systemem Cyberbezpieczeństwa? „Nikogo nie chcemy na rynku wykluczać (…) Chcemy mieć pewność systemu cyberbezpieczeństwa” – komentuje Minister Cyfryzacji, Krzysztof Gawkowski
Na spotkaniu z mediami, 24 kwietnia, Ministerstwo Cyfryzacji ogłosiło szereg nowości dotyczących Krajowego Systemu Cyberbezpieczeństwa. Co wynika z zapowiadanych zmian?
Ileż to my już czasu poświęciliśmy tematowi KSC (Krajowy System Cyberbezpieczeństwa)… Nieprzerwanie od końcówki 2018 roku widzimy i opisujemy kolejne próby zbudowania właściwego dokumentu; ustawy, która regulowałaby kwestie związane z bezpieczeństwem cybernetycznym Polski. Niestety, prawie 6 lat i aż 18 (sic!) projektów później, jesteśmy nadal bez stosownej nowelizacji ustawy. Szkoda, bo sprawa jest znaczenie ważniejsza niż może się wydawać.
Przede wszystkim pojawił się dodatkowy motywator dla władz, aby prace nad KSC realnie przyspieszyć. Do dotychczasowych (kwestia poczucia bezpieczeństwa, postępująca cyfryzacja gospodarki, większa zależność struktur władzy od technologii itd.) nieco ponad dwa lata temu dołączyła wojna w Ukrainie. Wprawdzie już wcześniej trudno byłoby uznawać rosyjskie sąsiedztwo za przyjazne czy obliczalne, ale dopiero pierwsze rakiety, które spadły na ukraińskie miasta podziałały jak kubeł zimnej wody i zdecydowanie obudziły polityków w temacie bezpieczeństwa. Tyle tylko, że politykę robi się przede wszystkim dla sondaży i słupków poparcia, czego konsekwencją był znacznie większy nacisk na bezpieczeństwo rozumiane w tradycyjnym sensie. Sprowadzając to do może zbyt dalekiego uproszczenia, politycy uznali, że wyborca szybciej zrozumie i zaaprobuje wydatki na nowe czołgi czy samoloty niż „jakieś tam cyberbezpieczeństwo”. Skoro już jednak jesteśmy po najważniejszych wyborach, a podstawowa kwestia zaopatrzenia dla wojska nie podlega już dyskusji, można skupić się na innym, ważnym, ale nie tak zrozumiałym aspekcie. O tym jak ważne jest dziś cyberbezpieczeństwo z pewnością należy szerzej informować. Sytuacja jest bowiem poważna.
„Śmiem twierdzić, że jesteśmy już nawet w fazie regularnej wojny w cyberprzestrzeni, bowiem te działania naszych przeciwników, adwersarzy zarówno politycznych, ale i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia i możliwości do twardego reagowania. Stąd wprowadzamy takie różne mechanizmy. Oczywiście wprowadzamy nowe pojęcia (…) czyli podmioty kluczowe i podmioty ważne. Nakładamy na nie konkretne, nowe obowiązki” – powiedział wiceminister Paweł Olszewski
W kleszczach polityki mocarstw
Trudności z uchwaleniem stosownej ustawy przez poprzednią władzę nie mogą do końca dziwić, gdy pomyślimy o tym jak szerokiej tematyki ma ona dotyczyć. Przede wszystkim, nie sposób oderwać KSC od polityki znacznie szerzej pojmowana niż kilka budynków w Warszawie. Mowa bowiem o wpisanie się jeszcze silniej niż dotychczas w obszar gospodarczo-politycznego starcia USA z Chinami. Bo chociaż ustawa o KSC nie jest równoznaczna, jak twierdzą niektórzy, z „ustawą anty-Huawei”, to jednak jednym z jej najważniejszych tematów jest zapewnienie bezpieczeństwa telekomunikacji.
Chociaż niektóre kraje zachodnie wprost wykluczyły chińskie marki dostarczające infrastrukturę telekomunikacyjną ze swoich rynków (np. USA, Wielka Brytania, Szwecja), to większość szukała rozwiązania pośredniego, powołując się na zróżnicowane zestawy zasad, mających ostatecznie podobny cel. Przykładowo, Finlandia postawiła na wymogi techniczne w kontekście nowopowstającej infrastruktury 5G. By nieco ułatwić sprawę, Unia Europejska, a dokładniej Komisja Europejska, zaproponowała szereg rozwiązań nazwanych zbiorczo 5G Toolbox. Ostatecznie, państwa członkowskie UE zobowiązały się do wdrożenia tego zestawu wytycznych. Toolbox niejako wskazuje, na jakie aspekty powinni zwraca uwagę krajowi prawodawcy, by wyłonić tzw. Dostawców Wysokiego Ryzyka (DWR).
Dostawca Wysokiego Ryzyka
Wyjaśnijmy więc ów, jak się okazuje, całkiem pojemny termin. Pewną podpowiedzią w tym, jak określić czy podmiot jest DWR czy nie, jest 5G Toolbox. Dokument wskazuje przede wszystkim na takie elementy jak ryzyko przejęcia kontroli, ryzyko sabotażu jakiejkolwiek krytycznej infrastruktury informacyjnej, ale też ryzyko przerwania dostawy jakiegokolwiek produktu lub usługi zagrażające ciągłości działania krytycznej infrastruktury informacyjnej. Są to założenia dość szerokie, co w praktyce oznacza, że krajowe organy decyzyjne mają w tym względzie pewną autonomię. Jak wyłanianie DWR ma wyglądać wg. projektu ustawy o KSC?
Jak dowiedziałem się podczas konferencji w Ministerstwa Cyfryzacji 24 kwietnia, procedura, którą proponuje się w aktualnym projekcie, opierać się ma na opiniach zespołu (Kolegium ds. cyberbezpieczeństwa), składającego się z przedstawicieli kilku ministerstw, policji, służb, ale też instytucji o charakterze eksperckim (prawdopodobnie NASK). Postępowanie będzie uruchamiane będzie na wniosek Ministerstwa Cyfryzacji, a od decyzji będzie można się odwołać.
„Gospodarzem postępowania będzie Minister Cyfryzacji. Natomiast to nie jest tak, że wszystkie okoliczności sprawy zostaną ustalone w oparciu wyłącznie o dane, do których ma dostęp minister cyfryzacji, przez zespół minister cyfryzacji. (…) Ale w ramach tej procedury będzie się konsultował między innymi z UOKiK, z z prokuratorą. Kolegium do spraw cyberbezpieczeństwa, to jest to ciało, o którym mowa w ustawie o krajowym systemie cyberbezpieczeństwa: SKW, Agencja Wywiadu, Ministerstwo Sprawiedliwości, służby, Ministerstwo Spraw Wewnętrznych, policja, MSZ. Przestrzeń jest tu bardzo szeroka. To nie są decyzje jednoosobowe.” – wyjaśnił Wiceminister Paweł Olszewski
Oczywiście, każdemu, kto śledzi rynek telekomunikacji i rozwiązań infrastrukturalnego IT, natychmiast układa się w głowie stosunkowo krótka lista firm, które weryfikacji przez takie Kolegium mogą nie przejść. W znacznej części z przyczyn politycznej niepewności, jakie wzbudza ich pochodzenie. Kraj, z którego wywodzi się dany podmiot, nie ma być przy tym jedynym czynnikiem branym pod uwagę. Jednak, wśród wskazań, jakie mogą być podstawą do wszczęcia procedury, znajduje się kraj macierzysty dostawcy, jeśli nie należy on do UE lub NATO. Chociaż natychmiast przywodzi to na myśl firmy chińskie, wedle tych wskazań procedurą mogą być objęte np. przedsiębiorstwa z Japonii czy Korei Południowej, krajów, które w globalnej rywalizacji mocarstw grają w tej samej drużynie, co Polska.
„My nikogo nie chcemy na rynku wykluczać (…) Chcemy po prostu mieć pewność systemu cyberbezpieczeństwa, która będzie dawała też odpowiedzialność państwa za to, że może podejmować decyzje w sytuacjach krytycznych. To jest dla nas coś bardzo ważnego” – wyjaśnił Wicepremier i Minister Cyfryzacji, Krzysztof Gawkowski – „Trudno nie oceniać aspektów geopolitycznych, biorąc pod uwagę miejsce, w którym jesteśmy, i wojnę, która się toczy i to, co się dzieje na świecie”
Co ze sprzętem u operatorów?
W przypadku obecnej w Polsce infrastruktur telekomunikacyjnej znajduje się obecnie bardzo wiele urządzeń produkcji Huawei. Chiński potentat technologiczny jest firmą, o której mówi się najczęściej w kontekście wykluczeń z rynku motywowanych względami bezpieczeństwa dla jednych, a polityką dla drugich. Przedstawiciele firmy na polskim rynku wielokrotnie przedstawiali pogląd mówiący, że koszty wymiany infrastruktury będą dla operatorów olbrzymi i, w konsekwencji, zostaną przeniesione na użytkowników. W tym względzie trudno nie zgodzić się z chińskim producentem. Telekomy z całą pewnością, gdy zostaną zmuszone do wymiany znacznej części urządzeń, związanych z tym pieniędzy poszukają w portfelach użytkowników. Zwłaszcza, że projekt nie przewiduje rekompensat.
„Państwo nie będzie finansowało wymiany tego sprzętu, bo to jest działalność biznesowa. Ryzyko biznesowe z jakiego sprzętu operatorzy korzystają, musi spoczywać na przedsiębiorcy, a nie na państwie. Stąd też wdrażamy narzędzia, żeby przedsiębiorcy bardzo uważnie dokonywali zakupów, zwracając bezwzględnie uwagę na bezpieczeństwo sprzętu z punktu widzenia właśnie informacji i bezpieczeństwa systemu etc.” – wyjaśnił Zastępca Dyrektora Departamentu Cyberbezpieczeństwa, Marcin Wysocki.
Należy jednak wziąć pod uwagę, że Ministerstwo Cyfryzacji w projekcie Krajowego Systemu Cyberbezpieczeństwa przewidziało terminy obowiązujące dla operatorów na usunięcie z infrastruktury elementów pochodzących od DWR. To właśnie terminy są dziś głównym argumentem Ministerstwa w odpowiedzi na pytanie o ewentualne subsydiowanie wymiany infrastruktury.
„Wskazujemy też terminy. Nie są one krótkie, jedne zatrzymujemy na podobnym poziomie, inne dotyczące tego, jakie kategorie funkcji krytycznych będą musiały się zmieniać, skracamy. Rozumiemy, że komuś może się to nie podobać i powie, że jest za mało czasu. Ale mamy świadomość tego, że jeżeli tego dzisiaj nie powiemy mocno i wyraźnie, to w przyszłości mogą się pojawić koncepcje, które sprawią, że po prostu będzie nam brakowało czasu. Trzeba tę zmianę przyspieszać. Konieczne jest wzmacnianie systemu cyberbezpieczeństwa, a nie zawieszanie go. I to jest dla nas bardzo ważne.” – podkreślił Minister Cyfryzacji, Krzysztof Gawkowski – „Teraz dla wszystkich podmiotów będzie czas na wymianę (red. sprzętu od DWR) w ciągu 7 lat. 7 lat to jest to jest nie krótki termin. Wyjątek stanowi oczywiście 4 lata dla sprzętu kategorii krytycznej. To ważne z perspektywy odpowiedzialności państwa. Zatem mówimy o długim czasie, na który można się przygotować i subsydiowanie (…) nie wydaje mi się konieczne.”
Plan prac – czyli do 19 razy sztuka
Uprzednio rządząca formacja polityczna zabierała się do prac nad KSC wielokrotnie, bo aż 18 razy. W tym samym czasie Ministerstwo Cyfryzacji bywało przebudowywane, a czasami nawet w ogóle znikało wchłonięte przez KPRM. Wrażenie pewnej niestabilności i, co tu dużo mówić, peryferyjności tego resortu, było wyraźne. Aktualna władza zapowiada, że teraz będzie inaczej. Jednym z koronnych na to dowodów jest plan prac nad KSC, zawierający (to nowość) konkretne terminy. Przyznaję, że plan jest ambitny nie tylko ze względu na terminy w nim przyjęte, ale przede wszystkim na sytuację, wedle której prezydent zapewne do końca kadencji będzie wysyłał ustawy do „Trybunału Konstytucyjnego”, ze względu na jego własną opinię nt. rzekomych braków (konkretnie dwóch posłów) w składzie Sejmu. Pomijając już kwestie czysto polityczne, plan zakłada, że prace i konsultacje odbędą się naprawdę szybko. Zwłaszcza, że, jak podkreśla Minister, 70% zapisów ustawy jest nowych względem projektów przygotowanych przez poprzedni rząd.
„Zdajemy sobie sprawę, że ustawa jest trudna, że ma wyjątkowy charakter, więc i ten okres dotyczący wdrożenia wyznaczamy do końca tego roku. Uważamy, że ścieżka legislacyjna Sejmu z podpisem prezydenta powinna się zamknąć do końca tego roku, biorąc pod uwagę konsultacje międzyresortowe i konsultacje społeczne. Proces ten chcemy przeprowadzić rozpoczynając od dzisiaj. Mamy świadomość, że to są przepisy, które będą też rewolucyjne w jakiejś części na rynku, w dużej części zmieniające to, jak będziemy myśleli o sprawach dotyczących podmiotów kluczowych i podmiotów ważnych (…) Planujemy, to z horyzontem czasowym sięgającym końca tego roku i horyzontem czasowym dotyczącym też okresu, w którym będziemy mogli powiedzieć o tym, że ustawa zostanie wprowadzona w życie po odpowiednim vacatio legis, które planujemy na 6 miesięcy. Czyli, jest to połowa przyszłego roku. Nie przywiązuję się do tego, że to ma być dokładnie czerwiec. Może być to maj, może lipiec, kiedy przepisy zaczną obowiązywać. Czyli to termin dla strony zainteresowanej, dla usługodawców, dla firm, które będą decydowały się ocenie dotyczącej tego, kto jak realizuje obowiązki podmiotów kluczowych i ważnych w ustawie o KSC, będzie musiał to realizować” – powiedział o czasie wejścia w życie ustawy Krzysztof Gawkowski.
KSC to nie tylko 5G
Projekt ustawy o KSC jest obszernym dokumentem nie bez przyczyny. Obejmuje on wiele aspektów funkcjonowania państwa i jego organów w obszarze bezpieczeństwa cybernetycznego. To, co szczególnie istotne moim zdaniem to rozszerzenie zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej. Tak, jak państwa posiadają swoje strategie w obszarach gospodarki, polityki zagranicznej czy obronności, dziś muszą, a przynajmniej powinny, posiadać strategie działań w obszarze cybersecurity. Ostatni dokument wyznaczający strategię Polski w tym zakresie ma już swoje lata (przyjęty w październiku 2019 roku, a więc przed pandemią i wojną u naszych granic). Wymaga więc pewnego odświeżenia i, co tu kryć, doprecyzowania.
Takim właśnie uściśleniem zasad wydaje się być wprowadzenia nowego dokumentu strategicznego o nazwie „Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę”. Długa nazwa dość dobrze tłumaczy czym ów dokument ma być. Podobnie jak np. istnieją scenariusze kryzysowe na wypadek katastrof naturalnych czy wojny z wiadomo-którym-sąsiadem, tak też państwo musi mieć strategię dotyczącą tego jak mają się zachować instytucje publiczne w przypadku potężnych ataków hakerskich. Dziś, przy wysokim stopniu cyfryzacji, ryzyko paraliżu państwa w wyniku ataku cybernetycznego jest, niestety, całkiem niemałe. Dlatego każdy organ administracji, policja, ochrona zdrowia, samorządy czy szkoły – każdy element układanki musi rozumieć i mieć wyznaczoną sekwencję zachowań na wypadek takiego scenariusza.
KSC wyznaczy także dodatkowe zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego i sposoby zgłaszania incydentów przez operatorów. Tu także zaostrzono terminy zgłaszania (całkiem słusznie zresztą), przy czym zależeć one mają od zgłaszającego. Podmioty klasyfikowane jako kluczowy lub ważny muszą dokonać zgłoszenia niezwłocznie, ale nie później niż w ciągu 24 godzin od momentu wykrycia incydentu uznanego za poważny. Dla przedsiębiorstw telekomunikacyjnych ma to być termin szczególnie krótki, bo nie później niż w ciągu 12 godzin od momentu wykrycia. W przypadku pozostałych wynosi to 72 godziny.
Kogo obejmie Krajowy System Cyberbezpieczeństwa? Cóż, trzeba przyznać, że projekt ustawy ma rozmach. Ustawodawca przewidział udział wielu branż gospodarki, uznawanych za ważne lub kluczowe dla funkcjonowania państwa. Łącznie jest to aż 18 branż i obszarów m.in. administracja publiczna (która odpowiada za zdecydowaną większość potencjalnie objętych regulacjami podmiotów), komunikacja elektroniczna, bankowość, badania, kanalizacja, ale też znacznie mniej kojarzące się z KSC: produkcja, przetwarzanie i dystrybucja żywności, zdrowie czy transport. To, naturalnie, oznacza konieczność budowy poważnych zasobów aparatu kontroli, a w konsekwencji – koszty. Pod względem szerokości oddziaływania w zakresie Dostawców Wysokiego Ryzyka, projekt ustawy o KSC wyróżnia się na tle innych, podobnych regulacji europejskich.
Wzmocnienie cyberbezpieczeństwa Polski
To, naturalnie, tylko część zmian wprowadzanych w nowym projekcie. Jest on na tyle obszerny i obejmuje tak wiele różnych elementów, że trudno byłoby nakreślić całość w jednym artykule. Nie spodziewałbym się, że w toku konsultacji społecznych i branżowych, które trwać mają miesiąc, dojdzie do poważnych zmian w projekcie. Dlatego możemy zakładać, że finalna wersja, która, wedle zapewnień Ministra Cyfryzacji, wejdzie w życie w okolicach połowy przyszłego roku, będzie zbliżona do tego, co widzimy dziś. Projekt ustawy jest publicznie dostępny.
Jak oceniam zaproponowane przepisy? Przede wszystkim wydają się spójne i, co ważne, projektowane na czas, który trudno nazwać czasem pokoju. To akurat zasadne, biorąc pod uwagę sytuację polityczną w regionie. Ministerstwo Cyfryzacji wydaje się być rzeczywiście zdeterminowane, aby nową ustawę o KSC wprowadzić.
Ogłoszenie projektu na tę chwilę nie zachwiało cenami akcji polskich operatorów telekomunikacyjnych. Największym przegranym w efekcie wprowadzenia ustawy będzie niemal na pewno Huawei. Chińska firma ma oczywiście szanse na wybronienie się przed negatywną decyzją Kolegium ds. cyberbezpieczeństwa, ale jest pewnym, że będzie „głównym podejrzanym”. W efekcie, należy uznać, że w ciągu najbliższych lat od wprowadzenia ustawy o KSC największymi wygranymi będą odpowiednio Ericsson i Nokia.
Ustawa w obecnym kształcie nakładać będzie także nowe obowiązki na szereg przedsiębiorstw klasyfikowanych jako krytyczne lub ważne. Przyspieszone raportowanie incydentów, szczególna dbałość o infrastrukturę i obieg informacji cyfrowej – wiele firm będzie musiało zadbać o dostosowanie swoich procedur.
Osobiście mogę „przyczepić się” do jednego, moim zdaniem brakującego elementu, który Ministerstwo Cyfryzacji powinno uzgodnić z Ministerstwem Edukacji, bo i o edukację właśnie chodzi. Mam tu na myśli pracę u podstaw z tymi obywatelami, którzy za kilka lub kilkanaście lat będą tworzyli niemałą część rynku pracy, wówczas jeszcze bardziej scyfryzowanego niż dzisiaj. Szkoły, na poziomie liceum, mają wprawdzie w programach zajęć „informatykę”, ale w większości jest to przedmiot realizowany w sposób przestarzały, budujący archaiczne już kompetencje. Przyczyna jest oczywista: brak odpowiedniej kadry. Żaden specjalista od cybersecurity nie pójdzie pracować do szkoły, skoro sektor prywatny płaci kilka razy lepiej. Jak mantrę od lat powtarza się, że człowiek jest najsłabszym punktem systemu bezpieczeństwa cyfrowego. Może warto pochylić się nad tym zagadnieniem i stosowną tematykę wdrożyć, ale w rzeczywisty, jakościowy sposób do szkół ponadpodstawowych?
Wracając jednak do samego projektu – podoba mi się fakt, że Wicepremier Gawkowski dostrzega problem zaniechań poprzedniej ekipy i, w konsekwencji, naciska na szybką realizację. W trakcie spotkania prasowego przyznał, że on sam chciałby nawet skrócić terminy, tak wdrożenia, jak i wymiany „niepewnych” urządzeń. Retorykę niemal wojenną dało się usłyszeć w słowach Wiceministra Pawła Olszewskiego. Chociaż życzyłbym sobie i naszym czytelnikom czasu spokojnego, niczym nieskrępowanego rozwoju, to obawiam się, że rzymska maksyma „si vis pacem, para bellum” jest tu najbardziej zasadnym podejściem. Najwidoczniej z tego samego założenia wychodzi dziś Ministerstwo Cyfryzacji.