Strategia Cyberbezpieczeństwa RP opublikowana. Jakie najważniejsze wnioski?

Pod koniec października Rząd przyjął nową Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na latach 2019-2024. Niedawno został opublikowany sam dokument, który zawiera wiele cennych wskazówek co do planowanych działań prawno-regulacyjnych oraz faktycznych. Jest on niezwykle istotny również z perspektywy sektora finansowego, który coraz bardziej narażony jest na nowe typy incydentów operacyjnych, w tym związanych z wykorzystaniem podmiotów trzecich. Wskazuje na to nie tylko ustawa o krajowym systemie cyberbezpieczeństwa wprowadzająca tzw. operatorów usług kluczowych (więcej w tym artykule), ale również niedawno opublikowane wytyczne Europejskiego Urzędu Nadzoru Bankowego w sprawie zarządzania ryzykami ICT oraz bezpieczeństwa. Na co stawiają autorzy raportu i jakie zmiany (być może) nas czekają? Zapraszam na dość subiektywne podsumowanie. Zaczynamy!

Zacznijmy od wizji, która jest bardzo pojemna i obejmuje wzmacnianie i rozwijanie krajowego systemu cyberbezpieczeństwa, co ma przyczynić się do rozwoju RP, wzrostu jej zasobności, efektywności gospodarki, sprawności działania instytucji i podmiotów. Wizja nie jest więc przesadnie nierealna, a do jej realizacji przyczynić się ma wykonanie założonych celów.

Cel główny i cele szczegółowe

Jak cel główny przyjęto podniesienie odporności na cyberzagrożenia oraz zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym, prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę ich informacji. Można śmiało założyć, że będzie to miało również jeszcze większe znaczenie z perspektywy dostawców usług finansowych. W końcu banki już dzisiaj mają obowiązek informowania o różnych zagrożeniach i „edukowania” swoich klientów.

Cel ten ma być realizowany w oparciu o pięć szczegółowych, do których należy:

Rozwój krajowego systemu cyberbezpieczeństwa (obecnie w ujęciu prawnym najważniejsza jest ustawa o krajowym systemie cyberbezpieczeństwa – abstrahując oczywiście od aktów prawnych UE);
Podniesienie poziomu odporności systemów IT zarówno dla sektora publicznego, jak i prywatnego, a towarzyszyć ma temu osiągnięcie odpowiedniego poziomu efektywności w zapobieganiu i reagowaniu na incydenty operacyjne;
Zwiększenie potencjału krajowego w obszarze cybersecurity;
Budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa oraz
Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.

Szczególnie ważne będą przepisy

Cel pierwszy ma być zrealizowany przede wszystkim w oparciu o ocenę funkcjonowania już obowiązujących przepisów oraz wdrożenie nowych. Czeka nas przede wszystkim rewizja ustawy o zarządzaniu kryzysowym oraz ustawy o ochronie informacji niejawnych, ale również ustawy o krajowym systemie cyberbezpieczeństwa, co już dotknąć może bezpośrednio instytucje finansowe będące operatorami usług kluczowych.

W strategii wskazano, infrastruktura wykorzystywana przez takich operatorów jest kluczowa z punktu widzenia bezpieczeństwa państwa oraz obywateli i utrzymanie jej odpowiedniego poziomu bezpieczeństwa będzie kluczowe. W lepszym zarządzaniu ryzykami ICT ma pomóc wypracowanie wspólnej metodyki statycznego i dynamicznego szacowania ryzyka, która to metodyka będzie uwzględniała również zagrożenia specyficzne dla poszczególnych sektorów.

Wytyczne przy tworzeniu aplikacji?

Bardzo ciekawe założenie. W Strategii wskazano, że opracowany i wdrożony zostanie Narodowy Standard Cyberbezpieczeństwa (NSC), a także że promowane będzie stosowanie dobrych praktyk i zaleceń (OWASP?). To co rzuca się w oczy to, że NSC określać będzie wymagania organizacyjne i techniczne dotyczące bezpieczeństwa m.in. aplikacji mobilnych, urządzeń mobilnych (więcej o bezpieczeństwie IOT w tym artykule) czy rozwiązań chmurowych (kolejna rewizja komunikatu KNF?). Rewizja może objąć również Polskie Normy. Na duże wsparcie państwa liczyć będą mogli także regulatorzy rynkowi.

Współpraca sektora publicznego i prywatnego

Kontynuowany będzie kierunek wyznaczony przez ustawę o KSC, a więc partnerstwo publiczno-prywatne, ale dodatkowo rząd będzie uczestniczył w większej ilości inicjatyw międzynarodowych opartych o PPP. Większe nastawienie będzie widoczne również na promowanie polskich rozwiązań w zakresie cybersecurity.

Co ciekawe, w Strategii założono, że w ramach programu Przemysł 4.0 ogłoszony zostanie konkurs, który wyłoni Huby Innowacji Cyfrowej (Digital Innovation Hubs), które będą nastawione na wsparcie sektora prywatnego w transformacji cyfrowej.

Research & Development, czyli RD zyska jeszcze więcej

Autorzy Strategii dostrzegli konieczność dalszego wspierania badań i rozwoju w obszarze cyberbezpieczeństwa, szczególnie wobec rosnącej popularności Internetu Rzeczy (IoT), smart cities, Przemysłu 4.0, chmury czy wykorzystania Big Data. Rozwojowi tych obszarów towarzyszyć muszą odpowiednie rozwiązania w zakresie cyberbezpieczeństwa, co wynika z faktu, że chodzi tutaj o bardzo wrażliwe dane. Strategia – podobnie jak ENISA – zakłada, że już na etapie projektowania innowacyjnych produktów i usług zwrócić uwagę należy na prywatność i bezpieczeństw (Privacy and Security by design).

Kompetencje i edukacja

Dużą wagę przykładać będziemy do kwalifikacji i kompetencji pracowników odpowiedzialnych za cyberbezpieczeństwo (ale również tych, którzy są szczególnie narażeni na takie zagrożenia). W Strategii założono, że zostanie opracowany program rozwoju akademickiego uwzględniający potrzeby w tym obszarze. Pracownicy administracji publicznej również zostaną poddani odpowiednim szkoleniom. Dodatkowe wymagania będą pojawiały się w odniesieniu do osób odpowiedzialnych za cybersecurity w podmiotach będących operatorami usług kluczowych.

Organizowane będą również kampanie społeczne, a nauka o zagrożeniach związanych z cyberbezpieczeństwem zawita do szkół. To chyba jeden z najważniejszych punktów w całej Strategii. Jeżeli nie będziemy edukowali od podstaw, to nawet najlepsze zabezpieczenia techniczne nie uchronią przed ludzką naiwnością.

Współpraca międzynarodowa

Będziemy z większą intensywnością pracować nad bezpieczeństwem jednolitego rynku cyfrowego. Digitalizacja życia jest już faktem i nie można ignorować potrzeby zapewnienia odpowiedniego poziomu bezpieczeństwa. Dlatego też Polska będzie uczestniczyła w inicjatywach na poziomie unijnym, ale i międzynarodowym, w tym poprzez zawieranie umów z innymi państwami.

Jak ocenić Strategię?

To trudne zadanie. Jest ona jednak dość ogólna. Jeżeli skonfrontujemy ją z Polityką Rozwoju Sztucznej Inteligencji (pisałem o niej tutaj), to wypada blado. Z drugiej strony wiele inicjatyw (w tym ustawodawczych) udało się już zrealizować, a ponadto kwestia cyberbezpieczeństwa (na poziomie krajowym) wymaga poufności. Założenia Strategii są dobrze dobrane, szczególnie w kontekście edukacji społecznej. Teraz trzeba czekać na realne działania i zintensyfikowanie współpracy w ramach partnerstw.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech