Strategia Cyberbezpieczeństwa RP opublikowana. Jakie najważniejsze wnioski?
Pod koniec października Rząd przyjął nową Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na latach 2019-2024. Niedawno został opublikowany sam dokument, który zawiera wiele cennych wskazówek co do planowanych działań prawno-regulacyjnych oraz faktycznych. Jest on niezwykle istotny również z perspektywy sektora finansowego, który coraz bardziej narażony jest na nowe typy incydentów operacyjnych, w tym związanych z wykorzystaniem podmiotów trzecich. Wskazuje na to nie tylko ustawa o krajowym systemie cyberbezpieczeństwa wprowadzająca tzw. operatorów usług kluczowych (więcej w tym artykule), ale również niedawno opublikowane wytyczne Europejskiego Urzędu Nadzoru Bankowego w sprawie zarządzania ryzykami ICT oraz bezpieczeństwa. Na co stawiają autorzy raportu i jakie zmiany (być może) nas czekają? Zapraszam na dość subiektywne podsumowanie. Zaczynamy!
Zacznijmy od wizji, która jest bardzo pojemna i obejmuje wzmacnianie i rozwijanie krajowego systemu cyberbezpieczeństwa, co ma przyczynić się do rozwoju RP, wzrostu jej zasobności, efektywności gospodarki, sprawności działania instytucji i podmiotów. Wizja nie jest więc przesadnie nierealna, a do jej realizacji przyczynić się ma wykonanie założonych celów.
Cel główny i cele szczegółowe
Jak cel główny przyjęto podniesienie odporności na cyberzagrożenia oraz zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym, prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę ich informacji. Można śmiało założyć, że będzie to miało również jeszcze większe znaczenie z perspektywy dostawców usług finansowych. W końcu banki już dzisiaj mają obowiązek informowania o różnych zagrożeniach i „edukowania” swoich klientów.
Cel ten ma być realizowany w oparciu o pięć szczegółowych, do których należy:
- Rozwój krajowego systemu cyberbezpieczeństwa (obecnie w ujęciu prawnym najważniejsza jest ustawa o krajowym systemie cyberbezpieczeństwa – abstrahując oczywiście od aktów prawnych UE);
- Podniesienie poziomu odporności systemów IT zarówno dla sektora publicznego, jak i prywatnego, a towarzyszyć ma temu osiągnięcie odpowiedniego poziomu efektywności w zapobieganiu i reagowaniu na incydenty operacyjne;
- Zwiększenie potencjału krajowego w obszarze cybersecurity;
- Budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa oraz
- Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.
Szczególnie ważne będą przepisy
Cel pierwszy ma być zrealizowany przede wszystkim w oparciu o ocenę funkcjonowania już obowiązujących przepisów oraz wdrożenie nowych. Czeka nas przede wszystkim rewizja ustawy o zarządzaniu kryzysowym oraz ustawy o ochronie informacji niejawnych, ale również ustawy o krajowym systemie cyberbezpieczeństwa, co już dotknąć może bezpośrednio instytucje finansowe będące operatorami usług kluczowych.
W strategii wskazano, infrastruktura wykorzystywana przez takich operatorów jest kluczowa z punktu widzenia bezpieczeństwa państwa oraz obywateli i utrzymanie jej odpowiedniego poziomu bezpieczeństwa będzie kluczowe. W lepszym zarządzaniu ryzykami ICT ma pomóc wypracowanie wspólnej metodyki statycznego i dynamicznego szacowania ryzyka, która to metodyka będzie uwzględniała również zagrożenia specyficzne dla poszczególnych sektorów.
Wytyczne przy tworzeniu aplikacji?
Bardzo ciekawe założenie. W Strategii wskazano, że opracowany i wdrożony zostanie Narodowy Standard Cyberbezpieczeństwa (NSC), a także że promowane będzie stosowanie dobrych praktyk i zaleceń (OWASP?). To co rzuca się w oczy to, że NSC określać będzie wymagania organizacyjne i techniczne dotyczące bezpieczeństwa m.in. aplikacji mobilnych, urządzeń mobilnych (więcej o bezpieczeństwie IOT w tym artykule) czy rozwiązań chmurowych (kolejna rewizja komunikatu KNF?). Rewizja może objąć również Polskie Normy. Na duże wsparcie państwa liczyć będą mogli także regulatorzy rynkowi.
Współpraca sektora publicznego i prywatnego
Kontynuowany będzie kierunek wyznaczony przez ustawę o KSC, a więc partnerstwo publiczno-prywatne, ale dodatkowo rząd będzie uczestniczył w większej ilości inicjatyw międzynarodowych opartych o PPP. Większe nastawienie będzie widoczne również na promowanie polskich rozwiązań w zakresie cybersecurity.
Co ciekawe, w Strategii założono, że w ramach programu Przemysł 4.0 ogłoszony zostanie konkurs, który wyłoni Huby Innowacji Cyfrowej (Digital Innovation Hubs), które będą nastawione na wsparcie sektora prywatnego w transformacji cyfrowej.
Research & Development, czyli RD zyska jeszcze więcej
Autorzy Strategii dostrzegli konieczność dalszego wspierania badań i rozwoju w obszarze cyberbezpieczeństwa, szczególnie wobec rosnącej popularności Internetu Rzeczy (IoT), smart cities, Przemysłu 4.0, chmury czy wykorzystania Big Data. Rozwojowi tych obszarów towarzyszyć muszą odpowiednie rozwiązania w zakresie cyberbezpieczeństwa, co wynika z faktu, że chodzi tutaj o bardzo wrażliwe dane. Strategia – podobnie jak ENISA – zakłada, że już na etapie projektowania innowacyjnych produktów i usług zwrócić uwagę należy na prywatność i bezpieczeństw (Privacy and Security by design).
Kompetencje i edukacja
Dużą wagę przykładać będziemy do kwalifikacji i kompetencji pracowników odpowiedzialnych za cyberbezpieczeństwo (ale również tych, którzy są szczególnie narażeni na takie zagrożenia). W Strategii założono, że zostanie opracowany program rozwoju akademickiego uwzględniający potrzeby w tym obszarze. Pracownicy administracji publicznej również zostaną poddani odpowiednim szkoleniom. Dodatkowe wymagania będą pojawiały się w odniesieniu do osób odpowiedzialnych za cybersecurity w podmiotach będących operatorami usług kluczowych.
Organizowane będą również kampanie społeczne, a nauka o zagrożeniach związanych z cyberbezpieczeństwem zawita do szkół. To chyba jeden z najważniejszych punktów w całej Strategii. Jeżeli nie będziemy edukowali od podstaw, to nawet najlepsze zabezpieczenia techniczne nie uchronią przed ludzką naiwnością.
Współpraca międzynarodowa
Będziemy z większą intensywnością pracować nad bezpieczeństwem jednolitego rynku cyfrowego. Digitalizacja życia jest już faktem i nie można ignorować potrzeby zapewnienia odpowiedniego poziomu bezpieczeństwa. Dlatego też Polska będzie uczestniczyła w inicjatywach na poziomie unijnym, ale i międzynarodowym, w tym poprzez zawieranie umów z innymi państwami.
Jak ocenić Strategię?
To trudne zadanie. Jest ona jednak dość ogólna. Jeżeli skonfrontujemy ją z Polityką Rozwoju Sztucznej Inteligencji (pisałem o niej tutaj), to wypada blado. Z drugiej strony wiele inicjatyw (w tym ustawodawczych) udało się już zrealizować, a ponadto kwestia cyberbezpieczeństwa (na poziomie krajowym) wymaga poufności. Założenia Strategii są dobrze dobrane, szczególnie w kontekście edukacji społecznej. Teraz trzeba czekać na realne działania i zintensyfikowanie współpracy w ramach partnerstw.