Ten straszny KSC. Czy państwo naprawdę chce zabrać internet?

Dyskusja o nowelizacji KSC ujawniła dużą skalę dezinformacji i niezrozumienia dla standaryzacji i systemowego poprawiania mechanizmów cyberbezpieczeństwa. O niezbędnej i długofalowej ewolucji tego ekosystemu w Polsce mówi Robert Kośla, dyrektor departamentu cyberbezpieczeństwa KPRM.

Jest szereg wątków nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Od pewnego czasu za sprawą mediów nowela robi za „czarnego luda” – narzędzie do odebrania wolności obywatelom i podmiotom gospodarczym. Spróbujmy uporządkować zagadnienie wychodząc od założeń: czemu służy nowelizacja ustawy 2,5 letniej?

Nadrzędnym celem nowelizacji jest poprawa skuteczności. Krajowy System Cyberbezpieczeństwa działa od sierpnia 2018 r. i powstał w związku z dyrektywą europejską NIS dotyczącą bezpieczeństwa sieci i informacji.

Już podczas implementacji NIS przyświecała nam myśl, aby nie poprzestać na prostym odwzorowaniu modelu zgłaszania incydentów bezpieczeństwa, ale żeby na poziomie krajowym powstał system, który podnosi stale bezpieczeństwo. Nie tylko 6-7 sektorach, ale wskroś całego państwa, także w sektorze publicznym. Te działania to pierwsza od przemian ustrojowych w Polsce próba systemowego podejścia do budowy cyberbezpieczeństwa.

Regulacje dotyczące cyberbezpieczeństwa mają jednak swoją historię w prawodawstwie po 1989. Nie było łączącej je wspólnej nici?

Powstawały silosowe, dziedzinowe rozwiązania, jak ustawa o podpisie elektronicznym, ustawa o ochronie danych osobowych czy przepisy o ochronie informacji niejawnych. Dyrektywa NIS dała okazję do stworzenia zrębów krajowego systemu cyberbezpieczeństwa z prawdziwego zdarzenia, który obejmuje trzy zespoły CSIRT na poziomie krajowym, działające na rzecz grupy podmiotów wskazanych jako operatorzy usług kluczowych i wprowadza wstępną identyfikację dostawców usług cyfrowych. System nakłada na podmioty publiczne obowiązek komunikacji z CSIRT, wzmacnia wymagania w zakresie przekazywania informacji o incydentach bezpieczeństwa. Ustawa wprowadziła kategorie podmiotów, ról i cele, wprost czerpiąc je z uniwersalnych wzorów NIS.

Jakie doświadczenia i wnioski z funkcjonowania ustawy zawarte są w projekcie noweli?

Te sugestie i potrzeby zmian uzyskaliśmy bezpośrednio z audytu systemów, przeprowadzonego przez dostawców usług kluczowych.

Po pierwsze, operatorzy usług kluczowych potrzebują większego wsparcia od systemu krajowego. Więcej informacji o zagrożeniach, więcej kanałów komunikacji z podmiotami na poziomie krajowym. Bez tego potrzebne informacje o zagrożeniach i podatnościach muszą zdobywać sami.

Stąd wynikają zaproponowane zmiany systemowe dotyczące utworzenia sektorowych zespołów reagowania na Incydenty Bezpieczeństwa Komputerowego (Computer Security Incident Response Team, CSIRT). Pierwowzorem jest CSIRT KNF, który działa na rzecz sektora bankowości i infrastruktury rynków finansowych. To w mojej ocenie dobra droga, dlaczego więc nie miałyby powstać kolejne, dla sektora energii, ochrony zdrowia, transportu itd., tworzące ekosystem zgłaszania i reagowania na incydenty. Dotychczas była taka możliwość – obecnie będzie to wymóg.

Drugą przesłanką dla wprowadzenia sektorowych CSIRT-ów były sugestie i wnioski sformułowane przez operatorów usług kluczowych odnoszące się do rangi sektorowych struktur cyberbezpieczeństwa. W ich ocenie decydenci nie przejawiają odpowiedniego zrozumienia dla potrzeby ich budowania. Zawarte w dotychczasowej ustawie pojęcie „sektorowego zespołu cyberbezpieczeństwa” okazuje się niestety zbyt ogólne i może prowadzić na manowce. „Zespół” może liczyć 100 specjalistów albo… dwóch. I nie wiadomo, jakie usługi miałby zapewniać, aby gwarantować bezpieczeństwo dostarczania usług kluczowych.

Dodatkowo projekt zakłada umocowanie w Krajowym Systemie Cyberbezpieczeństwa operacyjnych centrów bezpieczeństwa, Security Operations Centers (SOC). SOC to rynkowy standard organizacji bezpieczeństwa od lat, obecnie dodatkowo dobrze zdefiniowany i opisany wydanymi w grudniu 2020 r. rekomendacjami Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA). Zadaniem SOC oprócz bieżącej działalności jest stałe podnoszenie poziomu bezpieczeństwa i kompetencji w podmiotach kluczowych. To pierwsza linia, która będzie mogła liczyć wsparcie CSIRT-ów sektorowych.

To wprowadzenie rynkowych standardów, ale co jest takiego przełomowego w tych zmianach?

Po pierwsze, kwestia sposobu ich wprowadzenia, powiązania poprzez plany operacyjne z konkretnymi funduszami europejskimi, które pojawiły się w 2020 roku. Chodzi oczywiście o powiązanie Krajowego Planu Odbudowy (KPO) wynikających z Europejskiego Planu Odbudowy i Zwiększania Odporności (EPOZO), w ramach którego 20% przeznaczone ma być na cyfryzację.

Kiedy w toku dyskusji o projekcie KPO pojawiły się zapisy o finasowaniu cyfryzacji, sięgnęliśmy do Strategii Cyberbezpieczeństwa RP na lata 2019-2024 i Planu Działań, w którym umieszczono projekty zaplanowane do sfinansowania z bardzo ograniczonych środków budżetowych oraz z planowanej nowej osi „Cyberbezpieczeństwo” w ramach Programu Operacyjnego Polska Cyfrowa na lata 2021-2027. Dokonaliśmy demarkacji pomiędzy 3-letnimi projektami wdrożeniowymi do sfinansowania z KPO i projektami rozwojowymi do sfinansowania w ramach POPC 2.0. Trwają, jak wiemy, publiczne konsultacje planu odbudowy przed przesłaniem go w kwietniu do Komisji Europejskiej.

Te środki finansowe mają być właśnie wykorzystane do systemowego wsparcia rozbudowy naszego KSC.

To jest duża zmiana, ponieważ strategię i plany rozwoju wspiera konkretny model finansowy i instrumenty, nie tylko budżet państwa. Wcześniej, jeśli w rubryce „finansowanie” pozostawał jeden donor, tj. budżet państwa, ryzyko skreślenia pozycji dotyczących cyberbezpieczeństwa było duże. Zwłaszcza w kontekście pandemii.

Jakie konkretnie elementy zostaną sfinansowane z tych środków?

Interwencja z KPO przewiduje wsparcie wyposażenia CSIRT-ów i SOC-ów aby były to jednostki z prawdziwego zdarzenia, wyposażone w niezbędne kwalifikacje i narzędzia. Kolejnym priorytetem będzie wspracie jednostek samorządu terytorialnego i podniesienie poziomu cyberbezpieczeństwa MŚP.

Te trzy obszary muszą być też rozwijane w oparciu o przyjętą przez rząd dwa lata temu Strategię Cyberbezpieczeństwa RP na lata 2019-2024. Trzyletni okres realizacji KPO zbiega się z planem wdrożenia Strategii do roku 2024.

Obok trzech istniejących CSIRT-ów krajowych pojawią się CSIRT-y sektorowe wsparte SOC-ami obsługującymi operacyjnie operatorów usług kluczowych. W nowelizacji mowa też o trzecim elemencie – ISAC.

W KSC za sprawą nowelizacji znajdą się także centra wymiany i analiz informacji (Information Security Analysis Center – ISAC), które adresują kwestie wymiany sektorowej i międzysektorowej informacji o cyberzagrożeniach, najlepszych praktykach i trendach w cyberbezpieczeństwie. To także koncepcja i standard wprowadzony pierwotnie na rynku amerykańskim. W Europie powstały już centra ISAC w sektorze energetyki. W Polsce funkcje ISAC wykonywało  Bankowe Centrum Cyberbezpieczeństwa przy Związku Banków Polskich, a pierwszym ISAC utworzonym w sektorze transportu jest ISAC-Kolej, w ramach współpracy Grupy PKP i PKP PLK, przy wsparciu udzielonym przez NASK PIB finansowanym z dotacji podmiotowej udzielonej przez Ministra Cyfryzacji dla CSIRT NASK .

Te trzy kategorie komponentów mają komunikować się i uzyskać dostęp do systemu S46, uruchomionego na początku stycznia 2021 systemu będącego informacyjnym kręgosłupem KSC. W chwili obecnej łączy on trzy krajowe CSIRT-y oraz platformę analityczną, opracowaną w ramach projektu Narodowej Platformy Cyberbezpieczeństwa, którym kierował prof. Marek Amanowicz z NASK. Projekt NPC został dofinsowany przez NCBiR w ramach programu CyberSecIdent.

To już zakończony projekt. W jaki sposób wspiera komponenty, które pojawią się wraz z nowelą ustawy o KSC?

Po zakończeniu projektu NPC jego produkty zostały wykorzystane w budowie operacyjnego środowiska systemu S46. System umożliwia pobieranie danych z wielu źródeł, m.in. Malware Information Sharing Platform (MISP), komercyjnych Cyber Threat Intelligence i danych przekazywanych przez partnerów uczestniczących w Programie Współpracy w Cyberbezpieczeństwie (PWCyber). Dane te są korelowane, analizowane i udostępniane podmiotom KSC podłączonym do S46 w ramach porozumienia zawieranego przez Departament Cyberbezpieczeństwa KPRM z upoważnienia ministra właściwego do spraw informatyzacji.

System S46 udostępnia informacje zespołom SOC operatorów usług kluczowych i innym podmiotom krajowego systemu cyberbezpieczeństwa. Komunikacja z systemem S46 odbywa się z wykorzystaniem dedykowanej bezpiecznej sieci NPC Net. Efekty to stały dopływ informacji, ale zakładamy i długofalowe podnoszenie świadomości zagrożeń oraz kompetencji zespołów KSC.

Te obszary nowelizacji nie budziły kontrowersji. Wejdźmy zatem już na te trudne obszary. Jeden z zarzutów sprowadzał się do tego, że nowelizacja prowadzi do wykluczenia jednego z globalnych dostawców z projektu budowy sieci 5G w Polsce.

Trudno mi przyjąć taki zarzut, gdyż nie znajduje on potwierdzenia w projektowanych przepisach.

Poprzez nowelizację harmonizujemy w polskim systemie prawnym standardy i rekomendacje współtworzone na poziomie europejskim. Między innymi wprowadzamy środki strategiczne uzgodnione przez państwa członkowskie UE, KE i ENISA w dokumencie „5G Toolbox” ze stycznia 2020 r.  Powstał on na podstawie zainicjowanej rekomendacjami Komisji Europejskiej z marca 2019 dyskusji i z zebranych analiz ryzyka budowy sieci 5G, które przeprowadziły wszystkie państwa UE.

Państwa uzgodniły, że wprowadzą większe wymagania dla operatorów telekomunikacyjnych w obszarze cyberbezpieczeństwa, wzmocnią też rolę organów kontroli sektora telekomunikacyjnego i wprowadzą mechanizmy wskazywania dostawców technologicznych wysokiego ryzyka – tzw. High Risk Vendors. A w ślad za tą ostatnią kwestią – wprowadzą mechanizmy eliminacji produktów pochodzących od takich dostawców z ekosystemu sieci teleinformatycznych, aby litera regulacji nie była martwa.

Uznaliśmy, że logiczne i pożądane jest, jeśli chcemy skalować efekt – czyli uzyskać wzrost poziomu bezpieczeństwa, aby te rekomendacje rozszerzyć poza sektor telekomunikacyjny. Ten sam dostawca wysokiego ryzyka może przecież dostarczać produkty do operatorów usług kluczowych spoza sektora telekomunikacyjnego. Jednym słowem – jest to naturalne domknięcie mechanizmu obronnego – objęcie nim całego obszaru działania KSC.

Stąd więc przepisy art. 66 nowoprojektowanej ustawy. Takich zmian inspirowanych regulacjami i standardami europejskimi jest w nowelizacji więcej?

Przykładem jest standaryzacja procesu certyfikacji cyberbezpieczeństwa.

W kwietniu 2019 roku przyjęto rozporządzenie – Cybersecurity Acy – dotyczące europejskiej agencji ds. cyberbezpieczeństwa ENISA oraz europejskich programów certyfikacji cyberbezpieczeństwa. Czas wprowadzenia tego rozporządzenia w państwach członkowskich mija 28 czerwca 2021 r.

Pierwotnie planowaliśmy, że certyfikacją na poziomie krajowym zajmiemy się w 2021, kiedy w 2020 zostaną przeprowadzone ustawy wprowadzające mechanizmy prawne realizujące środki strategiczne z 5G Toolbox 5G. W związku z tym, że tamte prace i konsultacje trwające od stycznia 2020 roku się przedłużyły, a termin czerwcowy jawił się jako nieodległy, postanowiliśmy wdrożyć to rozporządzenie przy okazji nowelizacji ustawy o KSC.

Zmiany definiują krajowy organ certyfikacji cyberbezpieczeństwa i wyposażają go w uprawnienia i obowiązki. Przepisy rozporządzenia unijnego umiejscowione zostały w rozdziale 11a projektu nowelizacji.

Wróćmy do „kontrowersyjnego” mechanizmu sankcjonującego istnienie odpowiedniego ciała oceny ryzyka dostawców.

Chyba najbardziej w istocie „kontrowersyjnym” rozwiązaniem jest wyposażenie kolegium ds. cyberbezpieczeństwa w uprawnienia do przygotowania opinii dotyczących ryzyka dostawców sprzętu i oprogramowania.

Zaproponowana w projekcie procedura opiera się jednakże na wypracowanych w regulacjach na poziomie europejskim przesłankach i kryteriach, które reprezentują całościowe i spójne podejście do cyberbezpieczeństwa, uwzględniające aspekty techniczne i pozatechniczne.

To odwołanie skłania mnie do sięgnięcia pamięcią, że takie podejście nie było jednak zawsze domeną regulacji europejskich. Pamiętam, że podnosiłeś w dyskusjach przed kilku laty, że bolączką regulacji europejskich w obszarze cyber jest ich silosowy charakter. Tendencje te musiały ulec odwróceniu, skoro projekt nowelizacji KSC mocno dziś czerpie z dyrektyw i rozporządzeń.

Kwestie europejskich silosów regulacyjnych zostały podjęte w nowej strategii cyberbezpieczeństwa, widać to w założeniach przedstawionych przez Komisję Europejską. Pierwszym polem testowania takiego nowego, niesilosowego podejścia są prace nad nową dyrektywą DORA dotyczącą sektora finansowego.

Pierwotny jej projekt zakładał właśnie podejście silosowe, regulację i ustanowienie organu właściwego, a przy tym brak powiązań z systemem wypracowanym w ramach NIS. To byłby regres.

Ale państwa członkowskie zgłosiły szereg uwag do tego modelu i już dziś wiadomo, że o ile pewne regulacje nadal będą tworzone na poziomie sektorów, to organ właściwy, model raportowania, model reagowania mają być wspólne. Nikt nie kwestionuje dodatkowych reguł i zabezpieczeń, które chce mieć np. sektor finansowy, ale model ogólny ma dążyć do harmonizacji wymagań bazowych – właśnie w oparciu o NIS.

To przejdźmy do kolejnej kontrowersji. Jak koncepcyjnie i regulacyjnie umocowana jest funkcja operatora sieci komunikacji strategicznej?

W obliczu tego co działo się od początku pandemii, a więc wzrostu zapotrzebowania na usługi, wzrostu liczby incydentów i ich skali, a także w oparciu o wnioski z ćwiczeń zarządzania kryzysowego pojawiła się potrzeba posiadania na poziomie państwa podmiotu – operatora, który będzie świadczył usługi dla administracji rządowej i podmiotów zaangażowanych w zarządzanie kryzysowe w sferze cywilnej i obronnej.

Nawet wówczas, i nawet tam, gdzie operatorzy komercyjni nie będą mogli lub nie będą chcieli, np. ze względu na zakłócenia łańcuchów dostaw, świadczyć danych usług. Stąd pomysł operatora sieci komunikacji strategicznej w obszarze sieci przewodowej i bezprzewodowej.

Pojawiły się opinie, że to zapisy skrojone pod konkretny podmiot publiczny, Exatela.

Przepisy nie są i nie mogą być przygotowywane pod konkretnego operatora, ale w sposób określający obiektywne kryteria jego wyboru. Decyzję o wyznaczeniu operatora, który będzie wykonywał zadania operatora sieci komunikacji będzie podejmował Prezes Rady Ministrów. Bardzo istotne jest to, aby operator ten był zdolny do niezakłóconego świadczenia usług telekomunikacyjnych niezbędnych w szczególności do skutecznego zarządzania państwem w sytuacjach kryzysowych, alternatywą jest brak sprawczości, bezwład i brak działania.

Najbardziej krytycznie przyjęte zostały jednak projekty dwóch instrumentów, związanych z incydentami krytycznymi. Dotąd takich incydentów nie odnotowaliśmy w Polsce.

To prawda. Od czasu wejścia w życie ustawy mieliśmy kilkadziesiąt incydentów poważnych, ale żadnego krytycznego.

Nowe instrumenty rozszerzają sposób zarządzania taką hipotetyczną sytuacją w trakcie wysokiego prawdopodobieństwa wystąpienia incydentu krytycznego oraz w trakcie jego trwania?

Co więcej – są powiązane logicznie z przepisami i podmiotami, które wprowadza nowela KSC.

Pierwszy z nich to mechanizm ostrzeżeń dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczący stosowania określonych rozwiązań technologicznych i proponowanych zachowań w celu minimalizacji ryzyka incydentu krytycznego. Ostrzeżenie powstaje na podstawie analizy przygotowywanej przez zespoły CSIRT GOV, CSIRT MON i CSIRT NASK w ramach prac Zespołu ds. Incydentów Krytycznych – ZIK – którego pracami kieruje dyrektora Rządowego Centrum Bezpieczeństwa. Podmioty krajowego systemu cyberbezpieczeństwa i operatorzy telekomunikacyjni powinny uwzględnić ostrzeżenia w swoich procesach zarządzania ryzykiem. Ten mechanizm jest dobrą praktyką, jaką z powodzeniem zastosowano w Republice Czeskiej.

Drugi instrument to polecenie zabezpieczające. To także instrument, który będzie mógł być wykorzystanie jedynie w sytuacji wystąpienia incydentu krytycznego – przypominam, że incydent krytyczny to „incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV”. Polecenie zabezpieczające wydawane będzie w formie decyzji administracyjnej, w ramach procesu prowadzonego przez organ jakim będzie minister właściwy ds. informatyzacji. Polecenie zabezpieczające będzie kierowane do podmiotów KSC i obejmuje katalog dziesięciu zachowań, które mogą zostać nakazane w celu ograniczenia propagacji trwającego incydentu krytycznego i jego skutków. W ramach określonych zachowań polecenie zabezpieczające może m.in. nakazać ograniczanie ruchu sieciowego wchodzącego do podmiotu krajowego systemu cyberbezpieczeństwa z adresów sieciowych, które zostały zidentyfikowane jako źródła trwającego incydentu krytycznego. Większość z potencjalnych zachowań, które mogą zostać nakazane dotyczy działań o charakterze organizacyjnym – w tym zwiększonego monitorowania i zastosowania konkretnych metod eliminacji zagrożeń.

To jest ten czarny lud, którym się straszy i który ma wyłączać rutery.

To jest dla mnie zupełnie niezrozumiałe – w kategoriach racjonalnych oczywiście. Nowoczesne państwo musi mieć w dzisiejszych warunkach i stosunkach międzynarodowych środki szybkiego reagowania na sytuację: identyfikacji, mitygacji ryzyk i eliminowania zagrożeń na najwcześniejszym etapie.

Nie możemy być uzależnieni w sytuacji incydentu krytycznego od dobrej woli podmiotu, w którym ten incydent występuje albo się za jego sprawą eskaluje.

Nowelizacja wskazuje, że polecenie zabezpieczające dotyczy podmiotów, które świadczą usługi kluczowe w rozumieniu rozszerzonej ustawy KSC, a więc obejmuje także operatorów komercyjnych. Będzie ono dotyczyło około setki operatorów telekomunikacyjnych zobligowanych do tworzenia planów działań w sytuacji szczególnego zagrożenia.

Może obawa dotyczy pochopnego stosowania instrumentu?

Do zastosowania instrumentu polecenia zabezpieczającego musi zaistnieć sam incydent krytyczny, sklasyfikowany formalnie przez jeden z zespołów CSIRT poziomu krajowego. Następnie Zespół ds. Incydentów Krytycznych musi przeprowadzić czteropunktową analizę uwzględniającą istotność cyberzagrożenia; przewidywane skutki incydentu krytycznego; rodzaje ryzyk oraz skutki finansowe, społeczne i prawne wydania polecenia zabezpieczającego.

Dopiero na podstawie tej analizy minister właściwy do spraw informatyzacji może wydać decyzję o poleceniu zabezpieczającym. Decyzja ta podlega natychmiastowej wykonalności.

Proces zawiera więc szereg bezpieczników. W postępowaniu w sprawie o wydanie decyzji o poleceniu zabezpieczającym minister właściwy do spraw informatyzacji stosuje przepisy Kodeksu postępowania administracyjnego, które dają m.in. możliwość zaskarżenia decyzji w oparciu o całą dokumentację, na podstawie, której decyzja była podjęta. Sama decyzja obowiązuje ponadto tylko przez czas trwania obsługi danego incydentu krytycznego, i to nie dłużej niż dwa lata, choć trudno wyobrazić sobie skalę incydentu krytycznego, które obsługa wymagałaby dwóch lat.

To zmieńmy na moment perspektywę. Czy w odniesieniu do pierwotnej intencji nowelizacji – poprawy efektywności – takie obudowanie bezpiecznikami nie będzie kontrproduktywne, bo przeciąga czas podjęcia skutecznego działania i rozmywa jego efekt w sytuacji kryzysowej?

Bezpieczniki do ustawy są niezbędne, moim zdaniem są obecnie dobrze skonstruowane. Decyzja może zapaść w przewidywalnym czasie determinowanym głównie czasem niezbędnym na przeprowadzenie analizy przez Zespół ds. Incydentów Krytycznych.

Ale też jasno to pokazuje, że zarzuty z jakimi spotykają się te przepisy są często dezinformacją, kiedy np. sugeruje się opinii publicznej, że minister może dowolnie wydawać polecenia zabezpieczające o nieograniczonych skutkach i bez merytorycznych przesłanek, bez oglądania się na konsekwencje dla podmiotów gospodarczych. W warstwie komunikacyjnej, którą trudno mi inaczej nazwać niż celową dezinformacją sugeruje się, że minister miałby nawet posuwać się do blokowania stron czy aplikacji wykorzystywanych przez obywateli.

Czy nadmierna obawa przed dezinformacją nie wyjmuje ustawie zębów?

Powtórzę, że w mojej ocenie – nie.

Wróćmy może do mechanizmów podejmowania decyzji i współpracy w nowej poszerzonej strukturze KSC. W jaki sposób te nowe sektorowe CSIRT-y współpracują z krajowymi, na czym polega ich kontrybucja?

CSIRT-y sektorowe będą bliżej operatorów usług kluczowych w danych sektorach i lepiej rozumiejąc ich specyfikę będą mogły udzielić bardziej ukierunkowanego wsparcia, kiedy wystąpią o nie operatorzy usług kluczowych. Będą również współpracowały z CSIRT-ami na poziomie krajowym w dokładniejszym szacowaniu ryzyka, a także będą mogły udzielać dodatkowych informacji, które pomogą CSIRT-om na poziomie krajowym w klasyfikowaniu incydentów krytycznych.

W jaki sposób i w jakim czasie powstanie sieć CSIRT-ów sektorowych?

Ustawa mówi o 18 miesiącach od wejścia w życie. CSIRT sektorowe będą budowane przez organy właściwe ds. cyberbezpieczeństwa (w większości ministerstwa odpowiedzialne za poszczególne sektory). Funkcja CSIRT sektorowego będzie mogła być również powierzona podmiotowi podległemu – w praktyce jednemu z instytutów badawczych w danym sektorze, nieprowadzących działalności gospodarczej.

Możemy sobie wyobrazić, że na przykład rolę CSIRT dla sektora energii objąłby jeden z takich branżowych instytutów. Podobnie jest z transportem (komunikacją).

Lista CSIRT-ów sektorowych wynika więc wprost z dyrektywy.

Tak, ale nowością będzie CSIRT Telco, wspierający sektor telekomunikacji i przedsiębiorców komunikacji elektronicznej.

W ramach rewizji dyrektywy NIS zaproponowaliśmy poszerzenie listy sektorów nią objętych. Postulat został przyjęty w założeniach do NIS2 – Komisja Europejska zaprezentowała rozszerzoną listę w założeniach rewizji dyrektywy.

Nie ma jednak w planach osobnego CSIRT dla e-gospodarki a w szczególności – e-handlu… A to obszar skupiający i generujący zjawiska, o największej dynamice, zmienności, i – docelowo – wpływie na całą gospodarkę.

Podmioty e-handlu to dostawcy usług cyfrowych w rozumieniu ustawy o KSC i zdefiniowani tak w dyrektywie NIS. Internetowe platformy handlowe, dostawcy usług przetwarzania w chmurze obliczeniowej i wyszukiwarki internetowe, oczywiście uwzględniając stosowne progi ich wielkości, są podmiotami KSC.

W jaki sposób w systemie odnajdą się z kolei mali przedsiębiorcy? Czy z tytułu poprawy skuteczności KSC też coś zyskają?

Mniejsi i całkiem mali uczestnicy e-gospodarki są objęci wsparciem w zakresie cyberbezpieczeństwa w innych ramach. Planujemy też dedykowane środki w ramach KPO i POPC 2.0 na podniesienie ich poziomu cyberodporności. Długofalowo firmy te będą objęte parasolem bezpieczeństwa KSC, dostarczanym w jego ramach usług, produktów, wiedzy.

Pracujemy też nad narzędziami, które umożliwią samoocenę poziomu cyberodporności JST i MŚP. Ma z niej wynikać jakich komponentów mu brakuje, a zarazem jak deficyty uzupełnić, na jakie wsparcie mogą liczyć w ekosystemie KSC.

Do listy tych komponentów należy na przykład komponent wsparcia w migracji do usług chmurowych, czy wsparcia usługami chmurowymi aż do osiągnięcia odpowiedniej lokalnej dojrzałości technicznej.

To szerszy problem. W ocenie wielu CIO, nie tylko małych firm, cyberbezpieczeństwo staje się bardzo złożoną i rozległą dyscypliną. Na tyle, że wymaga nowego podejścia, scalającego wiele procesów i elementów. Ta całościowa wersja cyberbezpieczeństwa jest bardzo trudna do udźwignięcia nawet przez duże organizacje, trudno zaś wyobrazić sobie, aby były w stanie nadążyć za nią mniejsze podmioty. W jaki sposób obecna strategia te deficyty jest w stanie uzupełnić?

Takie przeorientowanie, wsparcie zasobami i wiedzą jest wpisane w cele Strategii Cyberbezpieczeństwa RP. Podniesienie odporności systemów oraz poziomu ochrony informacji, a także zdolności zapobiegania i reagowania na incydenty dotyczy nie tylko podmiotów KSC sektora prywatnego i publicznego.

KSC oddziałuje oczywiście w naszych intencjach także na całą cyberprzestrzeń w polskiej domenie gospodarczej i administracyjnej. Jest więc komponent podnoszenia świadomości cyberzagrożeń, bardzo szeroki, ale także uruchomienie bazy wiedzy – utrzymujemy ją w ramach partnerstwa publiczno-prywatnego w Programie Współpracy w Cyberbezpieczeństwie – PWCyber. Są też elementy szkoleniowe i działania edukacyjne, obecnie np. ukierunkowane na samorząd terytorialny, gdzie są największe potrzeby – to kampania #CyberbezpiecznySamorząd prowadzona przez nas o maja 2020 roku.

Udostępniamy też bezpieczne usługi, z których mogą korzystać samorządy.

Jakie są to konkretnie elementy? Co będzie w stanie wesprzeć KSC i centralna administracja, aby podnieść poziom bezpieczeństwa w samorządach?

Na podstawie inwentaryzacji w sektorze samorządowym zidentyfikowaliśmy 5 krytycznych usług, usług dla obywateli. Wsparcie polega na dostarczeniu metodyki i narzędzi migracji do chmury obliczeniowej części zasobów, do modelu hybrydowego.

Takim przykładem jest platforma samorząd.gov.pl, zapewniając bezpieczny format – analogiczny do formatu GOV.PL administracji rządowej – bezpiecznej komunikacji i kontaktu z obywatelami.

Planujemy też wsparcie w postaci sieci regionalnych SOC-ów dla samorządów i podmiotów im podległych. O takim modelu rozmawialiśmy już z trzema województwami, aby uruchomić regionalne centra SOC, ośrodki pierwszej linii. Chcemy tu wykorzystać efekty projektu zrealizowanego przez Politechnikę Wrocławską, dofinansowanego przez NCBiR w ramach programu  CyberSecIdent. RegSOC, to model operacyjny SOC w wersji wzbogaconej o warstwę bezpiecznej komunikacji samorządów w regionie. Finansowanie pilotażowego wdrożenia jeszcze w tym roku w trzech województwach ma zapewnić pomostowy instrument unijny REACT-EU. Pełne wdrożenie finansowane będzie z wiązki Cyber-PL Krajowego Planu Odbudowy.

Te działania będą w moim przekonaniu miały znaczący wpływ na podniesienie poziomu cyberbezpieczeństwa w samorządach. Chociażby w kontekście zabezpieczenia usług komunalnych, które świadczą te samorządy: wodociągów, kanalizacji, oczyszczania. Ale także szpitali podlegających samorządom – to właśnie one w lwiej części są celem ataków.

Wsparcie dla adaptacji rozwiązań chmurowych jest już oficjalnym potwierdzeniem, że model ten wpisuje się w model cyberbezpieczeństwa?

Mamy do czynienia z wydarzeniami na rynku europejskim, które za tym przemawiają – mowa o trendzie federalizacji usług chmurowych w ramach europejskiej suwerenności cyfrowej. Patrzymy nie tylko na globalnych dostawców chmury, ale też na krajowych i europejskich. Ten ekosystem jest coraz bardziej różnorodny i bogaty, ze względu na finansowe wsparcie federalizacji na poziomie europejskim.

Kto i w jaki sposób będzie przeprowadzał samorządy do chmury?

Dostawcy publicznych usług chmurowych mogą przystępować do platformy ZUCH na stronie chmura.gov.pl, która jest Systemem Zapewniania Usług Chmurowych. Sektor publiczny opiera się na jasnych przesłankach zagwarantowanych przyjętą przez Radę Ministrów we wrześniu 2019 r. uchwałą o Wspólnej Infrastrukturze Informacyjnej Państwa, która wprowadziła również Standardy Cyberbezpieczeństwa Chmur Obliczeniowych. Na tej właśnie podstawie od połowy 2020 roku działa platforma ZUCH. Obecnie jako katalog zwalidowanych dostawców, krajowych i międzynarodowych. Czekamy na uruchomienie marketplace dla podmiotów publicznych, aby wesprzeć je w procesie zamawiania usług chmurowych poprzez ZUCH-a.

W międzyczasie takie wsparcie zapewniane jest przez nas w trybie bezpośrednim. Samorządy które zgłosiły się, zostały wsparte przez zespół projektowy ZUCH-a, kierowany przez p. dyrektor Joannę Baranowską. Docelowo oczywiście będzie to zautomatyzowana platforma zakupu usług chmurowych.

To na koniec zapytam o przejrzystość procesu konsultacji projektu o nowelizacji KSC. Ciekawostką, jeśli chodzi o medialną burzę wokół noweli, były oskarżenia o brak konsultacji projektu z zainteresowanymi albo informowano o uwzględnieniu tylko kilku uwag.

Dokumentacja prac nad projektem pokazuje, że faktycznie konsultacje były publiczne, uwagi zgłosili w zasadzie wszyscy potencjalnie zainteresowani i ci, których te zmiany dotyczą.

Faktem jest, że UX warstwy prezentacji procesu legislacyjnego mógłby trochę zyskać i zbliżyć się poziomem do współczesności. Cała dokumentacja jest dostępna, ale np. porównywanie zmian w dokumentach wymaga pewnego wysiłku. To rodzi pole do popisu dla teorii spiskowych i kłamstw, niewinnie dziś nazywanych z języka angielskiego Fake News. Weryfikowanie zasłyszanych informacji u źródła nie jest dziś w modzie ani w zwyczaju.

Tymczasem ten projekt otrzymał w toku konsultacji łącznie 747 uwag, z czego zostało uwzględnionych 165 – 22%. 44% przyjętych poprawek pochodziło z etapu konsultacji ministerialnych, 40% z procesu opiniowania i 15% z konsultacji. Średnia przyjętych uwag byłaby wyższa, gdyby nie to, że wiele uwag się powtarzało. Muszę to powiedzieć – wyglądało na to, że część uwag była bezpośrednio powielana w kolejnych pismach pochodzących od innych organizacji. Odsyłam zresztą do dokumentacji na stronach związanych z legislacją projektu.

Podsumowując – jakie są dalsze losy projektu ustawy? W marcu odbywają się konsultacje KPO, który jest fundamentem finansowania projektów jakich wymaga nowelizacja.

Kiedy plan KPO zostanie przyjęty na poziomie unijnym i krajowym, projekt nowelizacji powinien być już w zaawansowanych pracach parlamentarnych. Po uchwaleniu przez parlament i podpisaniu przez Prezydenta RP przepisy nowelizacji wejdą w życie z 30-dniowym vacatio legis – przepisy dotyczące krajowego systemu certyfikacji cyberbezpieczeństwa wejdą w życie z dniem 28 czerwca. Dłuższe wakacje prawne przewidziane są w przypadku zmian w ustawie Prawo Komunikacji Elektronicznej.

Tu także nie ma jednak rzeczy nieoczekiwanych, nawet dla operatorów telekomunikacyjnych włączanych do systemu KSC. Minimalne wymagania cyberbezpieczeństwa będą analogiczne do tych zawartych w rozporządzeniu z art. 175d prawa telekomunikacyjnego z czerwca 2020 r., które weszło w życie 31 grudnia 2020 r. W tym krótkim rozporządzeniu uwzględniono wszystkie obszary cyberbezpieczeństwa zawarte w rekomendacji ENISA dla operatorów telekomunikacyjnych.