Menu

Fundacja Instytut Bezpieczeństwa i Strategii

Fundacja Instytut Bezpieczeństwa i Strategii jest unikatowym w polskich warunkach think tankiem skoncentrowanym na identyfikacji, analizie i rekomendowaniu optymalnych rozwiązań najważniejszych problemów o charakterze strategicznym dla współczesnej Polski i przyszłych pokoleń Polaków. Obszarem działalności Instytutu są kluczowe systemy funkcjonowania państwa polskiego decydujące o jego bezpieczeństwie narodowym w ujęciu perspektywicznym i długofalowym.

Autor

Adam Wygodny

Ekspert Fundacji Instytutu Bezpieczeństwa i Strategii

Strategia Bezpieczeństwa Narodowego RP 2020 (SBN) to ważny dokument, wskazujący główne kierunki transformacji systemu bezpieczeństwa narodowego.  W Filarze I – Bezpieczeństwo Państwa i Obywateli dokument określa cele strategiczne związane z cyberbezpieczeństwem i przestrzenią informacyjną, które są kluczowe w budowaniu bezpieczeństwa narodowego kraju.  Realizacja strategii powinna być spójna z obowiązującymi przepisami prawa oraz inicjować nowe ustawodawstwo wszędzie tam, gdzie jest to niezbędne. Jednym z już istniejących dokumentów istotnych z pespektywy SBN jest ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i cyfrowych. Kolejnym dokumentem ważnym w realizacji SBN jest Strategia Cyberbezpieczeństwa RP na lata 2019 – 2024, która określa strategiczne cele oraz odpowiednie środki polityczne i regulacyjne, niezbędne do zapewnienia bezpieczeństwa informacyjnego, zwiększając tym samym bezpieczeństwo narodowe. Warto przy tej okazji zrobić przegląd istniejących aktów prawnych i zastanowić się, na ile są one wystarczające dla potrzeb realizacji celów strategicznych SBN.

Cyberbezpieczeństwo

Celem strategicznym SBN w obszarze cyberbezpieczeństwa jest: Podniesienie poziomu odporności na cyberzagrożenia oraz zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym, prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę ich informacji.

Ustawa KSC niewątpliwie jest głównym aktem prawnym wspierającym realizację tego celu strategicznego. Definiuje system cyberbezpieczeństwa kraju, opisuje podmioty tworzące ten system i określa ich obowiązki. Zwiększenie poziomu odporności systemów informacyjnych wykorzystywanych w sferze publicznej i prywatnej oraz militarnej i cywilnej wymaga ścisłej współpracy wszystkich tych podmiotów. Ustawa KSC definiuje zadania ośrodków reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), które podzielono sektorowo na: CSIRT MON, CSIRT GOV i CSIRT NASK. Według rejestru prowadzonego przez ENISA[1] w Polsce istnieją w sumie 23 prywatno – publiczne ośrodki CSIRT. Daje to nam 5 miejsce w Europie pod względem ilości zarejestrowanych ośrodków. To ogromny potencjał, który niestety nie jest w pełni wykorzystywany. Ustawa KSC definiuje role podmiotów, ale nie określa sposobu komunikacji pomiędzy nimi, ani zakresu współpracy. Uszczegółowienie zasad współpracy i komunikacji wydaje się kluczowe z perspektywy realizacji strategii bezpieczeństwa narodowego. Bardzo ważnym elementem rozwoju krajowego systemu cyberbezpieczeństwa będzie również wypracowanie i wdrożenie metodyki szacowania ryzyka. Nie chodzi tutaj o kolejny wymóg regulacyjny, a raczej metodykę pomagającą w szacowaniu ryzyka, standaryzującą działania wśród wszystkich operatorów usług kluczowych. W chwili obecnej, w zależności od dojrzałości organizacyjnej operatora usługi kluczowej, stosowane są różne podejścia do tego procesu, często niespójne i niedające jednego, wspólnego obrazu na poziomie całego kraju.

Strategia SBN podkreśla potrzebę wzmacniania defensywnego potencjału państwa i uzyskiwanie zdolności operacyjnych do prowadzenia pełnego spectrum działań militarnych w cyberprzestrzeni. W realizacji tych zadań kluczowe wydają się działania, zmierzające do centralizacji struktur resortu obrony narodowej działających w cyberprzestrzeni. To dobrze, że ten proces został zapoczątkowany powołaniem pełnomocnika ds. utworzenia wojsk obrony cyberprzestrzeni. Rozpoczęty został również proces formowania wojsk obrony cyberprzestrzeni. Ważne jest, aby w nowotworzonej formacji wykorzystać potencjał struktur Narodowego Centrum Kryptologii, CSIRT MON, Inspektoratu Informatyki MON oraz Wojsk Obrony Terytorialnej. Funkcjonowanie tych struktur w ramach jednej, wspólnej organizacji wydaje się kluczowe z perspektywy osiągnięcia gotowości operacyjnej.

Kolejnym działaniem w ramach realizacji celów strategicznych SBN jest rozwijanie krajowych zdolności w obszarze testowania, badania, oceny i certyfikacji rozwiązań i usług z obszaru cyberbezpieczeństwa. To bardzo ważny aspekt, który wiąże się z wdrożeniem Aktu o Cyberbezpieczeństwie, wprowadzającego certyfikację produktów i usług teleinformatycznych. W Polsce musi zostać utworzony krajowy system oceny i certyfikacji w zakresie cyberbezpieczeństwa. Szczególnie istotne wydaje się to w zakresie usług chmurowych. Operatorzy usług kluczowych i cyfrowych potrzebują usług łatwo skalowalnych, przenoszących koszty inwestycji CAPEX w operacyjne OPEX, które mogą być realizowane na poziomie chmury publicznej. Organizacja certyfikująca na poziomie krajowym powinna pomóc im w skutecznym wyborze właściwych rozwiązań, ich bezpiecznej implementacji, a w razie potrzeby także w rozwianiu wszystkich obaw z tym związanych.

Strategia SBN zauważa kluczowość rozwoju kompetencji, wiedzy oraz świadomości zagrożeń wśród kadr administracji publicznej oraz w społeczeństwie. W realizacji tych działań może pomóc model wdrożony w Izraelu. Zakłada on budowę krajowego systemu cyberbezpieczeństwa na bazie trzech elementów: czynnika ludzkiego, akademickiego oraz przemysłowego. System zakłada tworzenie standardów, regulacji, dobrych praktyk na bazie rozwoju własnych badań i szkoleń oraz ścisłą współpracę między wszystkimi podmiotami. W szkole podstawowej wprowadza się przedmioty związane z podstawami cyberbezpieczeństwa, w szkole średniej jest to już rozbudowany przedmiot funkcjonujący niezależnie od informatyki, który uczniowie mogą wybrać jako przedmiot na egzaminie maturalnym. To bardzo skuteczny system budowania świadomości cyberbezpieczeństwa, który zasila potem wszystkie struktury administracyjne kraju, jak i rozwój w ramach R&D. Ważne jest zrozumienie, że cyberbezpieczeństwo nie jest tym samym, co informatyka. Wójt Kościerzyny komentując atak phishingowy na urząd jego gminy, który doprowadził do zaszyfrowania wszystkich danych na serwerach gminy i paraliżu urzędu na kilka tygodni, stwierdził, że gmina zatrudniała przecież świetnego informatyka, który doskonale dbał o systemy teleinformatyczne. Nie posiadali jednak kompetentnego specjalisty ds. cyberbezpieczeństwa, który skutecznie sprawowałby nadzór nad bezpieczeństwem wykorzystywania tych technologii. W świadomości społeczeństwa, a w szczególności w świadomości administracji państwowej, powinno istnieć rozróżnienie kompetencji tych dwóch ról. Model Izraelski może być inspirujący również w zakresie wzmacniania i rozbudowywania potencjału państwa w ramach rozwoju prac badawczych w obszarze cyberbezpieczeństwa. Izrael dzięki wdrożonej strategii cyberbezpieczenstwa, bazującej na szerokorozumianej edukacji i współpracy ośrodków badawczych, akademickich, organizacji rządowych, militarnych oraz prywatnych, zbudował silną pozycję na arenie międzynarodowej w obszarze cyberbezpieczeństwa.

Przestrzeń informacyjna

Celem strategicznym strategii bezpieczeństwa narodowego w przestrzeni informacyjnej jest: Zapewnienie bezpiecznego funkcjonowania państwa i obywateli w przestrzeni informacyjnej.

Pierwszym działaniem w ramach realizacji tego celu jest budowa zdolności do ochrony przestrzeni informacyjnej, w tym systemowego zwalczania dezinformacji. Ekspansja mediów społecznościowych zmieniła naszą rzeczywistość, wliczając w to sposób publikacji informacji. Dzisiaj przysłowiowy Kowalski może być kreatorem dowolnych informacji, które przy pomocy uwierzytelniania przez innych użytkowników, często fałszywych armii trolli, mogą szybko rozprzestrzeniać się i docierać do szerokiego grona odbiorców. Jeżeli te informacje są nieprawdziwe i mają na celu wywieranie określonego wpływu na odbiorców, nierzadko w interesie politycznym innych krajów, to mamy do czynienia z bardzo dużym zagrożeniem bezpieczeństwa naszego kraju. W ubiegłym roku Ministerstwo Spraw Zagranicznych (MSZ) uruchomiło system RAS[2], mający na celu wymianę pomiędzy krajami członkowskimi i NATO informacji na temat działań dezinformacyjnych. Pojawia się pytanie, czy MSZ jest właściwym miejscem do takiego systemu? Czy przypisanie RAS do któregoś z resortowych CSIRT nie byłoby bardziej optymalne i nie pozwoliłoby na skuteczniejszą realizację jego zadań? Tym bardziej wydaje się to zasadne, biorąc pod uwagę drugie działanie SBN, mówiące o stworzeniu jednolitego systemu komunikacji strategicznej państwa. SBN za działanie strategiczne w przestrzeni informacyjnej definiuje również aktywne przeciwdziałanie dezinformacji poprzez budowę zdolności i stworzenie procedur współpracy z mediami informacyjnymi oraz społecznościowymi. W realizacji tego zadania pomocny może być kodeks postępowania w zakresie zwalczania dezinformacji, stworzony przez Komisję Europejską. Kodeks postępowania jest pewną formą samoregulacji sektora biznesowego, przedstawicieli platform internetowych, branży reklamowej i mediów. To ważne narzędzie pomocne w budowaniu współpracy z wielkimi, międzynarodowymi korporacjami mediów społecznościowych. Monitorowanie skuteczności realizacji zasad kodeksu i szybkie reagowanie na publikowane fałszywe informacje wydaje się istotnym elementem w walce z dezinformacją. Podejście do realizacji tego działania powinno być całościowe i obejmować nie tylko media społecznościowe, ale również tradycyjne, w tym media publiczne. Każda fałszywa informacja jest niebezpieczna dla bezpieczeństwa narodowego, bez względu na to, w jakim medium, wspierającym czyje interesy, jest publikowana. Często w działaniach walki z dezinformacja koncentrujemy się na zagrożeniach zewnętrznych, ignorując poważne zagrożenia wewnętrzne, spotykane w narracji mediów publicznych. Stanowi to również istotne zagrożenie bezpieczeństwa narodowego i powinno być zaadresowane konkretnymi działaniami. Przy okazji realizacji tego celu strategicznego warto przeanalizować, jak portale i strony internetowe organizacji rządowych są zabezpieczone przed włamaniem i publikacją fałszywych informacji. Pod koniec kwietnia 2020 r. nastąpił atak na witrynę Akademii Sztuki Wojennej, w wyniku którego na stronie został opublikowany fałszywy list rzekomo napisanego przez gen. bryg. dr inż. Ryszarda Parafianowicza – rektora uczelni. List w negatywnym świetle stawiał amerykańskie wojsko i zawierał krytykę sojuszu wojskowego z USA. Analiza dokonana przez ekspertów z Uniwersytetu Stanforda wskazuje, że za atakiem stały konta kojarzone z krajowym portalem realizującym cele rosyjskiej polityki zagranicznej w Polsce. Strona Akademii Sztuki Wojennej po zaistniałym incydencie została przeniesiona do struktur Sił Zbrojnych RP i objęta resortowym monitoringiem. Pojawia się pytanie, ile jeszcze istnieje takich oficjalnych stron, które są umiejscowione w przypadkowych lokalizacjach, nad którymi nie jest prowadzony właściwy resortowy nadzór? Ustawa KSC narzuca obowiązki ochrony systemów informacyjnych operatorów usług kluczowych i cyfrowych. Może warto, aby strony internetowe instytucji rządowych, uczelni, urzędów administracji państwowej, które nie są operatorami w myśl ustawy, ale treści przez nich publikowane są kluczowe z perspektywy bezpieczeństwa kraju, były objęte regulacyjnym obowiązkiem ochrony. Ustawowo powinno chronić się nie tylko systemy informacyjne operatorów cyfrowych i kluczowych, ale również informacje, których kreatorem są inne instytucje publiczne. Warto, aby także i te podmioty miały obowiązek przechodzenia okresowych audytów poufności, integralności i dostępności w zakresie systemów informacyjnych, których są właścicielami.

Walka z dezinformacją jest ważnym elementem bezpieczeństwa narodowego i powinna być skorelowana z edukacją i budowaniem świadomości społecznej o zagrożeniach związanych z manipulacją. Większość młodych ludzi nie sprawdza źródła informacji i nie posiada jeszcze wytworzonych zdolności oceny jej wiarygodności. Kluczowe wydaje się więc, aby od najmłodszych lat budować kompetencje świadomego użytkownika mediów społecznościowych. Edukacja świadomości zagrożeń dezinformacyjnych w Polsce zależy w dużej mierze od zaangażowania poszczególnych nauczycieli i dyrekcji szkół. Brak jest podejścia systemowego, wymuszającego działania w tym obszarze. Potrzebne jest tutaj usystematyzowanie tego obszaru, polegające nie tylko na opracowaniu szczegółowych ram i wpisaniu ich w programy nauczania szkolnego, ale również odpowiedniego przygotowania kadry pedagogicznej. Edukacja z tym związana nie może być teoretycznym wykładem. Musi być praktycznym podejściem do problemu, analizą konkretnych przypadków, które zainspirują młodych użytkowników świata cyfrowego do odbierania treści tam publikowanych z ograniczonym zaufaniem. Kluczowe wydaje się również budowanie kompetencji cyfrowych u osób starszych, które są szczególnie narażone na działania dezinformacyjne. Przez kompetencje cyfrowe rozumiane jako nie tylko umiejętności technologiczne obsługi mediów społecznościowych i wyszukiwania informacji, ale budowanie świadomego użytkownika, który sprawdza źródła, weryfikuje informacje i przekazuje dalej tylko sprawdzone informacje.

Budowa bezpieczeństwa narodowego to nieustanny proces, który wymaga częstego podejmowania wyzwań, reagowania na szybko zachodzące zmiany szczególnie zauważalne w cyberprzestrzeni. Kryzys przyspiesza to, co nieuniknione i pandemia wirusa COVID-19 wpłynęła na ogromne przyspieszenie transformacji cyfrowej naszego kraju. Powszechne stały się narzędzia do zdalnej pracy i nauki. Stan epidemii i związana z tym niepewność zwiększa podatność społeczeństwa na absorbowanie fałszywych informacji, które jeszcze łatwiej docierają do szerokiego grona odbiorców. Zapewnienie cyberbezpieczeństwa i ochrona przed dezinformacją stały się jeszcze bardziej kluczowe. SBN to niewątpliwie ważny dokument strategiczny wspierający cyberbezpieczeństwo obywateli. Ważne, aby przy realizacji strategii bezpieczeństwa narodowego stale monitorować realizację poszczególnych celów, wyciągać wnioski z doświadczeń, dokonywać przeglądu i skutecznie doskonalić oraz uaktualniać obowiązujące przepisy prawa.


[1] ENISA – Agencja Unii Europejskiej ds. Cyberbezpieczeństwa

[2] RAS (Rapid Alert System) – system szybkiego ostrzegania, ustanowiony ramach Planu Działania Przeciwko Dezinformacji, aby ułatwić wymianę informacji między organami UE i państwami członkowskimi

Facebook Twitter LinkedIn