Mijają dwa miesiące od ataku Petya, który pokazał, jak bardzo podatne na cyberzagrożenia są także polskie instytucje. Wcześniej był atak na Komisję Nadzoru Finansowego i bardzo groźny ransomware WannaCry, który trochę szczęśliwie ominął nasz kraj. O zagrożeniach i sposobach obrony przed cyberatakami dyskutowano podczas debaty zorganizowanej przez Dziennik Gazetę Prawną.
Skoro widzimy, jak bardzo realne to zagrożenia, to w którą stronę będziemy iść? Co jest największym wyzwaniem, jeśli chodzi o nasze cyberbezpieczeństwo, zarówno cywilne, jak i wojskowe?
Jakub Syta: Po pierwsze, trzeba wziąć się po prostu do roboty. Dużo się o cyberbezpieczeństwie mówi, ale niewiele robi. A kiedy przychodzi do weryfikacji – na przykład w postaci cyberataku, to okazuje się, że w większości organizacji, instytucji czy firm wszystko jest wciąż na etapie planowania lub tworzenia koncepcji. Brak jest ludzi, narzędzi informatycznych i wypracowanych sposobów postępowania.
/>
Przecież to nie jest kwestia, o której mówi się od wczoraj. Ten temat w poważny sposób jest poruszany od dekady, od czasów słynnych cyberataków na Estonię. One jasno pokazały, że to nie jest jakieś sciencefiction, że sfera cybernetyczna to ważny element funkcjonowania państwa. Jest 2017 rok i jak rozumiem, koncepcje teoretyczne mamy opracowane i przechodzimy do ich realizowania.
Zdzisław Wiater: Rzeczywiście minęło już ponad 10 lat od cybernetycznego ataku na Estonię. Było to zdarzenie szczególnie dotkliwe, ponieważ kraj ten już wtedy w dużej mierze udostępnił publiczne usługi informatyczne swoim obywatelom. Celem ataków stał się parlament, ministerstwa, banki, wydawcy i instytucje finansowe. Zdarzenie to uświadomiło, że ataki na systemy informatyczne to nie tylko uniemożliwienie korzystania z usług, ale w dużej mierze atak na prawa i wolności obywatelskie. W Polsce stopień korzystania przez obywateli z państwowych systemów centralnych nie jest jeszcze tak wysoki, co przekłada się na niższą świadomość zagrożeń. W efekcie cyberprzestępczość bardziej kojarzona jest z atakami na strefę prywatności niż na swobodę funkcjonowania państwa. Jednak wydarzenia, z którymi mieliśmy do czynienia w tym roku, pokazują, że świadomość Polaków zmienia się w tym względzie i zaczynamy dostrzegać zagrożenia płynące z cyberprzestrzeni – negatywny wpływ na gospodarkę, a co za tym idzie na podstawowe prawa obywatelskie.
/>
Syta: Zgadzam się, że to nie jest moment na rozpoczęcie rozmów, to czas na działania. Wciąż dla zbyt wielu osób kwestia zabezpieczenia się przed atakiem hakerów jest abstrakcją. A przecież to jest realne zagrożenie. Trzeba wykonywać konsekwentnie pewne zadania, które ochronią nasze interesy. Warto podkreślić, że zadania, które należy wdrożyć, by zabezpieczyć się, przynajmniej przed większością zagrożeń, są znane. Konsekwentna ich realizacja, w tym również korzystanie z usług zaufanych i doświadczonych partnerów, to coś, z czym nie należy czekać na kolejny atak – tym razem być może udany.
Mirosław Maj: Trzeba przyznać, że sporo zostało zrobione. Jesteśmy u progu doprowadzenia do jasnej wizji krajowej polityki, czyli powstania ustawy o cyberbezpieczeństwie. A ta ustawa dużo zmieni, ona zmusi podmioty do działań mających na celu faktyczną ochronę danych i systemów. Trzeba zgrać ze sobą wymagania administracji rządowej i sektora prywatnego, to zaś będzie gimnastyka koncepcyjna. Równolegle, co ważne, minister Antoni Macierewicz mówi o pokaźnym budżecie przeznaczonym na bezpieczeństwo. Jak będziemy mieć ustawę i decyzję w MON o powstaniu struktur wojskowych działających w cyberprzestrzeni, to jeszcze wymaga ostatnich ustaleń i gdy dodatkowo będą pojawiać się decyzję o powoływaniu CERT-ów, czyli centrów natychmiastowego reagowania na poziomie sektorowym, np. w energetyce, to wtedy będzie można powiedzieć o realnych działaniach. Liczę, że to możliwe, w ciągu kilku miesięcy.
/>
Czyli do końca roku możemy się spodziewać wyklarowania sytuacji? Pojawi się ustawa i zapadną decyzje, jak zaczynamy dzielić obowiązki i zadania w kontekście ochrony cyberbezpieczeństwa?
Maj: Tak, ten koniec roku to realna data.
Jak w dotychczasowym podziale odnajduje się NC Cyber, czyli zespół, który na poziomie krajowym ma reagować na incydenty i to w systemie 24/7? Mija rok od powstania tej specjalnej komórki przy NASK. Czy faktycznie mamy teraz już centralny ośrodek, który na wypadek ataku może pomóc każdej firmie czy instytucji państwowej?
Krzysztof Silicki: Nawiązując jeszcze do pierwszego pytania, najważniejszym elementem ochrony cyberprzestrzeni jest współpraca. W tym międzyresortowa i pomiędzy administracją a sektorem prywatnym. To jest warunek zbudowania dobrze działającego krajowego systemu ochrony cyberprzestrzeni. NC Cyber to inicjatywa NASK pod egidą Ministerstwa Cyfryzacji. W sensie umocowania do pełnienia określonych ról w systemie NC Cyber dopiero czeka na odpowiednie zapisy, np. w planowanej ustawie o cyberbezpieczeństwie. Póki co wyprzedza w pewnym sensie sytuację prawną. To, co powstaje i powstało w ramach NC Cyber, to głównie system reagowania oparty na najstarszym zespole CERT w Polsce oraz systemie partnerskim dla podmiotów z kluczowych sektorów gospodarki. Partnerzy dobrowolnie wymieniają się informacjami o zagrożeniach oraz doświadczeniami, po to żeby wypracowywać wspólne rekomendacje dotyczące cyberbezpieczeństwa na poziomie krajowym oraz w sektorach. To o tyle ważne, że wymaga od nas tego unijna dyrektywa NIS, która przecież wejdzie w życie w maju przyszłego roku.
/>
Co jest potrzebne polskiej infrastrukturze krytycznej, takiej jak energetyka, żeby była jasność, do kogo się zgłosić i kto pomoże na wypadek cyberkłopotów?
Jarosław Sordyl: Potrzeba dokładnie tego o czym już była mowa: szerokiej platformy współpracy. To naprawdę – choć może brzmi dosyć ogólnie – jest kluczowe. Dlatego współpracujemy z NC Cyber oraz innymi organizacjami i dlatego mamy podpisaną też umowę z CERT-em Energa, czyli zespołem do reagowania na incydenty komputerowe. Zresztą w naszej branży energetycznej CERT PSE w pewnym sensie wyprzedza nawet to, co nam nakaże wspomniana dyrektywa. Bo prawda jest taka, że skoro mamy 2017 rok, to już nie ma co oglądać się na boki i czekać, aż jakieś prawo wejdzie w życie. Trzeba samemu działać. Dla nas jako sektora energetycznego sporym problemem był Industroyer/Crashoverride, czyli złośliwe oprogramowanie wykryte w czerwcu tego roku. Jego działanie mogło zakłócać, a nawet wyłączać kluczowe procesy przemysłowe, takie jak działanie elektrowni czy dostawy wody i gazu.
/>
Gdy dzieje się coś złego, pojawiają się informacje o ataku to, gdzie się zwracacie?
Sordyl: Po pierwsze szukamy informacji w naszych źródłach. Ale równolegle możemy się też zgłosić do partnerów jak NC Cyber, mamy partnerów zagranicznych, współpracujemy też z ICS-CERT US sektorowym, ale amerykańskim. Negocjujemy porozumienie z CERT-em austriackim i holenderskim. Tam zwracamy się o pomoc. Również oferujemy swoje wsparcie wspomnianym CERT-om. Ten system działa w obu kierunkach.
Czyli mamy obecnie taką sytuację: finisz prac nad ustawą, która jasno rozdzieli kompetencje i zadania, ale też pokieruje w szukaniu pomocy. Mamy budżet, w końcu w samym MON na Centrum Operacji Cybernetycznych ma zostać przeznaczone aż 2 mld zł. Mamy też jak najbardziej świadomość, że cyberbezpieczeństwo jest kluczowym elementem bezpieczeństwa kraju.
Maj: Ale wciąż tak naprawdę brakuje informacji, gdzie się po tę pomoc udać. I dlatego tak bardzo jest nam potrzebna ustawa. Co więcej niektóre usługi wymagają niekiedy wsparcia z zewnątrz, np. ze strony Agencji Bezpieczeństwa Wewnętrznego. Chodzi o to, żeby legislacyjnie nie pozostawić zaatakowanemu podmiotowi żadnych wątpliwości.
Krzysztof Łaba: To jest pierwsza część układanki by wiedzieć, gdzie skierować kroki. Druga to jak zapobiegać takim incydentom i kto będzie prowadził dokładną analizę zagrożeń, które przecież mogą być rozproszone. W zasadzie nie ma krajowego podmiotu, który powiedziałby „tu mamy słabość systemu, możemy to naprawić w taki lub taki sposób”. Patrząc z perspektywy resortów i konkretnych instytucji nie jest tak źle, jednak w aspekcie globalnym kraju w skali makro, uszczelnienie systemu wymaga jeszcze dużego wysiłku, szczególnie koordynacyjnego. Widać to na przykładzie wniosków projektów z dziedziny cyberbezpieczeństwa, które trafiają do NCBiR w celu ich dofinansowania. One nawet merytorycznie są niezłe niemniej jednak dotyczą usprawnień tylko konkretnego sektora, wąskiego wycinka rzeczywistości. Nie widać w tym systemowego podejścia budowania krajowego systemu cyberbezpieczeństwa.
/>
Czyli wciąż mamy „silosowość”, przekonanie, że każda instytucja dba tylko o swoje zadania?
Łaba: Dokładnie tak. Przykładem jest niedawno realizowany u nas projekt z dziedziny IT na styku trzech ministerstw i służb. Eksperci wskazali, że niewielkim kosztem w ramach projektu można stworzyć moduł usprawniający działanie, wymianę informacji i koordynację tych instytucji, ale okazało się, że niestety żadna z tych służb lub instytucji w swoim zakresie kompetencji nie ma przewidzianych sił i środków na zarządzanie tym modułem. Po serii rozmów z przedstawicielami tych instytucji pomimo entuzjastycznych ocen ekspertów, nie ustalono podmiotu, który ma nim zarządzać i za niego odpowiadać i sprawa się po prostu ,,rozmyła”.
A przecież musimy podobnie w skali krajowej decydować, na co konkretnie wydawać pieniądze przeznaczane na projekty cyberbezpieczeństwa.
Łaba: I między innymi do tego jest niezbędna jakaś krajowa instytucja koordynująca, która wskaże słabe miejsca systemu cyberbezpieczeństwa oraz jakie badania i prace rozwojowe są niezbędne do jego poprawy.
Syta: Wszystko to, o czym mówimy, mocno koncentruje na reakcji, walce, naprawianiu szkód. A cała istota skutecznej obrony powinna jednak polegać na tym, żebyśmy nie zostali zaatakowani. Powinniśmy posiadać systemy, które wykrywają luki w infrastrukturze, oraz systemy stałego monitorowania, których celem będzie zapobieganie. Jeżeli już na etapie prewencji są zaniedbania, to nic wartościowego nie zdziałamy, koncentrując się wyłącznie na minimalizowaniu skutków udanych ataków. I właśnie na to, na prewencję – na sprzęt i na kształcenie kadr powinny być przeznaczane środki.
Czy wiemy, jak wygląda takie zabezpieczenie w polskich instytucjach? Przy ataku WannaCry próbowałam się dowiedzieć, jak wygląda sytuacja z Windowsem 10 w polskich urzędach, i okazało się, że nikt nic nie wie.
Maciej Wardaszko: Niestety w wielu organizacjach brakuje podstawowej wiedzy, jakim środowiskiem ludzie zarządzają. Tyle że ta niewiedza nic nie tłumaczy. Nikt z nas nie zdejmie odpowiedzialności, żeby na własnym polu zadbać o bezpieczeństwo. Musimy inwestować w technologię i w ludzi. I to jest spore wyzwanie, bo rynek, jeśli chodzi o zasoby kadrowe, jest mały, a są one kluczowe do realizowania działań z zakresu bezpieczeństwa. Technikę można kupić, know-how też. Ale bez osób, które ją spożytkują, którzy będą w stanie wykrywać zagrożenia specyficzne dla danego sektora i ataków skierowanych na konkretną organizację, nie jesteśmy w stanie zapewnić adekwatnego poziomu bezpieczeństwa. Warto tu spojrzeć choćby na działania innych państw, np. Izraela, gdzie młode osoby stojące przed wyborem drogi kariery decydują się na pracę w bezpieczeństwie informatycznym, na potrzeby państwa, wiedząc, że w przyszłości czekają ich ciekawe perspektywy. Osób zajmujących się bezpieczeństwem potrzeba coraz więcej także dlatego, że zmienia się paradygmat budowy systemów. Te, które pełnią funkcje centralne, jak choćby CEPiK, były z założenia budowane jako zamknięte. Ale tego nie da się dłużej utrzymać. Jeżeli chcemy budować otwartą, konkurencyjną gospodarkę opartą na wiedzy, to musimy się na takie otwieranie systemów zgadzać. A to jest oczywiste, że w efekcie będzie rosło zagrożenie dla nich i zgromadzonych w nich danych.
/>
Syta: To bardzo trudne, by zabezpieczyć się przed „nieznanym” atakiem. Jest to jednak możliwe – wymaga to dobrego sprzętu i ludzi – czyli pieniędzy. A zauważmy, możemy sobie dywagować o tym, jak zabezpieczać państwo, jak rozdzielić kompetencje w instytucjach publicznych, jak budować system wsparcia i reagowania dla infrastruktury krytycznej, czyli tych branż, które są kluczowe dla funkcjonowania państwa. Ale nie oszukujmy się – to wcale nie będzie wprost przekładało się na to, jak i czy zabezpiecza się sektor prywatny. Wymagania prawne określają przecież jedynie niezbędne minimum, które trzeba wykonać. A bez zabezpieczenia sektora prywatnego ciężko twierdzić, że wiemy, w jakim miejscu jesteśmy pod względem cyberbezpieczeństwa.
Czy państwo jest w stanie wymusić na podmiotach prywatnych takie działania? To, by poszczególne firmy dbały o sferę cyber?
Syta: Jest takie powiedzenie, że najsłabszym ogniwem w każdej organizacji jest człowiek, a konkretnie jej prezes. Czyli w ostatecznym rozrachunku kluczowe jest to, że firmy muszą same tego chcieć i same działać. Tej kwestii nikt z nich nie zdejmie, co najwyżej można wskazywać kierunki. Jeżeli organizacja ma to szczęście, że najwyższa kadra rozumie potencjalne zagrożenia i przynajmniej wymaga konsekwencji w podejmowanych działaniach, to nawet i przepisy nie są potrzebne. To się po prostu dzieje. Jeżeli ważniejsze są cele typowo związane z działalnością gospodarczą, a ochrona danych i systemów jest ignorowana – wtedy organizacja prosi się o problemy. A cierpieć mogą przede wszystkim jej klienci.
Silicki: I tu pomocna będzie dyrektywa NIS, o której już mówiliśmy, bo ona wskazuje odpowiednie sektory i branże oraz konkretne obowiązki, jakie zaczną obowiązywać w stosunku także do sektora prywatnego.
Sordyl: Dokładnie, choć jest to sektor niepubliczny, to i tak jest elementem układanki tworzącej nasze bezpieczeństwo, a więc powinien być objęty też pewnymi zasadami zapewniającymi bezpieczeństwo partnerom. Ważnym rozwiązaniem może być certyfikowanie lub akredytowanie ich działalności, szczególnie w stosunku do firm, które dostarczają rozwiązania dla państwa. Ale by sektor prywatny naprawdę odczuł taką potrzebę, trzeba by zacząć nie tyle od nakazywania od edukowania. Bezpieczeństwo w sferze cyber powinno być wprowadzone jako element nauczania już w szkołach podstawowych, tak jak zasady bezpiecznego przechodzenia przez ulicę. I wtedy to świadomy użytkownik będzie wymagał od firm, które mu dostarczają usługi, by spełniały także takie standardy.
Właśnie. Może my przez cały czas myślimy ze złej perspektywy. Nie co powinno państwo czy firmy robić, by się zabezpieczyć, tylko czego my jako obywatele i klienci oczekujemy, by nam zapewnić?
Maj: Na to nie da się łatwo odpowiedzieć. Ale jako obywatel powinna się pani spodziewać, że będzie żyć w kraju, który jest bezpieczny. W zeszłym roku, na szczycie NATO wskazano nowy kierunek. Obok obszarów takich jak ląd, woda, powietrze jako przestrzeń prowadzenia działań wojskowych uznano oficjalnie także cyberprzestrzeń. To jest jasny sygnał, tu też można mocno nabroić, też może tu ucierpieć obywatel i dlatego trzeba się skupić na zapewnieniu bezpieczeństwa dla całego państwa. I mamy prawo oczekiwać, że powstanie taki system, a wraz z nim budżet i nałożone obowiązki, by wszyscy czuli się możliwie najbardziej bezpiecznie we wszelkich sferach życia – od bankowości elektronicznej poprzez zapewnienie prądu, na bezpieczeństwie państwa kończąc.
Wiater: Jako obywatel oczekuję zapewnienia przez państwo dostępności podstawowych usług zapewnianych przez administrację publiczną. Oznacza to utrzymanie ich dostępności i odpowiedniego poziomu zaufania. Wiąże się to oczywiście z zapewnieniem zdolności do skutecznej obrony systemów informatycznych, które te usługi zapewniają, a także zdolności do ich szybkiego przywrócenia do działania. Dodatkowo jako osoba patrząca z perspektywy firmy widzę rolę państwa jako koordynatora krajowego systemu cyberbezpieczeństwa. To państwo dysponuje odpowiednimi środkami, aby wykryć i zniwelować skutki ataku cybernetycznego lub też skoordynować krajowe działania organizacyjno-legislacyjne. Firmy państwowe i prywatne, mimo iż dysponują skutecznymi narzędziami do reagowania na zagrożenie w skali firmy nie są w stanie skutecznie reagować na incydenty, które dotykają systemów informatycznych w całym państwie.
Łaba: Wytyczne i standardy. Bym czuł się bezpiecznie chcę ich od państwa. Nigdy nie będzie stuprocentowego bezpieczeństwa, ale obecność takich zasad pozwala minimalizować zagrożenia. Przykład: wprowadzono obowiązkowe przeglądy pojazdów, czy to znaczy, że liczba wypadków spadła do zera? Nie, ale można powiedzieć, że na pewno jest mniejsza, niż gdyby tych przeglądów nie było.
Skoro wiemy, co jest niezbędne, to teraz odpowiedź na pytanie, jak inwestować, na co wydać już przewidziane środki?
Silski: Tak, mamy spore środki w MON na ten cel, ale już w Ministerstwie Cyfryzacji nie jest wcale tak różowo. Na 2017 rok budżet na cyberbezpieczeństwo praktycznie nie istniał, może w 2018 roku będzie lepiej, ale wszystko tu zależy od tego, jak dobitnie cały rząd zrozumie powagę problemu. Pomocnym procesem do planowania wydatków jest zapisany obowiązek stworzenia strategii cyberbezpieczeńswa dla Polski, a w niej powinno się właśnie pojawić to, jak dysponować środkami i jak je pomiędzy różne instytucje rozdzielać.
Maj: Co do budżetu MON on ma za zadanie zapewnienie bezpieczeństwa państwu. To wydatki specjalne, na rozwiązania wojskowe, a nie na działania wspierające np. firmy. Co nie znaczy, że one są oderwane od sektora cywilnego. Bo taka współpraca jest niezbędna. Wojsko samo przecież nie stworzy sobie wszystkich narzędzi. Trzeba pamiętać jeszcze o jednym – o konieczności synchronizacji cyberbezpieczeństwa z operacjami informacyjnymi, czyli tym, co jest obecnie nazywane dezinformacją. Wystarczy spojrzeć na doktrynę Federacji Rosyjskiej. Nie używają sformułowania „cyberbezpieczeństwo”, lecz „wojna informacyjna”. Co nie znaczy, że skupiają się tylko na trollach w sieci. Oni łączą te dwa obszary. To oddziały, które potrafią się włamywać klasycznie przełamując zabezpieczenia i równolegle, wykorzystując informacje, wprowadzać informacyjny bałagan, utrudniając rozpoznanie faktycznych problemów. Warto tu spojrzeć na doświadczenia trzech państw, które ataki przeżyły – wspomnianej Estonii, Gruzji i Ukrainy. W każdym przypadku akcje były prowadzone na trzy różne sposoby.
Wiater: I co ważne, w każdym w nich niezbędna była współpraca wojska i sektora cywilnego, administracji publicznej i firm komercyjnych do przełamania ataku i opanowania sytuacji. Dlatego tak podkreślamy konieczność utworzenia platformy współpracy pomiędzy sektorem wojskowym, administracją publiczną i sektorem prywatnym.
Wardaszko: W tym kontekście ciekawe ćwiczenia były prowadzone w kwietniu tego, czyli Locked Shields 2017 roku, gdzie symulowano ok. 2500 ataków na system obrony powietrznej i kontroli dronów, systemy zarządzania energią elektryczną oraz dostawami paliwa, a także kanały komunikacji. Ich celem było sprawdzenie zdolności NATO do obrony na wypadek cyberataku, ale także tego, jak wyglądają procesy decyzyjne i skuteczność procedur. Warto by było jak najwięcej takich ćwiczeń przeprowadzać na styku cywilnego i wojskowego świata, przygotowując się do skutecznej współpracy na wypadek rzeczywistego zagrożenia.
Maj: Nie ma żadnej wątpliwości, że sfera cywilna jest tu nie do ominięcia. Przecież w czasie pokoju koordynacja kwestii cyberbezpieczeństwa jest bez dwóch zdań zadaniem cywilnym. I oby zawsze tak było. Z drugiej strony nie ma też żadnej wątpliwości, kto w stanie nadzwyczajnym, stanie kryzysu i wojny odpowiada za bezpieczeństwo państwa.
Jak w takim razie wojsko może współpracować z sektorem cywilnym? Czy jest tu jakiekolwiek miejsce dla przedsiębiorstw?
Maj: Podstawą jest tu prześledzenie łańcucha dostaw i określenie, jakie jest znaczenie danej firmy dla całego systemu. Powiedzmy, że mamy firmę software’ową, która oprogramowuje system wyborczy. Może w niej pracować ledwie kilka osób, może się wydawać nieważna i nagle w czasie wyborów okazuje się kluczowa. Niezapewnienie bezpieczeństwa tej firmy może zaowocować zagrożeniem dla całego państwa.
Silicki: Dobrym przykładem są takie programy w NCBiR jak CyberSecIdent, w ramach którego będzie realizowana w konsorcjum ośrodków badawczych – w tym NASK – Narodowa Platforma Cyberbezpieczeństwa, zapewniająca monitorowanie, analizy ryzyka, reagowanie czy ostrzeganie na poziomie krajowym.
W co więc warto zainwestować, by faktycznie zwiększać potencjał naszej cyberochrony?
Łaba: Przede wszystkim w ludzi. Jeśli nie ma dobrej kadry, to żaden nawet najnowocześniejszy sprzęt nie zagwarantuje bezpieczeństwa. Trzeba zwrócić uwagę na jeszcze jedną rzecz. Obecnie rozwija się technologie, które potrafią fizycznie zniszczyć hardware i infrastrukturę informatyczną, np. elektromagnetyczną broń wysokoimpulsową. Taki generator umieszczony w walizce potrafi unieszkodliwić komputery i elektronikę w promieniu jednego kilometra. Taką broń mają m.in. Amerykanie, Izrael, Rosjanie, w prasie też się chwalili, że mają opanowaną tę technologię. Dlatego trzeba prowadzić badania nad uszczelnianiem i zabezpieczaniem software’u, ale także nad odpowiednim zabezpieczeniem i podniesieniem odporności hardware’u i całej infrastruktury. Ten aspekt trzeba mieć na uwadze i w takie zabezpieczenia trzeba inwestować. Na to mogą pójść spore nakłady inwestycyjne i one na pewno nie będą zmarnowane.
Syta: Inwestować warto, a nawet trzeba, także w wytwarzanie polskich systemów identyfikujących niebezpieczeństwo. W tym momencie wykorzystuje się powszechnie zagraniczne produkty, co do których bezpieczeństwa mogą nagle pojawić się poważne obiekcje.
Takie jakie Amerykanie mają obecnie w stosunku od antywirusów od firmy Kaspersky.
Syta: Dokładnie. Mamy własne, kreatywne kadry, które mogą rozwijać takie rozwiązania w Polsce.
Maj: Wiemy to od lat, tylko do tej pory nie potrafiliśmy za wiele z tym zrobić. Bo co my takiego wielkiego stworzyliśmy, co działa? Wiele programów trafiło do szuflady, w związku z licencyjnymi problemami. Wydawano grube miliony, a potem okazywało się, że nie możemy tego używać. Jaki polski, duży, działający system został stworzony w ciągu ostatnich lat?
Silicki: Arakis, czyli nasz system z NASK.
Maj: Dobry przykład, ale zobaczmy, jak on został zbudowany. Małym, własnym nakładem. Dopiero gdy okazało się, że to ciekawy projekt i warto w niego inwestować pojawiły się większe pieniądze. Ja bym zastosował system mikrograntów. Spójrzmy sobie na to, co robi amerykańska DARPA (Defense Advanced Research Projects Agency, amerykańska agencja rządowa zajmująca się rozwojem technologii wojskowej – red.). Oni potrafią sprecyzować zakres badawczy do poziomu prostego elementu interfejsu, wydzielić na to kilka lub kilkanaście tysięcy dolarów, określić czas realizacji i powstaje kilkuosobowy zespół, który to robi. Potem DARPA, jeśli takiemu wynalazcy się powiedzie, angażuje go w większy projekt. I w ten sposób wyłuskuje kadrę. Lepiej byłoby więc zainwestować w zbudowanie dobrego systemu rozwijania kadr i budowania całego fundamentu kompetencyjnego pod cyberbezpieczeństwo.
Wiater: Stanowczo powinniśmy robić tak, jak działają choćby Brytyjczycy. Skoro jest potrzeba i świadomość, że musimy wydawać na cyberbezpieczeństwo, to wydajmy, ale przy okazji otwórzmy nową gałąź naszego rynku i zaróbmy na tym. I wcale nie musimy długo czekać. Budżet dla MON już jest. Można go traktować jako gwarant budowy cybersuwerenności, czyli sytuacji, w której państwo nie jest uzależnione od technologicznej oferty od zagranicznych graczy. Przy analizie zakupów na potrzeby obronności powinniśmy się zawsze zastanawiać, czy w jakikolwiek sposób może to wzmocnić naszą gospodarkę. Ale by to się udało, konieczne jest pozytywne podejście ze strony administracji. Takie, które będzie naprawdę prorynkowe, choćby pozwalające na to, by licencje opracowywane na rzecz usług cyberbezpieczeństwa dostawcy usługi mogli dalej rozwijać i oferować na rynku. Oczywiście nie w takiej wersji, jaka była zaoferowana administracji, tylko mniejszej, ograniczonej. Ale jednak pozwalającej na to, by naprawdę uruchomić to koło zamachowe.
Jak rozumiem, tak się nie dzieje.
Wardaszko: Pamiętajmy, po części to po prostu wciąż problemy z barierami pomiędzy administracją a biznesem. Problemy, które występują, bo brakuje nam czasem mechanizmów, przepisów, by móc działać bardziej elastycznie. Choć właśnie sfera cyber takiej elastyczności bardzo wymaga.