Nowa ustawa o krajowym systemie cyberbezpieczeństwa miała wprowadzić jasny podział obowiązków i zadań. Wnioski z konsultacji międzyresortowych są jednak takie, że właściwie nic się nie zmieni.
/>
Resort cyfryzacji przygotowywał projekt niemal dwa lata. Początkowo była „pierwsza wersja strategii ochrony cyberprzestrzeni RP”, w której to Ministerstwo Cyfryzacji miało być koordynatorem strategiczno-politycznym ochrony sieci. Wariant, w którym MC zyskiwało pozycję zarządzającego całym systemem ochrony, nie miał jednak szansy przejść przez rząd. Powód? Prawa do tych kompetencji zaczęły sobie rościć także ministerstwa spraw wewnętrznych i obrony. Wiosną 2017 r. pojawiła się więc nowa wersja strategii. Eksperci mówili wtedy, że „systemowi cyberochrony wybito zęby”. Ale jeszcze liczyli, że ustawa, która miała powstać w ciągu kilku miesięcy, wprowadzi bardziej konkretne rozwiązania. Sprzyjały temu bieżące wydarzenia.
Przez Europę przetoczyło się kilka groźnych incydentów. Doszło do ataków ransomware (czyli blokujących dostęp do komputerów) WannaCry, Bad Rabbit i Petya (ofiarami tego ostatniego były także polskie firmy). Pojawiły się dowody na szerzenie cyberpropagandy podczas wyborów w Stanach czy referendum w Katalonii. Wreszcie wybuchł skandal wokół oprogramowania antywirusowego Kaspersky, które rządy Stanów i Wielkiej Brytanii oskarżyły o szpiegowanie na rzecz Rosji.
Także w Polsce zaszły zmiany. Resort obrony zapewnił, że ma 2 mld zł na stworzenie specjalnego cybernetycznego wojska. Premier Beata Szydło zapowiedziała powołanie w swojej kancelarii departamentu ds. cyberbezpieczeństwa. Nawet MC dorobiło się wiceministra odpowiedzialnego za te zadania.
Projekt ustawy, który zaprezentowało MC, zupełnie nie uwzględnia jednak tych aspektów. – W obecnym kształcie wygląda tylko na realizację planu minimum, czyli wypełnienie obowiązku, jaki nakładać będzie na nas unijna dyrektywa NIS, która wejdzie w życie w połowie 2018 r. – rozkłada ręce Grzegorz Małecki, były szef Agencji Wywiadu i ekspert ds. cyberbezpieczeństwa z Fundacji Pułaskiego. Dyrektywa wymaga od państw członkowskich, by dostawcy usług cyfrowych oraz instytucje i firmy w ramach tzw. infrastruktury krytycznej mieli nałożone konkretne obowiązki związane z cyberbezpieczeństwem. Te sprawy projekt rzeczywiście reguluje.
Na tym jednak poprzestaje. I w takim właśnie tonie wypowiedziały się rządowe instytucje w ramach konsultacji międzyresortowych.
Służba Kontrwywiadu Wojskowego sugeruje doprecyzowanie kwestii związanych z zarządzaniem ryzykiem, szczególnie na poziomie krajowym. „Należy także rozważyć wprowadzenie funkcji koordynatora krajowego (o stosownych uprawnieniach), w zakresie działań merytorycznych CSIRT-ów (ośrodków reagowania kryzysowego na incydenty – red.) poziomu krajowego” – pisze SKW. Podkreśla, że swoją opinię przygotowała wspólnie z zespołem zadaniowym ds. cyberprzestrzeni przy ministrze obrony narodowej. Razem oceniają projekt negatywnie.
Biuro Bezpieczeństwa Narodowego już w pierwszych zdaniach podkreśla, że „projekt ustawy ma na celu wdrożenie do polskiego porządku prawnego unijnej dyrektywy NIS i zasadniczo reguluje tylko sprawy w niej poruszone. Nie można zatem stwierdzić, że ustawa kształtuje krajowy system cyberbezpieczeństwa. Reguluje ona jedynie fragment systemu”. BBN krytykuje nie tylko brak wskazania silnego ośrodka decyzyjnego, lecz także to, że katalog operatorów usług kluczowych (czyli ważnych dla bezpieczeństwa państwa, takich jak energetyka, telekomunikacja, transport) dubluje się z wykazem systemów infrastruktury krytycznej z Narodowego Programu Ochrony Infrastruktury Krytycznej.
Z powodu dublowania prac ustawę źle ocenia też Rządowe Centrum Bezpieczeństwa. Stwierdza ono, że w jego ramach powołany został zespół zadaniowy do spraw opracowania standardów zabezpieczeń antyterrorystycznych dla infrastruktury krytycznej. Ma się on zajmować standardami zapewnienia bezpieczeństwa teleinformatycznego.
Nawet Urząd Komunikacji Elektronicznej podległy pod MC ma liczne uwagi. Odnoszą się one do tego, że właściwie nie wiadomo, jakie dokładnie obowiązki ma mieć UKE. Na przykład, jak często ma raportować o ewentualnych problemach. Jak podsumowuje szef UKE Marcin Cichy, „przewidziane w opiniowanym projekcie regulacje są zbyt ogólne i nieprecyzyjne”.
Najostrzej projekt podsumowała Najwyższa Izba Kontroli. Prezes Krzysztof Kwiatkowski pisze wprost: „Istnieje istotne ryzyko, że proponowane rozwiązania będą mało skuteczne i tylko w ograniczonym stopniu mogą wpływać na poprawę poziomu bezpieczeństwa polskiej cyberprzestrzeni. Przedłożona do konsultacji regulacja nie kreuje w praktyce nowych, kompleksowych rozwiązań, a tylko przenosi na grunt prawny funkcjonujące już struktury (np. zespoły CSIRT) oraz »zapożycza« rozwiązania z zakresu zarządzania kryzysowego, które w świetle kontroli NIK należy uznać za nieskuteczne”.
Pod wpływem głośnej kontroli izby sprzed trzech lat, która zarzucała, że „podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP”, rozpoczęto prace nad uporządkowaniem tego pola.
– To jest projekt w takim kształcie, który ma szansę zdobyć polityczne poparcie i wreszcie zostać uchwalony – uważa Małecki. – Niestety bez wprowadzenia systemu, w którym cyberbezpieczeństwo miałoby konkretnego lidera.