Rząd już ma duże uprawnienia i mnożenie przepisów o cyberbezpieczeństwie nic nie zmieni

Wyciek e-maili szefa KPRM wywołał pytania o bezpieczeństwo najważniejszych osób i organów państwa. Na niejawnym posiedzeniu Sejmu w środę wicepremier ds. bezpieczeństwa Jarosław Kaczyński zapowiedział złożenie projektów ustaw wprowadzających „nowe narzędzia do czuwania nad bezpieczeństwem cyfrowym”.

Gdyby nowe przepisy o cyberbezpieczeństwie obowiązywały, kiedy cyberprzestępcy przechwytywali login i hasło ministra Michała Dworczyka, jego internetowa skrzynka pocztowa nie byłaby od tego lepiej chroniona – uważają eksperci.

Takie instrumenty wprowadza nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), dająca rządowi sporą władzę nad ruchem w internecie i infrastrukturą telekomunikacyjną. Eksperci są jednak zgodni, że nie będą to skuteczne narzędzia do powstrzymania takich ataków, jak ten na ministra Dworczyka.

‒ Wdrożenie przepisów lepiej chroniących infrastrukturę krytyczną jest potrzebne – mówi Krzysztof Izdebski, członek zarządu i dyrektor programowy Fundacji ePaństwo. ‒ Ale w przypadku tej afery hakerskiej to by nie pomogło, gdyż cyberprzestępcy nie korzystali z infrastruktury krytycznej. Tu zadecydował czynnik ludzki. I dopóki ludzie, także w rządzie, nie zaczną przestrzegać podstawowych reguł bezpieczeństwa, to nic się nie zmieni. Przepisy KSC ani żadne inne nie uodpornią nikogo na wyłudzanie haseł – podkreśla.

W obecnym kształcie nowelizacja KSC m.in. uprawnia ministra ds. informatyzacji (obecnie jest to premier) do zakazywania połączeń z określonymi adresami IP lub stronami internetowymi. Takie „polecenie zabezpieczające” będzie miało klauzulę natychmiastowej wykonalności. Projekt przewiduje też kontrolowanie dostawców sprzętu do budowy sieci telekomunikacyjnych (szczególnie 5G) i wykluczanie z rynku firm, które Kolegium ds. Cyberbezpieczeństwa ‒ działające przy Radzie Ministrów – uzna za ryzykowne. Te zapisy mogą potencjalnie zamknąć polskie sieci przed chińskim producentem ‒ Huaweiem.

‒ Napinanie się o to, kto zbuduje w Polsce 5G, niczego nie zmieni – uważa Piotr Mieczkowski, dyrektor zarządzający fundacji Digital Poland. ‒ Minister Dworczyk nie byłby też lepiej zabezpieczony, gdyby działał już operator sieci komunikacji strategicznej (telekom obsługujący jednostki administracji rządowej i samorządowej, którego powołanie przewiduje nowela KSC – red.). Rzecz w tym, że sieci ‒ nawet te od Huaweia ‒ są w Polsce bezpieczne. Nie tu kradnie się dane, hakuje się ludzi – mówi. Dodaje, że najpopularniejszą metodą hakerów jest phishing, czyli podszywanie się pod godną zaufania osobę, firmę lub instytucję w celu wyłudzenia loginu i hasła do poczty elektronicznej czy konta bankowego.

Turowski: Walka o bezpieczeństwo w sieci nie jest wygrana[WYWIAD]

‒ Żadna ustawa nie nauczy ludzi zdrowego rozsądku w przypadku ataków phishingowych – stwierdza dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa. Należy przyjąć, że hakerzy to stały element cyberprzestrzeni. ‒ Chodzi o to, by się odpowiednio zabezpieczyć przy świadomości zagrożeń – zaznacza Olejnik, dodając, że ustawowe regulacje są tu mniej istotne. ‒ Gdy atakujący przebywają w innych państwach, nieważne jest też, jakie kary za cyberataki będą zdefiniowane w polskim prawie – wskazuje.

Skuteczniejszą obroną będzie strategia cyberbezpieczeństwa państwa. ‒ Nie na papierze – zastrzega Olejnik (w takiej formie strategia istnieje). ‒ Chodzi o jasne zapisy i dużo pieniędzy na ciągłe zabezpieczanie, uświadamianie i szkolenia oraz weryfikację poziomu zabezpieczeń – podkreśla. Na razie rząd zaoferował posłom ulotkę z ogólnymi zaleceniami higieny internetowej, dostępnymi np. w serwisach poświęconych cyberbezpieczeństwu.

Według Piotra Mieczkowskiego politycy powinni stosować takie środki ostrożności jak pracownicy korporacji: szyfrowanie korespondencji i nośników danych, zakaz przekierowywania na prywatne skrzynki.

‒ Politycy mają prywatne konta i tak już zostanie – uważa jednak Łukasz Olejnik. ‒ Pomóc może tylko świadomość zagrożeń i wiedza o tym, jak się zabezpieczyć. A trzeba przyznać, że w wyniku obecnej dyskusji wiele osób przechodzi przyspieszone szkolenie – stwierdza.

Kancelaria premiera – po zmianach organizacyjnych w rządzie będąca też resortem cyfryzacji – nie odpowiedziała nam, czy uważa, że zmiany w KSC mogą zabezpieczyć przed takimi atakami jak na ministra Dworczyka. Nie ujawnia też, czy w związku z ostatnimi wydarzeniami w nowelizacji pojawią się nowe zapisy. Stwierdza tylko, że „trwa procedowanie” projektu „w ramach Komitetu Rady Ministrów ds. Bezpieczeństwa”, którym kieruje Jarosław Kaczyński.