Prace nad utworzeniem Centralnego Biura Zwalczania Cyberprzestępczości zaliczyły poślizg. Mimo to rząd deklaruje, że jednostka powstanie z początkiem 2022 r.
Jeszcze w lipcu, na fali afery e-mailowej w rządzie, szef MSWiA Mariusz Kamiński zapowiedział rządowy projekt ustawy dotyczący Centralnego Biura Zwalczania Cyberprzestępczości (CBZC). – Potrzebne jest przełomowe działanie i poważna inwestycja w nasze bezpieczeństwo. Będzie nią powołanie nowej, specjalnej służby – deklarował minister. Projekt miał zostać przyjęty przez rząd w III kwartale. Tak się jednak nie stało. Jak informuje MSWiA, został on poddany uzgodnieniom międzyresortowym i 5 października skierowano go do rozpatrzenia przez Stały Komitet Rady Ministrów. To oznacza, że ustawa może być uchwalona dopiero w listopadzie lub później. Mimo to resort spraw wewnętrznych wciąż deklaruje, że wejście w życie nowych przepisów nastąpi 1 stycznia 2022 r.
– To świetny pomysł. To ustawa, która wesprze obywateli i przedsiębiorców, bo to policja obsługuje dziś 80 proc. zgłoszeń z zakresu cyberbezpieczeństwa – uważa Janusz Cieszyński, sekretarz stanu w kancelarii premiera i pełnomocnik rządu ds. cyberbezpieczeństwa. Nowa jednostka ma posiadać szerokie uprawnienia. „Funkcjonariuszom nowo powołanego CBZC przysługiwać będzie w pełni możliwość prowadzenia działań operacyjno-rozpoznawczych, dochodzeniowo-śledczych oraz administracyjno-porządkowych, wynikających z ustawy o policji” – wskazują autorzy projektu. Zdaniem naszych rozmówców problemem jest to, że choć w każdej komendzie wojewódzkiej istnieją cyberwydziały, to faktycznie ich funkcjonariusze są używani do bieżących zadań, nawet pilnowania protestów. Ustawa ma ten pion usamodzielnić.
Alternatywne pomysły dotyczące walki z cyberzagrożeniami rodzą się w opozycji. Szef klubu Lewicy Krzysztof Gawkowski jeszcze w tym tygodniu zamierza przedstawić projekt ustawy o Agencji Cyberbezpieczeństwa. W przeciwieństwie do pomysłu PiS, który zakłada de facto cybernetyczną służbę specjalną, ten projekt proponuje szersze podejście i centralizację działań zamiast obecnego modelu rozproszonego. – Koncepcja Lewicy jest projektem prewencyjnym, koncepcja PiS – represyjnym. My chcemy przeciwdziałać, a PiS tylko ścigać – przekonuje Krzysztof Gawkowski.
„Kwestia prowadzenia różnego rodzaju szkoleń, a także studiów, w tym studiów podyplomowych w dziedzinie bezpieczeństwa, pozostaje zadaniem Wyższej Szkoły Policji w Szczytnie” – ripostuje MSWiA. „Natomiast CBZC będzie zajmowało się rozpoznawaniem, zapobieganiem i zwalczaniem przestępstw popełnionych przy użyciu systemów informatycznego i teleinformatycznego lub sieci teleinformatycznej. Zadaniem CBZC będzie także wykrywanie i ściganie sprawców tych przestępstw w oparciu o czynności operacyjno-rozpoznawcze i dochodzeniowo śledcze” – zaznacza resort.
Sam Gawkowski twierdzi, że tworząc projekt, wzorował się na systemie brytyjskim, opartym na zasadzie działania prewencyjnego. – Jeśli agencja powstanie, zwykły obywatel będzie miał odpowiednie służby chroniące jego bezpieczeństwo. Dziś nie ma wyspecjalizowanych jednostek, do których można się wprost odwołać, jeśli ktoś włamie się nam na skrzynkę. Pozostaje tylko policja. Agencja dbałaby też o bezpieczeństwo rządu. Dziś robi to Agencja Bezpieczeństwa Wewnętrznego, ale – jak widać po aferze e-mailowej – ta osłona nie działa – dodaje szef klubu Lewicy.
Agencja Cyberbezpieczeństwa, zgodnie z projektem proponowanym przez Lewicę, miałaby odpowiadać za koordynację krajowego systemu cyberbezpieczeństwa, rozpoznawanie, zapobieganie i wykrywanie zagrożeń dla funkcjonowania państwa i jego systemów informatycznych czy prowadzenie działań prewencyjno-edukacyjnych, związanych z cyberbezpieczeństwem w sektorze publicznym i prywatnym. Jej budżet miałby wynosić ok. 500 mln zł, przy czym fundusz operacyjny nie będzie mógł przekraczać 20 proc. rocznego budżetu.
Lewica będzie się starać o poparcie dla projektu pozostałych klubów opozycyjnych. Ale z tym może nie być łatwo. – Uważamy, że poruszanie tego tematu, gdy rządzi PiS, kończy się propozycjami dotyczącymi prób cenzurowania internetu lub głębszej infiltracji portali społecznościowych. Nie chcemy dawać PiS pretekstu do takich działań – mówi Jan Grabiec z PO. Jego zdaniem dziś zamiast rewolucji potrzebne jest kadrowe i finansowe wzmocnienie już istniejących instytucji. – Tworzenie wyodrębnionych jednostek nie gwarantuje, że uda się tam ściągnąć ekspertów, bo często się okazuje, że administracja rządowa nie jest w stanie zaoferować im odpowiednich stawek. A jeśli nowe służby mają być tworzone na wzór Centralnego Biura Antykorupcyjnego, to spodziewamy się po nich wszystkiego najgorszego – dodaje.
Maciej Kawecki z Wyższej Szkoły Bankowej w Warszawie uważa, że w Polsce mamy problem z rozdrobnieniem procesu decyzyjnego w zakresie cyberbezpieczeństwa. – Jest pełnomocnik rządu ds. cyberbezpieczeństwa, pod nim jest Naukowa i Akademicka Sieć Komputerowa, ale tylko częściowo, bo mówimy o działalności w zakresie bezpieczeństwa. Część edukacyjna NASK jest pod ministrem nauki. Idąc dalej, pod NASK jest CERT, który ma w sobie duży pierwiastek autonomii. W każdym resorcie jest departament odpowiedzialny za cyberbezpieczeństwo, do tego kontrwywiad, ABW, CBA – wskazuje ekspert. We Francji od 2009 r. istnieje rządowa agencja ds. cyberbezpieczeństwa i dezinformacji. Niemcy powołali taką agencję w zeszłym roku, po dwóch latach prac legislacyjnych i licznych kontrowersjach.