Nowelizacja ustawy o KSC usprawni reagowanie państwa na incydenty. Legislacyjne ramy już istnieją.
- Mamy w Polsce dobrych fachowców i ekspertów ds. cyberbezpieczeństwa, ale działania w tej sferze długo nie były uregulowane. Zmieniła to dopiero ustawa o krajowym systemie cyberbezpieczeństwa (KSC, działa od sierpnia 2018 r. - red.). Ten akt prawny pozwolił zbudować system cyberbezpieczeństwa - mówi Cyprian Gutkowski, prawnik i ekspert Fundacji Bezpieczna Cyberprzestrzeń. - Dzięki temu dysponujemy obecnie trzema CSIRT-ami (zespołami reagowania na incydenty komputerowe - red.) poziomu krajowego, które mogą wspierać zaatakowane podmioty w obsłudze cyberincydentów - dodaje.
Także według Andrzeja Kozłowskiego, eksperta Fundacji im. Kazimierza Pułaskiego, ustawa o KSC - będąca implementacją unijnej dyrektywy NIS (w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych) - stanowi fundament prawny walki z cyberatakami. - Oprócz tego mamy prawo międzynarodowe regulujące kwestię reakcji na agresję przeciwko państwu - dodaje Kozłowski.
Doktor Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa oraz były doradca cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie, uważa, że w obecnej wersji KSC kluczowe są przepisy rozdziałów 3-5, dotyczące m.in. obowiązków operatora. - Szkoda by było, gdyby w wyniku słabości zabezpieczeń gdzieś powstały zakłócenia w dostarczaniu prądu lub uzdatnionej wody. Bo w przypadku działań cyberwojennych bierzemy pod uwagę także takie ryzyka. Ważne są też obowiązki podmiotów publicznych, bo chcielibyśmy, by procesy państwowe zapewniały ciągłość działania - uzasadnia Olejnik.
- Pilnie potrzebna jest jednak zmiana ustawy o KSC, która usprawniłaby reagowanie na cyberataki - mówi Cyprian Gutkowski. Takie narzędzia znajdują się w projekcie nowelizacji. - Jest to np. polecenie zabezpieczające, z klauzulą natychmiastowej wykonalności, za pomocą którego minister ds. informatyzacji (obecnie jest to premier - red.) może zakazać połączeń z określonymi adresami IP lub stronami internetowymi. To jedno z narzędzi, które na pewno wspomoże techniczne i prawne działania w walce z cyberatakami - wskazuje Gutkowski.
Łukasz Olejnik zastrzega, że w razie incydentu trzeba działać błyskawicznie. - Kluczowe będzie natychmiastowe przetwarzanie informacji i ewentualne wydawanie poleceń. Żeby to działało, ktoś musiałby te zalecenia wdrażać równie natychmiastowo. Mam mieszane uczucia wobec tego, na ile to realistyczne - dodaje.
To na razie mało, bo projekt noweli KSC (jego pierwszą wersję opublikowano we wrześniu 2020 r.) wciąż nie trafił do Sejmu.
Czy w razie cyberataku brak nowych przepisów będzie poważnym problemem?
- W razie poważnego i ukierunkowanego cyberataku ze strony cyberwywiadu wojskowego państwa ościennego żadne zasady na papierze nie uchronią kraju. Mogą za to ograniczyć szkody. Dlatego warto by sprawę KSC zamknąć, wdrażać nowe standardy, a w dalszej kolejności zacząć od razu prace nad nowelizacją w związku z NIS2 - odpowiada Łukasz Olejnik. Do kluczowych zapisów nowelizacji zalicza konieczność regularnych audytów. - Oczywiście, jeśli nie pozostanie to na papierze - zastrzega. - Ważne są też obowiązki wykrywania incydentów. Jest bardzo istotne, by wdrożenia tych zaleceń nie pozostały jedynie na papierze, a audyty były wykonywane jakościowo, a nie traktowane jako obowiązek prawny do odhaczenia - dodaje.
W razie cyberataku pierwszym zadaniem jest jego odparcie i przywrócenie funkcjonowania dotkniętych nim systemów informatycznych - np. internetowych serwisów rządowych, systemów firm energetycznych, banków itd. - Główną rolę odgrywają tu CSIRT-y, które na tym etapie skupiają się na zatrzymaniu incydentu i nie zastanawiają się, kto za nim stoi - mówi Kozłowski.
W razie stwierdzenia, że za cyberatakiem stoi inne państwo, można podjąć wobec niego kroki odwetowe. - Na razie widzieliśmy przykłady nakładania sankcji na Koreę Północną, Chiny czy Rosję. Przy czym potencjalne sankcje nie muszą ograniczać się do cyberprzestrzeni - podkreśla ekspert.
Zagrożeń dotyczą również zapisy ustawy o działaniach antyterrorystycznych, uprawniające premiera do wprowadzania stopni alarmowych oznaczonych „CRP” - tj. odnoszących się do systemów teleinformatycznych administracji publicznej lub infrastruktury krytycznej. Do niedzieli obowiązywał w kraju pierwszy stopień alarmowy ALFA-CRP, wprowadzony w związku z cyberatakami na Ukrainie. Zobowiązało to administrację publiczną do wzmożonego monitoringu bezpieczeństwa systemów teleinformatycznych.
Z kolei ustawa o ochronie ojczyzny ustanawia cyberarmię. - Problem w tym, że brak jasności, jakie mają być uprawnienia tej struktury. Czysto defensywne czy może także ofensywne? - zastanawia się Łukasz Olejnik. - Warto rozważyć specjalną ustawę, sporządzić też doktrynę i strategię. Po prostu zrobić to z głową, ale z zachowaniem należytej transparentności. I filaru etyczno-moralnego, bo zdolności ofensywne do hakowania to byłaby duża władza - podkreśla. - Oczywiście najlepiej, gdybyśmy mieli to już w 2014 r. Wtedy dobrą jednostkę cyber mogliśmy mieć kosztem przysłowiowego myśliwca, obecnie cena trochę wzrosła. Skoro jednak nie działano, to trzeba robić to jak najszybciej, bo czas ucieka - dodaje ekspert.
Andrzej Kozłowski zaznacza, że nawet w obecnym stanie prawnym można powiedzieć, że na cyberataki jesteśmy legislacyjnie przygotowani. - Inną kwestią jest, jak się to w razie potrzeby przełoży na działanie. Tu liczy się czynnik techniczny i przede wszystkim ludzki. Przypadek ministra Michała Dworczyka dowodzi, że najlepsze przepisy nie zabezpieczą przed hakerami, jeśli zabraknie ostrożności - podsumowuje. ©℗
