Cyberbezpieczeństwo, prywatność i AI muszą się znaleźć wśród priorytetów nowego rządu. Od razu trzeba powiedzieć jasno, co musi być kontynuowane, co zmienione, a co zarzucone, bo okazało się złe.
Do 17 lutego trzeba zgłosić Komisji Europejskiej, który urząd w Polsce stanie się koordynatorem usług cyfrowych (regulacja DSA). To ekstremalnie mało czasu. W Polsce za cyberbezpieczeństwo odpowiada wiele ministerstw. Zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa w pewnym zakresie także Ministerstwo Infrastruktury, gdy incydent dotyczy np. sektora transportowego. Słusznie jednak utożsamiamy tę tematykę z Ministerstwem Cyfryzacji oraz Ministerstwem Obrony Narodowej.
Zgodnie z zapowiedziami z kampanii nowy minister cyfryzacji może wydzielić struktury odpowiedzialne za tę tematykę i stworzyć Agencję Cyberbezpieczeństwa. Jeszcze w 2016 r. proponowałem to samo – miało to duży sens. Agencja nie powinna jednak powtórzyć niefortunnego losu tzw. NCCyber (Narodowego Centrum Cyberbezpieczeństwa), które próbowano sformować, lecz się to nie udało do końca. Nakładanie obowiązków wymaga narzędzi i środków.
Dziś trzeba wdrażać regulacje wypracowane w Brukseli, których w ostatnich latach nie brakowało. Przykładowo do 18 października 2024 r. należało wdrożyć dyrektywę o bezpieczeństwie sieci (NIS2). To mniej czasu, niż się wydaje, zwłaszcza gdy przypomnieć o ostatniej nieudanej próbie nowelizacji tego prawa przez poprzedni rząd. W przypadku samego Ministerstwa Cyfryzacji warto zawalczyć o zachowanie obecnej kadry pracowników, zwłaszcza tych operacyjnych w instytucjach takich jak COI lub NASK, w czym pomaga adekwatna polityka płacowa, oraz zadbać o to, by resort nie był helpdeskiem. To miejsce koordynacji zagadnień: politycznych, prawnych, państwowych i życiowych. Kwestie cyfrowe dotyczą już każdej dziedziny życia, a zatem każdego ministerstwa. Od edukacji poprzez rolnictwo po zagadnienia równości płci czy też osób z niepełnosprawnościami. MC jest ponad i obok tego, mając pieczę nad wizją holistyczną. Powinno nazywać się Ministerstwem Spraw Cyfrowych.
Krytycznym zagadnieniem jest prywatność obywateli. Chodzi o ochronę ludzi i ich godności, a nie o jakieś „dane osobowe”. Dane osobowe dotyczą ludzi, a ich przetwarzanie może się wiązać z negatywnymi następstwami dla obywateli. RODO chroni ludzi, nie dane. Także dlatego mamy organ zajmujący się egzekwowaniem prawa ochrony obywateli. Prezesem Urzędu Ochrony Danych Osobowych musi być osoba kompetentna w kwestiach prawnych, ale także technologicznych. Wkrótce UODO może stać się też instytucją odpowiedzialną za egzekwowanie regulacji UE o sztucznej inteligencji. Traktowanie spraw ochrony danych osobowych w kwestiach czysto prawnych i jako „RODO na papierze” nie sprawdziło się.
Ponadto trzeba wreszcie skończyć z imposybilizmem i paraliżem ochrony prywatności, a kompetencje w kwestiach śledzenia w internecie przenieść z Urzędu Komunikacji Elektronicznej do UODO. Obecnie UODO nie ma prawa zajmować się tematem, a o (nie)działaniach UKE nie ma co mówić. Dzisiejszy system wdrożono ponad 20 lat temu. Nie sprawdził się. Ogranicza też możliwości UODO badania systemów hakowania i inwigilacji, takich jak Pegasus. Trzeba to zmienić.
W przypadku konfliktu i konfrontacji ważnym resortem jest MON. Powołano tam komponent cyber armii pod dowództwem gen. Karola Molendy. To wyróżniająca się jednostka. Rozwija się bardzo prężnie i odnosi widoczne sukcesy. Można wymienić choćby niedawne rozbrojenie rosyjskich cyberoperacji ukierunkowanych na serwery poczty internetowej rządów wielu państw. Nie ma żadnej przesady w stwierdzeniu, że polska jednostka cyberarmii skutecznie zakłócała i odpierała wiele rosyjskich cyberoperacji. Tę newralgiczną jednostkę trzeba koniecznie rozwijać. W ustawie o obronie ojczyzny zapisano, że może ona podejmować działania defensywne (cyberobrona, cyberbezpieczeństwo) i ofensywne (cyberatak, operacje ofensywne). Te drugie są dla polskiej cyberarmii niezdefiniowane. I wobec tego niedostępne – bezprawne. Trzeba więc wypracować uregulowania prawne, zasady i standardy. Część z nich powinna być jawna – obywatele powinni wiedzieć, na co idą pieniądze z ich podatków.
Jest jeszcze jedna delikatna materia. Operacje informacyjne, dezinformacyjne, a może i propagandowe. Pamiętajmy o preludium wojny w Ukrainie – poprzedziły ją operacje informacyjne wspomagane cyberatakami. Cyberarmie mogą operacje adwersarzy analizować, rozbrajać, nagłaśniać. Polska jednostka nie ma jednak uprawnień, chociażby do ich projektowania i prowadzenia. Tymczasem integracja działań informacyjnych w jednostkach cyberarmii to dziś standard w wielu krajach. By wymienić chociażby USA, kraj o najsilniejszych jednostkach cyberofensywnych, albo Francję. Podobne zmiany trzeba wprowadzić w Polsce. Tę debatę i dyskusję trzeba rozpocząć i przeprowadzić otwarcie – obywatele nie powinni czuć się zagrożeni samym istnieniem takich zdolności.
Wreszcie – cyberbezpieczeństwem w resortach muszą zająć się osoby kompetentne. Anegdotyczne kadry z kompetencjami w sprawach wymiany framug w drzwiach nie powinny odpowiadać za tak specjalistyczną materię. ©℗
