Jeśli już ktoś ma się zająć cyberbezpieczeństwem, powinna to być osoba mająca pewne podstawy teoretyczne i praktyczną znajomość systemów IT, ich konfiguracji i świadomości zagrożeń. Odradzałbym typowego „pana informatyka od drukarek” - mówi w wywiadzie dla DGP dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa i prywatności.
Dr Łukasz Olejnik niezależny badacz i doradca cyberbezpieczeństwa i prywatności; pisze na Prywatnik.pl / Dziennik Gazeta Prawna
Czy dla jednostek samorządu terytorialnego wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa to rewolucja czy ewolucja? A może żadna zmiana?
Jest to dopiero początek systemowego myślenia o tej kwestii. Ustawa o k.s.c. jest dość kompleksowa, ale jej istota nie dotyczy ściśle samorządów. Dlatego z ich punktu widzenia to raczej ewolucja, mały krok, motywacja do dalszego działania. O rewolucji nie ma co mówić. Polska w ogóle do rozwoju cyberbezpieczeństwa podchodzi dość ostrożnie i z rezerwą. Szczęśliwie UE jest świadoma wagi tego problemu. Odpowiedzią jest tu dyrektywa NIS, w Polsce wdrażana właśnie przez ustawę o krajowym systemie cyberbezpieczeństwa (k.s.c.).
Jak k.s.c. ma się do RODO? Wiele osób mówi, że dyrektywa NIS, której efektem jest u nas ustawa o k.s.c., to młodsza siostra RODO. Wiemy, że z RODO wszyscy mają dużo problemów. Czy tak będzie i z k.s.c.?
K.s.c. w żaden sposób nie jest młodszą siostrą RODO. To mit i szukanie taniej sensacji zgodnie z zasadą, że obecnie RODO przyciąga wzrok wszystkich. Ale tak naprawdę to właśnie RODO będzie wyznaczać standardy cyberbezpieczeństwa w Polsce. Stanie się tak dlatego, że w Polsce – jak się okazuje – znaczącą rolę odgrywa wizja kar finansowych, przynajmniej na poziomie psychologicznym. W przypadku k.s.c. groźba wysokiej kary z powodu sprowadzenia ryzyka jest dość niska. Samorządów mogą one wręcz nie dosięgnąć. K.s.c. nie nakłada też szczególnych wymogów na JST. Kary z NIS, a co za tym idzie k.s.c., odnoszą się do operatorów usług kluczowych, czyli np. telekomunikacyjnych, instytucji finansowych czy sektora energii i transportu. Pełna lista musi jeszcze zostać ustalona przez rząd. Sam fakt, że to raczej RODO wyznaczać będzie standardy cyberbezpieczeństwa w Polsce, nie jest jednak pozytywny, bo w RODO mówimy o naruszeniach bezpieczeństwa i ochrony danych innego rodzaju (dane osobowe) niż w dyrektywie NIS i ustawie o k.s.c.
Jakie obowiązki będą więc spoczywały na osobach zarządzających w małych gminach czy powiatach? I czy w ogóle są one w stanie im podołać?
Samorządy muszą oczywiście zabezpieczyć systemy związane z przetwarzaniem informacji elektronicznej. W wersji podstawowej są to standardowe kwestie tzw. higieny cyberbezpieczeństwa. Zawsze warto mieć też osobę, która poświęca czas na szczególne zajmowanie się tą kwestią.
W samorządach w dużej mierze chodzi też o budowanie świadomości i edukację. O to, by na każdym poziomie zdawano sobie sprawę z zagrożeń, ale i dobrych praktyk. Czyli aby pracownicy wiedzieli, że nie jest dobrym pomysłem klikanie w plik czy link dołączony do wiadomości od osoby nieznajomej lub otrzymany w nieoczekiwany sposób. To także świadomość, by aktualizować oprogramowanie. Wielu osobom te rady wydają się oczywiste i brzmią bardzo podobnie do tych, które mógłbym skierować w odniesieniu do RODO na poziomie samorządu. Rozumiem, że o cyberbezpieczeństwie systemów czy danych myśli się wyłącznie, gdy istnieją odpowiednie wymogi, a najlepiej bardzo precyzyjne. Stąd bierze się przykładowo zarzut o niejednoznaczności RODO. Warto więc, aby praktycznym efektem wejścia w życie ustawy o k.s.c. stało się choćby przestrzeganie przed tego rodzaju nieostrożnościami.
Ustawodawca uznał, że niepotrzebne są dodatkowe środki finansowe dla samorządów na k.s.c. Ma rację? Czy może to oszczędność, która odbije się na wdrażaniu systemu w praktyce?
Tu sprawa jest prosta. W przypadku braku funduszy niewiele się zmieni. Dlatego że brak środków oznacza brak realnych działań. To tak, jakby ustanowić nowe ramy i uznać, że one już właściwie istnieją. Są, ale tylko na papierze.
Wiceprzewodniczący rady miejskiej w Starachowicach Piotr Babicki powiedział mi niedawno, że przedsiębiorcze gminy sobie poradzą. Przykładowo Starachowice wiele e-usług wprowadzają dzięki finansowaniu unijnemu, które pozwala też odpowiednio zabezpieczyć systemy. Może to droga odpowiednia dla samorządów?
Trzeba chwalić aktywne działania! Choć nie jestem przekonany, czy istniejące unijne programy finansowania odpowiadają potrzebom zapewnienia cyberbezpieczeństwa. Ale jeśli nie ma alternatywy, to każde źródło będzie dobre. Zresztą nawet na poziomie administracji rządowej występowanie o granty przez agencje podlegające ministerstwom nie należy do rzadkości. To może nawet mieć i pewne zalety, bo ktoś kontroluje te projekty i fundusze na nie.
Jednostki samorządu terytorialnego będą musiały powołać koordynatora ds. cyberbezpieczeństwa. Kto powinien pełnić tę funkcję w niewielkiej gminie? Może powinny to być te same osoby, które zajmują się RODO?
Koordynatorem w rozumieniu k.s.c. powinien być ktoś, kto wie, do kogo się zwrócić o pomoc oraz w jaki sposób powinien ten kontakt przebiegać. Nie ma określonego wymogu wykształcenia czy doświadczenia. Ale oczywiście im ktoś bardziej doświadczony i zaznajomiony z tematem, tym lepiej. Odradzałbym typowego „pana informatyka od drukarek”. Jeśli już ktoś ma się zająć cyberbezpieczeństwem, powinna to być osoba mająca pewne podstawy teoretyczne i praktyczną znajomość systemów IT, ich konfiguracji i świadomości zagrożeń. W praktyce wiele zależy od specyfiki danego samorządu. Nie jestem pewien, jaki jest statystyczny profil samorządowego inspektora ochrony danych: czy jest to prawnik, osoba biegła w znajomości systemów informacyjnych czy może nauczyciel historii lub inspektor ochrony radiologicznej? Jeśli hipotetycznej gminie udało się przydzielić do tematu RODO kogoś, kto zna się na IT i technologiach, to może się zająć i cyberbezpieczeństwem. W wielu przypadkach istnieje jednak ryzyko, że tematem RODO zajmuje się dość przypadkowa osoba. I powstaje pytanie, czy przypadkowe osoby nie będą zajmowały się też cyberbezpieczeństwem. Taki sposób działania odradzam. Choć oczywiście rozumiem to, że większość gmin nie chce zatrudniać dodatkowej osoby.
Z jakimi zagrożeniami mogą spotkać się małe urzędy? Od jednego z samorządowców usłyszałem „A kto chciałby się nam włamywać do internetu”. Właśnie, kto by chciał i po co?
Takie rozważania mają bardzo ograniczony sens, gdyż odnoszą się do intencji potencjalnych atakujących. A możliwości oceny rzeczywistej podatności przez „samorządowca” trzeba ocenić jako niskie. Otóż duża część złośliwego oprogramowania działa w zasadzie automatycznie, infekuje masowo. Wtedy pytanie „kto?” przestaje być istotne, bo ono bardzo rzadko ma zresztą sens z punktu widzenia obrony systemu teleinformatycznego. Przy braku zabezpieczeń infekcja złośliwym oprogramowaniem, np. ransomware, które szyfruje dla okupu, zwyczajnie może się zdarzyć. Jednostka samorządu może także stać się celem bardziej ukierunkowanych ataków zarówno z zewnątrz, jak i od wewnątrz. Celem może być np. chęć zakłócenia pracy urzędu czy wykradnięcia danych. Choć najbardziej oczywiste będą motywacje finansowe, np. wyłudzenia pieniędzy, i infekcja oprogramowaniem kopiącym kryptowaluty.
Infekcje mogą nastąpić także w wyniku zwyczajnego wejścia na stronę internetową, być może już zainfekowaną złośliwym skryptem i kontrolowaną przez cyberprzestępców. Znane są przypadki, gdy tego typu skrypty infekowały zhakowane strony Komisji Nadzoru Finansowego czy Urzędu Rejestracji Produktów Leczniczych. W wielu sytuacjach wystarczyło więc po prostu na nie wejść. Znany jest też przypadek wykradnięcia 250 tys. zł z konta urzędu jednej z gmin. Zhakowanych stron urzędów różnego szczebla nie ma zresztą sensu wyliczać.
Jakie konsekwencje grożą jednostkom samorządu terytorialnego za niedostosowanie się do obowiązków wynikających z ustawy?
Szczerze mówiąc, to dość ograniczone, jeśli mówimy o odpowiedzialności jednostek samorządu terytorialnego. Kary finansowe, o czym już wspominałem, odnoszą się raczej do operatorów usług kluczowych. Chyba że samorząd będzie kontrolował istotnego operatora usług kluczowych, czyli np. jednostki ochrony zdrowia, systemy uzdatniania i dystrybucji wody itp. Wtedy, w przypadku zdarzenia mogącego poważnie zagrozić bezpieczeństwu i porządkowi publicznemu lub życiu i zdrowiu ludzi, ustawa określa karę w wysokości do miliona złotych. To dotyczy oczywiście operatorów usług kluczowych.