Joanna Świątkowska: Sprawy dotyczące bezpieczeństwa cyfrowego powinny spoczywać w jednych rękach
/>
NIK nie zostawiła suchej nitki na tym, jak wygląda system czy też raczej brak systemu cyberbezpieczeństwa. Od czego należy zacząć, by Polska mogła być naprawdę przygotowana na takie zagrożenia?
Najważniejsze, by podejść do sprawy systemowo. Właśnie brak takiego systemowego, strategicznego działania jest największym problemem. Rozpocząć prace trzeba od przeprowadzenia inwentaryzacji tego, co mamy, a raczej tego, czego nie mamy. Szczególnie w sferze legislacyjnej – jaka instytucja za co odpowiada i w jakim zakresie. A potem trzeba się zastanowić, czy nie warto by wprowadzić, podobnie jak w kilku innych państwach, np. w Czechach, osobnego aktu legislacyjnego w postaci ustawy o cyberbezpieczeństwie. Bo na razie nawet nie ma takiego działu w ustawie o zadaniach administracji publicznej. Może to być zarówno inicjatywa ustawodawcza prezydenta elekta, jak i priorytet legislacyjny wyłonionego w jesiennych wyborach rządu.
A może nie traktujemy sprawy poważnie, bo nie czujemy noża na gardle? Wciąż wydaje się, że ataki to problem nie nasz, a jeśli nasz to w odległej przyszłości.
Trochę tak jest, ale to jest błąd i duże zaniedbanie. W wielu krajach widać już poważne przykłady cyberproblemów. W napiętej sytuacji geopolitycznej, w jakiej się znajdujemy, kiedy cyberataki mogą stać się elementem wojny hybrydowej, nie możemy odkładać na przyszłość robienia porządków. Weźmy niedawną sytuację z LOT-em. Niezależnie od tego, czy był to atak, czy inna przyczyna, to zdarzenie to pokazało, że nie mamy wypracowanych jasnych procedur w przypadku sytuacji kryzysowych. Zamiast tego mamy działania punktowe, wyrywkowe, wyjęte z systemowego myślenia. Raport NIK to wykazał i jest sygnałem alarmowym do podjęcia szybszych kroków. Mamy potencjał polskich ekspertów, ale mamy także od kogo się uczyć, musimy zacząć działać. Zagrożenie dla Polski i naszej infrastruktury krytycznej jest realne i aktualne.
Czy powinien być – jak twierdzi NIK – jeden centralny podmiot odpowiedzialny za cyberbezpieczeństwo?
Stanowczo tak. I niezależnie, jaki podmiot, nowy czy wskazany z obecnie już istniejących, zostanie desygnowany, to my w Instytucie Kościuszki postulujemy, by nie tyle w jego rękach były skupione wszystkie działania, ile raczej by był odpowiedzialny za całościową koordynację. By to się udało, musi mieć dostęp do trzech najważniejszych narzędzi: odpowiednich funduszy, wykwalifikowanej kadry i takiego prawnego umocowania, by miał możliwość podejmować realne działania w stosunku do innych instytucji.
Ma kontrolować tylko instytucje publiczne czy także sektor prywatny?
Nie ma mowy o prawdziwym cyberbezpieczeństwie bez współpracy prywatno-publicznej, w końcu to bezpieczeństwo by było realne, musi dotyczyć ochrony całej infrastruktury krytycznej, a w jej skład wchodzą nie tylko instytucje publiczne, ale także sektor energetyczny czy finansowy. Trzeba więc zastanowić się, czy nie powinniśmy odejść od obecnego wolontaryjnego podejścia w zakresie ochrony infrastruktury krytycznej. Pewne elementy, takie jak raportowanie incydentów, powinno być lepiej uregulowane.
Na razie jest tak, że przez dwa lata oficjalnie do UKE dotarły informacje tylko o pięciu atakach na polskie telekomy. W rzeczywistości incydentów było co najmniej 40 milionów?
Urząd nie ma mocy i zasobów, by tymi sprawami się zająć.