Bez dodatkowych pieniędzy nie ma szans na skuteczny system

Jak zorganizować w Polsce zarządzanie ochroną cyberprzestrzeni tak, by ten proces był naprawdę skuteczny? W końcu mamy przecież do czynienia z zagrożeniami, które bardzo szybko ewoluują. Trudno tu z góry coś założyć...

I dlatego w przypadku bezpieczeństwa cybernetycznego potrzeba specyficznego, nowatorskiego podejścia. Skoro zajmujemy się bezpieczeństwem sieciowym, to także struktura zarządzania nim powinna odzwierciedlać sieć. Czyli zamiast najbardziej popularnych hierarchicznych układów powinno się wypracować model rozproszony. Tu naprawdę nie można już polegać na tradycyjnych rozwiązaniach, które się do tej pory sprawdzały. Powód: mamy wielu interesariuszy, którzy na pierwszy rzut oka zajmują się swoimi podstawowymi zadaniami. I tak policja ma walczyć z przestępczością, wojsko odpowiada za bezpieczeństwo kraju, główny inspektor ochrony danych osobowych za to, co się z informacjami o nas dzieje. Ale równolegle ich zadania przecina też odpowiedzialność za bezpieczeństwo cybernetyczne. I za to też powinny samodzielnie, we własnym zakresie odpowiadać. Tyle, że koniecznie jest skoordynowanie tych sieciowych punktów. I do tego w mojej ocenie potrzebny jest silny ośrodek koordynacyjny, taki parasol spinający wszystkie działania i likwidujący silosowość, czyli zbytnie skupianie się tylko na własnym podwórku i własnych zadaniach.

Czyli jednak potrzebny jest jeden silny zarządzający?

Dotykamy kwestii bezpieczeństwa i to takiego obejmującego nie tylko cały kraj, ale i jego wszystkie elementy od zwykłych obywateli, przez sektor prywatny, administrację na wojskowości kończąc. Tak więc jest niezbędna silna ręka. Ale nie chodzi o to, by scentralizować zarządzanie, tylko by był kierownik wspierający poszczególne elementy, taka klamra łącząca wszystkie zadania - dodatkowo pełniąca też funkcje węzła informacyjnego. Ten model różni się od obecnie obowiązującego tym, że do tej pory państwo zarządzając pewnymi tematami było ich głównym gospodarzem. Dla przykładu: ochrona państwa, czyli wojsko, jego dowódcy i rozkazy. Wszystko rozchodzi się hierarchicznie. A tu trzeba przemodelować sposób myślenia. Bo przecież obok instytucji publicznych w systemie musi być także bardzo dużo podmiotów prywatnych, ze swoimi zadaniami i autonomią.

I dlatego zamiast zarządzania trzeba wprowadzić elastyczną koordynację, a tę mógłby zapewnić niezbiurokratyzowany specjalny podmiot zajmujący się tą dziedziną a odpowiadający tylko przed premierem. To byłby taki hub, mający kompetencje wpływania na poszczególnych graczy, tak z administracji, jak i mogący swobodnie współpracować z podmiotami spoza sektora publicznego.

Brzmi to bardzo ładnie, ale jednak mało prawdopodobnie...

Bo to rzeczywiście jest podejście idealistyczne, raczej długoterminowe. W krótszym okresie potrzebne są oczywiście szybsze zmiany, takie które można by łatwiej wprowadzić. Musimy działać z tym, co już w Polsce mamy. A co ważne, wcale nie jest tak, że nie mamy żadnych podstaw do sprawnego skoordynowania działań mających zapewnić cyberbezpieczeństwo. Mamy przecież prawo telekomunikacyjne regulujące sporo kwestii związanych z cyberbezpieczeństwem, mamy Ministerstwo Cyfryzacji, które teraz jest wskazywane do pełnienia roli zarządczej - tyle że po wzmocnieniu kadrowym. Mamy też sporo nie najgorzej działających instytucji. Komisja Nadzoru Finansowego, Urząd Regulacji Energetyki czy Rządowe Centrum Bezpieczeństwa już nawet w kontroli NIK były wskazywane jako te, które nieźle dają sobie radę z kwestiami bezpieczeństwa sieciowego. Mamy też kilka dobrych zespołów CERT, które naprawdę się sprawdzają. Chodzi więc teraz o to, by je spiąć, tam, gdzie trzeba, zwiększyć zatrudnienie, dofinansować zadania, dać lepsze narzędzia tak prawne, jak i materialne. Bo tu nie ma co się oszukiwać - bez dodatkowych pieniędzy nie ma szans na zbudowanie skutecznego systemu. Nie można utrzymywać napiętnowanej przez NIK sytuacji, w której resort finansów rekomendował walkę z cyberprzestępczością "bezkosztowo". Przecież oczywiste jest, że takie inwestycje będą miały też wpływ na oszczędności dla państwa, które będzie mogło się lepiej bronić, a tym samym ponosić mniejsze straty.

Od czego więc trzeba zacząć?

Od rzetelnego określenia naszych priorytetów, celów i opracowania planu działań z bardzo jasnymi terminami i zadaniami dla poszczególnych instytucji. Tak, tak - nie od wielkich rewolucji tylko najpierw od analizy sytuacji. Tym samym wraca temat założeń strategii przygotowanej przez resort cyfryzacji. Konieczne jest szybkie dokończenie prac nad nią, a potem sukcesywne wdrażanie rozwiązań. I co ważne wreszcie skoordynowanie tego, co się w tym zakresie u nas dzieje.

@RY1@i02/2016/097/i02.2016.097.18300280e.802.jpg@RY2@

dr Joanna Świątkowska ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa

Rozmawiała Sylwia Czubkowska