Najważniejsze dla zabezpieczenia funkcji państwa jest określenie ryzyk

Jakie systemy informatyczne mają kluczowy wpływ na bezpieczeństwo państwa?

Piotr Niemczyk: Chodzi o systemy wymienione w ustawie o zarządzaniu kryzysowym i rozporządzeniu o ochronie infrastruktury krytycznej, które odpowiadają za działanie zaopatrzenia w energię, ciepło, wodę, gaz. Nie mniej ważne są systemy odpowiedzialne za działanie telekomunikacji, o ile warunkuje ona poprawne działanie najpierw wymienionych funkcji, a także działanie służb państwowych - wojska, policji, straży pożarnej itd. Ważne są też systemy będące podstawą funkcji sektora finansowego (np. banków).

Witold Skubina: Ważne są też te systemy, które zapewniają bezpieczeństwo obywatelom, np. teleinformatyczny i zsieciowany system ZUS, który zawiera dane np. o opłacaniu składki zdrowotnej i umożliwia korzystanie z usług publicznej służby zdrowia. Nie sposób stworzyć zamkniętego katalogu systemów o krytycznym znaczeniu dla funkcjonowania państwa, bo w tym obszarze dokonują się dynamiczne zmiany.

Michał Kamiński: Jedne systemy mają krytyczny wpływ na realizowanie relacji obywatel - państwo, a inne dla funkcjonowania samych instytucji państwa, np. łączność rządowa czy systemy do przetwarzania informacji niejawnych.

Wiesław Paluszyński: Środki komunikacji elektronicznej wyszły poza zamknięte ramy. Internet jako sposób komunikowania przekroczył założenia i plany, które towarzyszyły jego pierwszym dniom i jest dziś medium niesterowalnym, choć próby uregulowania go wciąż się pojawiają, np. grudniowe spotkanie Międzynarodowego Związku Telekomunikacyjnego (agenda ONZ) w Dubaju. W przypadku systemów informatycznych mamy do czynienia ze środowiskiem bardzo dynamicznie się zmieniającym. Warto pamiętać, że podczas wojny na Bałkanach i w Iraku celem pierwszych ataków było przerwanie przepływu informacji, ale nie przez bezpośredni atak na systemy informatyczne, lecz przez odcięcie zasilania. Z kolei przykłady blekoutów (odcięcie zasilania) w USA i Kanadzie pokazują, do czego może doprowadzić błąd ludzki i zaniechanie inwestycji w modernizację systemów infrastrukturalnych. Z drugiej strony jest to ostrzeżenie, że wkrótce blekout na duża skalę może być wynikiem ataku na budowane obecnie inteligentne sieci energetyczne (smart grid). Atak obliczony na przerwanie odbioru energii z elektrowni atomowej może doprowadzić do katastrofy nuklearnej o skutkach trudnych do wyobrażenia. Ochrona systemów krytycznych dla państwa wymaga nie tyle ich wyspecyfikowania, ile wyspecyfikowania procedur procesów ich tworzenia i potem korzystania z nich.

Bolesław Szafrański: Żyjemy w dobie zmian tradycyjnie definiowanych pojęć. W efekcie podstawową kategorią przestało dziś być bezpieczeństwo informacji. Obecnie fundamentem bezpieczeństwa jest dostęp do systemów i dostęp do informacji. Co z tego, że pewne informacje są solidnie zabezpieczone na serwerach, skoro dostęp do tych serwerów nie jest żadną trudnością? Kto ma dostęp do serwerów, może pozbawić je sterowności i uruchomić lawinę zagrożeń.

Piotr Niemczyk: Gdy przeszło 10 lat temu pękła pierwsza bańka internetowa, Warren Buffett powiedział, że nowoczesna gospodarka to nie jest byt wyabstrahowany od pieczenia chleba, budowania domów, produkcji mebli itd. Warto trzymać się zdroworozsądkowego pojmowania bezpieczeństwa. To uchroni nas od nakręcania spirali zagrożeń, z których znaczna część będzie wirtualna, a nie realna. Należy skupić się na ochronie systemów o krytycznym znaczeniu dla państwa i oddalać pokusy uznawania, że każdy dostęp do tych systemów i potencjalne powiązanie z nimi może być źródłem niewyobrażalnej katastrofy, bo takie myślenie niczemu dobremu nie służy.

Wiesław Paluszyński: Systemy energetyczne będące wielkością zamkniętą są mniej podatne na atak z zewnątrz. Teraz budowane są inteligentne sieci. Dotychczasowy system otwiera się na wszystkich użytkowników. Oznacza to, że powstaje ryzyko ataku całego systemu energetycznego, dla którego punktem wyjścia będzie jeden inteligentny licznik.

Co jest istotne dla bezpieczeństwa obywateli, skoro wiele danych, które o nim mówią, znajduje się w systemach podlegających kontroli i ochronie państwa?

Mirosław Maj: Dla Kowalskiego krytyczne znaczenie może mieć wyciek z systemów informacji, na jaką chorobę jest Kowalski chory, ale dla bezpieczeństwa państwa ten incydent nie ma znaczenia. Jednak są też takie dane, informacje i systemy, które w przypadku przechwycenia nad nimi kontroli przez podmioty zewnętrzne, mogą spowodować w szybkim czasie paraliż państwa.

Michał Kamiński: Należy odróżnić pojęcie bezpieczeństwa państwa od bezpieczeństwa publicznego i bezpieczeństwa powszechnego. Bezpieczeństwo państwa to nie bezpieczeństwo całej populacji i każdego jej obywatela. Chodzi raczej o stan eliminacji zagrożeń dla funkcjonowania państwa i jego organów, zwłaszcza naczelnych i centralnych, i tym zajmuje się ABW.

Wiesław Paluszyński: Obecnie kluczowe znaczenie dla zabezpieczenia funkcji państwa ma wyspecyfikowanie ryzyk, przypisanie im wag, opracowanie polityki ich ograniczania i eliminowania oraz ciągłego aktualizowania tej polityki stosownie do bieżących wyzwań.

Bolesław Szafrański: W Europejskiej Agendzie Cyfrowej znajduje się sugestia, by nie wyodrębniać poszczególnych systemów i nie koncentrować się na nich, lecz tworzyć politykę bezpieczeństwa integralnego, łączącą wiele systemów współdziałających ze sobą i komplementarnych. Niemniej musi funkcjonować przypisanie danego obiektu czy procesu do strefy chronionej bądź pozostającej poza szczególną ochroną. W przeciwnym razie trudno będzie określić nawet odpowiedzialności.

Jakie systemy są istotne dla bezpieczeństwa państwa z punktu widzenia ABW?

Witold Skubina: Chodzi o systemy teleinformatyczne przetwarzające informacje niejawne.

Mirosław Maj: Jesienią br. resort cyfryzacji przekazał do konsultacji Politykę Ochrony Cyberprzestrzeni RP, która nie obejmuje systemów informacji niejawnych. Jednocześnie odwołuje się w wielu miejscach do ABW jako do podmiotu, który ma odgrywać jedną z kluczowych ról w jej realizacji.

Witold Skubina: Systemy przetwarzające informacje niejawne podlegają nadzorowi ABW na mocy ustawy. Możemy wydawać dyspozycje, jak należy je budować, zabezpieczać. W przypadku niespełnienia dyspozycji ABW system nie otrzyma wymaganej akredytacji Agencji. W przypadku Polityki Ochrony Cyberprzestrzeni RP ABW i CERT wymieniane są jako podmioty wydające zalecenia na podstawie swojej wiedzy i doświadczenia. Oznacza to, że instytucje publiczne i prywatne mogą, ale nie mają obowiązku wcielać w życie zaleceń ABW. Dlaczego? Bo chodzi o zalecenia, a nie wymagalne dyspozycje.

Mirosław Maj: Podczas ćwiczeń dotyczących ochrony infrastruktury krytycznej przed atakiem z cyberprzestrzeni - Cyber-EXE Polska 2012, we wrześniu br. doszliśmy do wniosku, że w przypadku cyberataku na system o krytycznym znaczeniu na funkcjonowanie państwa jego operator powinien mieć możliwość zgłoszenia incydentu, np. do ABW i podjęcia współpracy w celu eliminacji jego skutków. Ta współpraca nie powinna zakończyć się tylko i wyłącznie na spełnieniu obowiązku informacyjnego.

Witold Skubina: Ustawa wskazuje szefa ABW jako organ, który w przypadku wystąpienia sytuacji kryzysowej może wydawać zalecenia, ale nie polecenia czy rozkazy. Niemniej zarówno instytucje publiczne, jak i podmioty prywatne w sytuacji kryzysowej traktują te zalecenia bardzo poważnie.

Mirosław Maj: Sytuacja kryzysowa dla systemu o krytycznym znaczeniu dla państwa wymaga nie tylko miękkich zaleceń, czy rekomendacji, lecz jasnych i precyzyjnych reguł postępowania.

Witold Skubina: To jest kwestia uregulowań prawnych. Polityka Ochrony Cyberprzestrzeni RP być może nie jest dokumentem doskonałym, ale jest podstawą do dalszej pracy. Dziś poza prezydentem RP, który podjął inicjatywę nowelizacji ustawy o stanie wyjątkowym, nie znam innych aktów prawnych, które miałby wpływ na poprawę cyberbezpieczeństwa systemów o krytycznym znaczeniu dla państwa.

Wiesław Paluszyński: Jest taka regulacja prawna, o której wszyscy zapominają, choć dotyczy całej administracji publicznej. Chodzi o rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Zawiera ono cały rozdział dotyczący bezpieczeństwa teleinformatycznego. To jest jeden z lepszych aktów prawnych, który odwołuje się do nowoczesnych dobrych praktyk. Gdyby chcieć przestrzegać twardych wymogów prawnych tego rozporządzenia, a po stronie administracji publicznej nikt nic nie robi w tym kierunku, to należałoby przede wszystkim uruchomić szkolenia. Te przygotowałyby grunt pod wdrożenie postanowień rozporządzenia w życie. Skala problemu jest ogromna. Rozporządzenie obowiązuje od maja br. i jest podstawą do tego, by stworzyć w administracji publicznej podstawowy poziom zabezpieczenia systemów teleinformatycznych, kluczowych dla państwa. Przede wszystkim każdy system powinien mieć zrobioną analizę ryzyk związanych z jego obszarem funkcjonowania, a następnie trzeba je zhierarchizować i wycenić, następnie opracować procedury postępowania, system reagowania na incydenty, zasady dotyczące czynności naprawczych i raportowania oraz wskazać osoby odpowiedzialne za postępowanie zgodnie z nimi. Wtedy tak uporządkowana jednostka może odpowiadać na zalecenia wydawane przez ABW, bo nie ma układu statycznego i czekania na incydent, jak na bodziec do działania, lecz jest dynamiczny układ reagowania. Niestety instytucji publicznych, które spełniają wymagania rozporządzenia, jest bardzo mało. Spełnia je Agencja Restrukturyzacji i Modernizacji Rolnictwa. Dlaczego? Bo zgodnie z wymaganiami Unii Europejskiej wdrożenie systemu bezpieczeństwa informacji i certyfikowanie się w tym zakresie jest warunkiem korzystania z unijnych dotacji. ARiMR dzięki zabezpieczeniom może nie tylko wypłacać europejskie pieniądze, zgodnie z normami UE, ale może też szybko reagować w przypadku incydentów czy zachowań bezprawnych.

Kto jest odpowiedzialny za wdrożenie postanowień wspomnianego rozporządzenia?

Wiesław Paluszyński: Każdy kierownik jednostki administracji publicznej ma obowiązek dostosować systemy teleinformatyczne działające tam do wymagań rozporządzenia pod groźbą wyciągnięcia sankcji wynikających z niezrealizowania wymagań wynikających z obowiązujących przepisów prawnych. Gdyby nastąpiły straty z powodu niedostosowania systemów do wymagań prawa, to grozi im też odpowiedzialność karna. Dziś kierownictwo jednostek administracji publicznej nic nie robi w tym zakresie, udając, że nic nie wie o ciążącym obowiązku. Jednak jak przyjdzie co do czego, to niejeden może wylądować z zarzutami karnymi. Rozporządzenie nie narzuca sztywnych procedur, lecz określa zasady postępowania. Można budować własne systemy, pod warunkiem, że one spełnią wymagania norm opisanych w rozporządzeniu. Gdyby jednostki dostosowały swoje systemy do wymagań rozporządzenia, to wtedy łatwiej byłoby zarządzać ryzykiem lokalnie, a w konsekwencji także centralnie.

Bolesław Szafrański: Głównym skutkiem wspomnianego rozporządzenia powinno być wprowadzenie obowiązku przestrzegania zawartych tam norm zwłaszcza w przypadku tworzenia nowych systemów. Trudno te nowoczesne normy zastosować wstecz do systemów, które już działają często od wielu, wielu lat. Na to potrzebny jest czas i ogromne środki. Rozporządzenie zawiera niespodziewanie dużo bardzo cennych norm dotyczących bezpieczeństwa teleinformatycznego. Uwzględnienie wynikających z nich wymagań musi być włączone w procesy projektowania i eksploatacji systemów. Dlatego już na etapie koncepcji systemów należy brać je serio pod uwagę.

Michał Kamiński: Trzeba rozgraniczyć informacje niejawne od informacji prawnie chronionych. Do informacji niejawnych nie można zaliczyć danych osobowych i tajemnicy telekomunikacyjnej - ich ochrona jest oparta głównie na osobistej odpowiedzialności osób mających do nich dostęp z tytułu wykonywanych obowiązków. Natomiast informacje niejawne to informacje, których ujawnienie mogłoby wyrządzić szkodę państwu. W ich przypadku istnieją rozbudowane wymogi prawne odnośnie do zabezpieczenia fizycznego, w tym bezpieczeństwa teleinformatycznego - systemy teleinformatyczne, w których takie informacje są przetwarzane podlegają akredytacji przez ABW. W przypadku systemów przetwarzających dane osobowe takich wymogów nie ma, a organem odpowiedzialnym za nadzór nad prawidłowym ich przetwarzaniem jest GIODO.

Co ABW na to, że jednostki administracji publicznej nie przestrzegają wymogów omawianego rozporządzenia?

Witold Skubina: ABW nie jest policją - nie zajmuje się wszystkimi przypadkami odstępstw od wymogów obowiązującego prawa. Naszym zadaniem, zgodnie z ustawą, jest rozpoznawanie, zapobieganie i zwalczanie zagrożeń godzących w bezpieczeństwo wewnętrzne państwa oraz jego porządek konstytucyjny. Natomiast każdy obywatel, który jest świadkiem łamania prawa i odstępstw od prawa, ma obowiązek zawiadomić o tym organa ścigania.

Witold Paluszyński: Pilnowanie, by postanowienia rozporządzenia wcielać w życie, należy do kompetencji ministra ds. cyfryzacji. Choć mamy do czynienia z rozporządzeniem Rady Ministrów, to gospodarzem tego aktu prawnego jest właśnie on. Jaka jest siła sprawcza w tym obszarze ministra ds. cyfryzacji? Brakuje nastawienia na wdrożenie postanowień rozporządzenia przez pozyskanie sojuszników w rządzie, przygotowanie programu i harmonogramu wdrażania, przeznaczenia budżetu i rozpisania odpowiedzialności. We wrześniu br. prowadziłem konferencję na temat rozporządzenia, w której udział wzięło 150 przedstawicieli administracji publicznej z poziomów centralnego i wojewódzkiego. Z ludzi odpowiedzialnych za systemy teleinformatyczne uczestniczących w konferencji rozporządzenie znała tylko jedna osoba. Postanowienia rozporządzenia są na tyle trudne, że żadna jednostka samodzielnie nie czuje się na siłach, by się zabrać za ich wdrażanie, bez odgórnej instrukcji i koordynacji działań. W związku z tym działania pojawiają się dopiero wtedy, gdy dojdzie do incydentu i trzeba naprawić jego skutki.

Bolesław Szafrański: W każdym przypadku należy sporządzać analizy ryzyk i znaleźć środki na przeciwdziałanie przede wszystkim ryzykom największym. Bezpieczeństwo to rodzaj gry. Ryzyko zależy nie tylko od podatność systemu na zagrożenie, ale również od realności jego wystąpienia, w tym od stopnia zaangażowania i determinacji intruza. Bezpieczeństwo kosztuje. Dlatego mechanizmy i procedury ochrony muszą być adekwatne do wniosków z analizy ryzyka.

Czy systemy kluczowe dla funkcjonowania państwa są dostatecznie zabezpieczone?

Piotr Niemczyk: Trudno wyrokować, czy są zabezpieczone, czy też nie. Po pierwsze należałoby znać faktyczny stan zabezpieczeń, a po drugie analiza ryzyk, która pokazałaby, czy są chętni do zaatakowania systemów. Ogólnie nie jest dobrze, bo administracja nie jest świadoma obowiązującego prawa. Ignorancja jest tu czymś żenującym. Po drugie są agencje (ABW, CERT) będące punktem odniesienia w sprawach zabezpieczenia systemów teleinformatycznych, ale administratorzy systemów nie mają obowiązku współpracy z nimi i wdrażania ich zaleceń. Chyba wdanie się w międzynarodową awanturę mogłoby być tym kubłem zimnej wody na głowę i bodźcem do poprawienia zabezpieczeń. Pamiętajmy, że takie państwo jak Estonia, dziś stawiane za wzór pod względem zabezpieczenia systemów dla niego kluczowych, kiedyś przywiązywała jeszcze mniejszą wagę do kwestii bezpieczeństwa niż Polska. Po serii cyberataktów sytuacja uległa diametralnej zmianie.

Witold Skubina: Poziom zagrożenia systemów kluczowych dla państwa nie jest duży. Dlaczego? Bo większość tych systemów jest odizolowana od internetu, a to oznacza, że nie jest łatwym zadaniem dostanie się do nich. Atak z zewnątrz jest mniej możliwy, ale nie atak od wewnątrz. Dopóki dana organizacja nie jest wewnątrz solidnie uporządkowana, trudno mówić o bezpieczeństwie.

Mirosław Maj: Zawsze zwalczam mit odizolowanych systemów. RSA Security, znana międzynarodowa firma zaliczyła spektakularną wpadkę, która kosztowała zapewne kilkaset milionów dolarów. Włamanie do najbardziej chronionego, wewnętrznego systemu, w którym zapisano tzw. ziarna z algorytmami do tokenów tej firmy używanych na całym świecie, zostało rozpoczęte poprzez atak na jeden z biurowych desktopów, na którym otworzono odebrany e-mailem plik z arkuszem kalkulacyjnym. Lepiej jest zachować czujność i nie dać się uśpić mniemaniem (wishful thinking), że jesteśmy bezpieczni, bo systemy są odizolowane.

Bolesław Szafrański: Nie zawsze tam, gdzie rodzi się ropa, powstają technologie informatyczne, a przecież systemy jej wydobycia i przesyłania muszą być zarządzane z wykorzystaniem teleinformatyki. Wielkie i mniejsze firmy korzystają z reguły z technologii, która jest wytworzona gdzieś poza nimi, często zagranicą. Jeśli ją kupują, to zdają się z ufnością na dostawcę i zakładają, że nie sprzedaje im technologii, która oprócz spełniania umówionej funkcji wykonuje też działalność szpiegowską. Na Półwyspie Arabskim praktykuje się, że projekty realizuje nie tyle firma, która wygrała przetarg, ale kilku konkretnych jej reprezentantów. Ci przystępując do dzieła, są odizolowani od otoczenia i pracują, aż wykonają swoją pracę. Wiedza o projekcie musi, na tyle, ile to jest możliwe, pozostać u zamawiającego.

Wiesław Paluszyński: W praktyce jedna firma może zbudować system, a potem jeszcze inna utrzymywać go i nadzorować. W systemie PESEL utajony jest nie pojedynczy rekord, ale możliwość przeszukiwania tej bazy i uzyskiwania odpowiedzi przekrojowych typu: Jan Kowalski jest zamieszkały. W CEPiK niejawni są właściciele niektórych pojazdów czy uprawnienia służb w zakresie legalizacji. Ochrona tych systemów polega na uniemożliwieniu nieuprawnionym osobom dostępu do utajnionych informacji i funkcji. Trudno odpowiedzieć na pytanie czy one są bezpieczne, czy też nie. Za to bezdyskusyjna powinna być odpowiedź na pytanie: jakimi ryzykami są obarczone te systemy? Każdy system teleinformatyczny można dziś przewrócić, więc żaden nie jest bezpieczny. Za to jedne są obarczone mniejszym, a inne większym ryzykiem.

Czy zakup technologii od zagranicznych dostawców nie stwarza dodatkowego ryzyka?

Piotr Niemczyk: Na Półwyspie Arabskim nie interesują się, jak nazywa się dostawca i skąd pochodzi. Ważne jest, kto konkretnie podejmuje pracę - czy są to osoby o udokumentowanym doświadczeniu i referencjach oraz czy są one wiarygodne.

Witold Paluszyński: Znane są przypadki, w których zamawiający umawia się z dostawcą na zatrudnienie kilkudziesięciu kompetentnych ludzi do budowy systemu, a potem do jego utrzymania i rozwoju. Czas zatrudnienia jest w takich przypadkach nieokreślony, ale raczej chodzi o długie lata niż krótki okres. Polskie instytucje mają bardzo ograniczone możliwości do postępowania w ten sposób.

Bolesław Szafrański: Takie ćwiczenia jak Cyber-EXE Polska 2012 mają na celu stwierdzenie, czy systemy są i w jakim stopniu podatne na przejęcie nad nimi lub ich nad ich częściami kontroli z zewnątrz. W 1988 r. w elektrowni Turów, w wyniku awarii technicznej zniszczeniu uległ blok o mocy 200 MW i wielu urządzeń w jego otoczeniu. W tamtym przypadku przyczyną był błąd elementu automatyki. Niedawno mieliśmy do czynienia z incydentami na kolei związanymi ze skierowaniem pociągów jadących w przeciwnych kierunkach na ten sam tor. W działaniach na rzecz bezpieczeństwa chodzi o ograniczenie ryzyka wystąpienia temu podobnych incydentów przez eliminację największych ryzyk, które mogą wystąpić na skutek losowego zdarzenia, jak i w wyniku zaplanowanej akcji.

Mirosław Maj: Systemy nadzorowania i zarządzania procesami przemysłowymi, np. produkcją energii, zostały zbudowane 10-20 lat temu i rzadko kiedy się je rusza, bo jakakolwiek zmiana jest skomplikowana i może doprowadzić do wielu problemów funkcjonalnych, np. awarii zasilanie, zatrzymania ruchu pociągów czy tłoczenia gazu. Bezpieczeństwo systemu to gwarancja dostępności usługi, której jest elementem, jego poufności i integralności. Ćwiczenia Cyber-EXE Polska 2012 dowiodły, że ryzyko skutecznego na systemy przemysłowe jest jak najbardziej realne.

Witold Skubina: Dyskusja o zagrożeniach i przeciwdziałaniu im nigdy się nie kończy. Jednak rzeczywiste przeciwdziałanie zagrożeniom nieraz przekracza możliwości Agencji, jako organu, który ma prawo wydawać polecenia i zalecenia. Jesteśmy świadkami sytuacji, w której nasze zalecenia nie są przestrzegane i dalej nic nie mamy tu do zrobienia. Nie chcemy i nie możemy przeceniać naszych możliwości. Zamiast tego trzymamy się prawa.

Czy służby prowadzą nadzór nad tymi firmami polskimi i zagranicznymi, które obsługują systemy ważne dla bezpieczeństwa państwa?

Michał Kamiński: Zgodnie z ustawą zadaniem ABW jest rozpoznawanie, zapobieganie i wykrywanie przestępstw szpiegostwa, terroryzmu, naruszenia tajemnicy państwowej i innych przestępstw godzących w bezpieczeństwo i podstawy ekonomiczne państwa.

Witold Paluszyński: W tym sensie każda firma - polska i zagraniczna, jeśli podejmuje się budowy, utrzymania i rozwijania systemów o krytycznym znaczeniu dla państwa, podlega sprawdzeniu, bo musi mieć certyfikat bezpieczeństwa przemysłowego. Publicznie dostępna jest lista, na której figurują firmy sprawdzone przez służby państwa i certyfikowane. Zgodnie ze starą zasadą kryptografii zabezpieczenia są wtedy skuteczne, gdy zostaną publicznie sprawdzone. O wiele mniej skuteczne są zabezpieczenia utajnione. Kiedyś zależało mi na szybkim sprawdzeniu bezpieczeństwa schematu kryptograficznego. W Polsce musiałbym na to poświęcić ze 2 lata. Wysłałem schemat do znajomego profesora, który uczy w Chinach i ma ok. 2 tys. studentów. W ciągu 2 tygodni sprawdzili mi bezpieczeństwo algorytmu. Jeśli w wyniku testów w Chinach nie udało się złamać zabezpieczenia, to znaczy, że jest solidne.

Mirosław Maj: Systemy są na tyle bezpieczne, na ile mniejsze jest ryzyko ataku. Kraje, które swego czasu zmierzyły się za poważnymi cyberatakami, np. Estonia, Korea Płd., Iran, dziś mają modelowe zabezpieczenia. W sytuacji gdy ataku nie ma najlepszym wyznacznikiem jest posiadanie dobrej strategii ochrony. Polska na razie nie ma przemyślanej strategii obrony swojej cyberprzestrzeni i dlatego nie jest najlepiej. Proponowana przez rząd "Polityka ochrony cyberprzestrzeni RP" to niestety dokument zły i pełen błędów. Mam nadzieję, że w obecnym kształcie nie zostanie zatwierdzony, ponieważ dawałoby to złudne wrażenia, że coś już mamy. Pominięcie uwag do Polityki zgłoszonych w czasie konsultacji społecznych rodzi obawę, że nie ma woli poprawiania tego dokumentu.

Witold Paluszyński: Państwo jest bezpieczne, gdy jego systemy są solidnie przeanalizowane pod kątem ryzyk, poddane rygorowi procedur bezpieczeństwa. Potrzebna jest wspomniana strategia, którą będzie można zweryfikować i poprawiać we współpracy z przedsiębiorcami i naukowcami.

Bolesław Szafrański: W Polsce dopiero rodzi się kultura prywatności - łatwo dzielimy się informacjami o sobie. Każda próba wprowadzenia ograniczeń ze względów bezpieczeństwa budzi sprzeciw jako naruszająca wolność. Potrzebna jest umiejętność dowiedzenia, że bez przyjęcia pewnych ograniczeń możemy popaść w dużo większe ograniczenie wolności.

Michał Kamiński: W Polsce nie ma jednego organu odpowiedzialnego za bezpieczeństwo teleinformatyczne. Są jedynie odpowiedzialności wycinkowe. Brakuje natomiast centrum koordynującego zabezpieczenie polskiej cyberprzestrzeni.

Witold Skubina: W Polityce Ochrony Cyberprzestrzeni RP zawarta jest propozycja powołania zespołu koordynującego działania na poziomie centralnym, regionalnym i lokalnym.

Mirosław Maj: Są takie dane, informacje i systemy, które w przypadku przechwycenia nad nimi kontroli przez podmioty zewnętrzne, mogą spowodować w szybkim czasie paraliż państwa

Michał Kamiński: W Polsce nie ma jednego organu odpowiedzialnego za bezpieczeństwo teleinformatyczne. Są jedynie odpowiedzialności wycinkowe

@RY1@i02/2013/005/i02.2013.005.21400020d.809.jpg@RY2@

Wiesław Paluszyński, prezes zarządu spółki Trusted Information Consulting

@RY1@i02/2013/005/i02.2013.005.21400020d.810.jpg@RY2@

Piotr Niemczyk, ekspert w sprawach służb specjalnych

@RY1@i02/2013/005/i02.2013.005.21400020d.811.jpg@RY2@

dr hab. inż. Bolesław Szafrański, Wojskowa Akademia Techniczna

@RY1@i02/2013/005/i02.2013.005.21400020d.812.jpg@RY2@

Witold Skubina, dyrektor departamentu bezpieczeństwa teleinformatycznego w Agencji Bezpieczeństwa Wewnętrznego

@RY1@i02/2013/005/i02.2013.005.21400020d.813.jpg@RY2@

Michał Kamiński, Agencja Bezpieczeństwa Wewnętrznego

@RY1@i02/2013/005/i02.2013.005.21400020d.814.jpg@RY2@

Mirosław Maj, założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń

Debatę prowadził Marcin Piasecki

wydawca DGP.

Relację przygotował Krzysztof Polak