Polska cyberzbrojna

"Rządy Świata Przemysłu, Wy, zużyci giganci z ciała i stali, przychodzę do Was z Cyberprzestrzeni, nowej ojczyzny Umysłu. W imieniu przyszłości apeluję do Was - związanych z przeszłością – byście zostawili nas w spokoju. Nie jesteście tu mile widziani. Wasza władza nie sięga miejsc, w których się zbieramy."

Powyższy tekst to początek Deklaracji Niepodległości Cyberprzestrzeni, opracowanej przez zmarłego w tym roku Johna Perry’ego Barlowa. Autor deklaracji – poeta (m.in. twórca tekstów zespołu muzycznego Grateful Dead) i eseista, współtwórca Electronic Frontier Fundation opublikował deklarację 8 lutego w 1996 r. podczas forum ekonomicznego w Davos. W ciągu kolejnych 22 lat państwa wielokrotnie upominały się o jurysdykcję nad internetem, a ten wielokrotnie prześcigał je, zaskakiwał, wymykał się stawianym ograniczeniom. Mimo to zdołał stać się ich nierozłączną częścią i ciągłym bólem głowy. Jednocześnie – jak zauważył w artykule dla Rzeczpospolitej szef Exatela, twórca Narodowego Archiwum Cyfrowego Nikodem Bończa-Tomaszewski „przedstawiciele sektora publicznego chętnie dyskutują o »chmurze obliczeniowej«, »interoperacyjności«, »cyberbezpieczeństwie« etc. O suwerenności jednak jakby zapomniano”.

Czym owa suwerenność miałaby być? Jeśli definiować ją jako zdolność do samodzielnego, niezależnego od innych podmiotów, sprawowania władzy to można odnieść wrażenie, że dziś w Polsce zawdzięczamy ją przede wszystkim znakomitym specjalistom rozsianym po różnych instytucjach i firmach, którzy… są patriotami i zależy im na bezpieczeństwie kraju. Instytucje państwa, mające bronić naszej suwerenności w cyberprzestrzeni są bowiem albo w powijakach albo na papierze.

Polska armia cyfrowa

Najlepszym tego przykładem może być nasza cyberarmia. Na początek o tym, jak to wygląda na świecie: Amerykanie pod parasolem US Cyber Command mają 133 zespoły liczące łącznie 6,2 tys. żołnierzy i budżet przekraczający 647 mln dol. (CIA i NSA mają swoje własne zespoły, ale ich liczebność jest niejawna). Rząd w Paryżu twierdzi, że francuskie siły cybernetyczne w przyszłym roku będą liczyć 2,6 tys. żołnierzy służby czynnej i 4,4 tys. rezerwistów. Brytyjskie Joint Forces Cyber Group, prowadzone wspólnie przez ministerstwo obrony i wywiad elektroniczny GCHQ, ma około 2 tys. żołnierzy i 250 mln funtów budżetu. Szwecja wydaje na cyberobronę, realizowaną przez wywiad radiowy FRA i wywiad wojskowy MUST 510 mln euro rocznie. Powołane w roku niemieckie wojskowe cyberdowództwo CIR to 13,5 tys. żołnierzy i pracowników cywilnych.

U nas też tak może być. Za jakiś czas. Teoretycznie. Nie dalej, jak w ubiegłym tygodniu pojawiła się informacja o tym, że Ministerstwo Obrony Narodowej chce budować „cyberwojsko”. Wicedyrektor Narodowego Centrum Kryptologii, podczas posiedzenia Komisji Obrony Narodowej w Sejmie, prezentując stanowisko MON, przekonywał, że ochrona cyberprzestrzeni „wynika zarówno z polskiej racji stanu”, jak i ze zobowiązań sojuszniczych m.in. wobec NATO. Paweł Dziuba zapowiedział, że najważniejszymi zadaniami wojsk ochrony cyberprzestrzeni będą: „wykrywanie, rozpoznawanie i zapobieganie cyberzagrożeniom; wsparcie, ochrona oraz obrona sieci i systemów teleinformatycznych, prowadzenie cyberrozpoznania, wsparcie operacji militarnych prowadzonych przez siły zbrojne w domenie cyberprzestrzeni oraz planowanie i prowadzenie działań militarnych w cyberprzestrzeni w wymiarze narodowym”. Ponadto MON chce dostosowywać i ćwiczyć procedury oraz szkolić kadry.

Pieniądze się znajdą

Na sejmowym posiedzeniu informowano również, że pieniądze na tak ambitny cel się znajdą. Sekretarz stanu Wojciech Skurkiewicz zauważył, że tylko w „jednej zakładce” mamy 42 mln zł, a zakładek jest ponoć wiele, bo na przykład Narodowe Centrum Kryptologii ma budżet 111 mln zł, a z programów operacyjnych można uzyskać 700 mln zł. Skoro pieniądze są, to na jakim etapie jest budowa naszej cyberarmii? Finalizowane są prace nad decyzją o jej utworzeniu, choć – jak można wnioskować ze słów przedstawicieli MON – wcale nie jest pewne, czy będzie to zupełnie nowy rodzaj sił zbrojnych, obok marynarki czy lotnictwa, czy też nie, choć przy powoływaniu nowej służby to kwestia kluczowa. Mało tego, tego dnia, gdy w Sejmie przedstawiano wizję naszej cyberarmii, mowa była też o modernizacji sił zbrojnych. Temat cyberwojska tam się jednak nie pojawił.

Te wszystkie zapowiedzi brzmią znajomo, prawda? Gdy na czele Ministerstwa Obrony stał Antoni Macierewicz regularnie powtarzano, że cyberarmia powstanie. Miała mieć nawet komponent informacyjno-psychologiczny. Dezinformację miała zwalczać jednostka INFOOPS, wchodząca obok CYBEROPS, w skład naszego cyfrowego wojska. Minister Macierewicz zapowiadał nawet, że będzie ona liczyć około tysiąca żołnierzy, a państwo przeznaczy na tę formację około dwóch miliardów złotych. To między innymi z tego powodu miało dojść do sporu kompetencyjnego między MON a Ministerstwem Cyfryzacji.

Min. Mariusz Błaszczak i min. Anna Streżyńska – konflikt na szczycie nie sprzyjał dbaniu o cyfrowe bezpieczeństwo kraju.

W lipcu 2017 r. do dymisji podał się wiceminister cyfryzacji gen. Włodzimierz Nowak (oficjalnie z przyczyn prywatnych), a pół roku później zdymisjonowano jego szefową, minister Annę Streżyńską, która w międzyczasie popadła w konflikt dotyczący cyberbezpieczeństwa z ówczesnym ministrem spraw wewnętrznych Mariuszem Błaszczakiem. Jakby tego było mało, gdy awantura między ministrami trwała w najlepsze, ówczesna premier Beata Szydło ogłosiła, że odpowiedzią na propagandowe i dezinformacyjne zagrożenia w Internecie będzie powołany przez nią Departament Cyberbezpieczeństwa w KPRM. Na jego czele miał stanąć Paweł Szefernaker, obwołany niegdyś „cyfrowym szogunem” zwycięskich kampanii wyborczych Prawa i Sprawiedliwości. Tyle, że po rekonstrukcji rządu Szefernaker trafił do MSWiA, a projekt departamentu zaistniał tylko na papierze.

Reklama

Projektami ustaw państwa nie ochronimy

W listopadzie 2017 r. zaprezentowano projekt ustawy o cyberbezpieczeństwie. Służba Kontrwywiadu Wojskowego wskazywała wówczas, że warto „rozważyć wprowadzenie funkcji koordynatora krajowego (o stosownych uprawnieniach)”. Biuro Bezpieczeństwa Narodowego uznało, że „nie można stwierdzić, że ustawa kształtuje krajowy system cyberbezpieczeństwa. Reguluje ona jedynie fragment systemu”. Najostrzejszą opinię wystawiła jednak Najwyższa Izba Kontroli, która ostrzegała, że „w praktyce regulacja nie kreuje nowych, kompleksowych rozwiązań, a tylko przenosi na grunt prawny funkcjonujące już struktury oraz »zapożycza« rozwiązania z zakresu zarządzania kryzysowego”. Pół roku później pojawiła się nowa wersja ustawy. Zaproponowano w niej, by za koordynację strategiczną i polityczną ochrony Polski w cyberprzestrzeni odpowiadał Pełnomocnik Rządu ds. Cyberbezpieczeństwa w randze sekretarza stanu podlegający bezpośrednio szefowi rządu. Premier oddzielnym rozporządzeniem powołał pełnomocnika, gwarantując mu finansowanie z budżetu ministerstwa obrony. Ustawa powołująca pełnomocnika, Kolegium ds. Cyberbezpieczeństwa i wyznaczająca trzy zespoły CSIRT (Computer Security Incident Response Team) odpowiadające za tworzenie systemu przeciwdziałania i zwalczania internetowych zagrożeń (zespoły stworzą NASK, ABW i MON) – 5 lipca została w nieśpiesznym tempie przegłosowana przez Sejm i skierowana do Senatu, który zajął się nią równie „dynamicznie”. Cała struktura pozostawała w tym czasie na papierze. Prezydent ustawę podpisał w sierpniu, dzięki czemu cyberbezpieczeństwo zyskało państwowe ramy.

Unia naciska

Eksperci, z którymi rozmawialiśmy, zwracają uwagę, że ustawę wdrożono przede wszystkim dlatego, że wymusiła ją na państwach członkowskich Unia Europejska dyrektywą NIS, pierwszą w historii wspólnoty dotyczącą cyberbezpieczeństwa. Jej celem jest zagwarantowanie równego poziomu zabezpieczeń sieci i systemów informatycznych w całej UE. Jednym z kluczowych założeń dyrektywy i ustawy jest to, że powstanie lista podmiotów, które mają kluczowe znaczenie dla utrzymania najważniejszej działalności społecznej lub gospodarczej i będą one w cyberprzestrzeni chronione w sposób szczególny. W konsekwencji wprowadzenia tych przepisów na liście – wedle osób, z którymi rozmawialiśmy – znalazło się, jak dotąd… zaledwie około 20 podmiotów.

Zgodnie z koncepcją wynikającą z dyrektywy NIS pod szczególną ochroną powinny się znaleźć sektor publiczno-rządowy, energetyczny, telekomunikacyjny, transport i logistyka oraz finanse i bankowość. Dla każdego z tych sektorów powinien powstać sektorowy CERT. Takie zespoły rzeczywiście są tworzone i zaczynają działać w sektorze energetycznym i bankowym. – Kompletnie leży telekomunikacja i transport. Jednocześnie należałoby między tymi CERT-ami wypracować metody współpracy, ich koordynacji – mówi specjalista, z którym rozmawialiśmy. Jednocześnie niewiadomą jest kwestia zwierzchności nad nimi ogólnokrajowego CERT, szczególnie, że część podmiotów, których działanie “ma kluczowe znaczenie” dla działalności państwa znajduje się w rękach prywatnych.


Na następnej stronie piszemy, jak to jest z naszym cyberbezpieczeństwem.

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.