Polska jest na początku drogi do bezpieczeństwa cybernetycznego. Jasny komunikat w tej sprawie płynął z wystąpień uczestników debaty pt: „Cyberbezpieczeństwo Polski”, jaką zorganizowała Fundacja im. Pułaskiego.

Fakt, że polskie przygotowanie w tej sprawie jest w powijakach przyznał dobitnie wiceminister administracji i cyfryzacji Roman Dmowski, który sprawiał wrażenie nie do końca przygotowanego do debaty. W czasie jednej z wypowiedzi stwierdził wprost, że polski rząd w kwestiach rozstrzygnięć prawnych dotyczących cyberbezpieczeństwa polega na pracach… Komisji Europejskiej. To właśnie tam toczą się negocjacje związane z uregulowaniem uwarunkowań bezpieczeństwa w cyberprzestrzeni.

Dmowski przyznał, że rząd liczy na Komisję, ale jednocześnie działa sam. Tyle tylko, że resortowe zespoły zajmujące się bezpieczeństwem państwa są na bardzo wczesnym etapie działań. Wiceminister zaznaczał, że eksperci dopiero opracowują listę potrzeb związanych z bezpieczeństwem cybernetycznym.

Pytany o ochronę infrastruktury krytycznej Dmowski znów kierował uwagę widzów w kierunku Komisji Europejskiej. Przyznał, że MAC będzie obserwowało ustalenia dotyczące infrastruktury krytycznej, żeby „nasze uwarunkowania były kompatybilne”.

Dla nas narzędziem patrzenia na infrastrukturę krytyczną będą mechanizmy wypracowane przez KE. Naszą rolą jest zapewnienie kompatybilności w tych obszarach

— tłumaczył Dmowski.

Słuchając jego wystąpienia nie można było czuć się spokojnym. Oby przygotowanie Polski do bezpieczeństwa w cyberprzestrzeni szło lepiej niż wykładanie wiceministrowi Dmowskiemu…

Jednak i tego nie można być pewnym. Większość prelekcji budziło podobne odczucia nieprzygotowania polskiego państwa do działań w cyberprzestrzeni.

Mówił o tym również wywołujący wiele kontrowersji, były szef ABW gen. Krzysztof Bondaryk. Stojący na czele Narodowego Centrum Kryptologii polityk, na którego działalności od dawna kładzie się cień m.in. niejasnych powiązań z wielkim biznesem, również zaznaczał, że Polska ma wiele do nadrobienia w dziedzinie bezpieczeństwa cybernetycznego.

Bondaryk dodał, że kluczowe dla nas problemy dotyczą regulacji prawnych, a nie problemów technicznych. Zaznaczył, że „polityka rządowa na razie formułuje się w warstwie deklaratywnej”, a nie faktycznych procesów czy decyzji. Dodał, że Polska ma w tej mierze wieloletnie zapóźnienia względem innych krajów.

Były szef ABW wskazał, że „postrzeganie bezpieczeństwa cybernetycznego jest częścią polityki bezpieczeństwa państwa”.

Istotą doktryny obronnej naszego kraju jest również ochrona cyberprzestrzeni. Żeby taki obowiązek wypełnić, polska armia musi posiadać zdolności w cyberprzestrzeni. Musi zapewnić sobie zdolności. Tego typu zdolności armia doskonali. Jeśli zapewnimy sobie bezpieczeństwo, armia będzie zdolna do kształtowania cyberbezpieczeństwa

— tłumaczył, wskazując, że polska ma wiele pracy przed sobą.

W ocenie Bondaryka najpierw bowiem armia polska musi sama uzyskać zdolność działania w cyberprzestrzeni, a potem dopiero może zacząć prowadzić szerszą aktywność.

W zakresie technologicznym nasze osiągnięcia mają wymiar historyczny. Próbowaliśmy odtworzyć nasze zdolności. Nasze zdolności na poziomie jednostek są ogromne, możemy konkurować z najlepszymi na świecie. Jednak w obszarze całego kraju musimy dopiero wypracować stosowne działania

— mówił Bondaryk, wskazując, iż odnosi wrażenie, że „do tej pory państwo nie chciało się tą sprawą zajmować”. Ciekawe słowa w ustach kogoś, kto przez lata kierował najważniejszą służbą specjalną w Polsce…

Szef NCK przyznał, że prowadzona w Polsce cyfryzacja często wywołuje sprzeciw ekspertów zajmujących się cyberbezpieczeństwem.

Musi istnieć prymat bezpieczeństwa nad dziką cyfryzacją, która sprowadza się często do zakupów. Trzeba informatyzować, ale nie można zapominać o bezpieczeństwie. Jeśli dajemy jako państwo jakieś e-usługi, to musimy jako państwo gwarantować bezpieczeństwo

— tłumaczył człowiek, który zdaniem wielu ekspertów swoją działalnością i powiązaniami sam może ściągać na Polskę niebezpieczeństwo…

Był szef ABW wskazał również na pewien kierunek zmian myślenia i działania w wojsku.

Ludzie mogą być powoływani na ćwiczenia nie na poligonie, ale również na ćwiczenia w cyberprzestrzeni. Taki powinien być kierunek

— tłumaczył Bondaryk.

Szef NCK kilkakrotnie wskazywał, że w Polsce brakuje odpowiednich regulacji prawnych dotyczących cyberbezpieczeństwa.

Na to samo zwrócił uwagę Krzysztof Liedel z BBN. Wskazał on, że w Biurze pracuje zespół, który ma na celu wypracowanie doktryny cyberbezpieczeństwa.

Ekspert wymienił, czym BBN się zajmuje w tej sprawie. Liedel mówił więc o bezpieczeństwie infrastruktury krytycznej państwa; stworzeniu polityki bezpieczeństwa cyberprzestrzeni na poziomie centralnym i wspólnej dla podmiotów sektora publicznego i prywatnego; zarządzaniu skutkami ataków cybernetycznych w celu minimalizacji kosztów; stworzeniu efektywnego systemu koordynacji umożliwiającej współpracę w obszarze bezpieczeństwa cyberprzestrzeni pomiędzy podmiotami sektora publicznego i prywatnego; zwiększeniu świadomości użytkowników w odniesieniu do krytycznych obszarów bezpieczeństwa cyberprzestrzeni.

Liedel zaprezentował następnie szczegółowe działania dotyczące prac BBN ws. cyberbezpieczeństwa Polski. Wskazał, że w ramach tych starań współdziałają: MSW, MON, ABW, SKW, MAiC, sektor prywatny.

Jednak wciąż mówił o planach i pracach koncepcyjnych, opracowywaniu kolejnych zagadnień i strategii.

Możemy prowadzić różnego rodzaju działania planistyczne czy strategiczne, ale nie możemy zapominać, że musimy prowadzić również działania tu i teraz. Cyberprzestrzeń stała się obszarem konfliktu, działań przestępczych. Konflikt na Ukrainie, czy to, co działo się w przypadku ACTA, wskazują, że musimy mieć również pomysł na to jak działać aktualnie

— tłumaczył ekspert. Z jego przemówienia wynikało jednak, że z działaniami na bieżąco polskie państwo może mieć spory problem. Do dziś wiele obszarów czy planów pozostaje w opracowaniu…

W obronę państwo polskie wziął Kamil Galicki z Rządowego Centrum Bezpieczeństwa, który przyznał, że dziwił się dotychczasowym prelegentom.

Odniosłem wrażenie, jakby nic nie było, fundamentalna pustka. Jakbyśmy nic nie mieli w sferze ochrony cyberprzestrzeni. To jest bzdura. Narodowy program ochrony infrastruktury krytycznej działa od ponad roku

— tłumaczył Galicki.

I przekonywał, że RCB prowadzi skuteczne działania związane m.in. z dobrymi praktykami, w ramach których Centrum współpracuje z operatorami teleinformatycznymi. Ekspert przekonywał, że RCB diagnozuje sprawę ochrony teleinformatycznej jako kluczową dla każdej swojej inicjatywy i działań.

Zdaniem uczestnika wykładów kryteria i poziom ochrony jest dobrze znany i opracowany już dawno temu.

Nie zgodzę się z nikim, kto powie, że nie ma nic

— tłumaczył Galicki.

Zapewne jednak i z kolejnym dyskutantem miały pole do polemiki. Płk dr hab. Piotr Dela również wskazywał bowiem, że polska nie jest przygotowana do ochrony swoich interesów.

W ciekawym wykładzie płk. Dela zaprezentował inne ujęcie cyberprzestrzeni. Mówił o zagrożeniu destabilizacją państwa przez zniekształcanie obrazu rzeczywistości.

Czy ochrona samej cyberprzestrzeni jest wystarczająca, czy nie powinniśmy ochraniać również informacji, jako dobra samego w sobie?

— stawiał pytanie wykładowca.

Wskazał na problem, pytając, co zrobić, by obraz rzeczywistości płynący z cyberprzestrzeni był informacją niezakłóconą, prawdziwą?

Dodał, że próby ograniczenia dostępu do informacji nie wchodzą w grę, bowiem mają znamiona cenzury. Zaznaczył jednak, że w takim razie państwo powinno „posiadać narzędzia do reakcji na informację, która nie odzwierciedla rzeczywistości”, a jest groźna dla państwa.

Współczesne społeczeństwa budują swoją świadomość przez informacje płynącą z cyberprzestrzeni, co może być groźne dla bezpieczeństwa państwa

— wskazał Dela.

Dodał, że „powinniśmy posiadać mechanizmy, które pozwalają na odpowiedź na niepokojące zjawiska”.

Wyjaśnił, że ochronie powinny podlegać: infrastruktura krytyczna, informacje niejawne, dane osobowe, stabilność państwa.

Powinniśmy coraz więcej uwagi zwracać na stabilność państwa

— przekonywał.

Wyjaśnił, że pod tym pojęciem się kryje: destabilizacja systemu politycznego, destabilizacja ekonomiczno-gospodarcza, destabilizacja stosunków międzynarodowych, destabilizacja społeczna, destabilizacja militarna.

Czy mamy mechanizmy, które umożliwią odpowiedź np. na osłabienie pozycji Polski w rankingu agencji Ratingowych? Obecnie takich mechanizmów nie mamy

— tłumaczył.

Dodał, że w związku z tym Polska może stać się łatwą ofiarą np.: korporacji międzynarodowych, korporacji IT, agencji ratingowych, portali informacyjnych, portali społecznościowych, systemu informowania ludności o zagrożeniach, nieznanych grup, wpływów i oddziaływania.

Na razie nie mamy narzędzi reakcji na destabilizację państwa

— przekonywał. I wskazał, że „należy stworzyć politykę informacyjnego bezpieczeństwa państwa”.

Choć wypowiedź płk. Deli ocierała się czasem o nawoływanie do kontroli internetu i cenzury, ekspert wskazał na ciekawe zjawisko. Polsce rzeczywiście przydałoby się rozpoczęcie m.in. aktywnego zwalczania agentury wpływu, rozpoczęcie przez media publiczne dbania o interesy narodowe, a także aktywnej walki z dezinformacją i manipulacją. Można jednak wątpić, czy prelegent właśnie ku takim rozwiązaniom się skłania…

Admirał Waldemar Głuszko ze Sztabu Generalnego WP w swojej wypowiedzi wskazał na dwa obszary cyberbezpieczeństwa, zaznaczając, że tylko jeden z nich jest dobrze opisany. Ten obszar dotyczy głównie sieci teleinformatycznych. Natomiast działania wojska dotyczące cyberzagrożeń wciąż nie są omawiane jako osobne zagadnienie.

Cyberbezpieczeństwo na obecnym etapie nie funkcjonuje jako osobna zdolność. Ona się rozkłada na zdolności dowodzenia, rażenia, ochrony wojsk itd. To może się zmienić, ale to musi być kompatybilne z działaniami NATO

— wskazał Głuszko, dodając, że „od strony operacyjnej, wojskowej zagadnienia są wciąż doprecyzowane i budowane”.

Adm. Gałuszko w swojej wypowiedzi wskazał również, że nie „ma doktryny cyberbezpieczeństwa RP”.

Admirał pytany, czy polskie państwo przygotowuje się do działań ofensywnych w cyberprzestrzeni zaznacza, że „element działań ofensywnych jest uwzględniany”.

W Polsce póki co nie mamy komponentu w cyberprzestrzeni. Na poziomie ćwiczeń pojawia się taki komponent. Budujemy te elementy, to jest personel, infrastruktura, środki materiałowe. To jest element budowany, on funkcjonuje w Rosji, USA, Wielkiej Brytanii. My jesteśmy na etapie budowania

— zaznaczał.

Jednak przedstawiciel BBN Krzysztof Liedel uznał tę wypowiedź za przejaw zbyt wielkiego optymizmu.

Nie dysponujemy takim komponentem. Mówienie, że go budujemy, też jest na wyrost. Obecnie mamy problem na poziomie politycznym. Wydaje się, że nie ma zgody na budowę takiego komponentu. To dotyczy sfery europejskiej, ale i wewnątrzpolskiej. Zdolności ofensywne są bardzo ważne, ale nie ma w tej sprawie zgody strategicznej

— tłumaczy Liedel.

Uczestnicy konferencji poświęconej cyberbezpieczeństwu kilkakrotnie wskazywali na to, iż rozmowa i debaty na ten temat są dużą wartością. I oczywiście zawsze warto rozmawiać. Jednak widząc skalę opóźnień, jaka występuje w Polsce, należałoby oczekiwać konkretów, działań i owoców tej działalności. A z tym trudno. To szczególnie niepokojące, że jawiąca się w sposób coraz bardziej oczywisty jako wróg Rosja na taką bezczynność sobie nie pozwala. Ona prowadzi i inspiruje ofensywne działania w cyberprzestrzeni. Polska może w tych działaniach pełnić rolę ofiary.

I, jak wynika z debaty Fundacji im. Pułaskiego, na razie jest to łatwa ofiara.

Stanisław Żaryn