Krajowy system cyberbezpieczeństwa
funkcjonuje w Polsce od 28 sierpnia 2018 r. na mocy przepisów ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. W myśl art. 3 tejże ustawy istotnym celem systemu jest zagwarantowanie bezpieczeństwa w cyberprzestrzeni, przede wszystkim w wymiarze krajowym, a zatem zapewnienie ciągłości świadczenia usług kluczowych (mających znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, określonych w załączniku do rozporządzenia Rady Ministrów z 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, np. wytwarzanie i dystrybucja energii elektrycznej, zarządzanie infrastrukturą energetyczną, wytwarzanie paliw ciekłych czy też utrzymywanie rezerw strategicznych i zapasów ropy naftowej, produktów naftowych i gazu ziemnego itp.) oraz usług cyfrowych (świadczonych drogą elektroniczną, np. internetowa platforma handlowa, usługa przetwarzania w chmurze, wyszukiwarka internetowa).
W myśl przepisów przywołanej ustawy utrzymanie cyberbezpieczeństwa na poziomie krajowym mają zapewnić właściwie funkcjonujące systemy informacyjne, świadcząc usługi kluczowe i cyfrowe oraz zapewniające obsługę incydentów.
W skład krajowego systemu cyberbezpieczeństwa wchodzą:
- operatorzy usług kluczowych (z sektora bankowego, energetyki, transportu, ochrony zdrowia itp.);
- dostawcy usług cyfrowych;
- , powołane w Ministerstwie Obrony Narodowej (CSIRT MON), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz w Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV);
- sektorowe zespoły cyberbezpieczeństwa (np. utworzone przez organy właściwe do spraw cyberbezpieczeństwa);
- podmioty publiczne, w tym jednostki sektora finansów publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne; jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez prezesa Kasy Rolniczego Ubezpieczenia Społecznego, Narodowy Fundusz Zdrowia, uczelnie publiczne, Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne), instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej na rzecz bieżącego i nieprzerwanego zaspokajania zbiorowych potrzeb ludności w drodze świadczenia usług dostępnych na zasadzie powszechności;
- podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
- organy właściwe ds. cyberbezpieczeństwa;
- Pojedynczy Punkt Kontaktowy ds. cyberbezpieczeństwa;
- Pełnomocnik Rządu ds. Cyberbezpieczeństwa;
- Kolegium ds. Cyberbezpieczeństwa.
System zarządzania cyberbezpieczeństwem w Polsce obejmuje poziom roboczy (Zespół ds. Obsługi Incydentów Krytycznych) oraz instytucjonalny (pełnomocnik rządu ds. cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa). Struktura krajowego systemu cyberbezpieczeństwa wydaje się logiczna, za efektywność systemu bowiem odpowiadają zespoły reagowania na incydenty bezpieczeństwa komputerowego działające na poziomie krajowym (CSIRT MON, CSIRT NASK, CSIRT GOV). Każdy z nich realizuje zadania w konkretnym obszarze: CSIRT MON – wojskowym, CSIRT NASK – cywilnym, CSIRT GOV – w sektorze administracji publicznej. Niemniej eksperci zwracają uwagę na deficyt tego typu jednostek, które odpowiadałyby za bezpieczeństwo cybernetyczne w równie ważnych kwestiach związanych przede wszystkim z infrastrukturą krytyczną, stanami nadzwyczajnymi oraz działaniami terrorystycznymi. Ponadto wątpliwości może również wzbudzać efektywność systemu w poszczególnych sektorach i podsektorach. O ile sektory bankowy, telekomunikacyjny, finansowy, realizujący usługi cyfrowe, a także po części energetyczny poradzą sobie z ewentualnymi trudnościami w realizacji zadań z zakresu cyberbezpieczeństwa, o tyle sektory ochrony zdrowia, zaopatrzenia w wodę pitną czy też transportu staną przed całkiem nowymi wyzwaniami.
Utworzenie krajowego systemu cyberbezpieczeństwa w Polsce jest efektem implementacji postanowień Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 roku w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS, ang. Network and Information Systems Directive). Warto zauważyć, że dokument określał jedynie priorytety w zakresie cyberbezpieczeństwa w ramach UE, dając państwom członkowskim dużą swobodę w wyborze stosownego modelu, który należy wdrożyć, z uwzględnieniem specyfiki danego państwa, podstaw prawnych, dostępnych środków organizacyjnych czy też aktualnych zdolności operacyjnych w zakresie cyberprzestępczości.
Stwierdzenie, że dopiero naciski ze strony UE skłoniły Polskę do wdrożenia konkretnego systemu cyberbezpieczeństwa, byłoby jednak krzywdzące. Dlatego też warto wspomnieć, że wysiłki nad wypracowaniem polityki zapewnienia bezpieczeństwa w cyberprzestrzeni rozpoczęły się już w 2008 ., czego wynikiem było uchwalenie rządowego programu ochrony cyberprzestrzeni RP na lata 2009–2011. Istotnymi motywami jego wdrożenia były niewątpliwie ratyfikacja przez Polskę 16 maja 2005 roku Konwencji Rady Europy o zapobieganiu terroryzmowi, a także ataki cybernetyczne wymierzone w Estonię w 2007 i Gruzję w 2008 r. Wówczas większość państw europejskich podjęła próbę wdrożenia strategii i doktryn podkreślających konieczność implementacji pożądanych rozwiązań w zakresie cyberbezpieczeństwa.
Próbując dociekać początków powstania CSIRT – zespołów ds. bezpieczeństwa komputerowego i reagowania na incydenty – należy cofnąć się do 1988 r, kiedy to doszło do jednej z poważniejszych epidemii tzw. robaka Morrisa (Morris worm), który zainfekował globalne systemy informatyczne. Atak zapoczątkował prace nad implementacją systemu właściwego reagowania na incydenty w obszarze bezpieczeństwa informatycznego. Tuż po incydencie Agencja Zaawansowanych Projektów Badawczych Obrony (ang. Defence Advanced Research Projects Agency, DARPA) powołała pierwszy specjalistyczny CSIRT – Centrum Koordynacji CERT. Zespół powstał w amerykańskim Uniwersytecie Carnegie–Mellona w Pittsburgu. Zaproponowane przez Amerykanów rozwiązanie szybko przyjęto na gruncie europejskim i w 1992 r. holenderski dostawca usług internetowych powołał pierwszy tego typu zespół w Europie – SURFnet-CERT, działający w ramach ośrodków akademickich. Nowo powstające CERT poszerzały zakres swoich kompetencji i usług, nie ograniczając się jedynie do reakcji na incydenty. Z czasem stały się profesjonalnymi dostawcami rozwiązań z zakresu bezpieczeństwa, usług prewencyjnych i szkoleń. Na określenie prężnie działających zespołów ukuto nowy termin – CSIRT.
Krajowy system cyberbezpieczeństwa, gov.pl (dostęp 25.03.2019); Krajowy system cyberbezpieczeństwa, KSOIN.pl (dostęp 26.03.2019); M. Maj, Pięć kluczowych wyzwań przy wdrożeniu Ustawy o krajowym systemie cyberbezpieczeństwa, 13.07.2018, CyberSecurity.org (dostęp 23.03.2019); The Morris Worm. 30 Years Since First Major Attack on the Internet, 2.10.2018, FBI.gov (dostęp 25.03.2019); Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. z 2018 r. poz. 1560.