Przejdź do menu Przejdź do treści

Doktryna cyberbezpieczeństwa Rzeczypospolitej Polskiej

dokument opracowany przez Biuro Bezpieczeństwa Narodowego w konsultacji z organizacjami sektora publicznego (instytucji administracji, środowiska akademickiego) oraz prywatnego. Został zatwierdzony przez Radę Bezpieczeństwa Narodowego 12 marca2015 r. Ma charakter wykonawczy w stosunku do Strategii Bezpieczeństwa Narodowego.

Doktryna jest oficjalną podstawą koncepcyjną organów państwa Rzeczypospolitej Polskiej, mającą zapewnić strategiczny cel, którym jest bezpieczeństwo funkcjonowania cyberprzestrzeni w kontekście transsektorowym – w ujęciu praktycznym stanowi rekomendacje dla państwowych podmiotów odpowiedzialnych za teleinformatyczną infrastrukturę krytyczną państwa oraz prywatnych podmiotów gospodarczych.

Jego osiągnięciu służyć ma realizacja celów o charakterze operacyjnym i preparacyjnym. Do pierwszych zaliczono: ocenę warunków cyberbezpieczeństwa, w tym rozpoznanie zagrożeń, szacowanie ryzyk i identyfikowanie szans, zapobieganie zagrożeniom, redukowanie ryzyk i wykorzystanie szans, obronę i ochronę własnych systemów i ich zasobów, zwalczanie źródeł zagrożeń, odtwarzanie sprawności i funkcjonalności systemów cyberprzestrzeni po ewentualnym ataku. Warto zwrócić uwagę na wymienione zagadnienie „zwalczania źródeł zagrożeń”, które precyzuje dopuszczalną odpowiedź państwa w postaci działań ofensywnych i defensywnych, takich jak dezorganizacja, zakłócanie oraz niszczenie.

Cele preparacyjne sprowadzono do zbudowania, utrzymania i doskonalenia systemu cyberbezpieczeństwa obejmującego podsystemy: kierowania (czyli organizowania skoordynowanych działań podmiotów państwowych i niepaństwowych), operacyjny i wsparcia (czyli mające rzeczywiste zdolności ofensywne i defensywne oraz możliwość pomocy sojusznikom). Dokument wskazuje także Radę Ministrów jako organ, który ma być odpowiedzialny za koordynację działań w cyberprzestrzeni na poziomie strategicznym.

Duże znaczenie ma umieszczony we wprowadzeniu wykaz pojęć, którymi posługuje się dokument. W większości dotyczą one pojęć niezdefiniowanych w przepisach prawa polskiego, co zawęża dalszą dyskusję i rozwiązuje dotychczasowe dylematy w naukach społecznych i prawnych. Autorzy przybliżają m.in. definicję cyberbezpieczeństwa RP, bezpieczeństwa cyberprzestrzeni RP, środowiska cyberbezpieczeństwa, wyzwania cyberbezpieczeństwa, ryzyka cyberbezpieczeństwa oraz zagrożenia cyberbezpieczeństwa. Na uwagę zasługuje zdefiniowanie pojęcia cyberprzestrzeni w sposób odmienny od definicji legalnej, zawartej m.in. w ustawach o stanie wojennym i o stanie wyjątkowym.

Zwrócono uwagę na podnoszenie świadomości obywatelskiej w zakresie cyberbezpieczeństwa oraz cyberobrony i cyberochrony kraju. Wiele miejsca poświęcono współpracy sektora publicznego i prywatnego oraz wspieraniu podmiotów tego ostatniego.

W drugim rozdziale dokumentu podjęto analizę środowiska cyberbezpieczeństwa, które zdefiniowano jako ogół warunków funkcjonowania danego podmiotu w cyberprzestrzeni. Zostało ono scharakteryzowane poprzez wskazanie wyzwań (szans i ryzyk) oraz zagrożeń dla osiągania przyjętych celów w wymiarze wewnętrznym i zewnętrznym.

Wśród najważniejszych wymienionych ryzyk wymiaru wewnętrznego znalazły się takie zagadnienia jak: zakup infrastruktury technicznej systemowej z zagranicy oraz związany z tym brak dostępu do kodów źródłowych oprogramowania, problem dotyczący współpracy organów państwa z prywatnymi operatorami i dostawcami usług teleinformatycznych, których zarządy decyzyjne znajdują się poza granicami kraju oraz uwzględnienie ochrony praw człowieka i obywatela w działaniach legislacyjnych i bezpośrednich, zwłaszcza z poszanowaniem prawa do wolności słowa oraz prywatności. W dokumencie zasugerowano ich rozwiązanie poprzez zwiększenie znaczenia dialogu i znaczenia konsultacji społecznych, podniesienie stanu edukacji obywatelskiej poprzez samokształcenie w zakresie cyberbezpieczeństwa – także z wykorzystaniem potencjału obywateli w społecznych inicjatywach wspierających cyberbezpieczństwo RP w formie wolontariatu. Wsparcie dla tej inicjatywy miałoby powstać dzięki współpracy na linii obywatele–sektor prywatny–sektor publiczny.

Wśród poruszonych tematów związanych z szansami wymiaru wewnętrznego w doktrynie znalazły się odwołowania do rozwoju dziedziny nauk informatycznych, jak również wyraźnie podkreślono korelację między poziomem innowacyjności, technologii, wiedzy i specjalistów a oddziaływaniem na bezpieczeństwo narodowe państwa.

Doktryna cyberbezpieczeństwa RP zawiera zbiór zadań operacyjnych i preparacyjnych w dziedzinie cyberbezpieczeństwa państwa, które są skierowane do sektora publicznego w wymiarze krajowym i międzynarodowym, sektora prywatnego i obywatelskiego, a także zadania transsektorowe. Zadania operacyjne sektora publicznego w wymiarze krajowym obejmują m.in. rozpoznawanie źródeł zagrożeń, prowadzenie analiz ryzyka, działania w obszarze kryptografii i kryptoanalizy, bieżące monitorowanie zagrożeń z wykorzystaniem zespołów CERT, prowadzenie audytów cyberbezpieczeństwa. Wskazano na potrzebę przygotowania i wdrażania scenariuszy postępowania w warunkach cyberataków i planów reagowania kryzysowego. Zaakcentowano konieczność prowadzenia aktywnej cyberobrony oraz utrzymania gotowości do cyberwojny, ochrony i obrony własnych systemów teleinformatycznych, przeciwdziałania i zwalczania cyberprzestępczości. Do zadań sektora publicznego w wymiarze międzynarodowym zaliczono w szczególności współpracę w ramach systemów reagowania NATO i UE. Zadania sektora prywatnego to współpraca z sektorem publicznym w zakresie przeciwdziałania zagrożeniom cybernetycznym, prowadzenie audytu środków i mechanizmów cyberbezpieczeństwa oraz współpraca z sektorem publicznym w zakresie przeciwdziałania zagrożeniom w cyberprzestrzeni. Wśród zadań sektora obywatelskiego wymieniono na pierwszym miejscu dbałość o użytkowane systemy i urządzenia teleinformatyczne jako formę pomocy w zapewnieniu bezpieczeństwa państwa. Jedynym zadaniem transsektorowym jest koordynacja współpracy podmiotów sektora prywatnego i publicznego oraz tworzenie mechanizmów wymiany informacji, a także standardów i dobrych praktyk w obszarze cyberbezpieczeństwa.

Najważniejszym zadaniem preparacyjnym są wdrożenie i rozwój systemowego podejścia do cyberbezpieczeństwa w wymiarze prawnym, w tym przyjęcie nowych rozwiązań prawnych, organizacyjnych i technicznych. Rozwiązania te powinny być zgodne z dokumentami UE i NATO oraz innymi inicjatywami międzynarodowymi. Twórcy doktryny zakładają wykorzystanie i rozszerzenie jej treści w pracach nad innymi dokumentami, takimi jak Polityczno-Strategiczna Dyrektywa Obronna, plany zarządzania kryzysowego, programy rozwoju sił zbrojnych oraz progamy pozamilitarnych przygotowań obronnych.

Wojciech Cendrowski

M. Adamczuk, K. Liedel, Doktryna cyberbezpieczeństwa RP,Przegląd Bezpieczeństwa Wewnętrznego” 2015, nr 12; Doktryna cyberbezpieczeństwa Rzeczypospolitej Polskiej, Biuro Bezpieczeństwa Narodowego, Warszawa 2015; J. Kowalewski, M. Kowalewski, Ochrona informacji i systemów teleinformatycznych w cyberprzestrzeni, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2017; Ustawa z dnia 21 czerwca 2002 r. o stanie wyjątkowym, Dz.U. z 2017 r. poz. 1928; Ustawa z dnia 29 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej, Dz.U. z 2017 r. poz. 1932.