Karol Okoński: Ustawa o krajowym systemie cyberbezpieczeństwa to znaczący krok naprzód [WYWIAD]
Tematyka o cyberbezpieczeństwie będzie poruszana na Konferencji Bezpieczeństwa Narodowego: www.konferencjabezpieczenstwanarodowego.ksoin.pl
Zachęcamy do zapoznania się z poniższym wywiadem.
O ustawie o krajowym systemie cyberbezpieczeństwa, roli Ministerstwa Cyfryzacji oraz potrzebnych środkach finansowych na jego zbudowanie mówi dla Cyberdefence24.pl Karol Okoński sekretarz stanu w Ministerstwie Cyfryzacji. Dr Andrzej Kozłowski Który podmiot będzie odpowiedzialny za realizację i budowanie tego systemu?
Karol Okoński: Przez system rozumiemy nie system informatyczny, tylko system jako całą przestrzeń zarządzania cyberprzestrzenią państwa. W jego ramach mamy trzy główne podmioty – centra zarządzania bezpieczeństwem czyli tzw. CSIRTy, które są jego elementami centralnymi Jednostki, które są w nadzorze Ministerstwa Obrony Narodowej zgłaszają swój incydent do CSIRTu, który podlega pod MON. Podmioty, które są częścią infrastruktury krytycznej zgłaszają incydenty do CSIRTu, który jest pod nadzorem ABW, a cała reszta podmiotów zgłasza je do CSIRT-u NASK. One muszą ze sobą współpracować i w przypadku incydentów, które wymagają zaangażowania na skalę pozaeuropejską, współpracują ze swoimi odpowiednikami w innych państwach. To jest ten poziom operacyjny, zarówno reaktywny czyli eliminowanie zagrożeń jak i pro-aktywny, czyli monitorowanie przestrzeni, ogłaszanie komunikatów, o tym że jest jakaś podatność odkryta. CSIRTy pracują w swoich przestrzeniach, ale również spotykają się razem, żeby koordynować swoje działania. Ponadto mamy również pełnomocnika Rady Ministrów ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa.
A kto będzie pełnomocnikiem?
Tę osobę wyznaczy Prezes Rady Ministrów.
Pełnomocnik ma być zlokalizowany w Ministerstwie Obrony?
To będzie decyzja pana Premiera kogo wskaże.
A kiedy można się tego spodziewać?
Premier czeka na wejście w życie ustawy, co stanie się lada moment. Ustawa została już przyjęta przez parlament i czeka na podpis Pana Prezydenta. W momencie podpisania przez prezydenta, premier będzie miał podstawę do tego, by powołać pełnomocnika. Ustawa przewiduje okres trzech miesięcy na powołanie, ale zakładam, że nastąpi to szybciej. Ustawowo musi to być sekretarz lub podsekretarz stanu.
Jaką rolę ustawa wyznacza ministrowi cyfryzacji?
Ona jest wielowymiarowa. Po pierwsze CSIRT-u NASK jest nadzorowany przez Ministerstwo. Sprawuje pieczę nad obszarem w sektorze komercyjnym i innych instytucjach publicznych, które nie są częścią infrastruktury krytycznej oraz nie są organami władzy publicznej. Druga rzecz to fakt, że ustawa wprowadza pojęcie sektorów kluczowych oraz usług kluczowych i organów właściwych, więc minister cyfryzacji jest organem właściwym dla infrastruktury cyfrowej, czyli operatorów, którzy zarządzają adresacją sieci. Mówiąc o dostawcach usług cyfrowych mówimy o wyszukiwarkach, serwisach internetowych, platformach zakupowych. Nad tym sektorem będzie sprawowało kontrolę i nadzór Ministerstwo Cyfryzacji. Operatorzy mają specjalne obowiązki związane właśnie z tym, że muszą podlegać szczególnym politykom bezpieczeństwa i karze za niezgłaszanie incydentów w terminie.
Kto będzie odpowiedzialny za koordynacje tych działań?
Ministerstwo Cyfryzacji jest punktem kontaktowym z innymi krajami europejskimi. Ministerstwo Cyfryzacji ma przygotować też system informatyczny, który będzie domyślnym systemem, w którym będą zgłaszane incydenty. Minister cyfryzacji jest zobowiązany do przygotowania strategii cyberbezpieczeństwa do października przyszłego roku.
A to nie są Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022?
Strategia zastąpi Krajowe Ramy. Dokonamy ewaluacji istniejącego dokumentu i wprowadzimy konieczne zmiany. Ale ona będzie oparta na Krajowych Ramach. Pewne rzeczy zapewne się zmienią.
Nie będzie to zupełnie nowy dokument?
To nie będzie dokument równoległy tylko zastąpi on Krajowe Ramy, które przez chwilę nazywały się strategią. Nie mogły się jednak tak nazywać z racji tego, że istnieje porządek dokumentów programowych i po prostu trzeba było umocować w ustawie fakt, że taka strategia powstanie.
Czy będziemy mieli kolejne konsultacje społeczne?
Jak najbardziej. Czekamy do przyszłego roku, po to, by zobaczyć jak ten system, który opisaliśmy w ustawie się sprawdza w praktyce.
Panie ministrze, skąd będą pochodzić środki na zbudowanie krajowego systemu cyberbezpieczeństwa?
Część środków jest zagwarantowana w ustawie dla poszczególnych jednostek, głównie dla Ministerstwa Cyfryzacji. Większość zadań w tym momencie, szczególnie ABW, MON wykonywana jest w ramach limitu wydatku, który mamy w tej chwili. Ustawa tego nie zmienia.
Czyli nie będzie osobnej pozycji w budżecie?
Nie będzie. Natomiast proszę pamiętać, że korzystamy też z funduszy NCBiR, które finansują niektóre działania w obszarze bezpieczeństwa. W tym momencie jak podliczyliśmy, że nasze projekty, w których jesteśmy partnerem albo liderem pozyskały na finansowanie ponad 40 milionów złotych. To są środki pozabudżetowe. Pozwala nam to poradzić sobie jakoś z brakiem funduszy. Ale jesteśmy w stanie jedno z drugim pogodzić.
A czy w przyszłości można się spodziewać większych wydatków albo osobnej pozycji w budżecie na ten cel?
Przy kolejnej ewaluacji strategii pewnie będzie to jeden z elementów do dyskusji jak skutecznie i długofalowo zaplanować projekty dotyczące cyberbezpieczeństwa oraz wydatkowanie na nie.
Wszystkie państwa zwiększają wydatki na cyberbezpieczeństwo.
Na pewno musimy poruszać się w tej rzeczywistości budżetowej, którą mamy, więc nie spodziewamy się znaczącego wzrostu wydatków. Dlatego skupiamy się teraz na ich efektywniejszym wykorzystaniu oraz współpracy między poszczególnymi resortami by nie tworzyć rozwiązań, które są zduplikowane. Dążymy również do wykorzystania środków europejskich, zarówno tych które mamy oraz żeby pozyskać w przyszłej perspektywie finansowej kolejne fundusze z takich programów jak Digital Europe, gdzie jednym z pięciu głównych celów tego programu jest też cyberbezpieczeństwo, czy Horizon Europe. Chcemy też żeby polskie podmioty w bardziej efektywnym i większym stopniu pozyskiwały te środki europejskie, bo na razie ich wykorzystanie przez Polskę jest niewielkie.