- Już od jakiegoś czasu polska cyberprzestrzeń jest atakowana – mówi Piotr Müller, rzecznik rządu. - Próbowano zaatakować stronę Izby Rozliczeniowej, próbowano zaatakować polskie serwery rządowe, jeśli chodzi o pocztę elektroniczną — przyznał w piątek pełnomocnik rządu do spraw cyberbezpieczeństwa Janusz Cieszyński. Dwadzieścia siedem tysięcy takich złośliwych wiadomości w ciągu jednego dnia trafiło do operatorów infrastruktury krytycznej i do odbiorców rządowych. W Polsce zaś nie ma jednego centrum dowodzenia, oddzielnie działa administracja, oddzielnie wojsko, a Wojska Obrony Cyberprzestrzeni powołano dopiero na początku lutego br., choć o konieczności ich stworzenia wiadomo od szczytu NATO w Warszawie w 2016 roku.

 

Duże ryzyko cyberataku

Od 14 do 25 lutego nie działa strona Lotniczego Pogotowia Ratunkowego, mimo że przez 12 dni LPR 24 godziny na dobę współpracował z państwowymi i zewnętrznymi jednostkami po to, by jak najszybciej odbudować uszkodzoną infrastrukturę teleinformatyczną. LPR 14 lutego padło ofiarą cyberataku. - Jest to zamach na jednostkę, która każdego dnia niesie pomoc ludziom. Atak ma postać ransomware, a atakujący zażądali 390 tysięcy dolarów okupu za odszyfrowanie danych. Dyrektor LPR nie podjął jakichkolwiek negocjacji – napisało w oświadczeniu LPR, wydanym dopiero 21 lutego.

Formularz informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług - WZÓR DOKUMENTU >

Od tego dnia też obowiązuje Charlie – trzeci stopień alarmowy dotyczący zagrożeń w cyberprzestrzeni. - To oznacza, że już od poniedziałku wszyscy, którzy są odpowiedzialni za te kluczowe systemy, zarówno w administracji państwowej, jak i u operatorów infrastruktury krytycznej, są po prostu w stanie podwyższonej gotowości, aby lepiej i szybciej reagować w razie wystąpienia jakiegoś cyberataku — wyjaśnia minister Cieszyński.  Można ogłosić jeszcze tylko jeden – czwarty zwany Deltą. Janusz Cieszyńki wyjaśnia, że może być ogłoszony, gdyby doszło do potwierdzonego i skutecznego ataku na konkretny element infrastruktury krytycznej. 

Póki co mamy dostęp do wody, energii, paliwa, sieci teleinformatycznych, ochrony zdrowia, usług finansowych, ale jak zauważa Łukasz Olejnik, niezależny badacz do spraw cyberbezpieczeństwa, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża, ryzyko cyberataku jest obecnie naprawdę duże.  Ukrainę bowiem zaatakowały nie tylko rosyjskie wojska lotnicze i lądowe, ale także cyberarmia. Ostatnio sprawiła, że przestały działać strony banków, ministerstw, instytucji publicznych. Wcześniej zinfiltrowali sieci komputerowe wojska, sektora energii i innych systemów kluczowych dla bezpieczeństwa Ukrainy, aby zebrać dane potrzebne w przypadku inwazji. - Nie tylko widać, to po cyberataku na Ukrainę, który musiałby być przygotowywany od dawna. Część cyberataków dotknęła już Łotwę, kraj UE i NATO – wyjaśnia Łukasz Olejnik. 

USTAWA z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa >

Potrzebna czujność

W Polsce więc poszczególne instytucje odpowiedzialne za krytyczne sektory proszą o wzmożoną czujność. Dobre praktyki w sprawie przeciwdziałania atakom ogłosiły Urząd Komisji Nadzoru Finansowego dla podmiotów sektora finansowego. Centrum e-Zdrowie dla jednostek ochrony zdrowia, CERT Polska dla obywateli i firm. Wszyscy zalecają m.in. przygotować procedury, zrobić przegląd systemów, tworzyć po trzy kopie zapasowe przechowywane na różnych nośnikach, uwierzytelnianie dwuskładnikowe. Takich instrukcji nie ma jednak na stronie Agencji Bezpieczeństwa Wewnętrznego, która odpowiada za rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej. I to zadanie, dzięki ustawie o krajowym systemie cyberbezpieczeństwa zaczęło być realizowane. Problem w tym, że mamy podwaliny systemu cyberbezpieczeństwa, który jeszcze dobrze nie działa.

Banasiński Cezary, Rojszczak Marcin - "Cyberbezpieczeństwo" > 

Nowelizacja, która już dawno powinna być uchwalona

W Polsce są eksperci do spraw cyberbezpieczeństwa, ale działania w tej sferze długo nie były uregulowane. Dopiero w 2018 roku zaczęła obowiązywać wspomniana ustawa, która pozwoliła zbudować system reagowania na incydenty w przestrzeni cyfrowej. W efekcie mamy trzy zespoły reagowania na incydenty komputerowe zwane CSIRT (z ang. Computer Security Incident Response Team):

  • CSIRT NASK – prowadzony jest przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy, do którego incydenty zgłaszają m.in.: samorządy, uczelnie;
  • CSIRT GOV – prowadzony jest przez Agencję Bezpieczeństwa Wewnętrznego – do niego raportują wszystkie ministerstwa, urzędy skarbowe, ZUS, NFZ, Narodowy Bank Polski, sądy;
  • CSIRT MON odpowiedzialne za wojsko oraz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym pod nadzorem MON.

Tyle, że nie ma jednego centrum dowodzenia. W razie cyberataku najważniejszym zadaniem jest jego odparcie i przywrócenie systemów, np. stron rządowych, systemów informatycznych banków, firm energetycznych, ale jak widać po LPR, jest z tym problem. Ponadto obecnie krajowy system  cyberbezpieczeństwa nie obejmuje przedsiębiorców telekomunikacyjnych, ani dostawców usług zaufania. To miała zmienić nowelizacja ustawy skierowana do konsultacji we wrześniu 2020 roku - link do wersji z 22 stycznia 2021 roku

Czytaj również: Będą nowe przepisy o cyberbezpieczeństwie i więcej obowiązków dla firm i urzędów >>

- Kwestię bezpieczeństwa sieci telekomunikacyjnych wielokrotnie podnosiliśmy na forum europejskim – mówił ówczesny minister cyfryzacji Marek Zagórski, pełnomocnik rządu do spraw cyberbezpieczeństwa. - Niezawodność i niezakłócone świadczenie usług telekomunikacyjnych ma i będzie miało coraz większe znaczenie dla cyberbezpieczeństwa usług kluczowych i cyfrowych - dodał. I jak teraz się przekonujemy ma wielkie znacznie, ale wciąż nie wynika ona z przepisów. Prace nad projektem toczą się w ślimaczym tempie. 18 października ur. został skierowany do Komitetu Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych. Do dziś z niego nie wyszedł.

Czytaj też: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >

Są pieniądze na informatyków, choć NASK traci ludzi

Choć w międzyczasie, i dobrze, udało się uchwalić ustawę powołującą Fundusz Cyberbezpieczeństwa m.in.: specjalne dodatki do wynagrodzeń dla osób dbających o bezpieczeństwo w sieci. Zgodnie z rozporządzeniem w sprawie wysokości świadczenia teleinformatycznego może ono wynieść od 5500 zł do 30 000 zł dla najlepszych ekspertów miesięcznie. A to oni mają dbać o bezpieczeństwo sieci, a w razie ataku przywracać serwery.

Z drugiej strony jesienią Przemysław Jaroszewski, po 21 latach pracy, przestał być szefem zespołu, najstarszego polskiego zespołu reagowania na incydenty CERT Polska. Pracownicy CERT Polska w liście otwartym do premiera Mateusza Morawieckiego i Janusza Cieszyńskiego zwracają uwagę, że przyczyną była aktywność na prywatnym profilu portalu społecznościowego Facebook związana z jego poglądami politycznymi. W ich ocenie obecna sytuacja zagraża utrzymaniu wysokiej skuteczności wykonywanej przez CERT Polska pracy, a w konsekwencji prowadzi do obniżenia poziomu cyberbezpieczeństwa naszego kraju. Tymczasem w 2021 łącznie zgłoszono do CERT Polska 36 incydentów zaklasyfikowanych jako poważne. W stycznia 2021 roku było takich dwa, a w tym roku już pięć. 

 

Kto ma dowodzić?

Jest jeszcze inny problem. Gdy dojdzie do wojny, w tym cyberwojny, ustawa nie mówi jednak, kto ma dowodzić. Wspomniany projekt precyzuje, że to pełnomocnik do tych spraw ma wydawać ostrzeżenia i polecenia zabezpieczające, a także że Minister Obrony Narodowej kieruje działaniami związanymi z obsługą incydentów w czasie stanu wojennego poprzez CSIRT MON. Czy zatem możemy się czuć bezpiecznie? - Jest dużo lepiej niż kilka lat temu - ocenia Łukasz Olejnik. - Pozostaje jednak wiele niespójności, często trudno przełożyć teorię na praktykę. Istnieje ryzyko, że część urzędów lub instytucji dość łatwo może zostać sparaliżowana - dodaje,  bo za najbardziej zagrożone uznałby sektor publiczny, finansowy i infrastrukturę krytyczną.

Dr Paweł Skorut z Instytutu Nauk o Polityce i Administracji Uniwersytetu Pedagogicznego w Krakowie uspokaja, że żadne państwo nie opracowało jednego, wystarczającego mechanizmu obrony cyberprzestrzeni. - Tego się nie da zrobić. Zawsze są jakieś poniesione większe lub mniejsze straty! A to dlatego, że nie ma idealnego stanu bezpieczeństwa. Strona atakująca, często jest równie dobrze wyszkolona, jak broniąca się! Zatem, to jest wyścig - często równych sobie - przeciwników. Oczywiście dobrym jest rozwiązaniem - i dawno oczekiwanym - by w Siłach Zbrojnych  RP powołano odpowiedzialnych ludzi do obrony cyberprzestrzeni. Na pewno, życzylibyśmy sobie większego zaangażowania w te działania. Jednak proszę pamiętać, że Polska to państwo, które nie działa w sposób nakazowo-dekretowy, to państwo, które musi przeprowadzić całą procedurę legislatywną. W państwach demokratycznych to trwa, przeciwnie do Chin, Rosji czy Korei Północnej - dodaje. Minister Mariusz Błaszczak oficjalnie powołał do życia Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni dopiero na początku lutego, po trzech latach od stworzenia programu podniesienia kompetencji kadr w zakresie cyberbezpieczeństwa. 

Czytaj też: Ochrona danych osobowych w chmurze obliczeniowej w zakresie cyberbezpieczeństwa >

Koncepcja nie zrealizowana od ponad 10 lat

Ponadto Polska ma jeszcze jeden problem – nie ma spójnego bezpiecznego systemu łączności dla administracji i służb bezpieczeństwa powiązanego z systemami wojskowymi do przesyłania zastrzeżonych informacji. Wojsko korzysta z własnego systemu MILNET. Poszczególne instytucje z własnych systemów akredytowanych przez Agencję Bezpieczeństwa Wewnętrznego.

Dr hab. Katarzyna Chałubińska-Jentkiewicz, dyrektor Akademickiego Centrum Polityki Cyberbezpieczeństwa przyznaje, że obecnie zadania związane z zapewnieniem bezpieczeństwa w komunikacji są realizowane przez wiele resortów, w różny sposób zarówno pod względem prawnym, organizacyjnym i technicznym 

O jeden system dla administracji i służb zabiegała między innymi Anna Streżyńska, jeszcze gdy była szefową Urzędu Komunikacji Elektronicznej w latach 2015-2018, a także ministrem cyfryzacji. Najpierw nie było na niego pieniędzy, potem była walka o to, kto ma nadzorować cyberbezpieczeństwo cywilne: ministerstwo cyfryzacji czy obrony narodowej.

W efekcie tak potrzebnego systemu nie ma do dziś, choć powinien być dostępny w każdej gminie, bo to na poziomie samorządów odbywa się zarządzanie kryzysowe – mówi Marek Wójcik, ekspert Związku Miast Polskich, były wiceminister cyfryzacji. I dodaje, że musimy mieć sprawną i bezpieczną sieć komunikacyjną. -  My budujemy w administracji systemy silosowe, branżowe, ale one ze sobą nie współpracują - dodaje. 

Dr hab. Katarzyna Chałubińska-Jentkiewicz przypomina, że były też prowadzone prace wokół standardu TETRA. - Zadania te powierzono policji, która dysponowała systemem w Warszawie, Krakowie, Łodzi i Szczecinie. Powierzono jej rozbudowę systemu tak, by działał w każdym mieście wojewódzkim. W przyszłości z systemu  tego miały korzystać wszystkie inne służby bezpieczeństwa i porządku publicznego oraz ratownictwa na obszarze całego kraju – mówi. Ale na szczęście się nie udało, bo eksperci podkreślali, że system jest przestrzały. W efekcie jak czytamy na stronie Komendy Głównej Policji polska policja wciąż nie posiada dostępu do systemu łączności radiowej, który spełniałby współczesne wymagania, a Polska pozostaje jedynym dużym krajem UE, który do dzisiaj nie uporał się z tym problemem.

Czytaj też: Udostępnianie i korzystanie z internetowych API - aspekty prawne i praktyczne >

Idea stworzenia bezpiecznego systemu łączności wróciła w najnowszej wersji wspomnianej nowelizacji ustawy o KSC. Przewiduje on powołanie instytucji operatora strategicznej sieci bezpieczeństwa. Jak mówi dr hab. Katarzyna Chałubińska-Jentkiewicz, ma on zapewnić zdolności w zakresie łączności służbom bezpieczeństwa i porządku publicznego oraz Siłom Zbrojnym RP, a także wysokiego poziomu bezpieczeństwa sieci teleinformatycznych stanowiących komunikacyjny kręgosłup państwa. Tyle, że OSSB budzi kontrowersje - do KPRM do najnowszej wersji projektu wpłynęło aż 81 stanowisk.

Mówi się, że jego operatorem ma być firma Exatel. I to budzi wątpliwości gen. Włodzimierza Nowaka, byłego pełnomocnika rządu ds. cyberbezpieczeństwa. Jego zdaniem tak ważna kwestia powinna być regulowana w oddzielnej ustawie. Po drugie wskazuje, że gdy mamy czterech dużych i kilku mniejszych, administracyjne tworzenie takiego operatora w formie proponowanej w projekcie nie zapewni żadnego bezpieczeństwa państwa, a wręcz to bezpieczeństwo pogorszy. - Jeśli są zapowiedzi, że z tego operatora będą zmuszeni korzystać wojsko, policja, urzędy państwowe, być może samorządy, do tego jeszcze infrastruktura krytyczna państwa, to zaczyna się robić niebezpieczne. Brakuje wtedy dywersyfikacji, potencjału, żeby odpierać potencjalne ataki. To również oczywisty sygnał, że wszystko mamy w jednym miejscu. Z punktu widzenia wojskowego najłatwiejsza rzecz do zniszczenia, czyli państwo można sparaliżować, unieszkodliwiając jednego operatora – dodaje generał.

Może rozbudują CATEL

Gdy Polska miała przejąć przewodnictwo Unii Europejskiej w 2011 roku, musiała stworzyć system umożliwiający nawiązywanie szyfrowanych połączeń między Polską, instytucjami unijnymi. ABW przygotowało CATEL – System Łączności Rządowej. System jest niezależny od operatora telefonii komórkowej, choć korzysta z oferowanej przez niego transmisji danych. Zabezpiecza także przed możliwością podszycia się pod inną osobę. Ma jednak minus: był przygotowany na 3,5 tysiąca telefonów i 500 laptopów. Jednak w październiku 2021 roku w nowelizacji tamtej ustawy budżetowej zwiększono pieniądze na cyfryzację administracji do 455 mln zł. Zgodnie z ustawą budżetową na 2022 roku na informatyzację administracji ma być 521 mln zł, w tym na , w tym na system CATEL. Zapytaliśmy Kancelarię Prezesa Rady Ministrów, czy planuje jego rozbudowę i czekamy na odpowiedź.

Marek Wójcik zwraca jednak uwagę na inny problem. – Rozmawiamy o cyberbezpieczeństwie, bezpiecznych łączach, które powinny być w każdym samorządzie, a tak naprawdę nawałnica potrafi odciąć nas od podstawowych możliwości komunikacyjnych, nie trzeba głowicy atomowej – mówi Marek Wójcik. Po ostatnich nawałnicach, po 2-3 godzinach braku prądu w wyniku przerwania linii energetycznej przestały działać nawet stacje telefonii komórkowej. I nie było agregatów, by je uruchomić.  – A w takiej sytuacji nie ma kontaktu również z centrami zarządzania kryzysowego – mówi Jacek Brygman, wójt Cekcyna w województwie zachodnio-pomorskim.

Paweł Szefernaker, wiceminister spraw wewnętrznych, obiecał na posiedzeniu Komisji Wspólnej Rządu i Samorządu, że rząd sfinansuje agregaty. Tyle, że jak zauważa Marek Wójcik, był powiat, w którym nie działała przez kilka dni żadna stacja benzynowa, i nawet jak ktoś miał agregat, to nie miał gdzie kupić paliwa.