"Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Dokument wzorcowy"
Strategia Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej stosunkowo wiele miejsca poświęca cyberbezpieczeństwu stwierdzając, iż „wraz z pojawieniem się nowych technologii teleinformatycznych oraz rozwojem sieci Internet pojawiły się nowe zagrożenia, takie jak cyberprzestępczość, cyberterroryzm, cyberszpiegostwo, cyberkonflikty z udziałem podmiotów niepaństwowych oraz cyberwojna, rozumiana jako konfrontacja w cyberprzestrzeni między państwami. Obecne trendy rozwoju zagrożeń w cyberprestrzeni wyraźnie wskazują na rosnący wpływ poziomu bezpieczeństwa domeny cyfrowej na bezpieczeństwo ogólne kraju. Przy rosnącym uzależnieniu od technologii teleinformatycznych konflikty w cyberprzestrzeni mogą poważnie zakłócić funkcjonowanie społeczeństw i państw”. Ponieważ „cyberprzestrzeń stała się kolejnym środowiskiem walki zbrojnej”, Siły Zbrojne RP „muszą dysponować zdolnościami defensywnymi i ofensywnymi w tej sferze, tak aby realizować funkcję odstraszania potencjalnego przeciwnika. W szczególności muszą one być gotowe, samodzielnie i we współpracy z sojusznikami, do prowadzenia operacji ochronnych i obronnych na większą skalę w razie cyberkonfliktu lub cyberwojny” Wśród zagrożeń na poziomie globalnym Strategia Bezpieczeństwa Rzeczypospolitej Polskiej wymienia m.in. cyberprzestępczość, cyberterroryzm, cyberszpiegostwo, cyberkonflikty z udziałem podmiotów niepaństwowych oraz cyberwojny – konfrontację w cyberprzestrzeni pomiędzy państwami.
Opublikowana 22 stycznia 2015 r. Doktryna Cyberbezpieczeństwa RP stanowi transsektorowy dokument wykonawczy do Strategii Bezpieczeństwa Narodowego. Transsektorowość, pojęcie które pojawiło się w Białej Księdze Bezpieczeństwa Narodowego RP, oznacza w tym przypadku, że zagrożenia z funkcjonowaniem cyberprzestrzeni obejmują wiele sektorów bezpieczeństwa narodowego. Innymi słowy – obejmują swoją treścią problematykę właściwą jednocześnie różnym podmiotom, dziedzinom i sektorom tego bezpieczeństwa, np. bezpieczeństwo zewnętrzne lub wewnętrzne albo kwestie związane z współczesnymi transnarodowymi i asymetrycznymi zjawiskami i procesami bezpieczeństwa, jak np. bezpieczeństwo informacyjne, w tym cyberbezpieczeństwo, bezpieczeństwo antyterrorystyczne, przeciwdziałanie proliferacji broni masowego rażenia, zwalczanie przestępczości zorganizowanej. Trudno bowiem znaleźć w dzisiejszych czasach dziedzinę bezpieczeństwa, która mogłaby funkcjonować w oderwaniu od cyberprzestrzeni.
Równocześnie Doktryna stanowi podstawę koncepcyjną do przygotowania i realizacji skoordynowanych w skali państwa działań poszczególnych podmiotów sektora publicznego i sektora prywatnego, a zawarte w niej rekomendacje adresowane są zarówno do podmiotów publicznych, jak i prywatnych. Już samo to stwierdzenie udowadnia skalę trudności w zapewnieniu cyberbezpieczeństwa, bowiem funkcjonowanie w cyberprzestrzeni poszczególnych podmiotów, a przede wszystkim znacznej części infrastruktury krytycznej, zależne jest od podmiotów niepaństwowych, firm komercyjnych, rządzących się przecież inną racjonalnością i logiką niż sektor publiczny. Stąd nacisk na współpracę w sferze cyberbezpieczeństwa, oczekiwanie udziału sektora prywatnego w tworzeniu odpowiednich regulacji prawnych i współpracy z podmiotami publicznymi ale też rekomendacja wypracowania przez sektor prywatny instrumentów samoregulacyjnych w sferze cyberbezpieczeństwa.
Dokument składa się z czterech głównych części: omówienia celów strategicznych, charakterystyki środowiska bezpieczeństwa (wyzwania, zagrożenia, ryzyka, szanse), wyznaczenia zadań operacyjnych (czyli: jak osiągnąć cele strategiczne) i preparacyjnych (czyli: co jest potrzebne do rozwoju cyberbezpieczeństwa RP).
Cel strategiczny został określony w Strategii Bezpieczeństwa Narodowego RP – to zapewnienie bezpiecznego funkcjonowania Rzeczypospolitej Polskiej w cyberprzestrzeni. Doktryna precyzuje, iż chodzi o zapewnienie adekwatnego poziomu bezpieczeństwa narodowych systemów teleinformatycznych, zwłaszcza teleinformatycznej infrastruktury krytycznej państwa, a także kluczowych dla funkcjonowania społeczeństwa prywatnych podmiotów gospodarczych; w tym miejscu Doktryna podkreśla szczególne znaczenie sektorów finansowego, energetycznego i ochrony zdrowia, nie oznacza to wszakże degradacji pozostały – te trzy zostały uznane za kluczowe.
Środowisko cyberpezpieczeństwa zostało w Doktrynie opracowane szczegółowo; odrębnie potraktowano wymiar wewnętrzny i zewnętrzny, w każdym z nich podkreślając zagrożenia i wyzwania rozumiane jako szanse i ryzyka. To nie tylko proste wymienienie podstawowych zagrożeń w wyzwań, to także otwarte wskazanie, iż wobec dynamicznego wzrostu uzależnienia sprawnego funkcjonowania państwa i społeczeństwa od cyberprzestrzeni zagrożenia te będą się zwiększać. Czynnikiem komplikującym kwestie zapewnienia cyberbezpieczeństwa jest konieczność koordynacji działań pomiędzy podmiotami państwowymi i prywatnymi. Oceniając ryzyka w sferze wewnętrznej Doktryna jasno stwierdza, iż wiążą się one głownie z lukami i słabościami istniejącymi w systemie cyberbezpieczeństwa, a przede wszystkim nieuregulowane lub niewłaściwie uregulowane relacje pomiędzy poszczególnymi elementami systemu (a zwłaszcza nieprecyzyjne określenie odpowiedzialności) oraz istniejące luki prawne. Trudno w tym kontekście nie zauważyć związku z wynikami przeprowadzonej w 2014 r. przez NIK kontroli bezpieczeństwa RP w cyberprzestrzeni.
Doktryna jasno wymienia ryzyka. Nie analizując w tym miejscu wszystkich warto wszakże zwrócić uwagę na te, które mogą wywołać kontrowersje – dobrze, że mimo tego zostały jasno sformułowane.
Po pierwsze – zakupy wysoce zinformatyzowanych systemów technicznych obcej produkcji wykorzystywanych dla potrzeb bezpieczeństwa narodowego (militarnego, pozamilitarnego, wewnętrznego i zewnętrznego). Zdaniem twórców Doktryny szczególnie wysokie ryzyko wiąże się z brakiem dostępu do kodów źródłowych ich oprogramowania, gwarantujących informatyczne panowanie (kontrolę) nad nimi.
Po drugie – ryzyka dla cyberbezpieczeństwa RP wiążą się ze strukturą własności prywatnych operatorów i dostawców usług teleinformatycznych, szczególnie w przypadku podmiotów transnarodowych z zagranicznymi ośrodkami decyzyjnymi, ograniczającą wpływ państwa na ich funkcjonowanie.
Po trzecie – kwestia ochrony praw człowieka, a zwłaszcza prawa do prywatności. Do działań mogących rodzić ryzyka Doktryna zalicza próby wprowadzania zmian organizacyjnych i prawnych w zakresie cyberbepieczeństwa bez zapewniania koniecznego dialogu i konsultacji społecznych, co może powodować sprzeciwy motywowane obawami o naruszenia praw człowieka lub wolności gospodarczej. Co więcej coraz szersze zagospodarowywanie cybeprzestrzeni może stwarzać ryzyko braku akceptacji społecznej dla racjonalnego określenia granicy między wolnością osobistą i ochroną praw jednostki w świecie wirtualnym a stosowaniem środków służących zapewnieniu akceptowalnego poziomu bezpieczeństwa. Znów więc pojawia się napięcie między wolnością a bezpieczeństwem. Dlatego właśnie w wielu miejscach Doktryna podkreśla znaczenie współpracy pomiędzy sektorem publicznym (państwem), sektorem prywatnym i społeczeństwem obywatelskim.
Jako szansę Doktryna postrzega rozwój potencjału naukowego RP w dziedzinie nauk informatycznych i matematycznych, dający możliwość rozwijania narodowych systemów służących cyberbezpieczeństwu, kryptologii i kryptografii, zapewniających suwerenne panowanie nad systemami informatycznymi należącymi do państwa. Trudno w tym kontekście nie odwołać się do debaty na temat kondycji polskiego szkolnictwa wyższego, jaka toczy się również na stronach portalu Wszystko Co Najważniejsze. To bardzo ważki argument: rozwój nauki w sposób bezpośredni wiąże się z bezpieczeństwem narodowym. Dobrze, że zostało to jasno i dobitnie sformułowane, oznacza to bowiem także, iż każdy kto przeszkadza w rozwoju nauki (w różny sposób) de facto działa jako szkodnik – także w wymiarze bezpieczeństwa narodowego.
W wymiarze zewnętrznym Doktryna jako zagrożenia wymienia cyberkryzysy i cyberkonflikty z udziałem podmiotów państwowych i niepaństwowych, także w postaci cyberwojny podkreślając przy tym, że operacje w cyberprzestrzeni stanowią dziś integralną część kryzysów i konfliktów polityczno militarnych (wojen) w ramach ich hybrydowego charakteru. Dobitnym potwierdzeniem tej tezy jest konflikt ukraiński. Ponadto Doktryna wskazuje na cyberszpiegostwo (wiążące się z nieautoryzowanym dostępem do danych chronionych) oraz zagrożenia związane z działalnością organizacji terrorystycznych, ekstremistycznych czy przestępczych dokonujących cyberataków o podłożu ideologicznym, politycznym, religijnym, biznesowym czy kryminalnym.
Wśród ryzyk doktryna wymienia brak wspólnych, uzgodnionych definicji zjawisk i procesów w cyberprzestrzeni w relacjach z naszymi sojusznikami i partnerami międzynarodowymi. To jeden z elementów tzw. sytuacji trudnokonsensowych, a więc takich, które wobec braku jednolitej, przyjętej np. w ramach NATO definicji, utrudniają, a niekiedy wręcz uniemożliwiają podjęcie decyzji dotyczącej reakcji sojuszniczej. O jasność sformułowań zadbali twórcy Doktryny, zawiera ona bowiem we Wprowadzeniu swoisty słowniczek złożony z definicji głównych pojęć używanych w dokumencie. Nie od rzeczy będzie też wskazać, że Biuro Bezpieczeństwa Narodowego rozpoczęło prace nad Encyklopedią Bezpieczeństwa Narodowego, których pierwszym etapem jest opracowanie słownika terminów z tego zakresu; propozycje BBN dostępne są na stronie internetowej Biura [LINK].
Cele operacyjne służące osiągnięciu celu strategicznego mieszczą się w pięciu kategoriach. Konieczna jest zatem ocena warunków cyberbezpieczeństwa (rozpoznanie zagrożeń, szacowanie ryzyk i identyfikacja szans), zapobiegnie zagrożeniom, redukowanie ryzyk i wykorzystywanie szans, ochrona i obrona własnych systemów, zwalczanie źródeł zagrożeń (aktywna obrona oraz działania ofensywne) i zdolność do odtwarzania funkcjonalności systemów po ewentualnym ataku. W dokumencie zadania te zostały doprecyzowane i rozwinięte dla poszczególnych kategorii podmiotów, a więc do sektora publicznego, funkcjonującego w wymiarze krajowym i międzynarodowym, sektora prywatnego, a także społeczeństwa obywatelskiego (m.in. monitorowanie propozycji zmian prawnych i organizacyjnych w celu zapewnienia ochrony praw człowieka, w tym prawa do prywatności w internecie oraz wolontariat dla cyberbezpieczeństwa i cyberobrony). Warto też zwrócić uwagę na zadanie transsektorowe (adresowane do wszystkich sektorów): zapewnienie koordynacji współpracy i wymiany informacji między sektorem publicznym i prywatny oraz tworzenie dobrych praktyk w obszarze cyberbezpieczeństwa.
Wreszcie zadania preparacyjne, których realizacja jest niezbędna do stworzenia, utrzymywania i doskonalenia zintegrowanego, zarządzanego i koordynowanego ponadresortowo systemu cyberbezpieczeństwa RP. Sformułowanie i opublikowanie zadań preparacyjnych stanowi w znacznej mierze o użyteczności Doktryny – nie została ona „zawieszona” w próżni teoretycznych (choć słusznych!) postulatów, lecz zyskała walor praktyczności, odpowiada bowiem na pytanie: co robić?
Za podstawowe zadanie preparacyjne (przygotowawcze) Doktryna uznaje stworzenie takiego systemu. Musi on obejmować podsystem kierowania (zdolny do organizowania i koordynowania działań podmiotów rządowych i pozarządowych realizujących zadania w zakresie bezpieczeństwa) oraz podsystemy operacyjne i wsparcia, zdolne do samodzielnego prowadzenia defensywnych (ochronnych i obronnych) oraz ofensywnych cyberoperacji, a także udzielania i przyjmowania wsparcia w ramach działań sojuszniczych.
Na poziomie strategicznym za koordynację działań w zakresie cyberbezpieczeństwa jest Rada Ministrów, co ma gwarantować „ponadresortowość” systemu. Podobnie jak w przypadku zadań operacyjnych Doktryna przewiduje udział w szeroko rozumianym systemie cyberbezpieczeństwa także sektora prywatnego; ma to umożliwić powstanie synergii publiczno – prywatnego partnerstwa na rzecz cyberbezpieczeństwa RP. Co więcej – Doktryna uznaje indywidualnych użytkowników, ich umiejętności i świadomość bezpieczeństwa, za jeden z filarów cyberbezpieczeństwa państwa, podkreślając konieczność ukształtowania mechanizmu przekazywania wiedzy i umiejętności w taki sposób, aby służyły one zwiększeniu szans na osiągnięcie pożądanego poziomu cyberbezpieczeństwa. To postawienie przysłowiowej kropki nad i: cyberbezpieczeństwa rozumianego w kategoriach bezpieczeństwa narodowego Rzeczypospolitej Polskiej nie da się budować i chronić wyłącznie siłami państwa. Taki zabieg byłby z góry skazany na niepowodzenie.
Wśród zadań preparacyjnych dla podsystemu operacyjnego na szczególną uwagę zasługują trzy z nich.
Po pierwsze – zadania dla Sił Zbrojnych RP. To nie tylko zdolność od obrony i ochrony własnych systemów teleinformatycznych ale także rozwój zdolności do działań ofensywnych w cyberprzestrzeni. Zdolności te (defensywne i ofensywne) oznaczają zwiększenie narodowego potencjału odstraszania potencjalnego agresora. Doktryna zakłada również ich integrację z pozostałymi zdolnościami Sił Zbrojnych, także na wypadek cyberwojny, czy to samoistnej, czy też jako elementu klasycznych działań wojennych. Rzecz jasna, istotną kwestią jest w tym zakresie zdolność do współdziałania z sojusznikami.
Po drugie – to rozwój zdolności służb wywiadowczych i kontrwywiadowczych do działań w cyberprzestrzeni. Widać wyraźnie, że twórcy Doktryny są w pełni świadomi faktu, iż praca wywiadu i kontrwywiadu w znacznej mierze przeniosła się dziś do cyberprzestrzeni. To coraz istotniejszy element, którego znaczenie będzie wzrastać.
Po trzecie wreszcie – uzyskanie pełnych kompetencji oraz zdolności do wytwarzania polskich rozwiązań technologicznych służących zapewnieniu akceptowalnego poziomu bezpieczeństwa w cyberprzestrzeni. To nie tylko strategiczna konieczność dostępu do kodów źródłowych oprogramowania wykorzystywanego w Polsce uzbrojenia i sprzętu produkcji zagranicznej, lecz także zdolności i kompetencje w dziedzinie kryptologii. A zatem – po raz kolejny podkreślenie znaczenia nauki dla bezpieczeństwa narodowego.
* * *
Dobrze się stało, że Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej została opublikowana niemal bezpośrednio po przeprowadzeniu przez Departament Porządku i Bezpieczeństwa Publicznego NIK kontroli bezpieczeństwa Rzeczypospolitej Polskiej w cyberprzestrzeni. Kontrolerzy NIK sprawdzili czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni.
Wyniki tej kontroli to tak naprawdę dwie wiadomości: dobra i zła. Zła – bowiem, jak stwierdza NIK, podstawowym słowem opisującym stan bezpieczeństwa Polski w cyberprzestrzeni jest „brak”: brak świadomości zagrożeń u decydentów politycznych, brak wizji systemowej, brak ośrodka decyzyjnego i koordynacyjnego, brak współpracy instytucji państwowych, brak kompleksowych regulacji prawnych… Niewesoły to obraz. Trzeba przyznać, że zbieżny z oceną środowiska cyberbezpieczeństwa RP zawartą w Doktrynie.
Dobra wiadomość jest natomiast taka: ktoś głośno, jasno i wyraźnie powiedział, że król jest nagi. Wymówki się skończyły. Strategia Bezpieczeństwa Narodowego RP musi być implementowana – także w obszarze cyberbezpieczeństwa. Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej to pierwszy krok w kierunku tej implementacji. Przesłanie Prezydenta RP towarzyszące Doktrynie to także – w pewnej mierze – odpowiedź na jeden z zarzutów NIK dotyczący braku świadomości zagrożeń u decydentów politycznych.
Tomasz Aleksandrowicz