Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Dokument wzorcowy

Prof. Tomasz ALEKSANDROWICZ

Profesor nadzw. Wyższej Szkoły Policji w Szczytnie. Ekspert zarządzania informacją z Centrum Badań nad Terroryzmem. Współtworzy Instytut Analizy Informacji Collegium Civitas.

Ryc.: Fabien Clairefond

zobacz inne teksty autora

Strategia Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej stosunkowo wiele miejsca poświęca cyberbezpieczeństwu stwierdzając, iż „wraz z pojawieniem się nowych technologii teleinformatycznych oraz rozwojem sieci Internet pojawiły się nowe zagrożenia, takie jak cyberprzestępczość, cyberterroryzm, cyberszpiegostwo, cyberkonflikty z udziałem podmiotów niepaństwowych oraz cyberwojna, rozumiana jako konfrontacja w cyberprzestrzeni między państwami. Obecne trendy rozwoju zagrożeń w cyberprestrzeni wyraźnie wskazują na rosnący wpływ poziomu bezpieczeństwa domeny cyfrowej na bezpieczeństwo ogólne kraju. Przy rosnącym uzależnieniu od technologii teleinformatycznych konflikty w cyberprzestrzeni mogą poważnie zakłócić funkcjonowanie społeczeństw i państw”. Ponieważ „cyberprzestrzeń stała się kolejnym środowiskiem walki zbrojnej”, Siły Zbrojne RP „muszą dysponować zdolnościami defensywnymi i ofensywnymi w tej sferze, tak aby realizować funkcję odstraszania potencjalnego przeciwnika. W szczególności muszą one być gotowe, samodzielnie i we współpracy z sojusznikami, do prowadzenia operacji ochronnych i obronnych na większą skalę w razie cyberkonfliktu lub cyberwojny” Wśród zagrożeń na poziomie globalnym Strategia Bezpieczeństwa Rzeczypospolitej Polskiej wymienia m.in. cyberprzestępczość, cyberterroryzm, cyberszpiegostwo, cyberkonflikty z udziałem podmiotów niepaństwowych oraz cyberwojny – konfrontację w cyberprzestrzeni pomiędzy państwami.

Opublikowana 22 stycznia 2015 r. Doktryna Cyberbezpieczeństwa RP stanowi transsektorowy dokument wykonawczy do Strategii Bezpieczeństwa Narodowego. Transsektorowość, pojęcie które pojawiło się w Białej Księdze Bezpieczeństwa Narodowego RP, oznacza w tym przypadku, że zagrożenia z funkcjonowaniem cyberprzestrzeni obejmują wiele sektorów bezpieczeństwa narodowego. Innymi słowy – obejmują swoją treścią problematykę właściwą jednocześnie różnym podmiotom, dziedzinom i sektorom tego bezpieczeństwa, np. bezpieczeństwo zewnętrzne lub wewnętrzne albo kwestie związane z współczesnymi transnarodowymi i asymetrycznymi zjawiskami i procesami bezpieczeństwa, jak np. bezpieczeństwo informacyjne, w tym cyberbezpieczeństwo, bezpieczeństwo antyterrorystyczne, przeciwdziałanie proliferacji broni masowego rażenia, zwalczanie przestępczości zorganizowanej. Trudno bowiem znaleźć w dzisiejszych czasach dziedzinę bezpieczeństwa, która mogłaby funkcjonować w oderwaniu od cyberprzestrzeni.

Równocześnie Doktryna stanowi podstawę koncepcyjną do przygotowania i realizacji skoordynowanych w skali państwa działań poszczególnych podmiotów sektora publicznego i sektora prywatnego, a zawarte w niej rekomendacje adresowane są zarówno do podmiotów publicznych, jak i prywatnych. Już samo to stwierdzenie udowadnia skalę trudności w zapewnieniu cyberbezpieczeństwa, bowiem funkcjonowanie w cyberprzestrzeni poszczególnych podmiotów, a przede wszystkim znacznej części infrastruktury krytycznej, zależne jest od podmiotów niepaństwowych, firm komercyjnych, rządzących się przecież inną racjonalnością i logiką niż sektor publiczny. Stąd nacisk na współpracę w sferze cyberbezpieczeństwa, oczekiwanie udziału sektora prywatnego w tworzeniu odpowiednich regulacji prawnych i współpracy z podmiotami publicznymi ale też rekomendacja wypracowania przez sektor prywatny instrumentów samoregulacyjnych w sferze cyberbezpieczeństwa.

Dokument składa się z czterech głównych części: omówienia celów strategicznych, charakterystyki środowiska bezpieczeństwa (wyzwania, zagrożenia, ryzyka, szanse), wyznaczenia zadań operacyjnych (czyli: jak osiągnąć cele strategiczne) i preparacyjnych (czyli: co jest potrzebne do rozwoju cyberbezpieczeństwa RP).

Cel strategiczny został określony w Strategii Bezpieczeństwa Narodowego RP – to zapewnienie bezpiecznego funkcjonowania Rzeczypospolitej Polskiej w cyberprzestrzeni. Doktryna precyzuje, iż chodzi o zapewnienie adekwatnego poziomu bezpieczeństwa narodowych systemów teleinformatycznych, zwłaszcza teleinformatycznej infrastruktury krytycznej państwa, a także kluczowych dla funkcjonowania społeczeństwa prywatnych podmiotów gospodarczych; w tym miejscu Doktryna podkreśla szczególne znaczenie sektorów finansowego, energetycznego i ochrony zdrowia, nie oznacza to wszakże degradacji pozostały – te trzy zostały uznane za kluczowe.

Środowisko cyberpezpieczeństwa zostało w Doktrynie opracowane szczegółowo; odrębnie potraktowano wymiar wewnętrzny i zewnętrzny, w każdym z nich podkreślając zagrożenia i wyzwania rozumiane jako szanse i ryzyka. To nie tylko proste wymienienie podstawowych zagrożeń w wyzwań, to także otwarte wskazanie, iż wobec dynamicznego wzrostu uzależnienia sprawnego funkcjonowania państwa i społeczeństwa od cyberprzestrzeni zagrożenia te będą się zwiększać. Czynnikiem komplikującym kwestie zapewnienia cyberbezpieczeństwa jest konieczność koordynacji działań pomiędzy podmiotami państwowymi i prywatnymi. Oceniając ryzyka w sferze wewnętrznej Doktryna jasno stwierdza, iż wiążą się one głownie z lukami i słabościami istniejącymi w systemie cyberbezpieczeństwa, a przede wszystkim nieuregulowane lub niewłaściwie uregulowane relacje pomiędzy poszczególnymi elementami systemu (a zwłaszcza nieprecyzyjne określenie odpowiedzialności) oraz istniejące luki prawne. Trudno w tym kontekście nie zauważyć związku z wynikami przeprowadzonej w 2014 r. przez NIK kontroli bezpieczeństwa RP w cyberprzestrzeni.

Doktryna jasno wymienia ryzyka. Nie analizując w tym miejscu wszystkich warto wszakże zwrócić uwagę na te, które mogą wywołać kontrowersje – dobrze, że mimo tego zostały jasno sformułowane.

Po pierwsze – zakupy wysoce zinformatyzowanych systemów technicznych obcej produkcji wykorzystywanych dla potrzeb bezpieczeństwa narodowego (militarnego, pozamilitarnego, wewnętrznego i zewnętrznego). Zdaniem twórców Doktryny szczególnie wysokie ryzyko wiąże się z brakiem dostępu do kodów źródłowych ich oprogramowania, gwarantujących informatyczne panowanie (kontrolę) nad nimi.

Po drugie – ryzyka dla cyberbezpieczeństwa RP wiążą się ze strukturą własności prywatnych operatorów i dostawców usług teleinformatycznych, szczególnie w przypadku podmiotów transnarodowych z zagranicznymi ośrodkami decyzyjnymi, ograniczającą wpływ państwa na ich funkcjonowanie.

Po trzecie – kwestia ochrony praw człowieka, a zwłaszcza prawa do prywatności. Do działań mogących rodzić ryzyka Doktryna zalicza próby wprowadzania zmian organizacyjnych i prawnych w zakresie cyberbepieczeństwa bez zapewniania koniecznego dialogu i konsultacji społecznych, co może powodować sprzeciwy motywowane obawami o naruszenia praw człowieka lub wolności gospodarczej. Co więcej coraz szersze zagospodarowywanie cybeprzestrzeni może stwarzać ryzyko braku akceptacji społecznej dla racjonalnego określenia granicy między wolnością osobistą i ochroną praw jednostki w świecie wirtualnym a stosowaniem środków służących zapewnieniu akceptowalnego poziomu bezpieczeństwa. Znów więc pojawia się napięcie między wolnością a bezpieczeństwem. Dlatego właśnie w wielu miejscach Doktryna podkreśla znaczenie współpracy pomiędzy sektorem publicznym (państwem), sektorem prywatnym i społeczeństwem obywatelskim.

Jako szansę Doktryna postrzega rozwój potencjału naukowego RP w dziedzinie nauk informatycznych i matematycznych, dający możliwość rozwijania narodowych systemów służących cyberbezpieczeństwu, kryptologii i kryptografii, zapewniających suwerenne panowanie nad systemami informatycznymi należącymi do państwa. Trudno w tym kontekście nie odwołać się do debaty na temat kondycji polskiego szkolnictwa wyższego, jaka toczy się również na stronach portalu Wszystko Co Najważniejsze. To bardzo ważki argument: rozwój nauki w sposób bezpośredni wiąże się z bezpieczeństwem narodowym. Dobrze, że zostało to jasno i dobitnie sformułowane, oznacza to bowiem także, iż każdy kto przeszkadza w rozwoju nauki (w różny sposób) de facto działa jako szkodnik – także w wymiarze bezpieczeństwa narodowego.

W wymiarze zewnętrznym Doktryna jako zagrożenia wymienia cyberkryzysy i cyberkonflikty z udziałem podmiotów państwowych i niepaństwowych, także w postaci cyberwojny podkreślając przy tym, że operacje w cyberprzestrzeni stanowią dziś integralną część kryzysów i konfliktów polityczno militarnych (wojen) w ramach ich hybrydowego charakteru. Dobitnym potwierdzeniem tej tezy jest konflikt ukraiński. Ponadto Doktryna wskazuje na cyberszpiegostwo (wiążące się z nieautoryzowanym dostępem do danych chronionych) oraz zagrożenia związane z działalnością organizacji terrorystycznych, ekstremistycznych czy przestępczych dokonujących cyberataków o podłożu ideologicznym, politycznym, religijnym, biznesowym czy kryminalnym.

Wśród ryzyk doktryna wymienia brak wspólnych, uzgodnionych definicji zjawisk i procesów w cyberprzestrzeni w relacjach z naszymi sojusznikami i partnerami międzynarodowymi. To jeden z elementów tzw. sytuacji trudnokonsensowych, a więc takich, które wobec braku jednolitej, przyjętej np. w ramach NATO definicji, utrudniają, a niekiedy wręcz uniemożliwiają podjęcie decyzji dotyczącej reakcji sojuszniczej. O jasność sformułowań zadbali twórcy Doktryny, zawiera ona bowiem we Wprowadzeniu swoisty słowniczek złożony z definicji głównych pojęć używanych w dokumencie. Nie od rzeczy będzie też wskazać, że Biuro Bezpieczeństwa Narodowego rozpoczęło prace nad Encyklopedią Bezpieczeństwa Narodowego, których pierwszym etapem jest opracowanie słownika terminów z tego zakresu; propozycje BBN dostępne są na stronie internetowej Biura [LINK].

Cele operacyjne służące osiągnięciu celu strategicznego mieszczą się w pięciu kategoriach. Konieczna jest zatem ocena warunków cyberbezpieczeństwa (rozpoznanie zagrożeń, szacowanie ryzyk i identyfikacja szans), zapobiegnie zagrożeniom, redukowanie ryzyk i wykorzystywanie szans, ochrona i obrona własnych systemów, zwalczanie źródeł zagrożeń (aktywna obrona oraz działania ofensywne) i zdolność do odtwarzania funkcjonalności systemów po ewentualnym ataku. W dokumencie zadania te zostały doprecyzowane i rozwinięte dla poszczególnych kategorii podmiotów, a więc do sektora publicznego, funkcjonującego w wymiarze krajowym i międzynarodowym, sektora prywatnego, a także społeczeństwa obywatelskiego (m.in. monitorowanie propozycji zmian prawnych i organizacyjnych w celu zapewnienia ochrony praw człowieka, w tym prawa do prywatności w internecie oraz wolontariat dla cyberbezpieczeństwa i cyberobrony). Warto też zwrócić uwagę na zadanie transsektorowe (adresowane do wszystkich sektorów): zapewnienie koordynacji współpracy i wymiany informacji między sektorem publicznym i prywatny oraz tworzenie dobrych praktyk w obszarze cyberbezpieczeństwa.

Wreszcie zadania preparacyjne, których realizacja jest niezbędna do stworzenia, utrzymywania i doskonalenia zintegrowanego, zarządzanego i koordynowanego ponadresortowo systemu cyberbezpieczeństwa RP. Sformułowanie i opublikowanie zadań preparacyjnych stanowi w znacznej mierze o użyteczności Doktryny – nie została ona „zawieszona” w próżni teoretycznych (choć słusznych!) postulatów, lecz zyskała walor praktyczności, odpowiada bowiem na pytanie: co robić?

Za podstawowe zadanie preparacyjne (przygotowawcze) Doktryna uznaje stworzenie takiego systemu. Musi on obejmować podsystem kierowania (zdolny do organizowania i koordynowania działań podmiotów rządowych i pozarządowych realizujących zadania w zakresie bezpieczeństwa) oraz podsystemy operacyjne i wsparcia, zdolne do samodzielnego prowadzenia defensywnych (ochronnych i obronnych) oraz ofensywnych cyberoperacji, a także udzielania i przyjmowania wsparcia w ramach działań sojuszniczych.

Na poziomie strategicznym za koordynację działań w zakresie cyberbezpieczeństwa jest Rada Ministrów, co ma gwarantować „ponadresortowość” systemu. Podobnie jak w przypadku zadań operacyjnych Doktryna przewiduje udział w szeroko rozumianym systemie cyberbezpieczeństwa także sektora prywatnego; ma to umożliwić powstanie synergii publiczno – prywatnego partnerstwa na rzecz cyberbezpieczeństwa RP. Co więcej – Doktryna uznaje indywidualnych użytkowników, ich umiejętności i świadomość bezpieczeństwa, za jeden z filarów cyberbezpieczeństwa państwa, podkreślając konieczność ukształtowania mechanizmu przekazywania wiedzy i umiejętności w taki sposób, aby służyły one zwiększeniu szans na osiągnięcie pożądanego poziomu cyberbezpieczeństwa. To postawienie przysłowiowej kropki nad i: cyberbezpieczeństwa rozumianego w kategoriach bezpieczeństwa narodowego Rzeczypospolitej Polskiej nie da się budować i chronić wyłącznie siłami państwa. Taki zabieg byłby z góry skazany na niepowodzenie.

Wśród zadań preparacyjnych dla podsystemu operacyjnego na szczególną uwagę zasługują trzy z nich.

Po pierwsze – zadania dla Sił Zbrojnych RP. To nie tylko zdolność od obrony i ochrony własnych systemów teleinformatycznych ale także rozwój zdolności do działań ofensywnych w cyberprzestrzeni. Zdolności te (defensywne i ofensywne) oznaczają zwiększenie narodowego potencjału odstraszania potencjalnego agresora. Doktryna zakłada również ich integrację z pozostałymi zdolnościami Sił Zbrojnych, także na wypadek cyberwojny, czy to samoistnej, czy też jako elementu klasycznych działań wojennych. Rzecz jasna, istotną kwestią jest w tym zakresie zdolność do współdziałania z sojusznikami.

Po drugie – to rozwój zdolności służb wywiadowczych i kontrwywiadowczych do działań w cyberprzestrzeni. Widać wyraźnie, że twórcy Doktryny są w pełni świadomi faktu, iż praca wywiadu i kontrwywiadu w znacznej mierze przeniosła się dziś do cyberprzestrzeni. To coraz istotniejszy element, którego znaczenie będzie wzrastać.

Po trzecie wreszcie – uzyskanie pełnych kompetencji oraz zdolności do wytwarzania polskich rozwiązań technologicznych służących zapewnieniu akceptowalnego poziomu bezpieczeństwa w cyberprzestrzeni. To nie tylko strategiczna konieczność dostępu do kodów źródłowych oprogramowania wykorzystywanego w Polsce uzbrojenia i sprzętu produkcji zagranicznej, lecz także zdolności i kompetencje w dziedzinie kryptologii. A zatem – po raz kolejny podkreślenie znaczenia nauki dla bezpieczeństwa narodowego.

* * *

Dobrze się stało, że Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej została opublikowana niemal bezpośrednio po przeprowadzeniu przez Departament Porządku i Bezpieczeństwa Publicznego NIK kontroli bezpieczeństwa Rzeczypospolitej Polskiej w cyberprzestrzeni. Kontrolerzy NIK sprawdzili czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni.

Wyniki tej kontroli to tak naprawdę dwie wiadomości: dobra i zła. Zła – bowiem, jak stwierdza NIK, podstawowym słowem opisującym stan bezpieczeństwa Polski w cyberprzestrzeni jest „brak”: brak świadomości zagrożeń u decydentów politycznych, brak wizji systemowej, brak ośrodka decyzyjnego i koordynacyjnego, brak współpracy instytucji państwowych, brak kompleksowych regulacji prawnych… Niewesoły to obraz. Trzeba przyznać, że zbieżny z oceną środowiska cyberbezpieczeństwa RP zawartą w Doktrynie.

Dobra wiadomość jest natomiast taka: ktoś głośno, jasno i wyraźnie powiedział, że król jest nagi. Wymówki się skończyły. Strategia Bezpieczeństwa Narodowego RP musi być implementowana – także w obszarze cyberbezpieczeństwa. Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej to pierwszy krok w kierunku tej implementacji. Przesłanie Prezydenta RP towarzyszące Doktrynie to także – w pewnej mierze – odpowiedź na jeden z zarzutów NIK dotyczący braku świadomości zagrożeń u decydentów politycznych.

Tomasz Aleksandrowicz

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.

Chcę otrzymywać powiadomienia o najnowszych tekstach.

  • Filip Lachert

    Stworzenie nowej strategii to dobry pierwszy krok, aczkolwiek Polska jest krajem, w którym takich zawieszonych w próżni teoretycznej, niemożliwych bądź niewartych wdrożenia dokumentów produkuje się bez liku. Jeśli dobrze zrozumiałem wymowę artykułu to doktryna ta (przynajmniej w zakresie cyberbezpieczeństwa) ma szansę stać się dokumentem przekładanym na działania przywoływanych instytucji. A czy towarzyszy jej jakikolwiek harmonogram albo plan działań? Czy może za 2 lata NIK stwierdzi, że mieliśmy dobrą strategię ale nikt jej nie wdrożył, bo nie było komu, bo nikt nie podjął tematu więc strategia jest już warta jedynie umieszczenia w archiwach jako ciekawostka? Czy jest jakieś ciało, które będzie koordynować ów proces (BBN chyba odpada skoro ma się tym zająć Rada Ministrów)? Czy ktokolwiek ma szansę albo chęć kontrolować na bieżąco postępy wdrażania?

    • Tomek Aleksandrowicz

      To rzeczywiście pierwszy krok, a raczej – kolejny pierwszy. BBN nie ma kompetencji do formalnych kontroli ale – jak widać – może głosić to, czego nie zrobiono, a co zrobić trzeba. Kontrolą zajmuje się NIK – jak wyglądają wyniki tej kontroli – napisałem w tekście.

Autorzy wszyscy autorzy

A B C D E F G H I J K L M N O P R S T U W Y Z