Polska: Rząd nową ustawą chce zapewnić cyberbezpieczeństwo kraju

Polska: Rząd nową ustawą chce zapewnić cyberbezpieczeństwo kraju Fot. Shutterstock, Inc.

Wczoraj rząd przyjął projekty dwóch ustaw o dużym znaczeniu dla polskiej cyberprzestrzeni. Pierwsza dotyczy krajowego systemu cyberbezpieczeństwa, druga wiąże się z kwestią identyfikacji elektronicznej w cyfrowych usługach administracji publicznej. Co ich przyjęcie będzie oznaczało w rzeczywistości? Jak bowiem możecie się spodziewać, w treści projektów ustaw znajdziemy sporo pobożnych życzeń, a niewiele konkretnych rozwiązań.

W kwestii cyberbezpieczeństwa rząd stawia na centralizację. Projekt ustawy określa organizację krajowego systemu cyberbezpieczeństwa, sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Powstały w ten sposób system ma zapewniać bezpieczeństwo informatyczne na poziomie krajowym, w szczególności niezakłócone działanie kluczowych dla administracji i gospodarki usług cyfrowych. Ewentualne incydenty mają spotkać się z efektywną reakcją wszystkich zainteresowanych podmiotów, koordynowaną w ramach systemu, który ma być kompletny, transparentny i kompleksowy.

Przez kompletność rozumie się tu ustanowienie systemu we wszystkich kluczowych sektorach – energetycznym, transportowym, zdrowotnym, wodociągowym oraz bankowości i infrastruktury rynków finansowych i dostawców usług cyfrowych. Transparentność zapewne dotyczy procesu obiegu informacji i koordynacji działań poszczególnych CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Kompleksowość obejmuje m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania i postępowania z incydentami, przeprowadzanie audytów czy powoływanie odpowiedzialnych za koordynację pracowników.

CSIRT odpowiedzialne będą też za zagrożenia o charakterze ponadsektorowym oraz transgranicznym. W tym ostatnim wypadku chodzi przede wszystkim o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Szczęśliwie rząd już zapowiedział, że będą one objęte łagodniejszym reżimem regulacyjnym. W systemie tym mają brać udział też podmioty publiczne, zobowiązane do samodzielnej obsługi incydentów, jednak przy zapewnieniu swobody co do realizacji tego obowiązku.

Ustawa przewiduje też włączenie cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT w razie wystąpienia incydentu krytycznego, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego, mają informować o tym Rządowe Centrum Bezpieczeństwa. Do komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie posłuży zaś Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa.

Projekt ustawy wprowadza również trzy kategorie incydentów cyberbezpieczeństwa:

  • incydent poważny, zgłaszany przez operatora usług kluczowych, związany będzie z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej,
  • incydent istotny, który musi mieć istotny wpływ na świadczenie usługi cyfrowej.
  • incydent krytyczny, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji


Tym wszystkim na poziomie administracyjnym, regulacyjnym i kontrolnym zajmować się ma oczywiście rząd. Projektodawca zakłada powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (powoływany i odwoływany przez premiera, podlegający Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier). Nadzór nad poszczególnymi sektorami kluczowymi przypisano właściwym ministrom dla sektora energii, transportowego, ochrony zdrowia, zaopatrzenia w wodę, infrastruktury cyfrowej i dostawców usług cyfrowych. Jedynie w wypadku bankowości i instytucji finansowych obowiązek ten nałożono na Komisję Nadzoru Finansowego.

Sam zaś minister cyfryzacji ma za zadanie monitorować wdrażanie Strategii Cyberbezpieczeństwa, prowadzić wykaz operatorów usług kluczowych, odpowiadać za politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. On też będzie prowadził wspomniany Pojedynczy Punkt Kontaktowy i przygotowywał sprawozdania dla instytucji unijnych. W przyszłości jego zadaniem stanie się też rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Według autorów projektu, działania te mają sprawić, że Polska będzie w bardziej skoordynowany sposób przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni – przynajmniej w porównaniu do istniejącego systemu bezpieczeństwa. Wreszcie też jakąś rolę w tym systemie cyberbezpieczeństwa odegrać miałby sektor prywatny, ulepszono by też koordynację działań i wymiany informacji w warstwie strategiczno-politycznej pomiędzy instytucjami cywilnymi i wojskowymi.

Jak widać powstaje kolejna ogromna, scentralizowana struktura administracyjna, której zadaniem będzie radzenie sobie ze zwinnymi, zdecentralizowanymi cyberatakami wyprowadzanymi przecież najczęściej przez niezależne (choć nierzadko sponsorowane przez władze innych państw) grupy hakerskie. Na ile taki paradygmat może być skuteczny w warunkach realnego zagrożenia, nie mówiąc już o wojnie? Czy cyberbezpieczeństwo można wprowadzić ustawą? Przekonamy się o tym już niebawem – ustawa niebawem trafi do Sejmu, gdzie raczej nie są spodziewane jakieś znaczące poprawki.

Jeden login do wszystkich państwowych usług

Wspomnieliśmy też na początku o identyfikacji elektronicznej. Rząd przyjął bowiem wczoraj też ustawę węzłową, tj. projekt ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw. Mówi ona o wprowadzeniu jednego, loginu, który docelowo pozwoli na korzystanie ze wszystkich cyfrowych usług administracji rządowej.

Ustawa zawiera też regulacje, które będą podstawą prawną do funkcjonowania publicznej aplikacji mobilnej mDokumenty, która od niespełna roku przechodzi program pilotażowy w kilku miastach. W założeniu ma ona stać się wirtualnym zamiennikiem dla fizycznych dokumentów. Początkowo dowodu osobistego, ale później także praw jazdy, OC, dowodów rejestracyjnych, legitymacji szkolnych i studenckich, kart miejskich, kart dużej rodziny czy kart emeryta.

 


27.04.2018 Adam Golański, dobreprogramy.pl

 

22°C

Bruksela

Partly Cloudy

Humidity: 41%

Wind: 17.70 km/h

  • 21 May 2018 24°C 13°C
  • 22 May 2018 24°C 13°C