11 kwietnia wicepremier, minister cyfryzacji Krzysztof Gawkowski zaprezentował sprawozdanie Pełnomocnika Rządu do spraw Cyberbezpieczeństwa za 2023 rok[1]. W sprawozdaniu tym zawarto podsumowanie ubiegłorocznych działań w domenie cyberbezpieczeństwa w skali kraju, wnioski z dotychczasowych prac oraz plany rozwoju krajowego systemu cyberbezpieczeństwa.
Sprawozdanie dotyczy zarówno działań Ministerstwa Cyfryzacji, jak i aktywności podejmowanych w ramach ustawy o krajowym systemie cyberbezpieczeństwa przez inne podmioty. Wicepremier, minister cyfryzacji ogłosił jednocześnie, że tego typu dokumenty przygotowywane na postawie powyższej ustawy będą miały od tej pory charakter otwarty w takim zakresie, w jakim nie zawierają informacji niejawnych i będą podawane do wiadomości publicznej.
Krajobraz zagrożeń
Raport ukazuje aktualny krajobraz bezpieczeństwa cyberprzestrzeni.
Jako jedno z najistotniejszych zagrożeń dla bezpieczeństwa państwa Pełnomocnik wymienia ataki APT sponsorowane przez wrogie państwa. Głównym celem przeprowadzonych w ubiegłym roku ataków tego typu było pozyskiwanie informacji z zaatakowanych systemów, chociaż zdarzyły się również przypadki motywowane chęcią zakłócenia ciągłości działania podmiotu.
Autorzy sprawozdania podsumowali skalę działania poszczególnych CSIRT poziomu krajowego. Liczba obsłużonych przez CSIRT NASK incydentów w porównaniu do poprzedniego roku wzrosła o ponad 100% – w 2021 r. było ich ok. 30 tys., rok później prawie 40 tys., zaś w 2023 r. ponad 80 tys.
Raport obejmuje także informacje o działaniach poszczególnych organów właściwych dla sektorów objętych działaniem ustawy o krajowym systemie cyberbezpieczeństwa, służb specjalnych, Centralnego Biura Zwalczania Cyberprzestępczości czy Ministerstwa Sprawiedliwości.
Chociaż podsumowanie ubiegłego roku pod kątem zagrożeń jest niezwykle ciekawe, poniżej skupimy się przede wszystkim na planach, w szczególności związanych z policy.
Rozwój krajowego systemu cyberbezpieczeństwa
Warto zwrócić uwagę, że w publikacji znalazły się przewidywane dalsze kroki w zakresie rozwoju krajowego systemu cyberbezpieczeństwa, pośród których na pierwszym miejscu wymieniono wdrożenie dyrektywy NIS 2. Wskazano również na potrzebę przedłożenia nowej Strategii Cyberbezpieczeństwa RP na lata 2025-2029. Autor wymienił również planowane utworzenie Centrum Cyberbezpieczeństwa NASK, w ramach którego powstanie m.in. wiele nowych ośrodków (w tym treningowych) i laboratoriów. Pośród pozostałych inicjatyw warto zwrócić uwagę m.in. na:
- projekty przygotowywane do realizacji w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (utworzenie lub rozwój min. 5 CSIRT sektorowych, podłączenie nowych podmiotów KSC do Systemu S46 i jego dalszy rozwój, utworzenie wojewódzkich zespołów specjalistów do spraw cyberbezpieczeństwa, wsparcie w modernizacji i rozbudowie infrastruktury IT dla 500 podmiotów KSC),
- kontynuacja prac związanych z uzgadnianiem planów działania przedsiębiorców telekomunikacyjnych w sytuacjach szczególnych zagrożeń,
- przyjęcie ustawy o kryptoaktywach, wdrożenie Europejskiego Kodeksu Łączności Elektronicznej,
- planowane na 2024 r. wdrożenie platformy rozpoznawania zagrożeń w cyberprzestrzeni (Cyber Threat Intelligence) na poziomie operacyjnym na potrzeby Ministerstwa Cyfryzacji oraz siedmiu instytucji zapewniających bezpieczeństwo teleinformatyczne na poziomie krajowym,
- planowane przyjęcie przez Radę Ministrów Krajowego planu działania do programu polityki „Droga ku cyfrowej dekadzie”,
- planowane działania legislacyjne w zakresie bezpieczeństwa danych użytkowników korzystających z komercyjnych usług cyfrowych, zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie oraz bezpieczeństwa małoletnich w internecie i ograniczania negatywnego dla ich rozwoju wpływu treści szkodliwych.
Warto także zwrócić uwagę na informację o pracach Ministerstwa Cyfryzacji nad „Strategią informatyzacji”, która będzie uwzględniała wizję, cele i priorytety informatyzacji państwa, środki służące ich realizacji, a także informacje o finansowaniu. Strategia ma kłaść szczególny nacisk na następujące obszary:
- telekomunikacja i 5G,
- cyberbezpieczeństwo,
- kompetencje cyfrowe,
- e-administracja,
- lepsza koordynacja cyfryzacji.
W ramach realizacji Strategii możliwe będzie powołanie Pełnomocnika.
Wnioski z raportu
Szczególnej uwadze polecamy część dotyczącą wniosków i rekomendacji zawartą na końcu sprawozdania. Pełnomocnik Rządu ds. Cyberbezpieczeństwa wskazuje na konieczność:
- powołania instytucji koordynującej krajowy system cyberbezpieczeństwa,
- podnoszenia zdolności operacyjnych podmiotów KSC,
- uregulowania kwestii działań ofensywnych w cyberprzestrzeni,
- opracowania krajowego planu przejścia na kryptografię postkwantową,
- budowania świadomości ryzyk i znaczenia odpowiedniej strategii bezpieczeństwa,
- stosowania najnowszych technologii i aktualizacji oprogramowania,
- zapewnienia odpowiednich zasobów kadrowych, w szczególności pod kątem zagrożeń i związanych z nimi stopni CRP,
- dalszego utrzymania Funduszu Cyberbezpieczeństwa,
- szerszego stosowania audytów bezpieczeństwa,
- wzmocnienia rangi zaleceń w zakresie cyberbezpieczeństwa i częstszego stosowania mechanizmu wydawania rekomendacji przez Pełnomocnika,
- wprowadzenia wyłączenia stosowania ustawy – Prawo zamówień publicznych w zakresie zakupów związanych z cyberbezpieczeństwem,
- dostosowania systemu wymiany informacji o incydentach i nadużyciach w komunikacji elektronicznej do jednolitych standardów,
- organizacji kolejnej edycji ćwiczeń KSC EXE,
- wprowadzenia rozwiązań powodujących wykorzystanie rządowych sieci odseparowanych od internetu jako głównych mediów służących do wymiany danych pomiędzy instytucjami rządowymi,
- zapewnienia stosowania Narodowych Standardów Cyberbezpieczeństwa jako standardu implementacyjnego,
- implementacji rozwiązań unijnego 5G Toolbox,
- pogłębienia współpracy w obszarze pozyskiwania oraz wymiany informacji na temat zagrożeń i podatności przez rozbudowę Kolegium ds. Cyberbezpieczeństwa.
Plany na 2024 r.
W podsumowaniu raportu można również znaleźć część dotyczącą planów na 2024 r. Poza wspomnianymi wyżej, dotyczącymi wdrożenia dyrektywy NIS 2 i przyjęcia nowej Strategii Cyberbezpieczeństwa, planowane jest także wdrożenie unijnego Aktu o cyberbezpieczeństwie (stosowanego bezpośrednio jako rozporządzenie, wymagającego jednak dostosowania polskiego prawa).
W raporcie znalazła się również wzmianka na temat nadchodzącej Prezydencji Rzeczypospolitej Polskiej w Radzie Unii Europejskiej. Jednym z priorytetów Prezydencji ma być cyberbezpieczeństwo.
Podsumowanie
- Publiczne udostępnienie raportu Pełnomocnika przyczynia się do lepszego zrozumienia zadań realizowanych w ramach krajowego systemu cyberbezpieczeństwa pośród podmiotów, które do tej pory nie miały dostępu do takich danych.
- Raport pokazuje liczbę incydentów występujących w podmiotach krajowego systemu cyberbezpieczeństwa, co pozwala uświadomić sobie skalę incydentów obsługiwanych przez CSIRT poziomu krajowego.
- Pełnomocnik przedstawia w raporcie najbliższe plany legislacyjne i programowe, co ma szczególne znaczenie w wobec planowanej w najbliższym czasie prezentacji nowego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
- Sprawozdanie zawiera wnioski płynące z zadań aktualnie realizowanych przez podmioty krajowego systemu cyberbezpieczeństwa.
[1] Sprawozdanie dostępne jest na stronie Ministerstwa Cyfryzacji – https://www.gov.pl/web/cyfryzacja/krajobraz-cyberprzestrzeni