Sprawozdanie Pełnomocnika Rządu ds. Cyberbezpieczeństwa

11 kwietnia wicepremier, minister cyfryzacji Krzysztof Gawkowski zaprezentował sprawozdanie Pełnomocnika Rządu do spraw Cyberbezpieczeństwa za 2023 rok[1]. W sprawozdaniu tym zawarto podsumowanie ubiegłorocznych działań w domenie cyberbezpieczeństwa w skali kraju, wnioski z dotychczasowych prac oraz plany rozwoju krajowego systemu cyberbezpieczeństwa.

Sprawozdanie dotyczy zarówno działań Ministerstwa Cyfryzacji, jak i aktywności podejmowanych w ramach ustawy o krajowym systemie cyberbezpieczeństwa przez inne podmioty. Wicepremier, minister cyfryzacji ogłosił jednocześnie, że tego typu dokumenty przygotowywane na postawie powyższej ustawy będą miały od tej pory charakter otwarty w takim zakresie, w jakim nie zawierają informacji niejawnych i będą podawane do wiadomości publicznej.

Krajobraz zagrożeń

Raport ukazuje aktualny krajobraz bezpieczeństwa cyberprzestrzeni.

Sprawozdanie Pełnomocnika Rządu do spraw Cyberbezpieczeństwa za rok 2023 r., s. 8

Jako jedno z najistotniejszych zagrożeń dla bezpieczeństwa państwa Pełnomocnik wymienia ataki APT sponsorowane przez wrogie państwa. Głównym celem przeprowadzonych w ubiegłym roku ataków tego typu było pozyskiwanie informacji z zaatakowanych systemów, chociaż zdarzyły się również przypadki motywowane chęcią zakłócenia ciągłości działania podmiotu.

Sprawozdanie Pełnomocnika Rządu do spraw Cyberbezpieczeństwa za rok 2023 r., s. 13

Autorzy sprawozdania podsumowali skalę działania poszczególnych CSIRT poziomu krajowego. Liczba obsłużonych przez CSIRT NASK incydentów w porównaniu do poprzedniego roku wzrosła o ponad 100% – w 2021 r. było ich ok. 30 tys., rok później prawie 40 tys., zaś w 2023 r. ponad 80 tys.

Opracowanie własne na podstawie Sprawozdania Pełnomocnika Rządu do spraw Cyberbezpieczeństwa za rok 2023 r., s. 11

Raport obejmuje także informacje o działaniach poszczególnych organów właściwych dla sektorów objętych działaniem ustawy o krajowym systemie cyberbezpieczeństwa, służb specjalnych, Centralnego Biura Zwalczania Cyberprzestępczości czy Ministerstwa Sprawiedliwości.

Chociaż podsumowanie ubiegłego roku pod kątem zagrożeń jest niezwykle ciekawe, poniżej skupimy się przede wszystkim na planach, w szczególności związanych z policy.

Rozwój krajowego systemu cyberbezpieczeństwa

Warto zwrócić uwagę, że w publikacji znalazły się przewidywane dalsze kroki w zakresie rozwoju krajowego systemu cyberbezpieczeństwa, pośród których na pierwszym miejscu wymieniono wdrożenie dyrektywy NIS 2. Wskazano również na potrzebę przedłożenia nowej Strategii Cyberbezpieczeństwa RP na lata 2025-2029. Autor wymienił również planowane utworzenie Centrum Cyberbezpieczeństwa NASK, w ramach którego powstanie m.in. wiele nowych ośrodków (w tym treningowych) i laboratoriów. Pośród pozostałych inicjatyw warto zwrócić uwagę m.in. na:

  • projekty przygotowywane do realizacji w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (utworzenie lub rozwój min. 5 CSIRT sektorowych, podłączenie nowych podmiotów KSC do Systemu S46 i jego dalszy rozwój, utworzenie wojewódzkich zespołów specjalistów do spraw cyberbezpieczeństwa, wsparcie w modernizacji i rozbudowie infrastruktury IT dla 500 podmiotów KSC),
  • kontynuacja prac związanych z uzgadnianiem planów działania przedsiębiorców telekomunikacyjnych w sytuacjach szczególnych zagrożeń,
  • przyjęcie ustawy o kryptoaktywach, wdrożenie Europejskiego Kodeksu Łączności Elektronicznej,
  • planowane na 2024 r. wdrożenie platformy rozpoznawania zagrożeń w cyberprzestrzeni (Cyber Threat Intelligence) na poziomie operacyjnym na potrzeby Ministerstwa Cyfryzacji oraz siedmiu instytucji zapewniających bezpieczeństwo teleinformatyczne na poziomie krajowym,
  • planowane przyjęcie przez Radę Ministrów Krajowego planu działania do programu polityki „Droga ku cyfrowej dekadzie”,
  • planowane działania legislacyjne w zakresie bezpieczeństwa danych użytkowników korzystających z komercyjnych usług cyfrowych, zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie oraz bezpieczeństwa małoletnich w internecie i ograniczania negatywnego dla ich rozwoju wpływu treści szkodliwych.

Warto także zwrócić uwagę na informację o pracach Ministerstwa Cyfryzacji nad „Strategią informatyzacji”, która będzie uwzględniała wizję, cele i priorytety informatyzacji państwa, środki służące ich realizacji, a także informacje o finansowaniu. Strategia ma kłaść szczególny nacisk na następujące obszary:

  • telekomunikacja i 5G,
  • cyberbezpieczeństwo,
  • kompetencje cyfrowe,
  • e-administracja,
  • lepsza koordynacja cyfryzacji.

W ramach realizacji Strategii możliwe będzie powołanie Pełnomocnika.

Wnioski z raportu

Szczególnej uwadze polecamy część dotyczącą wniosków i rekomendacji zawartą na końcu sprawozdania. Pełnomocnik Rządu ds. Cyberbezpieczeństwa wskazuje na konieczność:

  • powołania instytucji koordynującej krajowy system cyberbezpieczeństwa,
  • podnoszenia zdolności operacyjnych podmiotów KSC,
  • uregulowania kwestii działań ofensywnych w cyberprzestrzeni,
  • opracowania krajowego planu przejścia na kryptografię postkwantową,
  • budowania świadomości ryzyk i znaczenia odpowiedniej strategii bezpieczeństwa,
  • stosowania najnowszych technologii i aktualizacji oprogramowania,
  • zapewnienia odpowiednich zasobów kadrowych, w szczególności pod kątem zagrożeń i związanych z nimi stopni CRP,
  • dalszego utrzymania Funduszu Cyberbezpieczeństwa,
  • szerszego stosowania audytów bezpieczeństwa,
  • wzmocnienia rangi zaleceń w zakresie cyberbezpieczeństwa i częstszego stosowania mechanizmu wydawania rekomendacji przez Pełnomocnika,
  • wprowadzenia wyłączenia stosowania ustawy – Prawo zamówień publicznych w zakresie zakupów związanych z cyberbezpieczeństwem,
  • dostosowania systemu wymiany informacji o incydentach i nadużyciach w komunikacji elektronicznej  do jednolitych standardów,
  • organizacji kolejnej edycji ćwiczeń KSC EXE,
  • wprowadzenia rozwiązań powodujących wykorzystanie rządowych sieci odseparowanych od internetu jako głównych mediów służących do wymiany danych pomiędzy instytucjami rządowymi,
  • zapewnienia stosowania Narodowych Standardów Cyberbezpieczeństwa jako standardu implementacyjnego,
  • implementacji rozwiązań unijnego 5G Toolbox,
  • pogłębienia współpracy w obszarze pozyskiwania oraz wymiany informacji na temat zagrożeń i podatności przez rozbudowę Kolegium ds. Cyberbezpieczeństwa.

Plany na 2024 r.

W podsumowaniu raportu można również znaleźć część dotyczącą planów na 2024 r. Poza wspomnianymi wyżej, dotyczącymi wdrożenia dyrektywy NIS 2 i przyjęcia nowej Strategii Cyberbezpieczeństwa, planowane jest także wdrożenie unijnego Aktu o cyberbezpieczeństwie (stosowanego bezpośrednio jako rozporządzenie, wymagającego jednak dostosowania polskiego prawa).

W raporcie znalazła się również wzmianka na temat nadchodzącej Prezydencji Rzeczypospolitej Polskiej w Radzie Unii Europejskiej. Jednym z priorytetów Prezydencji ma być cyberbezpieczeństwo.

Podsumowanie

  • Publiczne udostępnienie raportu Pełnomocnika przyczynia się do lepszego zrozumienia zadań realizowanych w ramach krajowego systemu cyberbezpieczeństwa pośród podmiotów, które do tej pory nie miały dostępu do takich danych.
  • Raport pokazuje liczbę incydentów występujących w podmiotach krajowego systemu cyberbezpieczeństwa, co pozwala uświadomić sobie skalę incydentów obsługiwanych przez CSIRT poziomu krajowego.
  • Pełnomocnik przedstawia w raporcie najbliższe plany legislacyjne i programowe, co ma szczególne znaczenie w wobec planowanej w najbliższym czasie prezentacji nowego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
  • Sprawozdanie zawiera wnioski płynące z zadań aktualnie realizowanych przez podmioty krajowego systemu cyberbezpieczeństwa.

[1] Sprawozdanie dostępne jest na stronie Ministerstwa Cyfryzacji – https://www.gov.pl/web/cyfryzacja/krajobraz-cyberprzestrzeni

TAGI Analizy, Polska, Prawo,