Cyberprzestrzeń powinna być otwarta, a zarazem bezpieczna i chroniona; by to zapewnić potrzebne są działania instytucji państwa, sektora prywatnego i obywateli – stwierdza doktryna cyberbezpieczeństwa RP, opublikowana przez Biuro Bezpieczeństwa Narodowego.
Pojawienie się cyberprzestrzeni – nowego obszaru aktywności państwa, podmiotów prywatnych i obywateli – jest jedną z najważniejszych zmian we współczesnym środowisku bezpieczeństwa – napisał w przesłaniu otwierającym doktrynę prezydent Bronisław Komorowski.
Jak podkreślił, cyberprzestrzeń tworzą systemy komputerowe, sieć internetowa, a także użytkownicy – instytucje państwowe, podmioty gospodarcze i obywatele. Musimy być przygotowani na zagrożenia, z jakimi wcześniej nie mieliśmy do czynienia – zaznaczył prezydent. Dodał, że cyberprzestrzeń „jest polem konfliktu, na którym przychodzi nam zmierzyć się nie tylko z innymi państwami, ale także z wrogimi organizacjami, jak choćby z grupami ekstremistycznymi, terrorystycznymi czy zorganizowanymi grupami przestępczymi, dlatego jednym z istotnych priorytetów polskiej strategii stało się bezpieczeństwo tego nowego środowiska”.
Ochrona polskiej cyberprzestrzeni
Prace nad projektem doktryny cyberbezpieczeństwa RP trwały ponad rok i zakończyły się w grudniu ub. r. Biuro Bezpieczeństwa Narodowego zorganizowało w tym czasie konsultacje z przedstawicielami administracji publicznej, świata nauki, sektora prywatnego i organizacji pozarządowych. Założenia doktryny zostały przyjęte przez Radę Bezpieczeństwa Narodowego.
W 2013 r. rząd przyjął Politykę Ochrony Cyberprzestrzeni RP, dotyczącą przede wszystkim ochrony cyberprzestrzeni w wymiarze pozamilitarnym, w MON trwają natomiast prace nad budową systemu cyberobrony. Dokonane w 2011 r. zmiany w systemie prawnym wprowadziły pojęcie cyberprzestrzeni i ustanowiły prawne podstawy nadzwyczajnego reagowania na występujące w niej zagrożenia.
Dokument ma być podstawą dalszych, spójnych działań na rzecz wzmocnienia bezpieczeństwa Polski i Polaków w cyberprzestrzeni nie tylko ze strony instytucji państwa, w tym służb bezpieczeństwa i porządku publicznego oraz sił zbrojnych, ale także sektora prywatnego i organizacji pozarządowych.
Doktryna odnosi się do przestrzeni przetwarzania i wymiany informacji tworzonej przez systemy teleinformatyczne – w tym zespoły współpracujących ze sobą urządzeń informatycznych i oprogramowania, wysyłanie i odbieranie danych przez sieci telekomunikacyjne - oraz powiązania między nimi, a także relacje z użytkownikami.
W doktrynie podkreślono, że „działania na rzecz cyberbezpieczeństwa muszą być podejmowane z uwzględnieniem ochrony praw człowieka i obywatela, a także poszanowaniem prawa do wolności słowa oraz prywatności”. Proporcjonalność środków bezpieczeństwa w stosunku do zagrożeń powinna być oparta na efektywnej i wiarygodnej analizie ryzyka – zaznaczono.
Za strategiczny cel uznaje się zapewnienie bezpiecznego funkcjonowania RP w cyberprzestrzeni, w tym odpowiedniego poziomu bezpieczeństwa narodowych systemów teleinformatycznych - zwłaszcza teleinformatycznej infrastruktury krytycznej państwa, a także kluczowych prywatnych podmiotów gospodarczych, należących zwłaszcza do sektorów finansowego, energetycznego i ochrony zdrowia.
Cyberprzemoc, cyberprotesty, cyberkonflikty
Doktryna wskazuje na zagrożenia: cyberprzestępczość, np. „cyberprzemoc, cyberprotesty czy cyberdemonstracje o charakterze destrukcyjnym”, ataki na systemy łączności, od których zależy kierowanie bezpieczeństwem narodowym, a w odniesieniu do obywateli - kradzieże danych i tożsamości oraz przejmowanie kontroli nad prywatnymi komputerami.
Szczególne ryzyka doktryna wiąże z wykorzystaniem dla potrzeb bezpieczeństwa wysoce zinformatyzowanych systemów technicznych obcej produkcji, zwłaszcza systemów walki i wsparcia (w tym zautomatyzowanych systemów dowodzenia i kierowania), bez uzyskania dostępu do kodów źródłowych ich oprogramowania, gwarantujących informatyczne panowanie nad nimi.
Dostrzega także ryzyka, jakie mogą się wiązać ze strukturą własności prywatnych operatorów i dostawców usług teleinformatycznych.
Do zagrożeń zewnętrznych doktryna zalicza cyberkryzysy i cyberkonflikty z udziałem podmiotów państwowych i niepaństwowych, w tym także groźbę cyberwojny; cyberszpiegostwo ze strony innych państw i organizacji pozapaństwowych. Źródłami zagrożeń w cyberprzestrzeni są także organizacje ekstremistyczne, terrorystyczne oraz zorganizowane transnarodowe grupy przestępcze, których ataki w cyberprzestrzeni mogą mieć podłoże ideologiczne, polityczne, religijne, biznesowe i kryminalne – wskazano w dokumencie.
Kompatybilnośc z systemami UE i NATO
Wśród głównych zadań sektora publicznego wymieniono rozpoznawanie źródeł zagrożeń, ciągłą analizę ryzyka wobec obiektów infrastruktury krytycznej, również tej służącej zadaniom NATO i UE, a także działania w dziedzinie kryptografii i kryptoanalizy dla zabezpieczenia własnych zasobów informacyjnych.
Za konieczne uznaje się „prowadzenie aktywnej cyberobrony – i w jej ramach działań ofensywnych w cyberprzestrzeni – oraz utrzymanie gotowości do cyberwojny”, ochronę i obronę własnych systemów teleinformatycznych i zgromadzonych w nich zasobów, a także wspieranie kluczowych podmiotów sektora prywatnego w zakresie ich cyberbezpieczeństwa, jak również działania informacyjne i edukacyjne skierowane do społeczeństwa.
Polski system cyberbezpieczeństwa powinien być wewnętrznie spójny i kompatybilny z podobnymi systemami państw sojuszniczych i organizacji międzynarodowych, jak NATO i UE.
Za wskazane doktryna uznaje poszerzenie zadań i kompetencji istniejącego ponadresortowego organu pomocniczego Rady Ministrów. Przypomniano, że w ramach Strategicznego Przeglądu Bezpieczeństwa Narodowego zaproponowano powołanie Rządowego Komitetetu Bezpieczeństwa Narodowego, który koordynowałby całość spraw bezpieczeństwa narodowego.
Doktryna proponuje tworzenie też technicznych centrów kompetencyjnych podporządkowanych właściwym ministrom.
Siły zbrojne powinny dysponować zdolnościami obrony i ochrony własnych systemów teleinformatycznych i zgromadzonych w nich zasobów, a także zdolnościami do aktywnej obrony i działań ofensywnych w cyberprzestrzeni – stwierdza dokument.
Zdolności do zapewnienia cyberbezpieczeństwa „powinny być zintegrowane z pozostałymi zdolnościami sił zbrojnych RP, aby zwiększyć narodowy potencjał odstraszania (zniechęcania, powstrzymywania) potencjalnego agresora. Powinny być one też gotowe, samodzielnie i we współpracy z sojusznikami, do prowadzenia operacji ochronnych i obronnych na dużą skalę w razie cyberkonfliktu, w tym cyberwojny”.
Należy rozwijać kompetencje i zdolności służb wywiadowczych oraz kontrwywiadowczych do działania w cyberprzestrzeni, umożliwiające skuteczną neutralizację aktywności obcych służb wywiadowczych i przeciwdziałanie szpiegostwu w cyberprzestrzeni – czytamy w dokumencie.
Zaleca on dążenie „do uzyskania pełnych kompetencji oraz zdolności do wytwarzania polskich rozwiązań technologicznych służących zapewnieniu akceptowalnego poziomu bezpieczeństwa w cyberprzestrzeni”.
Strategiczne znaczenie ma uzyskiwanie zdolności i kompetencji w zakresie kontroli nad podsystemami informatycznymi uzbrojenia i innego sprzętu zagranicznej produkcji (dysponowanie kodami źródłowymi), wykorzystywanego dla celów bezpieczeństwa narodowego. Istotne są zdolności i kompetencje w dziedzinie kryptologii, również w kontekście rozwoju krajowego systemu cyberbezpieczeństwa, dostosowywanego do dynamicznie zmieniających się potrzeb – wskazuje.
Szanse to – wskazuje doktryna – obok rosnącej świadomości obywateli i firm - polski potencjał w dziedzinie nauk informatycznych i matematycznych, pozwalający rozwijać narodowe systemy zapewniające suwerenność nad systemami teleinformatycznymi należącymi do państwa, a także wykorzystanie potencjału wynikającego z członkostwa w NATO i UE oraz dwustronna współpraca z państwami bardziej zaawansowanymi w sprawach cyberbezpieczeństwa.
Wspólnej dbałości o cyberbezpieczeństwo państwa służy dialog publiczno-prywatny przy przygotowaniu projektów legislacyjnych dotyczących sfery cyberbezpieczeństwa. Indywidualnych użytkowników, ich umiejętności i świadomość bezpieczeństwa doktryna uznaje „za jeden z filarów cyberbezpieczeństwa państwa”.
Zaleca opracowanie programów kształcenia kadr na potrzeby systemu cyberbezpieczeństwa, w tym „ścieżek kariery pozwalających przyciągnąć najlepszych specjalistów”.
Autorzy wskazują, że treść doktryny powinna być rozwinięta m.in. w Polityczno-Strategicznej Dyrektywie Obronnej, a także w planach zarządzania kryzysowego oraz operacyjnych planach funkcjonowania struktur państwa w czasie zagrożenia i wojny, w programach rozwoju sił zbrojnych i programach pozamilitarnych przygotowań obronnych.