Cyberbezpieczeństwo w Polsce ma dwie strony. Z jednej na przykład sektor bankowy jest w światowej czołówce, z usług publicznych te bankowe są najbardziej bezpieczne. Ale w obszarze usług korzystających z zasobów państwowych rejestrów jest już znacznie gorzej, a tworzenie odpowiednich regulacji się opóźnia.
Bez koronawirusa cyfryzacja usług publicznych szła by pewnie w Polsce swoim tempem, mniejszym lub większym. Jednak pierwsza pandemia ery określanej już jako cyfrowa wymogła gwałtowne przyspieszenie. Zdalne usługi stały się niemal z dnia na dzień absolutną koniecznością, a nie co najwyżej ciekawostką. Władze w przyspieszonym tempie uruchamiały możliwość załatwiania coraz to większej liczby spraw urzędowych zdalnie, przez internet, bez bezpośredniego kontaktu z urzędnikiem. Praktycznie każda z powstających rozwiązań legislacyjnych przewidywała możliwość, a nawet konieczność posłużenia się technologią cyfrową. A to od razu rodziło pytania o bezpieczeństwo transferu danych, i samych danych.
“Bez koronawirusa cyfryzacja usług publicznych szła by pewnie w Polsce swoim tempem, mniejszym lub większym.”
Nowych rozwiązań, dyktowanych sytuacją najmniej do wdrożenia na pewno miał sektor bankowy. W Polsce ze wszystkich usług publicznych cyberbezpieczeństwo tego sektora jest na najwyższym poziomie, tak samo jak dostępność nowoczesnych i zaawansowanych technologicznie usług bankowych. I jest to jednocześnie najwyższy poziom światowy. Większość działających w Polsce banków dysponuje własnymi centrami SOC (Security Operation Center) i korzysta z usług wyspecjalizowanych CERT sektora bankowego. Tyle, że polski sektor bankowy ma własne regulacje dotyczące bezpieczeństwa, i wdraża obowiązkowe regulacje Komisji Nadzoru Finansowego. Można więc powiedzieć, że to przykład systemowego zabezpieczenia cyberbezpieczeństwa.
Gorzej jest w innych usługach publicznych, zwłaszcza tam, gdzie korzysta się z zasobów rejestrów państwowych. Tutaj bolączką jest częsta konieczność podawania i przesyłania przy okazji korzystania z różnych usług swoich wrażliwych danych, które przecież są już w rejestrach. Każda taka sytuacja to w końcu potencjalne ryzyko. Co więcej, statystyka naruszeń przy udostępnianiu danych z tych rejestrów nie jest ujawniona, a poziom, ich zabezpieczenia nie jest publicznie znany. Można więc na ten temat jedynie snuć przypuszczenia. Jednak patrząc na przedstawiony niedawno projekt ustawy o budowie państwowych centrów przetwarzania danych jako istotnego elementu bezpieczeństwa rejestrów, można wnioskować, że nie jest z tym bezpieczeństwem za dobrze. Może właśnie z tego powodu, przy budowie aplikacji usługowych trudno powiązać je z systemem rejestrów i ich zasobami. W efekcie zgromadzone już przecież w rejestrach dane musimy podawać jeszcze raz.
Wydaje się, że największe obecnie zagrożenie, to ataki na dostępność danych bądź usług – DDOS. Są one najłatwiejsze do przeprowadzenia i najbardziej widowiskowe. Niedziałająca usługa, brak dostępu do strony ministerstwa czy gminy psują wizerunek, utrudniają życie, ale nie powodują utraty danych. Gorsze skutki powoduje udany atak ransomware. Wtedy można stracić wszystkie zasoby cyfrowe, a strata może być tym większa, jeśli nie dysponuje się regularnie tworzonymi kopiami zapasowymi. Takie przypadki zdarzyły się już w sektorze publicznym i miały przykre konsekwencje. To tak jakby spaliły się wszystkie papierowe archiwa w tradycyjnym urzędzie.
Nie można, nie mając odpowiednich danych oceniać bezpieczeństwa informatycznego polskiego sektora usług publicznych na tle tego, co działa w innych krajach UE. A danych takich brakuje. Znów pozostaje pośrednie wnioskowanie na podstawie na przykład projektowanej legislacji. Patrząc na to, co trafiło do projektu Dyrektywy NIS, określanej jako NIS2, sytuacja nie jest zbyt dobra na całym obszarze UE.
Jeśli chodzi o samą Polskę, to z jednej strony istniejąca legislacja nie jest wystarczająca, z drugiej tempo jej poprawy jest ślimacze. Ważna nowelizacja ustawy o cyberbezpieczeństwie, nakładająca więcej obowiązków organizacyjnych i informacyjnych na jednostki sektora ciągnie się już dwa lata. W tym czasie UE zdołała wypracować nowelizację Dyrektywy NIS, która w praktyce jest nową Dyrektywą – NIS2. Przyspieszenie procesów legislacyjnych w Polsce jest więc konieczne.
“(…) okazało się, że można nawet mieć niezbędne środki techniczne, tyle że nie ma kto ich obsługiwać, analizować komunikatów o zagrożeniach, wprowadzać korekt i działań naprawczych.”
Jak zwykle, obok tworzenia nowego prawa jest jeszcze kwestia przestrzegania aktualnego. Dla zobrazowania problemu można sięgnąć po raport Najwyższej Izby Kontroli, która zbadała przestrzegania obowiązujących przepisów w jednostkach samorządu. Wnioski są porażające, kontrola NIK ujawniła w jednostkach samorządów brak procedur, organizacji, analizy ryzyk. Brak środków technicznych okazał się znacznie mniejszym problemem niż powyższe zaniedbania. Mało tego, okazało się, że można nawet mieć niezbędne środki techniczne, tyle że nie ma kto ich obsługiwać, analizować komunikatów o zagrożeniach, wprowadzać korekt i działań naprawczych. Zbyt często właścicielowi systemu w administracji wydaje się, że zakup urządzeń rozwiązuje problem cyberbezpieczeństwa. Tymczasem to ciągły proces działań, edukacji, stawiania wymogów, tworzenia procedur, aktualizacji ich. To oczywiście kosztuje, ale cyberbezpieczeństwo łatwo wycenić, jeśli wiemy jakie mamy dane, gdzie je przechowujemy, ile są one warte i jakie można ponieść straty finansowe, wizerunkowe, a nawet odpowiedzialność karną – gdy je utracimy. Równie nietrudno wycenić straty z powodu zablokowania danych usług na określony czas.
Jednak zanim zaczniemy inwestować i wydawać pieniądze, należy się zorientować, gdzie mamy słabe miejsca, gdzie ryzyka są największe i tak dalej. Często zmiana procedur czy organizacji może dać lepsze efekty niż zainstalowanie nowego i drogiego sprzętu. Inwestować trzeba więc na taką skalę, która pozwoli zapewnić realizację naszych interesów biznesowych lub zadań publicznych.