5 lipca 2018 Sejm RP uchwalił Ustawę o Krajowym Systemie Cyberbezpieczeństwa. Czy wiesz w jak dużym stopniu dotyka ona ciebie i twojej firmy? Dowiedz się o niej wszystkiego z poradnika Cyberforces.
Ustawa jak i program są bez wątpienia niesamowicie potrzebne dla Polski i innych krajów europejskich, które nie inwestowały w swoje bezpieczeństwa tak jak np. USA, Chiny, Rosja czy Izrael. Jednak już na pierwszy rzut oka, widoczne są problemy, które często występują w przypadku podmiotów bez dużego doświadczenia w zarządzaniu bezpieczeństwem. Ten artykuł nie ma na celu wytykania błędów, dlatego że osobiście doceniam tego typu inicjatywy. Jednak spójrzmy na kilka rzeczy, które warto doprecyzować, żeby wycisnąć z tej ustawy jak najwięcej.
Krok do tyłu
Częstym problemem z tego typu rozporządzeniami jest to, że już od podstaw nie są one praktyczne i powodują wiele zamieszania, które sprawia że podmioty implementujące te rekomendacje nie potrafią niskim kosztem zwiększyć bezpieczeństwa. Historycznie wiemy już, że jeśli bezpieczeństwo jest kosztowne, to jest jednocześnie dalekie od bycia efektywnym, dlatego że instytucje nie mają wolnych zasobów na coś co nie generuje zysków. Oczywiście w świecie bezpieczeństwa mówimy o tzw. niebezpośrednim zwrocie z inwestycji, jednak ta świadomość dopiero zaczyna kiełkować w głowach przedsiębiorców, jak i u osób odpowiedzialnych za infrastrukturę państwową. Dlatego moim zdaniem, zanim pojawią się pierwsze incydenty czy problemy z interpretacjami, powinniśmy dokładnie sprecyzować ustawę. Na tę chwilę ustawa jest konieczna, jednak w tej formie może wyrządzić tyle dobrego co złego, co widzieliśmy wielokrotnie na przykładzie innych krajów.
Ścisła współpraca
Do tej pory, nie widzieliśmy w Polsce wielu inicjatyw wychodzących od ministerstw, zwiazanych z bezpieczenstwem ich sektorów. To znaczy, że dla każdego będzie to temat nowy i nie powinniśmy spodziewać się nagłego poprawienia stanu cyberbezpieczeństwa kraju, gdyż po prostu takie rzeczy nie dzieją się z dnia na dzień. Oczekiwać poprawy możemy, jednak trzeba brać pod uwagę, że będzie to bardzo rozciągnięte w czasie, niezależnie od wzniosłych deklaracji. Za deklaracjami muszą stać kompetencje, a w Polsce w sektorze publicznym najzwyczajniej nierozwijane było know-how w dziedzinie cyberbezpieczeństwa. Instytucje państwowe powinny stworzyć mocne więzi z podmiotami prywatnymi i korporacjami, by wesprzeć działania zabezpieczające organizacje publiczne.
Nieprecyzyjna terminologia
W dokumentacji wprowadzonych zostało wiele terminów, nad których interpretacją głowi się teraz całe mnóstwo ekspertów bezpieczeństwa. Padają tam zwroty takie jak incydent krytyczny, istotny, incydent publiczny czy incydent poważny, które są tak zbliżone do siebie nazwami, że trudno jest zrozumieć co ustawodawca miał na myśli. Jeśli instytucje mają zgłaszać incydenty bezpieczeństwa i je praktycznie rozpoznawać, to dokumentacja musi wyraźnie wskazywać różnice pomiędzy typami incydentów i opisywać je najbardziej szczegółowo, jak to tylko możliwe. W innym wypadku, spotkamy się z sytuacjami, w których organizacje nierozumiejące wymagań ustawy o cyberbezpieczeństwie zaniżą wagę incydentu nie zgłaszając go do odpowiednich urzędów odpowiedzialnych za wsparcie.
Zespoły CERT/CSIRT też muszą rozumieć w jaki sposób działa klasyfikacja incydentów, aby zwinnie pomagać zaatakowanym podmiotom. Obecnie mając taki chaos w dokumentacji i tak ograniczone zasoby ludzkie w trzech oddziałach CSIRT wymienionych w ustawie (CSIRT MON – obszar wojskowy, CSIRT NASK – obszar cywilny, CSIRT GOV – obszar administracji publicznej), nie będą one w stanie efektywnie udzielać takiej pomocy. Pamiętajmy, że będą one odpowiedzialne za wspieranie setek instytucji, więc każde drobne nieporozumienie spowalniać będzie proces reagowania na incydenty, a tych będzie wiele, z różnych miejsc i celowanych w wiele organizacji w tym samym czasie.
Zbyt dużo niedopowiedzeń
Te aspekty nie tylko powinny, ale muszą zostać wyjaśnione, aby uniknąć sytuacji, w której powstaje tzw. FUD, czyli bardzo dobrze znany i negatywnie odbierany syndrom Fear Uncertainty and Doubt. Skutkuje on tym, że ani ministerstwa ani podmioty docelowe przez to, że zarzucane są trudnymi i niesprecyzowanymi wymaganiami tak naprawdę nie mają pojęcia co robić i jak się za cokolwiek zabrać. W sytuacji ataku komputerowego, w organizacji, jak i wśród pracowników powstaje ogromny chaos, dlatego to teraz należy wszystko wyjaśnić i zaprowadzić tak duży porządek, jak to tylko możliwe. Później nie będzie na to czasu. Tego typu problemy mocno zwolniły rozwój bezpieczeństwa w korporacjach, a rządy krajów powinny uczyć się na błędach innych, a nie je powielać.
Nieznajomość sektora cybersecurity
Budżet, który został zaproponowany, tj kwota około 90 milionów złotych jest bardzo skąpy, biorąc pod uwagę ile pracy należy włożyć, żeby stworzyć choćby podstawowy poziom bezpieczeństwa w większości instytucji publicznych (których jest bardzo dużo) mam nadzieję, że będzie on bardziej elastyczny. Na tle innych inwestycji w obronność kraju, 90 mln PLN jest kwotą bardzo niską.
Sposób prowadzenia wojny się zmienił, i to właśnie cyberbezpieczeństwo i cyberatak jest sektorem, w który państwa powinny inwestować najwięcej. Niektóre kraje zrozumiały to już wiele lat temu i stworzyły swoje świetnie wykwalifikowane i dobrze opłacane jednostki odpowiedzialne za ochronę jak i atak w sieciach komputerowych. Przeglądając raporty Ministerstwa Cyfryzacji, rzucają się w oczy informacje o szacowanym koszcie zasobów ludzkich czy koszcie corocznych audytów postury bezpieczeństwa firmy, które są mocno zaniżone. Tego typu dokumenty i raporty wyraźnie wskazują, jak mocno niezapoznane z sektorem cybersecurity są podmioty państwowe, niezdające sobie sprawy, jak niewiele jest osób na świecie zajmujących się bezpieczeństwem i ile firm walczy o tego typu specjalistów.
Nauka od weteranów cyberbezpieczeństwa
Podsumowując, jestem wdzięczny ustawodawcom, że stworzyli tego typu dzieło, jednak jest wiele, wiele rzeczy, które można usprawnić, zmienić i zrobić lepiej. Tego typu dokument ma być wsparciem zarówno dla sytuacji obecnej, jak i przyszłej. Na tę chwile, trudno byłoby powiedzieć, że nowa ustawa o cyberbezpieczeństwie jest praktyczną odpowiedzią na obecne problemy, nie wspominając o dynamicznie kształtującej się przyszłości.
W obecnej formie, możemy spodziewać się produktywnych działań na przestrzeni około 2-3 lat, jednak moim zdaniem nie warto tracić tak dużej ilości czasu i warto zastanowić się nad tym, czy nie skorzystać z wiedzy ekspertów z sektora prywatnego i korporacyjnego, by dostarczyli swoich perspektyw, zwiększających skuteczność ustawy od samego początku.
Czas pokaże co nas czeka, jednak musimy pamiętać o tym, że cyberbezpieczeństwo nie jest ani trochę zbliżone do innych sektorów, którymi państwo się zajmowało. Jest to temat nowy nawet w sektorze prywatnym, więc trzeba podejść do niego praktycznie, zwracając też uwagę na aspekty psychologiczne i socjologiczne. Jeśli przestraszymy przedsiębiorców i ludzi odpowiedzialnych za zarządzanie bezpieczeństwem w podmiotach państwowych, to osiągniemy przeciwne rezultaty i spowolnimy proces budowania efektywnych systemów i programów bezpieczeństwa.
Takiej i wielu innych kosztownych lekcji uczy się na prawdziwym polu bitwy, które ma miejsce od kilkudziesięciu lat na płaszczyźnie korporacji i prywatnych biznesów. Czas skorzystać z tej wiedzy i zrobić wszystko, by poprawić poziom bezpieczeństwa naszego kraju. Jest co bronić i jest dla kogo bronić naszą infrastrukturę.