Przełomowy okres dla cyberbezpieczeństwa w Polsce
Rok 2018 był przełomowy dla cyberbezpieczeństwa w Polsce. Przyjęcie ustawy o krajowym systemie cyberbezpieczeństwa oraz wdrożenie nowych przepisów o ochronie danych osobowych było bardzo dużym wyzwaniem zarówno dla sektora publicznego, jak i prywatnego. O tych kwestiach oraz planach Polski na przyszłość, rozmawiamy z Krzysztofem Sidlickim, zastępcom dyrektora NASK ds. cyberbezpieczeństwa oraz Karolem Okońskim, wiceministrem cyfryzacji.
– „Rok 2018 był istotny jeśli chodzi o kwestię cyberbezpieczeństwa z powodu, iż na mapie inicjatyw, które Polska i Unia Europejska wdrażają mieliśmy do czynienia z kilkoma aktami prawnymi, które zmieniają nasze podstawy funkcjonowania i możliwości działania w zakresie cyberbezpieczeństwa. Z jednej strony mówimy tutaj o RODO, z drugiej o implementacji dyrektywy NIS, czyli ustawie o krajowym systemie cyberbezpieczeństwa, czy z kolejnej, o wdrożeniu rozporządzenia eIDAS. Te trzy przykłady mówią, że 2018 to był taki rok, w którym stanęliśmy w obliczu wyzwań, związanych z implementacją pewnych dyrektyw czy rozporządzeń. Pozwoliło one na ujednolicenie, w całej UE, koncepcji budowania cyberbezpieczeństwa. Te mechanizmy współpracy, które powstały dzięki tym dyrektywom, pozwalają nam wiedzieć więcej, korzystać z doświadczeń innych krajów czy wreszcie, dzięki temu mamy większą świadomość akcji o charakterze transgranicznym.” – dla Newsrm.tv tłumaczy Krzysztof Sidlicki.
10 maja 2018 roku przyjęto nową ustawę, o ochronie danych osobowych. Była to swoista rewolucja, zapewniająca o wiele silniejszą, niż do tej pory, ochronę prywatności. Wdrożenie tego rozporządzenia wpłynęło na przedsiębiorców, ale także konsumentów. RODO w praktyce bowiem nakłada wiele zobowiązań na firmy przetwarzające dane osobowe, a oddaje szereg praw, dzięki którym konsumenci mogą zadbać o swoją prywatność.
Z kolei piątego lipca przyjęto Ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego prawa zapisy tzw. Dyrektywy NIS z lipca 2016 roku. Ustawa ta, była pierwszym krokiem do nakreślenia kształtu ekosystemu cyberbezpieczeństwa RP. Celem ustawy było rozdzielenie obowiązków pomiędzy poszczególnymi zespołami ekspertów ds. bezpieczeństwa komputerowego (CSIRT), ustanowienie nadzoru w zakresie cyberbezpieczeństwa (np. wprowadzenie kar finansowych) czy wreszcie stworzenie polityczno-strategicznych ram zarządzania tą kwestią w Polsce, czyli np. powołanie Pełnomocnika i Kolegium ds. Cyberbezpieczeństwa.
Nasz rozmówca wyjaśnia, jak powyższa Ustawa działa w praktyce. Okazuje się, że jeżeli dojdzie do sytuacji, zwanej incydentem, naruszającej cyberbezpieczeństwo Polski i owa sytuacja przekroczy pewien próg istotności, to musi być to zgłoszone do odpowiedniego CSIRT-u. Kwestia ta jest o tyle istotne, że pomimo istnienia takich zespołów przez naprawdę długi czas, wcześniej nie było ustawowego obowiązku zgłaszania incydentów. Nasz ekspert uważa, że wcześniej nikt nie zdawał sobie sprawy ze skali takich incydentów, bo nie były na ten temat prowadzone żadne statystyki. Obecnie zgłaszanie jakichkolwiek naruszeń przenika i pojawia się w wielu dyrektywach czy rozporządzeniach Polski lub Unii Europejskiej.
Jakie działania podejmuje Polska, aby w przyszłości zapewnić sobie miejsce w „wyścigu” o własne cyberbezpieczeństwo? O tę kwestię zapytaliśmy wiceministra cyfryzacji, Karola Okońskiego: – „Jeśli chodzi o kwestię Polski, o to co my uważamy za najważniejsze w bieżącym roku i najbliższych latach, to z jednej strony jest operacyjna implementacja ustawy o krajowym systemie cyberbezpieczeństwa. Zostały jeszcze kwestie związane m.in. z wyborem operatorów usług kluczowych, proces tego jest w toku. Z drugiej strony, pod kątem legislacyjnym mamy temat wdrożenia sieci 5G w Polsce. Analizujemy konieczność zmian prawnych w tym obszarze, oraz analizy ryzyka. Polska włączy się również w europejskie prace nad systemem certyfikacji, czy nad siecią centrów ds. cyberbezpieczeństwa. Trwa również budowa, pierwszego w Polsce, centrum czuwającego nad bezpieczeństwem urządzeń elektronicznych.
Czy incydent z początku roku, związany z aferą szpiegowską i marką chińskich telefonów Huawei, wpłynie na fakt budowy sieci 5G w Polsce? Nasz rozmówca jest ostrożny w swoich odpowiedziach. Karol Okoński zapewnia, że Ministerstwo Cyfryzacji chce mieć pewność, że sieć 5G będzie bezpieczna, więc nie ignoruje sygnałów dotyczących chińskiej firmy, które płyną z całego świata. Ministerstwo we współpracy z ABW i MSZ prowadzi analizę tej kwestii, której wyniki będą znane jeszcze przed wakacjami. Jeżeli analiza wyjdzie niekorzystnie, Ministerstwo zaingeruje w rynek, aby zdecydować, którzy dostawcy będą mogli uczestniczyć w budowie sieci 5G w Polsce.