Strategia Cyberbezpieczeństwa RP wymaga nadania odpowiedniej rangi w systemie dokumentów strategicznych
2016-10-11
W związku z konsultacjami społecznymi w sprawie projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa RP na lata 2016 - 2020 (dalej: Strategia) przekazaliśmy uwagi Konfederacji Lewiatan w tej sprawie.
Uwagi szczegółowe
1. Przyjęcie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, jako dokumentu nie będącego strategią rozwoju w rozumieniu ustawy z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju.
W Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej wskazano (str.6), że nie jest ona "strategią rozwoju w rozumieniu ustawy z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju (Dz. U. 2016 poz. 383)". Zgodnie z tą ustawą, strategiami rozwoju są: długookresowa strategia rozwoju kraju, średniookresowa strategia rozwoju kraju, a także inne strategie rozwoju. Jako inne strategie rozwoju zdefiniowano „dokumenty określające podstawowe uwarunkowania, cele i kierunki rozwoju odnoszące się do sektorów, dziedzin, regionów lub rozwoju przestrzennego, w tym obszarów metropolitalnych
i obszarów funkcjonalnych".
W naszej ocenie, Strategia Cyberbezpieczeństwa, z uwagi na swój zakres merytoryczny i podmiotowy oraz fakt, że określa realne cele i zadania, a także odnosi się do istotnego w dzisiejszych warunkach gospodarczych sektora cyberbezpieczeństwa (określonego w projekcie Strategii Odpowiedzialnego Rozwoju jako sektor strategiczny - str. 49), wpisuje się w pełni w przywołaną definicję „innej strategii rozwoju".
Tym samym uważamy, że należałoby nadać Strategii odpowiednią rangę w systemie dokumentów strategicznych. W naszej ocenie, nie powinien być to bowiem dokument, który nie znajduje istotnych i formalnych powiązań z pozostałymi dokumentami, w tym ze Średniookresową Strategią Rozwoju Kraju, którą ma stać się Strategią Odpowiedzialnego Rozwoju, czy innymi strategiami, tj. Strategią Sprawne Państwo, lub nawet programami rozwoju, tj. Programem Zintegrowanej Informatyzacji Państwa (PZIP) czy Narodowym Planem Szerokopasmowym (NPS). Dążenie do szybkiego przyjęcia Strategii nie powinno uzasadniać braku odniesienia do tych kwestii.
Jednocześnie, przypomnienia wymaga, że sytuacja w której poszczególne resorty przygotowywały właściwe sobie dokumenty strategiczne, bez zachowania odpowiednich procedur oraz osadzania ich w ogólnym systemie planowania strategicznego rozwoju kraju, prowadziła już w przeszłości do nadmiernej ilości dokumentów planistyczno-strategicznych, których późniejsze wykonanie wymykało się spod realnej kontroli Rady Ministrów oraz ich interesariuszy. Właśnie takie zjawisko doprowadziło do wypracowania nowego systemu planowania strategicznego, opisanego w przywołanej wyżej Ustawie o zasadach prowadzenia polityki rozwoju. W naszej ocenie ten kierunek powinien zostać utrzymany, bo pozwala na utrzymanie relatywnej spójności całego systemu programów i strategii rządu i samorządów.
Podsumowując, postulujemy, aby Strategia Cyberbezpieczeństwa, została przygotowana jako strategia rozwoju. W celu realizacji tego postulatu, należy przede wszystkim zapewnić, aby przygotowanie Strategii Cyberbezpieczeństwa, zostało wyraźnie zapisane jako zadanie w przywoływanej już wyżej Strategii Odpowiedzialnego Rozwoju. Stworzy to odpowiednie podstawy formalne dla dalszego procedowania, z nadaniem Strategii odpowiedniej dla jej charakteru rangi.
Alternatywnie, rozważać można opracowanie Strategii, jako programu rozwoju (podobnie jak PZIP i NPS), przewidzianego w art. 15 ust. 4 pkt 2 ustawy o zasadach prowadzenia polityki rozwoju. Programami rozwoju są dokumenty realizujące cele zawarte w strategiach rozwoju, o których mowa w art. 9 pkt 3 ustawy (inne strategie rozwoju), oraz programy wieloletnie, o których mowa w przepisach o finansach publicznych. W celu realizacji tego założenia, zadanie polegające na przygotowaniu Strategii Cyberbezpieczeństwa, powinno zostać zapisane w sektorowej strategii rozwoju, tj. jak np. Strategia Sprawne Państwo.
2. Uwagi do przyjętego celu strategii
Duże wątpliwości budzi też sformułowanie samego Celu Strategii. Uważamy, że przyjęcie jasnych kierunków działań w tym obszarze jest podstawą rozwoju i funkcjonowania nowoczesnych usług teleinformatycznych, dla których kwestie bezpieczeństwa i zaufania użytkowników mają krytyczne znaczenie." Tymczasem, cele strategii określone są z jednej strony w sposób dość ogólny (str. 4-5). Z drugiej zaś strony, niektóre zawarte w niej propozycje osiągnięcia celów (str. 6-7) wykraczają daleko poza ramy, które powinien obejmować ten dokument (np. co do zapewnienia skoordynowanej ochrony Cyberbezpieczeństwa na transgranicznych punktach wymiany Internetu IXP, por. pkt 4 niniejszego Stanowiska) .
Celem głównym Strategii (str. 4) jest „osiągnięcie akceptowalnego poziomu bezpieczeństwa cyberprzestrzeni poprzez zapewnienie niezakłóconego dostępu i korzystania z sieci Internet". Wydaje się, że użyte tu pojęcie Internet ma charakter potoczny. Tymczasem Internet definiowany jest zwykle jako ogólnoświatowa sieć oparta o zdefiniowaną komunikację za pomocą protokołu internetowego z wykorzystaniem infrastruktury telekomunikacyjnej. Biorąc pod uwagę użycie pojęcia Internet w celu Strategii można dojść do wniosku, że skupiono się w niej na działaniach związanych z wykorzystaniem ogólnoświatowego medium, zapominając tym samym o nowych technologiach, jak choćby usługi chmurowe, sieci komputerowe branżowe lub celowe, które niekoniecznie muszą mieć dostęp do sieci Internet.
Naszą propozycją jest, aby w ramach celu zostały wyszczególnione kluczowe obszary i usługi istotne dla działania Państwa, które objęte będą tym dokumentem strategicznym. Dodatkowo, zasadnym wydaje się wskazanie w ramach Celu: ochrony możliwości swobodnej wymiany informacji i równości w dostępie do niej i w jej publikacji, ochrony środków i metod dla pozyskiwania aktualnej wiedzy na temat stanu bezpieczeństwa, reagowanie na zagrożenia i wyzwania związane z bezpieczeństwem, budowanie pozycji i wsparcie rozwoju krajowych technologii w zakresie rynku zabezpieczeń.
3. Sformułowania Strategii w świetle zmian technologicznych
Pragniemy zauważyć, że niektóre sformułowania Strategii nie uwzględniają zachodzących zmian technologicznych. Przykładowo, wskazywanie modelu OSI, który -w uproszczeniu- jest standardem opisujący strukturę komunikacji sieciowej, jest sprzeczne z zapisami dotyczącymi celu strategii, która mówi o ochronie sieci Internet, dla której wskazywany jest model 4. warstwowy komunikacji, a nie jak we wskazanych OSI 7. warstwowy. Tu należy wskazać, iż stan taki opiera się na założeniach technicznych i zarządczych w obszarze teleinformatyki, które w stosunku do kształtu zobrazowanego w Strategii znacznie się rozwinęły. W związku z tym należy definiować już nowe rodzaje zabezpieczeń w oparciu o szeroką analizę, w tym również ryzyka, zastosowane rozwiązania technologiczne, możliwości techniczne i koszty, które będzie trzeba ponieść na ich implementacje.
Odnoszenie się do modelów komunikacji (str. 9) bez sprecyzowania, których obszarów sieci i jakich rodzajów zastosowanych technologii to dotyczy np. czy jest to adekwatne do przetwarzania w chmurze jest naszym zdaniem niezasadne. Proponujemy usuniecie odniesień do modelu komunikacji OSI oraz towarzyszącego im rysunku.
4. Zapowiadana regulacja transgranicznych punktów wymiany Internetu (IXP)
Strategia zgodnie z deklaracją ma określić „ramy organizacyjno-prawne w celu osiągnięcia w przyszłości akceptowalnego poziomu bezpieczeństwa cyberprzestrzeni Państwa". Naszym zdaniem powinno się to ograniczyć do kwestii zasadniczych, m.in. wskazania podmiotów odpowiedzialnych administracji publicznej, zakresu ochrony tj. państwa i jego funkcjonowania, wskazania jednego punku kontaktowego. Po jej przyjęciu należałoby przeprowadzić analizę możliwych rozwiązań, zgodnie z wskazanym w pkt. 4.3 Strategii szacowaniem ryzyka, które pozwoli na odniesienie się do ich zasadności.
Tymczasem Strategia zawiera dość niejasne a jednocześnie zbyt szczegółowe rozwiązania, które nie zostały poddane odpowiedniej analizie. Przykładem są propozycje „zapewnienia skoordynowanej ochrony cyberprzestrzeni RP już na transgranicznych punktach wymiany Internetu (IXP)" lub „zbieranie danych z transgranicznych punktów wymiany Internetu (IXP)". W dokumencie poza enigmatycznym sformułowaniem nie doprecyzowano tych zagadnień. Wskazane „transgraniczne punkty wymiany Internetu" mogą być fizycznym bądź logicznym węzłem monitorującym ruch w systemie transgranicznym, czego Strategia nie uwzględnia. Nie jest też jasne czy projektodawcy mieli na myśli monitorowanie w ten sposób pojedynczych portów czy ich większej liczby. Jeśli tak, należy ocenić, jaki wpływ będzie to miało na dostarczanie usług przez operatorów telekomunikacyjnych i jaki byłby koszt implementacji? Nie jest też jasne jakie korzyści będzie miało Państwo z zaproponowanego monitorowania, zakres proponowanego monitorowania tj. czego będzie ono dotyczyć?
Ponadto, wątpliwości może budzić pomysł zbierania danych na transgranicznych punktach wymiany Internetu IXP w kontekście deklarowanej w Strategii ochrony praw i wolności obywatelskich oraz prywatności, tajemnicy komunikowania się i tajemnicy telekomunikacyjnej (str. 7). Ze względów wskazanych powyżej proponujemy usunąć te fragmenty a- po przeprowadzeniu odpowiednich analiz i ewentualnym potwierdzeniu ich zasadności- wprowadzić je na poziomie ustawy lub rozporządzenia.
5. Podejście w Strategii do kwestii architektury sieci
Zarzut nadmiernej szczegółowości proponowanych rozwiązań i braku przeprowadzenia uprzedniej analizy ryzyka dotyczy także zapowiedzi „dostosowania architektury sieci do potrzeb bezpieczeństwa na poziomie branżowym, terytorialnym lub funkcjonalnym (klastry bezpieczeństwa)".W Strategii nie zdefiniowano pojęcia klastrów bezpieczeństwa[1] - jest to termin nowy, który w myśl Strategii będzie stanowił jedną z istotnych elementów całego systemu. Dokument nie tylko nie definiuje jaki charakter mają posiadać klastry, ale również nie wskazuje podmiotów składowych w sektorze prywatnym wchodzących w skład klastra (co wydaje się być specyficznym rozwiązaniem biorąc pod uwagę istotną rolę sektorowych dostawców usług kluczowych w całym systemie).
6. Trzypoziomowy system ochrony cyberprzestrzeni
Przedstawiony trzypoziomowy system ochrony cyberprzestrzeni (str. 15) budzi wątpliwości, ponieważ sugeruje, iż operatorzy telekomunikacyjni będą pełnić funkcję „systemu wczesnego ostrzegania". Takie podejście może powodować zobowiązanie jednego sektora gospodarki do działań w zakresie detekcji zagrożeń w cyberprzestrzeni na rzecz innych sektorów. Tymczasem działania w zakresie identyfikacji zagrożeń w cyberprzestrzeni powinny być prowadzone także przez inne podmioty prowadzące aktywność w cyberprzestrzeni stosownie do zaangażowanej infrastruktury i znaczenia dla systemu gospodarczego. Szczegółowe rozwiązania powinny zostać doprecyzowane w ustawie. Ponadto, można sobie wyobrazić że będą istnieć podsieci, które ze względów bezpieczeństwa nie będą korzystać z bezpośredniego dostępu do usług operatorów.
7. Krajowy system Cyberbezpieczeństwa, a brak jednego punktu kontaktowego
Przedstawiony Krajowy system Cyberbezpieczeństwa nadal wskazuje na wiele punktów kontaktu z jednostkami administracji publicznej. Oznacza to, że nie został w dokumencie uwzględniony główny postulat operatorów telekomunikacyjnych o zdefiniowaniu jednego merytorycznego punktu kontaktu i komunikacji w zakresie wymaganych prawem raportów dotyczących niedostępności sieci. Natomiast Rysunek 2 (str. 10) przedstawiający Strukturę Krajowego Systemu Cyberbezpieczeństwa opierając się bezpośrednio na strukturze wynikającej z zarządzania kryzysowego w infrastrukturze krytycznej zamiast upraszczać, a tym samym wpływać bezpośrednio na skuteczność i czas działania w przypadkach zagrożeń, rozmywa sposób działania w razie zagrożenia i dodaje interesariuszy, nie wskazując ich odpowiedzialności.
8. Krajowy system monitorowania ryzyka
Rozumiemy dążenie projektodawcy Strategii do wprowadzenia jednolitego zestawu metodyk przeprowadzania analiz ryzyka (str. 13), odpowiednio dobranych do poszczególnych interesariuszy
i elementów systemu bezpieczeństwa. Z pewnością ułatwi to prowadzenie analiz na bazie informacji pochodzących z różnych źródeł. Jednocześnie podkreślić należy, że zbyt daleko idące ujednolicenie może doprowadzić do mniejszej miarodajności badań, biorąc pod uwagę fakt, że pewne modele przeprowadzania analizy dedykowane są dla konkretnych sektorów lub struktury organizacyjnej.
9. Projektowana Strategia, a kwestia IoT, Smart City, w tym brak wskazania problematyki Cloud Computing
Istotny, a nie wystarczająco w Strategii zaadresowany temat to chmura obliczeniowa i warunki jej wykorzystywania przez jednostki administracji publicznej. Autorzy dokumentu odnoszą się w pewnym zakresie do Internet of Things, Smart City, pomijając jak już wskazywano przy tym aspekt Cloud Computing'u.
Konfederacja Lewiatan, Warszawa, 10 października 2016 r.
KL/422/208/MP/2016
[1] Wyjątkiem jest Naukowy Akademicki Klaster Cyberbezpieczeństwa, który został zdefiniowany.
