Dokument wskazuje, jak zabezpieczyć rządową infrastrukturę przed informatycznymi problemami. Rozwiązuje też kompetencyjny spór w sprawie odpowiedzialności za bezpieczeństwo cyfrowe państwa.
Największą nowością przedstawioną w Polityce Ochrony Cyberprzestrzeni jest wymóg powołania w każdym urzędzie administracji rządowej specjalnego urzędnika odpowiedzialnego za zapewnienie cyberbezpieczeństwa. Urzędy nie będą musiały zatrudniać nowych osób, wystarczy wyznaczenie jednego z pracowników i odpowiednie go przeszkolenie.
– I to tak naprawdę w całym dokumencie jest jedynym istotnym postulatem – ocenia Joanna Świątkowska, ekspert Instytutu Kościuszki koordynująca projekt „Cel: Cyberbezpieczeństwo”. Jej zdaniem dokument przygotowany przez resort cyfryzacji i ABW ma poważne braki, choćby dlatego że nie uwzględnia zmian zachodzących w technologiach. – Zupełnie nie wzięto w nim pod uwagę tego, że coraz więcej procesów zarządzanych jest w chmurze czy coraz powszechniejszej pracy urzędników na urządzeniach mobilnych – dodaje.
Opracowanie zaleca także wzmocnienie zespołów reagowania na cyberataki, czyli CERT-ów przy ABW i NASK. Większą rolę NASK widać też w ogłoszonej właśnie decyzji, że od połowy przyszłego roku pod tę jednostkę naukową przechodzi opieka i kontrola nad domenami gov.pl – czyli przysługującymi tylko instytucjom rządowym. Do tej pory zarządzał nimi Instytut Podstawowych Problemów Techniki działający przy Polskiej Akademii Nauk.
Na tym jednak zmiany w dbaniu o cyberbezpieczeństwo się kończą. – Tak naprawdę równie dobrze tego planu można by było w ogóle nie uchwalać – podsumowuje Wiesław Paluszyński z Polskiego Towarzystwa Informatycznego. – Jest tak mało szczegółowy, że w ogóle nie wyznacza konkretnych standardów, jakie powinny być zachowane w celu ochrony cyberprzestrzeni. Dużo konkretniejsze są standardy pracy, w tym dbania o e-bezpieczeństwo administracji, określone w ustawie o Krajowych Ramach Interoperacyjności uchwalonej w marcu tego roku – zauważa Paluszyński. I dodaje, że to nie znaczy, iż strategia ochrony cyberprzestrzeni jest niepotrzebna. Przeciwnie, powinna być jednak bardziej konkretna, np. w kwestiach międzynarodowych czy współpracy z przedsiębiorcami – dodaje.
Polityka Ochrony Cyberprzestrzeni RP to zapowiadana od początku roku nowa wersja Rządowego Planu Ochrony Cyberprzestrzeni. Poprzedni obowiązywał tylko do końca 2010 r., ale kolejny opracowany na lata 2011 – 2016, który miał pomóc w ochronie krytycznej infrastruktury, leżał na półce.
A o tym, że jest co chronić, może świadczyć choćby atak hakerów na samorządowe serwisy oraz BIP-y we wrześniu ubiegłego roku. Zaatakowanych zostało kilkaset biuletynów. Po kliknięciu zamiast właściwych danych pojawiał się szkolny samochód i napis zawierający m.in. stwierdzenie, że polskie szkoły uczą „spożywać duże dawki alkoholu”. Z kolei na przełomie stycznia i lutego w ramach protestów przeciwko przystąpieniu do ACTA haktywiści (hakerzy aktywiści) zablokowali działalności kilkudziesięciu rządowych i samorządowych witryn.
Niemniej dokument Polityka Ochrony Cyberprzestrzeni ma jedną, niezaprzeczalną zaletę. Ustala mianowicie, że za bezpieczeństwo infrastruktury informatycznej państwa odpowiada Ministerstwo Administracji i Cyfryzacji. Do tej pory nie jasne było, kto ma to robić – ono czy MSW.
