Podsumowanie konsultacji „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”

W trakcie konsultacji wpłynęło w sumie 78 uwag. Były one zgłaszane na wiele sposobów. Jedne stanowiły dość obszerne opracowania na temat cyberbezpieczeństwa z uwagami w tle, inne przedstawiały uwagi w postaci recenzji w trybie zmian i komentarzy w tekście dokumentu. Kolejny sposób zgłaszania, to zwięzłe uwagi w punktach. Trudno precyzyjnie określić ile uwag wpłynęło od osób prywatnych, ile od podmiotów gospodarczych, a ile od podmiotów publicznych. Trudność polega na tym, że niektóre osoby występowały w niejasnej roli i niełatwo ocenić czy występowały one prywatnie, czy w imieniu organu podmiotu.

W zdecydowanej większości zgłoszonych uwag bardzo pozytywnie odebrany został sam fakt publicznej prezentacji dokumentu prezentującego strategiczną wizję organizacji cyberbezpieczeństwa w Polsce. Należy przy tym zauważyć, że części autorów uwag odebrała opiniowany dokument jako właściwą strategię, a nie jako założenia do niej, co powodowało, że niektóre uwagi okazały się nieadekwatne. Wielu autorów wskazywało na eklektyczność dokumentu, występujące w nim powtórzenia i niekonsekwencje, a nawet sprzeczności.

Wiele z uwag powtarzało się w opiniach różnych autorów i te w szczególności wymagają starannego rozpatrzenia podczas pisania właściwej strategii. Do tego rodzaju uwag należą w szczególności następujące opinie:

1. Strategia powinna wyraźnie określić cele jakie zamierza się osiągnąć poprzez jej wdrożenie, powiązania z innymi strategiami, w tym z tymi tworzonymi na podstawie  ustawy o zasadach prowadzenia polityki rozwoju oraz określić czas w jakim strategia ma obowiązywać.
2. Dokument strategii powinien być zwięzły, a co za tym idzie krótszy niż dokument założeń.
3. Diagnoza stanu cyberbezpieczeństwa powinna być wsparta statystykami krajowymi.
4. Wymagane jest opracowanie obowiązującej taksonomii w zakresie cyberbezpieczeństwa oraz używanie ugruntowanej terminologii w innych zakresach (np. z zakresu administracji publicznej).
5. Strategia powinna dystansować się od rozwiązań technologicznych.
6. Struktura systemu zarządzania cyberbezpieczeństwem powinna być prosta, a powiązania informacyjne pomiędzy elementami tej struktury jednoznacznie zdefiniowane.
7. Przedstawionym założeniom zarzucane było podejście reaktywne i przez to skupienie się na postępowaniu z już zaistniałymi incydentami, podczas gdy należałoby położyć większy nacisk na działania profilaktyczne, szkolenia i edukację.
8. Wyrażano wielokrotnie zaniepokojenie, czy postulowane w założeniach monitorowanie punktów wymiany ruchu internetowego nie naruszy prawa do prywatności i nie stanie się narzędziem pozyskiwania informacji przez organy ścigania.
9. Wyrażano poparcie dla idei stosowania certyfikowanego sprzętu i oprogramowania w systemach teleinformatycznych w podmiotów publicznych (bezpieczny łańcuch dostaw), z jednocześnie zgłaszaną możliwością kolizji prawnej z prawem zamówień publicznych.
10. Postulowane oparcie rozwiązań technicznych i organizacyjnych na uznanych standardach i normach.
11. Postulowano zwrócenie większej uwagi na problematykę indywidualnego użytkownika cyberprzestrzeni.
12. Zwracano uwagę na konieczność położenia w strategii większego nacisku na problematykę współpracy międzynarodowej, ze szczególnym uwzględnieniem współdziałania w ramach UE i NATO.
13. Podkreślano konieczność zwrócenia większej uwagi na problematykę systemów sterowania w przemyśle, ze szczególnym uwzględnieniem systemów teleinformatycznych w obiektach infrastruktury krytycznej państwa..
14. Wskazywano, że strategia powinna wskazać źródła finansowania cyberbezpieczeństwa.
15. Pozytywne odebrane zostało podejście do zaangażowania środowisk naukowo – badawczych i akademickich w problematykę cyberbezpieczeństwa.
16. Wskazywano, że należy rozdzielić kwestie strategii od kwestii planu działań na rzecz wdrażania strategii.
17. Wskazywano na konieczność podkreślenia roli partnerstwa prywatno–publicznego w zapewnieniu cyberbezpieczeństwa.
18. Wskazywano na potrzebę aktywnej obrony w przypadku zmasowanego ataku na polskie systemy teleinformatyczne i powiązanie tego rodzaju działania z doktryną bezpieczeństwa narodowego.
19. Postulowano potrzebę uwzględnienia w strategii roli organizacji pozarządowych.
20. Pojawiły się dwubiegunowe opinie w zakresie struktury zarządzania bezpieczeństwem postulujące:
    • centralizację zarządzania bezpieczeństwem,
    • decentralizację zarządzania bezpieczeństwem.
21. Postulowano konieczność uwzględnienia w systemie zarządzania cyberbezpieczeństwem roli służb w strukturach MON.
22. Zwracano uwagę na konieczność dokonania  licznych zmian w obowiązujących aktach prawnych i stworzenie nowych.
23. Podkreślano rolę zarządzania ryzykiem w procesie zapewnienia cyberbezpieczeństwa.
24. Zwracano uwagę na konieczność powiązania problematyki cyberbezpieczeństwa z zarządzaniem kryzysowym.
25. Postulowano konieczność precyzyjnego określenia ról w systemie zapewnienia cyberbezpieczeństwa.
26. Wskazywano, że strategia powinna wskazywać na mierniki i określać ich wartości: bazowa i docelową.
27. Zwracano uwagę na konieczność powiązania planowanej strategii z narodową strategią bezpieczeństwa sieci i systemów informatycznych, która będzie wymagana dyrektywą NIS.
28. Zwracano uwagę na potrzebę uwzględnienia problematyki bezpieczeństwa przetwarzania w chmurze.
29. Wskazywano na konieczność uwzględnienia już istniejących rozwiązań sektorowych, w tym występujących w tym zakresie przepisów.