Podsumowanie konsultacji „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”
Konsultacje „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” zostały ogłoszone na stronie internetowej Ministerstwa Cyfryzacji 23 lutego 2016 r. i miały trwać do 8 marca 2016 r. W rzeczywistości uwagi wpływały po terminie. Ostatnie stanowisko trafiło do Ministerstwa 29 marca 2016 r.
W trakcie konsultacji wpłynęło w sumie 78 uwag. Były one zgłaszane na wiele sposobów. Jedne stanowiły dość obszerne opracowania na temat cyberbezpieczeństwa z uwagami w tle, inne przedstawiały uwagi w postaci recenzji w trybie zmian i komentarzy w tekście dokumentu. Kolejny sposób zgłaszania, to zwięzłe uwagi w punktach. Trudno precyzyjnie określić ile uwag wpłynęło od osób prywatnych, ile od podmiotów gospodarczych, a ile od podmiotów publicznych. Trudność polega na tym, że niektóre osoby występowały w niejasnej roli i niełatwo ocenić czy występowały one prywatnie, czy w imieniu organu podmiotu.
W zdecydowanej większości zgłoszonych uwag bardzo pozytywnie odebrany został sam fakt publicznej prezentacji dokumentu prezentującego strategiczną wizję organizacji cyberbezpieczeństwa w Polsce. Należy przy tym zauważyć, że części autorów uwag odebrała opiniowany dokument jako właściwą strategię, a nie jako założenia do niej, co powodowało, że niektóre uwagi okazały się nieadekwatne. Wielu autorów wskazywało na eklektyczność dokumentu, występujące w nim powtórzenia i niekonsekwencje, a nawet sprzeczności.
Wiele z uwag powtarzało się w opiniach różnych autorów i te w szczególności wymagają starannego rozpatrzenia podczas pisania właściwej strategii. Do tego rodzaju uwag należą w szczególności następujące opinie:
- Strategia powinna wyraźnie określić cele jakie zamierza się osiągnąć poprzez jej wdrożenie, powiązania z innymi strategiami, w tym z tymi tworzonymi na podstawie ustawy o zasadach prowadzenia polityki rozwoju oraz określić czas w jakim strategia ma obowiązywać.
- Dokument strategii powinien być zwięzły, a co za tym idzie krótszy niż dokument założeń.
- Diagnoza stanu cyberbezpieczeństwa powinna być wsparta statystykami krajowymi.
- Wymagane jest opracowanie obowiązującej taksonomii w zakresie cyberbezpieczeństwa oraz używanie ugruntowanej terminologii w innych zakresach (np. z zakresu administracji publicznej).
- Strategia powinna dystansować się od rozwiązań technologicznych.
- Struktura systemu zarządzania cyberbezpieczeństwem powinna być prosta, a powiązania informacyjne pomiędzy elementami tej struktury jednoznacznie zdefiniowane.
- Przedstawionym założeniom zarzucane było podejście reaktywne i przez to skupienie się na postępowaniu z już zaistniałymi incydentami, podczas gdy należałoby położyć większy nacisk na działania profilaktyczne, szkolenia i edukację.
- Wyrażano wielokrotnie zaniepokojenie, czy postulowane w założeniach monitorowanie punktów wymiany ruchu internetowego nie naruszy prawa do prywatności i nie stanie się narzędziem pozyskiwania informacji przez organy ścigania.
- Wyrażano poparcie dla idei stosowania certyfikowanego sprzętu i oprogramowania w systemach teleinformatycznych w podmiotów publicznych (bezpieczny łańcuch dostaw), z jednocześnie zgłaszaną możliwością kolizji prawnej z prawem zamówień publicznych.
- Postulowane oparcie rozwiązań technicznych i organizacyjnych na uznanych standardach i normach.
- Postulowano zwrócenie większej uwagi na problematykę indywidualnego użytkownika cyberprzestrzeni.
- Zwracano uwagę na konieczność położenia w strategii większego nacisku na problematykę współpracy międzynarodowej, ze szczególnym uwzględnieniem współdziałania w ramach UE i NATO.
- Podkreślano konieczność zwrócenia większej uwagi na problematykę systemów sterowania w przemyśle, ze szczególnym uwzględnieniem systemów teleinformatycznych w obiektach infrastruktury krytycznej państwa..
- Wskazywano, że strategia powinna wskazać źródła finansowania cyberbezpieczeństwa.
- Pozytywne odebrane zostało podejście do zaangażowania środowisk naukowo – badawczych i akademickich w problematykę cyberbezpieczeństwa.
- Wskazywano, że należy rozdzielić kwestie strategii od kwestii planu działań na rzecz wdrażania strategii.
- Wskazywano na konieczność podkreślenia roli partnerstwa prywatno–publicznego w zapewnieniu cyberbezpieczeństwa.
- Wskazywano na potrzebę aktywnej obrony w przypadku zmasowanego ataku na polskie systemy teleinformatyczne i powiązanie tego rodzaju działania z doktryną bezpieczeństwa narodowego.
- Postulowano potrzebę uwzględnienia w strategii roli organizacji pozarządowych.
- Pojawiły się dwubiegunowe opinie w zakresie struktury zarządzania bezpieczeństwem postulujące:
- centralizację zarządzania bezpieczeństwem,
- decentralizację zarządzania bezpieczeństwem.
- Postulowano konieczność uwzględnienia w systemie zarządzania cyberbezpieczeństwem roli służb w strukturach MON.
- Zwracano uwagę na konieczność dokonania licznych zmian w obowiązujących aktach prawnych i stworzenie nowych.
- Podkreślano rolę zarządzania ryzykiem w procesie zapewnienia cyberbezpieczeństwa.
- Zwracano uwagę na konieczność powiązania problematyki cyberbezpieczeństwa z zarządzaniem kryzysowym.
- Postulowano konieczność precyzyjnego określenia ról w systemie zapewnienia cyberbezpieczeństwa.
- Wskazywano, że strategia powinna wskazywać na mierniki i określać ich wartości: bazowa i docelową.
- Zwracano uwagę na konieczność powiązania planowanej strategii z narodową strategią bezpieczeństwa sieci i systemów informatycznych, która będzie wymagana dyrektywą NIS.
- Zwracano uwagę na potrzebę uwzględnienia problematyki bezpieczeństwa przetwarzania w chmurze.
- Wskazywano na konieczność uwzględnienia już istniejących rozwiązań sektorowych, w tym występujących w tym zakresie przepisów.
Czytaj także
- 17.07.2017 Konsultacje ustawy o Ogólnopolskiej Sieci Edukacyjnej
- 17.07.2017 Zapraszamy do współtworzenia programu Środkowoeuropejskiego Forum Zarządzania Internetem 2017
- 13.07.2017 Spotkanie IGF Polska - Forum Cyfrowego Rozwoju
- 12.05.2017 Nowe europejskie ramy interoperacyjności – strategia wdrażania
- 10.05.2017 Strategia cyberbezpieczeństwa przyjęta przez rząd