Podsumowanie konsultacji „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”

Konsultacje „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” zostały ogłoszone na stronie internetowej Ministerstwa Cyfryzacji 23 lutego 2016 r. i miały trwać do 8 marca 2016 r. W rzeczywistości uwagi wpływały po terminie. Ostatnie stanowisko trafiło do Ministerstwa 29 marca 2016 r.

05.04.2016 | cyberbezpieczeństwo | TAGI: Cyberbezpieczeństwo

W trakcie konsultacji wpłynęło w sumie 78 uwag. Były one zgłaszane na wiele sposobów. Jedne stanowiły dość obszerne opracowania na temat cyberbezpieczeństwa z uwagami w tle, inne przedstawiały uwagi w postaci recenzji w trybie zmian i komentarzy w tekście dokumentu. Kolejny sposób zgłaszania, to zwięzłe uwagi w punktach. Trudno precyzyjnie określić ile uwag wpłynęło od osób prywatnych, ile od podmiotów gospodarczych, a ile od podmiotów publicznych. Trudność polega na tym, że niektóre osoby występowały w niejasnej roli i niełatwo ocenić czy występowały one prywatnie, czy w imieniu organu podmiotu.

W zdecydowanej większości zgłoszonych uwag bardzo pozytywnie odebrany został sam fakt publicznej prezentacji dokumentu prezentującego strategiczną wizję organizacji cyberbezpieczeństwa w Polsce. Należy przy tym zauważyć, że części autorów uwag odebrała opiniowany dokument jako właściwą strategię, a nie jako założenia do niej, co powodowało, że niektóre uwagi okazały się nieadekwatne. Wielu autorów wskazywało na eklektyczność dokumentu, występujące w nim powtórzenia i niekonsekwencje, a nawet sprzeczności.

Wiele z uwag powtarzało się w opiniach różnych autorów i te w szczególności wymagają starannego rozpatrzenia podczas pisania właściwej strategii. Do tego rodzaju uwag należą w szczególności następujące opinie:

  1. Strategia powinna wyraźnie określić cele jakie zamierza się osiągnąć poprzez jej wdrożenie, powiązania z innymi strategiami, w tym z tymi tworzonymi na podstawie  ustawy o zasadach prowadzenia polityki rozwoju oraz określić czas w jakim strategia ma obowiązywać.
  2. Dokument strategii powinien być zwięzły, a co za tym idzie krótszy niż dokument założeń.
  3. Diagnoza stanu cyberbezpieczeństwa powinna być wsparta statystykami krajowymi.
  4. Wymagane jest opracowanie obowiązującej taksonomii w zakresie cyberbezpieczeństwa oraz używanie ugruntowanej terminologii w innych zakresach (np. z zakresu administracji publicznej).
  5. Strategia powinna dystansować się od rozwiązań technologicznych.
  6. Struktura systemu zarządzania cyberbezpieczeństwem powinna być prosta, a powiązania informacyjne pomiędzy elementami tej struktury jednoznacznie zdefiniowane.
  7. Przedstawionym założeniom zarzucane było podejście reaktywne i przez to skupienie się na postępowaniu z już zaistniałymi incydentami, podczas gdy należałoby położyć większy nacisk na działania profilaktyczne, szkolenia i edukację.
  8. Wyrażano wielokrotnie zaniepokojenie, czy postulowane w założeniach monitorowanie punktów wymiany ruchu internetowego nie naruszy prawa do prywatności i nie stanie się narzędziem pozyskiwania informacji przez organy ścigania.
  9. Wyrażano poparcie dla idei stosowania certyfikowanego sprzętu i oprogramowania w systemach teleinformatycznych w podmiotów publicznych (bezpieczny łańcuch dostaw), z jednocześnie zgłaszaną możliwością kolizji prawnej z prawem zamówień publicznych.
  10. Postulowane oparcie rozwiązań technicznych i organizacyjnych na uznanych standardach i normach.
  11. Postulowano zwrócenie większej uwagi na problematykę indywidualnego użytkownika cyberprzestrzeni.
  12. Zwracano uwagę na konieczność położenia w strategii większego nacisku na problematykę współpracy międzynarodowej, ze szczególnym uwzględnieniem współdziałania w ramach UE i NATO.
  13. Podkreślano konieczność zwrócenia większej uwagi na problematykę systemów sterowania w przemyśle, ze szczególnym uwzględnieniem systemów teleinformatycznych w obiektach infrastruktury krytycznej państwa..
  14. Wskazywano, że strategia powinna wskazać źródła finansowania cyberbezpieczeństwa.
  15. Pozytywne odebrane zostało podejście do zaangażowania środowisk naukowo – badawczych i akademickich w problematykę cyberbezpieczeństwa.
  16. Wskazywano, że należy rozdzielić kwestie strategii od kwestii planu działań na rzecz wdrażania strategii.
  17. Wskazywano na konieczność podkreślenia roli partnerstwa prywatno–publicznego w zapewnieniu cyberbezpieczeństwa.
  18. Wskazywano na potrzebę aktywnej obrony w przypadku zmasowanego ataku na polskie systemy teleinformatyczne i powiązanie tego rodzaju działania z doktryną bezpieczeństwa narodowego.
  19. Postulowano potrzebę uwzględnienia w strategii roli organizacji pozarządowych.
  20. Pojawiły się dwubiegunowe opinie w zakresie struktury zarządzania bezpieczeństwem postulujące:
    • centralizację zarządzania bezpieczeństwem,
    • decentralizację zarządzania bezpieczeństwem.
  21. Postulowano konieczność uwzględnienia w systemie zarządzania cyberbezpieczeństwem roli służb w strukturach MON.
  22. Zwracano uwagę na konieczność dokonania  licznych zmian w obowiązujących aktach prawnych i stworzenie nowych.
  23. Podkreślano rolę zarządzania ryzykiem w procesie zapewnienia cyberbezpieczeństwa.
  24. Zwracano uwagę na konieczność powiązania problematyki cyberbezpieczeństwa z zarządzaniem kryzysowym.
  25. Postulowano konieczność precyzyjnego określenia ról w systemie zapewnienia cyberbezpieczeństwa.
  26. Wskazywano, że strategia powinna wskazywać na mierniki i określać ich wartości: bazowa i docelową.
  27. Zwracano uwagę na konieczność powiązania planowanej strategii z narodową strategią bezpieczeństwa sieci i systemów informatycznych, która będzie wymagana dyrektywą NIS.
  28. Zwracano uwagę na potrzebę uwzględnienia problematyki bezpieczeństwa przetwarzania w chmurze.
  29. Wskazywano na konieczność uwzględnienia już istniejących rozwiązań sektorowych, w tym występujących w tym zakresie przepisów.

 

Polecane aktualności