Polska w cyberprzestrzeni. Ekspert: nie jesteśmy bezpieczni, to pewne

Raport NIK z 2015 roku surowo ocenił działania poprzedniego rządu w kwestii bezpieczeństwa systemów informatycznych instytucji publicznych. Słabe zapieczenia i chaotyczne zarządzanie - to były główne wnioski płynące z dokumentu. Nowo wybrany rząd PiS zapowiedział, że zapewnienie cyberbezpieczeństwa stanie się sprawą priorytetową. I tak, w ekspresowym tempie Ministerstwo Cyfryzacji powołało do działania CERT Narodowy, czyli zespół reagowania na incydenty informatyczne.

Komórka zrzesza kilkanaście podmiotów z sektora prywatnego, takich jak banki, firmy telekomunikacyjne czy energetyczne. Pierwsze spotkanie z zainteresowanymi, którzy mieliby przystąpić do programu, odbyło się pod koniec kwietnia br. Już dwa miesiące później system ruszył.

- Jeśli coś, co profesjonalnie ma zająć się kwestią bezpieczeństwa w cyberprzestrzeni, próbuje się wykorzystywać do gry politycznej, obojętnie czy na potrzeby polityki wewnętrznej czy szczytu NATO, to nie jest dobrze. Możemy spokojnie założyć, że w chwili obecnej mamy do czynienia z pewną wydmuszką medialną – mówi w rozmowie z Wirtualną Polską były szef Biura Bezpieczeństwa Narodowego Krzysztof Liedel.

Dodał także, że sam pomysł na stworzenie CERT-u Narodowego jest jak najbardziej racjonalny i właściwy. - On tak naprawdę nie zrodził się teraz. Tę kwestię dyskutowano już ładnych parę lat temu. W końcu podjęto decyzję, by on powstał. I dobrze. Natomiast swoje zdolności, możliwości i efektywne działania osiągnie dopiero za kilka, a nawet kilkanaście miesięcy – zaznacza Liedel.

Rzecznik prasowy Ministerstwa Cyfryzacji zaprzecza, że nowy zespół został powołany ze względu na zbliżający się szczyt NATO. Cyberprzestrzeń musi być pod stałą kontrolą: 24 godziny na dobę i przez 7 dni w tygodniu. To nie jest kwestia jednego, drugiego czy piątego wydarzenia. To stała, systematyczna praca – twierdzi w rozmowie z Wirtualną Polską rzecznik prasowy Ministerstwa Cyfryzacji Karol Manys.

„Sens jedynie propagandowy”

Pierwszym tego typu zespołem był CERT Polska, który został założony w 1996 roku. Od tamtej pory większe spółki tworzą własne komórki odpowiedzialne za reagowanie na zagrożenia w cyberprzestrzeni. - CERT Narodowy „przyszedł” na gotowe. Wszystkie firmy telekomunikacyjne, energetyczne, banki itd. mają świadomość zagrożenia, posiadają własne systemy bezpieczeństwa i wymieniają się między sobą informacjami. Z takim działaniem mamy do czynienia już od dobrych kilku lat. CERT Narodowy nie wprowadza tu nic nowego. Mało tego, został stworzony za późno. Na tym etapie oczywiście ma to sens, ale jedynie propagandowy – mówi w rozmowie z Wirtualną Polską były funkcjonariusz Urzędu Ochrony Państwa Piotr Niemczyk.

Rzecznik prasowy MC zaznacza, że ostatnia kontrola NIK wykazała zupełnie inny stan rzeczy. - Najlepszą fotografią sytuacji, z jaką mieliśmy do czynienia w zakresie ochrony bezpieczeństwa w cyberprzestrzeni niech pozostanie raport NIK z czerwca zeszłego roku. Stwierdza on jednoznacznie, że ta sfera pozostawiała w Polsce wiele do życzenia, a aktywność państwa w tym zakresie paraliżował brak jednego ośrodka decyzyjnego, który by koordynował działania w tym zakresie. I m.in. taka właśnie jest rola Narodowego Centrum Cyberbezpieczeństwa, które jest platformą współpracy między administracją i sektorem prywatnym - mówi Wirtualnej Polsce Karol Manys.

Były funkcjonariusz Urzędu Ochrony Państwa twierdzi jednak, że powstanie takiej komórki, z punktu widzenia przeciętnego użytkownika sieci, niewiele zmienia. - Jeśli popatrzymy na strukturę zagrożeń w sieci, my nadal jesteśmy narażeni na drobną przestępczość typu włamania na czyjeś konto bankowe, wykradanie danych, posługiwanie się cudzą tożsamością czy hejt w internecie. Tylko w niewielkim stopniu zagrożeniem są poważne cyberterrorystyczne ataki. Stanie się ofiarą takich działań jest raczej wynikiem napięć politycznych a nie zagrożeń terrorystycznych – mówi Niemczyk.

Polska sieć jak durszlak

- W porównaniu do tego, co mieliśmy jeszcze jakiś czas temu, jesteśmy w zupełnie nowej jakościowo sytuacji. Podchodzimy do tego naprawdę poważnie. Ochrona cywilnej cyberprzestrzeni to jedno z naszych priorytetowych działań. Tym bardziej, że coraz częściej dochodzi do naruszenia praw obywateli – zapewnia w rozmowie z Wirtualną Polską Karol Manys. Jako przykład dobrego działania nowego systemu, podaje incydenty, do których doszło w momencie wdrażania programu „Rodzina 500 plus”.

- Gdy na początku kwietnia program ruszył, potraktowaliśmy to, jako okazję do pewnego rodzaju próby generalnej. W „biegu” zorganizowaliśmy odpowiedni system. Oczywistym było, że wprowadzenie takiego programu może posłużyć cyberprzestępcom do działań, które nie powinny mieć miejsca. Wielu ekspertów prognozowało, że będzie to istny raj dla nich. Zagrożenia, które przewidzieliśmy rzeczywiście się zmaterializowały i to już podczas pierwszego dnia działania programu. Jak grzyby po deszczu powstawały strony podszywające się pod oficjalną, które wyłudzały dane albo naciągały ludzi na pieniądze. Dzięki temu, że byliśmy przygotowani, reakcja mogła być błyskawiczna. Blokowanie fałszywych witryn zajmowało odpowiednim służbom kilkanaście minut, a zatrzymania cyberoszustów do jakich doszło już pierwszego dnia w Poznaniu podziałały na innych odstraszająco. System się sprawdził, a operacja przebiegała w pełni bezpiecznie – opowiada Manys.

Piotr Niemczyk porównuje jednak polską sieć cybernetyczną do durszlaka. - Setkami małych otworków wyciekają pieniądze, dane osobowe i inne dane wrażliwe – mówi w rozmowie z Wirtualną Polską były funkcjonariusz UOP.

Krzysztof Liedel twierdzi z kolei, że ocena CERT-u Narodowego przez pryzmat takiego działania jest niemiarodajne. - Posłużenie się przykładem działania hackerskiego, gdzie młodzi ludzie o pewnych umiejętnościach próbują zaistnieć, utrudnić funkcjonowanie jakiegoś systemu, jest niczym, w porównaniu do tego, gdy po drugiej stronie staje profesjonalny przeciwnik. Może być nim państwo, które dysponuje całymi strukturami do prowadzenia walki w cyberprzestrzeni, struktury służb specjalnych czy wreszcie organizacje terrorystyczne, które wykładają potężne pieniądze na systemy i odpowiednich ludzi. Zanim będziemy sobie radzili z poważnymi zagrożeniami w cyberprzestrzeni, upłynie jeszcze trochę czasu – mówi były szef BBN.

„Polska nie jest bezpieczna”

By ochrona w cyberprzestrzeni była odpowiednia, działania muszą zostać skierowane na tworzenie rozwiązań systemowych. - Muszą istnieć odpowiednie założenia strategiczne, przepisy prawa, dobre struktury, muszą zostać zatrudnieni profesjonaliści i zakupiony odpowiedni sprzęt. Te wszystkie elementy są w równym stopniu bardzo ważne – wylicza Liedel.

Ministerstwo Cyfryzacji zapowiada jednak , że stworzenie CERT-u Narodowego to jeden z wielu zaplanowanych kroków, mających doprowadzić do zwiększonego bezpieczeństwa w strefie cybernetycznej. - Tworzenie projektu dotyczącego cyberbezpieczeństwa dopiero się rozpoczęło. Będzie on ciągle rozwijany. W perspektywie, ochroną powinny zostać objęte jednostki samorządu terytorialnego i przede wszystkim obywatele. W Polsce mamy obecnie ok. 50 mln komputerów. Szacunki mówią, że w ciągu pięciu lat ta liczba może wzrosnąć do 300 mln. Bez odpowiedniej ochrony, każdy z nich może zostać zainfekowany i działać jako komputer zombie. Dlatego też to tak naprawdę ostatni moment na działanie – dodaje Manys.

Były szef Biura Bezpieczeństwa Narodowego zaznacza natomiast, że Polska w strefie cybernetycznej nie jest bezpieczna. - Co do tego nie mam wątpliwości. Jesteśmy dopiero na początku drogi, by stworzyć efektywny system, który zapobiegałby różnego rodzaju cyberzagrożeniom. Powołanie jednego czy drugiego CERT-u to tylko elemencik w całym systemie, który nie załatwia sprawy. Na tym etapie na pewno nie jesteśmy bezpieczni – mówi w rozmowie z Wirtualną Polską Krzysztof Liedel.