Kilka dni temu podano do wiadomości publicznej utworzenie
Doktryny Cyberbezpieczeństwa RP - dokumentu koncepcyjnego i
wykonawczego[1].
Inspiratorem powstania Doktryny był gen.
Koziej. 13 kwietnia 2010 wykonujący obowiązki Prezydenta RP marszałek Sejmu
Bronisław
Komorowski powołał
gen. prof. Stanisława Kozieja na urząd szefa BBN. Generalskie szlify nadał
S.Koziejowi jeszcze prezydent Wałęsa. No oczywiście należały się. W 1987r. S. Koziej zaliczył odpowiednie kursy
GRU w Moskwie. Wykazał się też wysokim profesjonalizmem pracując w Zarządzie
Sztabu Generalnego LWP przy opracowaniu planu ataku na północną
Europę, w którym miało brać udział 450 tys żołnierzy LWP. Nasi
chłopcy mieli dojść do granic Belgii, a Danię zająć w 3 dni! Mapy tego ataku
trafiły w 2006r. do IPN -u. Oprotestował umieszczenie tych map w zbiorach IPN
ówczesny szef Ministerstwa Obrony Narodowej Radek Sikorski, a sekundował
mu jego zastępca...Stanisław Koziej.
Gen. Koziej żwawo zabrał się do roboty na nowym
stanowisku w BBNie. Inicjował i projektował regulacje, a także ustawy.
Jednym
z najważniejszych projektów byla nowelizacja ustawy o stanie wojennym,
która również jest konsekwencją przyjętego w marcu 2009 roku Rządowego
programu ochrony cyberprzestrzeni na lata 2009 –2011.[2] Jak powiedział autor tejże nowelizacji
w wywiadzie dla Onet “(…)Dlaczego
akurat od tego, od stanów nadzwyczajnych, zaczynamy? Dlaczego tutaj wybraliśmy punkt startu? Otóż przesądziło o tym następujące,
pragmatyczne rozumowanie.
Po pierwsze: jest
to problematyka w pewnym sensie szczególnie bliska Prezydentowi. To w jego kompetencjach
leży wprowadzanie stanu wojennego i wyjątkowego. To on kieruje obroną państwa w
stanie wojennym. Czuje się więc w jakiś sposób odpowiedzialny także za
regulacje prawne w tym zakresie.
Po drugie: wystartować
trzeba jak najszybciej. Wyzwania narastają…Biorąc pod uwagę, że
zagrożenia terrorystyczne znalazły swoje odzwierciedlenie we wszystkich ustawach
o stanach nadzwyczajnych, logiczne
jest, aby także w podobny sposób potraktować cyberzagrożenia. Dlatego w
ustawach o stanie klęski żywiołowej i o stanie wyjątkowym proponuje się
uzupełnienia, że katastrofa naturalna lub awaria techniczna oraz
zagrożenia konstytucyjnego ustroju państwa, bezpieczeństwa obywateli lub
porządku publicznego mogą być
spowodowane także zdarzeniami lub celowymi działaniami w cyberprzestrzeni(…)”
Na marginesie, gen.Koziej jako projektant legislacji,
wykazał wyjątkowy dar przewidywania. Nasz biedny kraj zabezpieczył nawet –
na fizycznie niemożliwą ewentualność - katastrofy naturalnej spowodowanej zdarzeniami, lub o zgrozo
celowymi działaniami w cyberprzestrzeni.
A
teraz pieszczoszka
generała Doktryna Cyberbezpieczeństwa RP - dokument koncepcyjny i
wykonawczy[3].
Od 2009 roku arcyważne dokumenty koncepcyjne w tej
materii produkował RM, jak wspomniane powyżej;
·
Rządowy program ochrony cyberprzestrzeni na lata 2009 – 2011
– kontynuacją tegoż miał być
·
Rządowy program ochrony cyberprzestrzeni na lata
2011 – 2016 (CPR)
a w rzeczywistości jest skopiowanym praktycznie bez zmian poprzednikiem.
W ramach tych programów miały zostać
podjęte przeróżne działania mające na celu uregulowanie wszelkich aspektów
związanych z zarządzaniem i bezpieczeństwem CRP poprzez wprowadzenie
odpowiednich zapisów do ustaw, zarządzeń, etc. w tym;
1.
zdefiniowanie pojęć dotyczących
cyberprzestrzeni – CRP, cyberprzestępczości i cyberterroryzmu;
2.
wskazanie, że CRP należy traktować, jako
dobro ogólne umożliwiające rozwój i niezakłócone funkcjonowanie
społeczeństwa informacyjnego, komunikacje – w wymianie
informacji
oraz repozytorium wiedzy i myśli (!) obywateli;
3.
ustalenia odpowiedzialności za ochronę CRP
– opisanie zakresów zadań, odpowiedzialności i zmian w strukturach
organizacyjnych polegających na powołaniu jednostek odpowiedzialnych
za zarządzanie i bezpieczeństwo CRP - KPRM,
MSWiA, MON, ABW i SKW;
4.
wprowadzenie ścigania z urzędu naruszeń
bezpieczeństwa w cyberprzestrzeni, które miały miejsce w odniesieniu do podmiotów
administracji publicznej, infrastruktury krytycznej. Wprowadzenie ścigania
na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczeństwa w
obszarze CRP;
5.
ustawienie głównych sektorowych punktów
kontaktowych CERT.GOV.PL dla obszaru administracji publicznej, CERT Polska dla
obszaru cywilnego, MIL CERT dla obszaru wojskowego oraz sektorowych punktów
kontaktowych w ministerstwach właściwych sektorów gospodarki RP;
6.
wprowadzenie funkcji Pełnomocnika Rządu ds.
Ochrony Cyberprzestrzeni RP (PROC) odpowiedzialności i zadań oraz ustalenie
sposobów i form współpracy;
7.
wprowadzenie funkcji pełnomocnika
kierownika jednostki organizacyjnej ds. ochrony cyberprzestrzeni
(PKOC) w podmiotach administracji publicznej i zalecenie takiej funkcji w pod.
godspodarczych
8.
umocowanie prawne CERT.GOV.PL;
9.
wprowadzenie obowiązku dla podmiotów
publicznych i zalecenie dla pozostałych użytkowników cyberprzestrzeni
informowania (nie dłużej niż w ciągu jednego dnia od wykrycia zdarzenia przez
personel) do właściwego zespołu CERT o wykrytych incydentach bezpieczeństwa
związanych z CRP.
Za realizację założeń CPR odpowiedzialne miało być MSWiA, a za monitoring mieli odpowiadać: Prezes Rady Ministrów, Pełnomocnik
Rządu ds. Ochrony Cyberprzestrzeni RP, Międzyresortowy Zespół Koordynujący ds.
Ochrony Cyberprzestrzeni RP, pełnomocnicy kierowników jednostek organizacyjnych
ds. ochrony cyberprzestrzeni.
Moje intensywne poszukiwania – w lipcu 2011 - tych priorytetowych
działań legistlacyjnych na stronie MSWiA, zwiazanych z Programem CRP –
oprócz nieaktualnej informacji o nowelizacji ustawy o zarządzaniu kryzysowym,
która weszła w życie 11 stycznia 20011r, zakończyły się fiaskiem.
Po powstaniu MSW i Ministerstwa
Administracji i Cyfryzacji, okresowe kwerendy w poszukiwaniu informacji dot.
wdrażaniu programu CPR także kończyły się niczym.
Wprawdzie MAC 28 sierpnia 2012 ogłosił
opracowanie nastąpnego dokumentu – Polityka
Ochrony
Cyberprzestrzeni Rzeczypospolitej Polskiej, ale nie różnił się od poprzednich.[4]
Tymczasem od 2009r nie zostala
rozstrzygnieta kwestia prawna wdrażania tych mnożonych polityk i programów. Nie ma też nigdzie do dzisiaj informacji,
czy już powołano Pełnomocnika Rządu ds. Ochrony Cyberprzestrzeni RP.
A powołany 1.02.2008 w strukturze
Departamentu Bezpieczeństwa Teleinformatycznego (DBTI)
ABW, Rządowy Zespół Reagowania na Incydenty Komputerowe
– CERT.GOV.PL, działa do dzisiaj bez określenia prawnych kompetencji m.inn co do procedur do działania.
Do chwili ogłoszenia kilka dni temu Doktryny Cyberbezpieczeństwa
RP, przez 6 lat nie były zdefiniowane
pojęcia cyberprzestrzeni RP, cyberprzestępczości i
cyberterroryzmu. Ale definicje
w Doktrynie nie załatwiają problemu. Dalej te pojęcia używane w ustawach winny
być zdefiniowane w ustawie, a nie dokumencie koncepcyjno-wykonawczym BBN.
Prawne zdefiniowanie jest nieodzowne, bowiem dotyczy to potencjalnych
konsekwencji w zakresie praw i wolności obywateli.
Doktryna ma jak piszą niektóre media naprawić błędy zaniechania jakichkolwiek realnych działań legislacyjnych i wykonawczych programów i polityk rządu dotyczących
czberprzestrzeni, produkowanych od 2009r. Pozostaje pytanie jak? Kompetencje BBN są wyraźnie określone i naprawianie błędów i zaniechań
rządu nie jest jedną z nich.
Póki
co brak ustawy regulującej te kwestie i innych uregulowań prawnych i wdrożenia
tych programów, planów i doktryn stwarza
zagrożenie dla bezpieczeństwa i porządku publicznego i daje wolną rękę
organom i instytucjom państwa do działań arbitralnych.
Na zakończenia w tekście Doktryny znalazłam
takie przykłady polszczyzny –
Istotne źródło ryzyk stanowi wrażliwość systemów...
Źródłem
ryzyk może być nieodpowiednie...
Koncepcja działań preparacyjnych (przygotowawczych)...
Te cudeńka językowe zaispirowały tytuł tekstu
Polecam blogi Adama Kłykowa
adamklykow.bloog.pl
[1] http://www.bbn.gov.pl/ftp/dok/01/DCB.pdf
[2]
https://www.msz.gov.pl/resource/93e1e4c7-e129-41c7-8365-39dbad8b1c54:JCR
[3] http://www.bbn.gov.pl/ftp/dok/01/DCB.pdf
[4] http://di.com.pl/news/46635,0,Polityka_ochrony_cyberprzestrzeni_RP_niepozorna_ale_moze_to_i_lepiej.html
