Z Łukaszem Wojewodą, dyrektorem Departamentu Cyberbezpieczeństwa w Kancelarii Premiera Rady Ministrów rozmawialiśmy – podczas spotkania CXO HUB CyberSec Chapter – o zmianach w ostatniej wersji projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC). Zastanawialiśmy się też, ile jest w noweli sankcjonowania uprzedzających obecną legislację praktyk i rozwiązań CyberSec, a ile nowości?
Proszę przybliżyć, jaka jest – w zamyśle twórców nowelizacji UKSC – wizja nowoczesnego cyberbezpieczeństwa? Czym się ona przejawia w proponowanych rozwiązaniach prawnych i organizacyjnych?
Na wstępie urealniłbym spojrzenie na nowelę ustawy o Krajowym Systemie Cyberbezpieczeństwa. Mówimy nie tyle o nadzwyczajnej, nowoczesnej wizji, lecz o doganianiu wyzwań, z jakimi mierzą się już obywatele, państwa, gospodarka. O doganianiu norm prawnych i standaryzacyjnych. Projekt jest obszerny i ma już swoją historią. Ma też „miejską legendę”. Teraz zmierzamy do szczęśliwego zakończenia. 15 marca projekt został przekazany do komitetu stałego Rady Ministrów.
A zatem jeśli nie nowoczesny, to…
…pragmatyczny. Wolę to słowo – niż nowoczesność – w odniesieniu do tego projektu. Zmiana ma dostarczyć elementy brakujące w Krajowym Systemie Cyberbezpieczeństwa. Nie nazwałbym jednak tego pełną wizją cyberbezpieczeństwa. Nie da się tego uzyskać ze względu na dynamiczną sytuację. Tak samo, jak nie ma pełnego cyberbezpieczeństwa. W praktyce zawsze dążymy do określonego, uzgodnionego poziomu, do zniwelowania określonego ryzyka. I pracujemy jednocześnie nad uzyskaniem kolejnego poziomu dojrzałości.
Podobnie jest z tym projektem. Możliwe byłyby kolejne uzupełnienia, ale nie można już było ich uwzględniać, ponieważ nigdy nie wyszlibyśmy poza proces przygotowań. W projekcie, który znają Państwo od ponad roku (rok temu na spotkaniu CXO HUB przedstawiał obszernie jego założenia Robert Kośla, ówczesny dyrektor Departamentu Cyberbezpieczeństwa w KPRM – przyp. red.), nie ma złożonych, skomplikowanych rozwiązań.
Doprecyzowanych zostało jednak kilka spraw, takich, jak powołanie spółki Polskie 5G.
Ten ostatni element wyróżnia się, bo rzeczywiście wymagał wiele aktywności, aby zawrzeć w jego definicji funkcje, które instytucje państwa określają jako „bezpieczeństwo narodowe”.
Nie ma tam jednak żadnej rewolucji. Dyskusje dotyczyły osiągnięcia kompromisu pomiędzy stronami rynku mobilnego.
Czy to się udało?
Chyba tak, wnosząc z tego, że wszystkie strony są trochę niezadowolone, akcentując własne ustępstwa.
Pozostałe zagadnienia, jak kwestia dostawców wysokiego ryzyka, CSIRT dla sektora telco, to kwestie dyskutowane już od dawna. Mam wrażenie, że też powszechnie zrozumiane. Nową rzeczą jest jeszcze konieczność przyłączenia się operatorów usług kluczowych do zintegrowanego systemu zarządzania cyberbezpieczeństwem S46 i dzielenie się informacjami w nim.
Instrumentem, który budził kontrowersje było „polecenie zabezpieczające”. Jego działanie wyjaśniał przed rokiem Robert Kośla. Jak mówił, polecenie zabezpieczające to instrument, który będzie mógł być wykorzystanie jedynie w sytuacji wystąpienia incydentu krytycznego, skutkującego znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. Polecenie zabezpieczające będzie kierowane do podmiotów KSC i obejmuje katalog 10 zachowań, które mogą zostać nakazane w celu ograniczenia propagacji trwającego incydentu krytycznego i jego skutków.
Ten instrument, to – w skrócie – systemowa odpowiedź na doświadczenia po ostatnich incydentach, które się nie zmaterializowały, np. podatności Log4Shell czy Log4j. Polecenie miało więc wypełniać lukę i – zanim wyłonił się obecny kształt – były różne pomysły rozwiązania tych kwestii. Spaja się to jednak w pewną całość. Pragnę zwrócić uwagę, że w noweli zawarty jest także pokrewny element. Jest to wyposażenie pełnomocnika rządu w prawo wydawania dyspozycji mających zwiększyć poziom cyberbezpieczeństwa. To też owoc doświadczeń i obserwacji sytuacji w cyberprzestrzeni.
Słyszałem też komentarze na forach dotyczących bezpieczeństwa, że proces ubezpieczania, autoryzowania wykonania polecenia zabezpieczającego jest tak ostrożny, że aż przeciwskuteczny dla samego narzędzia.
Generalnie jest to narzędzie ministra właściwego. Na dziś nadal jest to bardzo ostrożny, konserwatywny proces. W intencjach prawodawcy oczywiście nie ma to być martwy zapis ani też zapis służący cenzurze.
Polecenie zabezpieczające będzie miało wymiar natychmiastowej wykonalności. Ma to zapewnić jego efektywność. Jest oczywiście ścieżka odszkodowawcza w razie pomyłki, ale lepiej działać niż zaniechać. Z takich założeń wychodzimy.
Natomiast trudno ostatecznie przesądzać o efektywności polecenia zabezpieczającego, zanim nie wystąpi sytuacja, kiedy tego instrumentu tego będzie trzeba użyć. Jedynym pełnym i wiarygodnym testem będzie jej wykorzystanie w realnej sytuacji. Nie ćwiczebnie, a realnie, w polskiej cyberprzestrzeni.
Co więc, jeśli polecenie zabezpieczające „nie będzie działało”?
Myślę, że to jest jedna z kluczowych spraw, jakie wiążą się z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa. Od jej uchwalenia, zmiany do KSC będą wprowadzane w reżimie ciągłym. To pozwoli uzupełniać wszelkie braki. Korygować działanie procesów i rozwiązań, wdrażać doświadczenia, np. z pierwszego wykorzystania polecenia zabezpieczającego. Jest to możliwe. Musi być tylko świadomość, że zmiana jest ważna dla wszystkich. A mamy dowody, że udaje się ten konsensus uzyskać, kiedy mówimy o cyberbezpieczeństwie.
Przykładem jest regulacja dotycząca wynagrodzeń dla specjalistów cyberbezpieczeństwa w jednostkach istotnych dla państwa, operatorów usług kluczowych i innych. Dało się to przeprowadzić w sposób szybki i wszystkie strony były zgodne co do tej zmiany. To przesłanka do optymizmu, jeśli chodzi o cyberbezpieczeństwa narodowe. Ale nie przesłanka do spoczywania na laurach, bo już nas goni np. dyrektywa NIS2, która jest z pewnością dużym wyzwaniem.
Czy wchodzimy wraz z nowelizacją KSC w architektury hybrydowe bezpieczeństwa – zasoby własne, zewnętrzne i współdzielone? Czy będą powstawały dla nich rekomendacje, standardy?
Zdecydowanie tak. Przewidzieliśmy kilka przedsięwzięć, które będą hybrydą na styku rynku i zasobów administracji publicznej. Pierwsza kwestia, to Security Operations Centers. Wyróżniliśmy wewnętrzny i zewnętrzny SOC. Podmiot, np. zobligowany do posiadania SOC ustawą, może nie mieć zasobów sprzętowych, kompetencyjnych, kapitałowych czy nawet czasowych, aby sprostać regulacjom. Wówczas może kupić SOC jako usługę. Będzie można ten złożony obszar outsourcować, czyli wchodzimy w logikę hybrydowego cyberbezpieczeństwa. Warunki dla usługodawców są opisane w projekcie noweli UKSC. Będzie to element najbliższy rynkowi.
Inny, pokrewny element, ma bardziej charakter pomocowo-współdzielony. W ramach Funduszu Cyberbezpieczeństwa będzie możliwe sfinansowanie części inwestycji związanych z podniesieniem poziomu cyberbezpieczeństwa. W tej chwili, w ramach wspomnianych przepisów o wynagrodzeniach dla osób realizujących działania z zakresu cyberbezpieczeństwa, Fundusz finansuje przede wszystkim podnoszenie wynagrodzeń.
Ale będzie także możliwość zakupu – z jego środków – rzeczy związanych z podniesieniem jakości systemów IT. Będziemy mogli pozyskiwać narzędzia analityczne. Jest to także pewna hybryda. Część Krajowego Systemu Cyberbezpieczeństwa – realizowana w podmiotach wskazanych ustawą o KSC – będzie finansowana poprzez Fundusz. Podmioty takie będą więc mogły sobie też kupić np. usługę Threat Intelligence czy inną usługę analityczną podnoszącą ich bezpieczeństwo.
W ramach programów np. KPO czy REACT są także elementy współdzielone albo współfinansowane. W wielu przypadkach dotyczą grup podmiotów samorządowych i jednostek samorządowych. Jest także projekt wzmacniania cyberbezpieczeństwa bezpośrednio w JST w ramach konkursu. To wszystko przedsięwzięcia opisane w KPO.
Natomiast pośrednio, za sprawą UKSC, w podniesienie bezpieczeństwa zaangażowana będzie cała społeczność CyberSec. Nie tylko ci, którzy będą podnosić jego poziom u siebie, ale też ci, którzy będą to realizować przez usługi, wdrożenia, szkolenia.
Wprowadzamy wymagalność audytu. Jest to kolejny obszar, w którym planujemy wprowadzić standard. Każda inwestycja w cyberbezpieczeństwo, będzie musiała być zgodna z architekturą referencyjną, ale dodatkowo – po wdrożeniu – dokonany będzie musiał być także audyt.
Dla mnie to bardzo ważna kwestia. Od dłuższego czasu próbuję odczarowywać niechęć do audytu bezpieczeństwa. Najgorszym elementem jest brak wiedzy o problemach, które mogą nas spotkać, albo które są w toku. Staramy się z tym walczyć i promować audyt.
Wspomnijmy jeszcze o ISAC – nowości, wprowadzanej przez KSC, która ma także wymiar budowy wspólnych przestrzeni bezpieczeństwa.
Cała siła ISAC-a wynika z jego dobrowolności, z tego, że w ramach tego formatu spotykają się i wymieniają wiedzą podmioty z własnej woli. Wtedy jesteśmy w stanie mieć formułę wyciągania wniosków z doświadczeń innych. ISAC promuje też prostotę, podejście ukierunkowane na osiągnięcie rzeczywistego celu. Pewną bolączką CyberSec bywa nakładanie na samego siebie zbyt dużych wymagań, podczas gdy np. okazuje się, że po drugiej stronie nikt tego nie oczekuje.
Drugi element, do którego zachęcam to rozmowa poprzez wspólne definicje, a nie skrótowce. Pozwala to zrozumieć kulturę różnych organizacji. Może być wspólna nomenklatura, która kryje różne znaczenie. Po wyjaśnieniu różnic w definicjach może się np. okazać, że jakiś – rysujący się problem – w ogóle nie istnieje. ISAC jest dobrym polem do wyjaśniania, upraszczania, uspójnienia cyberbezpieczeństwa.
Pomówmy o implementacji UKSC do modeli i procedur CyberSec działających w firmach i instytucjach. To z pewnością kwestia najbardziej bliska CSO i CIO. W jaki sposób powinna przebiegać implementacja na trzech poziomach: ogólnym, sektorowym i indywidualnym?
Pierwszy krok, najbliższy to powitanie się – lub nie – ze statusem Operatora Usług Kluczowych (OUK) i idąca za tym konieczność integracji z systemem S46. Zachęcam, aby dobrze rozpoznać, jakie z tego płyną korzyści dla danego podmiotu. Zawsze jesteśmy – jako Departament Cyberpieczeństwa KPRM, a także NASK, który jest komórką wykonawczą – chętni do pomocy i współpracy. Będzie bowiem konieczna do wykonania praca organizacyjna. Nowo upieczony OUK będzie też musiał uzyskać łącze. Jest to zadanie przyziemne, ale ważne, dotyczące fundamentalnych kwestii. Zaznaczę też, że przewidziany jest okres przejściowy na wdrożenie u OUK.
Istotną nowością są oczywiście CSIRT’y sektorowe, które trzeba powoływać i współorganizować. Wypełniają one – w założeniu – istotną lukę w systemie cyberbezpieczeństwa. Przenoszą bliżej potok informacji. Wdrożenie to także duża kwestia organizacyjna dla całej kadry cyberbezpieczeństwa, ale pożądana. Przyniesie bowiem lepszy obieg informacji. Ale trzeba zapewnić oczywiście na to zasoby.
Nowością jest też wspominany już element pomocowy – wspólne ISAC-owe społeczności. Mamy pewne doświadczenia w tej mierze. Działa ISAC zorganizowany przez Urząd Komunikacji Elektronicznej i cztery telekomy. Wiem, że ten udział się kalkuluje w organizacjach, ale zachęcam mocno do niego. Nawet jeśli z informacji uzyskanej od innego podmiotu w ramach ISAC nie mamy bezpośredniego zysku w danym momencie, to np. można uniknąć dzięki temu przynajmniej błędów w przyszłości.
Jaki charakter ma przystosowanie organizacji do UKSC – transformacyjny, czy adaptacyjny? Cały czas sygnalizuje się, że to zarazem włączenie się w pewien proces, a nie jednorazowa implementacja. Czy to rzeczywiście zaproszenie do stałej transformacji cyberbezpieczeństwa?
Jest to trudne pytanie i nie ma na nie dobrej odpowiedzi. Koszty trudno ocenić. One mogą być niewspółmierne do potrzeb. Dlatego tak ważne jest kreślenie, co rzeczywiście gwarantuje nam oczekiwany poziom CyberSec. Weźmy wdrożenie SOC dla dużej organizacji. To nie musi być przecież od razu 40 osób. Dla niektórych podmiotów wystarczy 6 osób, bo wszystkie potrzebne funkcje będą obsłużone. Nie należy jednak pomnażać kosztów.
Pewne koszty są związane przez konieczność połączenia z S46, ale urządzenie brzegowe i terminal do łączenia się z siecią tego systemu będą dostarczane przez NASK. Jedyny więc koszt do zapewnienie specjalnego łącza. Nie jest to też element, którego wdrożenie byłoby wybitnie trudne dla organizacji, które mają za sobą historię tego typu projektów. Tak więc w tym momencie mógłbym powiedzieć, że przystosowanie organizacji do UKSC to adaptacja.
Ale też rzeczywiście zaproszenie do nowego trybu. Zmiana zresztą, jak wspomniałem na początku, musi dotyczyć nie tylko tych, których obejmuje legislacja, ale także samych legislatorów i instrumentu prawnego jakim jest UKSC. Obecna nowela to 105 przepisów zmieniających ustawę. To bardzo dużo.
Odwołam się do znanego paradoksu. Często technicznie jesteśmy w stanie coś zabezpieczyć, ale prawne przepisy nam nie pozwalają. Dlatego dążymy do tego, aby pojawiające się potrzeby wdrażać na bieżąco w procesie legislacyjnym. To będzie duża zmiana.
Zwinne podejście do zmian prawnych?
Tak bym tego nie nazwał. Ale chcemy techniczne doświadczenia przenieść na poziom legislacyjny. Dzisiaj nikt – wiedząc o istotnej poprawce do systemu IT – nie będzie czekał, aż takich poprawek do różnych obszarów systemu pojawi się więcej, aby wdrożyć je hurtem. Wiadomo, że nie można zwlekać, bo cena za wygodę zbiorowego patchowania może być słona. System zostanie skompromitowany. Po stronie ustawodawcy też musimy więc wyjść ze strefy komfortowego patchowania wielkimi nowelizacjami. W tym celu zaczynam szkolić prawników w kwestiach cyberbezpieczeństwa. Chcemy, by zrozumieli zmiany, za które odpowiadają.
Podsumowując, więcej tu adaptacji, niż rewolucji w CyberSec i wchodzenia w tryb stałej zmiany.
Powiedziałbym, że zakres noweli UKSC i tryb zmiany to nic nowego dla CSO i CIO. Kiedy słucha się – także głosów tu, na CXO CyberSec Chapter – nikt nie jest specjalnie zaskoczony takim podejściem. Wiadomo, w którą stronę musiała pójść legislacja. Co więcej niektóre działania można było zawczasu wykonać i myśleć już o przyszłości. Próbujemy usankcjonować wiele spraw i uporządkować, wprowadzając rozwiązania, które wypełniają lukę, nawet, jeśli nie są najnowszym podejściem. Staramy się więc też zrównoważyć kwestie ukierunkowania przez regulatora. Niestety bywa też tak, że niektórym podmiotom, trzeba wprost wskazać prawnie wymagany poziom bezpieczeństwa.
Spójrzmy jeszcze na koniec w przyszłość. Co, w kontekście dyrektywy NIS2 czeka firmy i w jaki sposób zsynchronizowana z nim jest już nowela UKSC?
Nadal toczą się dyskusję odnośnie wielu zagadnień NIS2 i ostatecznego kształtu przyjmowanych rozwiązań. Kwestie te nie są wcale przesądzone. Nie chcemy więc zawczasu rozstrzygać i promować jakiś inicjatyw. Dużą zmiana jest niewątpliwie klasyfikacja. Ulegnie ona uproszczeniu na dwa rodzaje podmiotów – ważne i bardzo ważne odnośnie do wybranego zagadnienia CyberSec.
Są też duże różnice, jak w przestrzeni przepisów krajowych będzie wyglądał NIS2, jak będzie implementowany na różnych poziomach, np. administracji, centralnym, makroregionów… Wokół projektu NIS2 nadal trwają dyskusje, które przepisy będą w gestii krajów, a które przeniesione wprost z dyrektywy.
Wiele jest też świeżej refleksji. Pewne projekty przepisów – wydawałoby się „pewniaki” – zostało zakwestionowanych w chwili wybuchu wojny na Ukrainie. Jedno jest pewne – chętnie będziemy te kwestie dyskutować i wspólnie z firmami – także na forum takim, jak CXO CyberSec Chapter – do tych zmian się przygotowywać.
