W konsultacjach: Rządowy program ochrony cyberprzestrzeni RP

W Polsce pojawił się właśnie dokument pt. "Rządowy program ochrony cyberprzestrzeni RP na lata 2008-2011" w wersji 1.0. Rozpoczynają się konsultacje. Z historycznych komunikatów prasowych może wynikać, że prace nad dokumentem rozpoczęto we wrześniu, po atakach na witryny internetowe prowadzone przez Kancelarię Premiera, Ministerstwa Pracy i Polityki Społecznej, po atakach na Gruzję (por. Gruzja: Wojna elektroniczna - potwierdzono atak na infrastrukturę teleinformatyczną i Rzecznik pyta w sprawie bezpieczeństwa krytycznej infrastruktury), jednak wiadomo, że prace dotyczące krytycznej infrastruktury państwa toczyły się już wcześniej. Z dostępnych materiałów "wyziera" to, czego dziś nie mamy, a co - m.in. w sferze organizacyjno-prawnej - należy zrobić.

Dla przypomnienia kilka linków do wcześniejszych tekstów: Hasło na dziś: Infrastruktura Krytyczna Państwa, O tym jak dbać o krytyczną infrastrukturę i o rządowym zespole CERT, czy IKP: spotkanie z przedsiębiorcami - operatorami infrastruktury. Przy okazji prac legislacyjnych, dotyczących ustawy z dnia 16 marca 2007 r. o zarządzaniu kryzysowym (Dz.U. z 2007 r. Nr 89, poz. 590; PDF na stronie Sejmu RP), rozpoczęły się spotkania, takie jak międzyresortowe spotkanie poświęcone ochronie infrastruktury krytycznej właśnie. To działo się na początku zeszłego roku. Atak na strony Ministerstwa Pracy i Polityki Społecznej i na stronę Kancelarii Premiera miał miejsce w kwietniu 2008 roku (chociaż sygnalizowałem błędy tej ostatniej strony już wcześniej: Informatyzacja państwa potrzebuje swego admina (z maja 2007). Mamy generalny kłopot ze stronami administracji publicznej. Nie wiemy nawet, czy działają legalnie: Czy "własne" serwisy internetowe administracji publicznej działają legalnie?. Po co ma być ich tyle? W szeregu tekstów sygnalizowałem potencjalne problemy: Kupujcie odkurzacze i pralki w BIP Ministerstwa Pracy. Zlikwidujmy BIP-y, bo to fikcja..., A hasła do serwerków Kancelarii Sejmu brzmią..., Interpelacja w sprawie dostosowania stron rządu dla osób niewidomych, Jeden serwis wymiaru sprawiedliwości - OK, ale nie pasuje mi sposób prezentowania pomysłu, Ministerstwo Transportu ma nową stronę - dlaczego każdy resort ma mieć własną? czy Teraz znowu likwidują ministerstwa i ich serwisy internetowe...

W każdym razie, we wrześniu 2008 roku, nieco po atakach na strony rządowe i ataku na Gruzję, pojawiły się takie doniesienia jak to, opublikowane w PublicStandard: ABW bada rządowe witryny. Tam m.in. można przeczytać:

Agencja Bezpieczeństwa Wewnętrznego rozpoczęła kontrolę zabezpieczeń witryn internetowych należących do instytucji państwowych. "Mogę powiedzieć tylko tyle, że o jej wynikach oraz o sposobach neutralizacji wykrytych nieprawidłowości na bieżąco informujemy osoby odpowiedzialne za bezpieczeństwo tych stron" - mówi rzecznik ABW Katarzyna Koniecpolska-Wróblewska.

Jest też informacja podana za Dziennikiem, że ABW zaczęła prace nad rządowym programem ochrony cyberprzestrzeni RP. Chciałoby się powiedzieć: "lepiej późno niż wcale".

Pojawiła się wersja 1.0 (PDF) tego programu (plik to w istocie zeskanowana bitmapa włożona w PDF). W Biuletynie Informacji Publicznej MSWiA nie mogę znaleźć tego pliku (chociaż to Minister SWiA będzie "podmiotem koordynującym wdrażanie Programu" i już niebawem ma odbyć się konferencja uzgodnieniowa właśnie w tym ministerstwie).

W dostępnym dokumencie można przeczytać, że "Celem strategicznym Programu jest wzrost poziomu bezpieczeństwa cyberprzestrzeni państwa", a jednocześnie:

Osiągnięcie celu strategicznego wymaga stworzenia ram organizacyjno-prawnych oraz systemu skutecznej koordynacji i wymiany informacji pomiędzy podmiotami administracji publicznej oraz innymi podmiotami, których zasoby stanowią krytyczną infrastrukturę teleinformatyczną kraju, na wypadek ataków terrorystycznych wykorzystujących publiczne sieci teleinformatyczne.

W tym samym dokumencie można przeczytać, że działania organizacyjno-prawne powinny obejmować między innymi:

a) prawne zdefiniowanie pojęć dotyczących cyberprzestępczości i cyberterroryzmu

b) prawne uregulowanie zasad ochrony krytycznej infrastruktury teleinformatycznej,

c) ustalenie odpowiedzialności za ochronę cyberprzestrzeni RP i krytycznej infrastruktury teleinformatycznej,

d) ustalenie metod i zakresu współpracy z podmiotami prywatnymi posiadającymi elementy krytycznej infrastruktury teleinformatycznej państwa,

e) stworzenie sektorowych punktów kontaktowych oraz ustalenie sposobów i form współpracy

f) prawne zdefiniowanie funkcji i zakresu działania zespołu CERT.GOV.PL

g) zdefiniowanie roli kierowników i administratorów w jednostkach posiadających elementy krytycznej infrastruktury teleinformatycznej,

h) zdefiniowanie zakresu wymaganej współpracy jednostek posiadających fragmenty krytycznej infrastruktury teleinformatycznej z instytucjami odpowiedzialnymi za ochronę cyberprzestrzeni państwa

i) wyznaczenie priorytetów i podjęcie działań w zakresie współpracy krajowej i międzynarodowej odnośnie ochrony cyberprzestrzeni,

j) ujednolicenie polityk bezpieczeństwa jednostek administracji publicznej posiadających elementy krytycznej infrastruktury teleinformatycznej,

k) uruchomienie programów badawczych dotyczących ochrony cyberprzestrzeni.

Jest 2008 rok i dziś można założyć, że tego wszystkiego nie mamy.

Być może przy okazji prac nad zwiększeniem bezpieczeństwa infrastruktury krytycznej państwa da się wreszcie doprowadzić do powstania jednego serwisu administracji rządowej (w miejsce wielu różnych, które nijak ze sobą nie współpracują, nie nadają się do wspólnego przeszukiwania, a jeśli ograniczyć ich liczbę - można postarać się o lepsze bezpieczeństwo, funkcjonalność, w tym dostosowanie do standardów technicznych, do standardów dostępności (por. accessibility), etc.). Być może w miejsce wielu "serwisów własnych" wreszcie zacznie się stosować przepisy o Biuletynie Informacji Publicznej? Być może da się poprawić rozporządzenie, które znowelizowano jakiś czas temu, upraszczając poprzednie, a było to rozwiązanie czasowe (o takich rozwiązaniach wiadomo, że prowizorka zawsze utrzymuje się dłużej niż to zakładano)? Być może dowiemy się wreszcie kto (z imienia i nazwiska) jest odpowiedzialny za działanie serwisów internetowych?

We wrześniu 2004 roku Critical Infrastructure Protection Board przy prezydencie USA opublikowała roboczą wersję amerykańskiej Narodowej Strategii Ochrony Cyberprzestrzeni (National Strategy to Secure Cyberspace), stanowiącej podstawę wyłaniającego się wówczas w USA systemu ochrony infrastruktury teleinformatycznej. Critical Infrastructure Protection Board przeistoczył się w National Infrastructure Advisory Council (NIAC) i działa pod auspicjami amerykańskiego Departamentu Bezpieczeństwa Krajowego (U.S. Department of Homeland Security). Amerykańska strategia pt. National Strategy for the Physical Protection of Critical Infrastructures and Key Assets jest częścią większej całości - Narodowej Strategii zagwarantowania bezpieczeństwa Kraju (National Strategy for Homeland Security).

Strategia amerykańska, która dotyczy fizycznego bezpieczeństwa infrastruktury krytycznej, zebrana jest na 76 stronach tekstu. Oczywiście zdaję sobie sprawę, że nie chodzi tu o objętość, a o merytorykę. Rządowy program ochrony cyberprzestrzeni spisany został na 25 stronach.

Zestawienie w jednym dokumencie tego, co jest do zrobienia, wyjaśnia nieco obserwowaną rzeczywistość (m.in. to, że niektóre, nawet konstytucyjne organy państwa, nie mają dziś wpływu na to, jak będzie zrobiona ich strona, ale przecież nie tylko o "strony internetowe" tu chodzi).