Co jest kluczowym elementem w zapewnieniu cyberbezpieczeństwa państwa?

Przede wszystkim dobry plan ciągłości działania. Stworzony po to, by konsekwentnie realizować go przez wiele lat i nie zmieniać, tylko dlatego, że zmienia się władza, takie jest oczekiwanie sojuszników czy jest nam to przydatne w aktualnej rozgrywce politycznej. Taki plan powinien być zbiorem norm, procedur, systemów, które zapewnią stały nadzór nad bezpieczeństwem i zagwarantują pewną niezmienność,bo przecież cel jest jeden – zapewnienie cyberbezpieczeństwa.

Trwają konsultacje nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wśród proponowanych zapisów znalazły się kryteria, jakie będą brane pod uwagę przy ocenie dostawców sprzętu i oprogramowania, a wśród nich m.in. przestrzeganie praw obywatelskich i praw człowieka w kraju, z którego pochodzi dostawca.

W tym przypadku należy stworzyć katalog jednoznacznych wymogów, które warto sprawdzać oceniając dostawców. Zdecydowanie cyberbezpieczeństwo nie jest uzależnione od tego, z jakiego kraju pochodzi sprzęt czy oprogramowanie, a od wielu innych czynników na które składają się elementy technologiczne, know-how, ludzie.

A kto je powinien sprawdzać?

Laboratorium Oceny Bezpieczeństwa Produktów Teleinformatycznych – które przecież mamy. To ono powinno oceniać technologiczne bezpieczeństwo sprzętu i oprogramowania, a także wyznaczać warunki technologiczne, jakie sprzęt powinien spełniać i na tej podstawie dopuszczać lub eliminować dostawców. Od kwestii pozatechnologicznych mamy przecież odpowiednie służby chroniące interesy Państwa.

Od 2018 r. w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, w którym zostały wpisane obszary kluczowe dla bezpieczeństwa państwa (energia, zdrowie,transport, banki, finanse, infrastruktura cyfrowa i zaopatrzenie w wodę). 7 września tego roku rozpoczęły się 14-dniowe konsultacje na temat zmian w tej ustawie. W projekcie proponuje się poszerzenie obszarów kluczowych o telekomunikację. Zdefiniowano w nim także kryteria oceny firm, które mogą dostarczać sprzęt i oprogramowanie. Wśród ocenianych rzeczy, zgodnie z proponowaną zmianą, ma być: „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:

a) stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,

b) prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”.

Przyjęcie tego zapisu będzie oznaczać, że firmy chińskie zostaną wykluczone z przetargów na dostawę sprzętu i oprogramowania.