renew set up as a password to combination puzzle box (cryptex)

Nie można mówić o przygotowaniu strategii cyberbezpieczeństwa i przepisów, które by jej dotyczyły, bez współpracy administracji państwowej z przedsiębiorcami. I to z wszystkimi.

O cyberbezpieczeństwie mówi się dużo i niemal przy każdej okazji. Jest to zrozumiałe, jeżeli się weźmie pod uwagę wszelkie badania czy raporty dotyczące bezpieczeństwa, przestępczości gospodarczej czy największych wyzwań stojących przed państwami i ich gospodarkami. Wszystkie one jednoznacznie wskazują, że cyberbezpieczeństwo jest jedną z kluczowych kwestii w dzisiejszym świecie.

Czym ono jednak jest w istocie? Upraszczając dalece sprawę, jest ono bezpieczeństwem sieci i systemów teleinformatycznych. W dzisiejszym świecie teleinformatyka odpowiada za sprawne funkcjonowanie niemal wszystkich aspektów naszego życia społecznego i gospodarczego. Poczynając od sfery „twardej”, czyli obronności państw, funkcjonowanie infrastruktury krytycznej (w tym energetyki, wody, ochrony zdrowia, łączności i systemów finansowych) poprzez systemy administracji publicznej, na komercyjnych usługach internetowych kończąc. Tak więc cyberbezpieczeństwo to bezpieczeństwo nas wszystkich.

Jest czas na dyskusje

Unia Europejska pracuje od kilku lat nad dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Wszystko wskazuje na to, że prace te zakończą się wkrótce i dyrektywa zostanie przyjęta. Kraje członkowskie, w tym Polska, będą miały dwa lata na implementację przepisów dyrektywy.

Jednocześnie minister cyfryzacji Anna Streżyńska zainicjowała prace nad przyjęciem Krajowej Strategii Cyberbezpieczeństwa oraz ustawy o krajowym systemie cyberbezpieczeństwa. Założenia strategii zostały przedstawione kilka miesięcy temu, na projekt ustawy nadal czekamy. Jest to zatem najlepszy moment, aby zastanowić się nad kształtem zapowiedzianej ustawy. Oczywiste jest, że powinna w pełni implementować wspomnianą dyrektywę. Powinna też jednak iść dalej i regulować kwestie w dyrektywie nieujęte, co zresztą zostało zapowiedziane w założeniach do wspomnianej strategii.

Przede wszystkim należy pamiętać, że techniki teleinformatyczne rozwijają się bardzo szybko. A zatem ustawa powinna być na tyle elastyczna, aby nie trzeba było jej stale nowelizować. Ten postulat dotyczy definicji, jakie mają być w niej użyte. Zgodnie z zasadą prawa rzymskiego, że wszelkie definicje są niebezpieczne, bo rzadko się zdarza, by nie można było ich podważyć, warto, aby projektodawcy odstąpili od zapowiedzianego zamiaru zdefiniowania cyberprzestrzeni. Do ustanowienia dobrych regulacji prawnych taka definicja nie wydaje się potrzebna, a jej przyjęcie może nieść więcej szkód niż pożytku. Zresztą sam tytuł ustawy nie powinien zawierać słowa „cyberprzestrzeń” czy „cyberbezpieczeństwo”, lecz raczej, wzorem wspomnianej dyrektywy lub np. odpowiedniej ustawy niemieckiej, odnosić się do bezpieczeństwa sieci i systemów teleinformatycznych.

Konieczna jest współpraca

Ustawa powinna dawać możliwość określenia standardów technicznych, informatycznych i fizycznych w zakresie bezpieczeństwa systemów teleinformatycznych zarówno podmiotów gospodarczych, jak i administracji publicznej. Istotne, by zapisy ustawowe posługiwały się w tym zakresie klauzulami generalnymi. Szczegółowe standardy powinny być określane w rozporządzeniach, rekomendacjach wydawanych przez właściwe organy administracji czy kodeksach dobrych praktyk przyjmowanych przez przedsiębiorców w porozumieniu czy za aprobatą władz publicznych.

W tym miejscu dochodzimy do kwestii współpracy administracji z przedsiębiorcami. Obszar cyberbezpieczeństwa jak żaden inny wymaga tej współpracy opartej na rzeczywistym partnerstwie. Zdecydowana większość infrastruktury krytycznej znajduje się w rękach przedsiębiorców (w dużej mierze prywatnych). Również kompetencje zarządcze i informatyczne znajdują się po stronie przedsiębiorców. Dlatego ścisła współpraca między administracją a biznesem jest tu konieczna. Musi ona istnieć zarówno na etapie tworzenia krajowego systemu cyberbezpieczeństwa, jak i na późniejszych etapach realizacji. Elementem budowy partnerstwa powinna być wspólna praca nad strategią oraz nad ustawą. Do tej współpracy gotowy jest polski sektor teleinformatyczny. Wysiłki państwa mogą i powinny być wsparte zarówno przez międzynarodowe koncerny informatyczne i telekomunikacyjne, jak i polskich przedsiębiorców. Budowa bezpieczeństwa polskiej cyberprzestrzeni jest świetną okazją, aby wzmocnić polskie firmy poprzez rozwój ich kompetencji i realizację zamówień publicznych. Jednak to wsparcie, zapowiadane chociażby w planie Morawieckiego, nie powinno być stawiane w kontrze do wspomnianych firm globalnych. Współpraca z tymi firmami, o ile jest oparta na partnerskich zasadach i ujęta w odpowiednie ramy prawne, nie stanowi zagrożenia dla bezpieczeństwa państwa czy naszej suwerenności.

W ekosystemie cyberprzestrzeni jest miejsce dla graczy krajowych, europejskich i globalnych. Nie zbuduje się bezpieczeństwa bez współpracy ze wszystkimi.

Powyższy artykuł ukazał się 7 lipca 2016 r. w dzienniku Rzeczpospolita – https://www.rp.pl/Opinie/307079967-Cyberbezpieczenstwo-rzad-musi-uwzglednic-rowniez-glos-firm.html#ap-2

Wojciech Dziomdziora

Wojciech Dziomdziora
Radca Prawny, Counsel

wojciech.dziomdziora@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *