Deszcze niespokojne w polskiej cyber-wsi

Ulewy i niespotykane od dawna powodzie przetaczają się w ostatnich dniach przez ziemie zachodnich sąsiadów od Niemiec, przez Francję aż po Belgię. Od ponad 800 dni, w sąsiadującej Ukrainie, trwa największa od II wojny światowej kinetyczna faza wojny, rozpoczętej 10 lat temu rosyjskim atakiem hybrydowym na ukraiński Krym i jego bezprawną aneksją. Fazie tej towarzyszą masowe zbrodnie wojenne rosyjskich agresorów na terenach frontowych, ale też ataki daleko za liniami frontu, na cywilną infrastrukturę krytyczną, np. sieci energetyczne czy telekomunikacyjne. Wykorzystywana jest broń rakietowa, drony i ataki cybernetycznych.

Tymczasem w Polsce słoneczna wiosna. Kilka gwałtownych medialnych pożarów, kilkunastu zatrzymanych szpiegów na etapie postępowań przygotowawczych i jeden sędzia – zdrajca, który wybrał wolność na Białorusi. Złośliwi mówią, że ze zmęczenia aktywnym wspieraniem reformy systemu sądownictwa, prowadzonej tytanicznie w Ministerstwie Sprawiedliwości przez 8 lat rządów Zjednoczonej Prawicy.

„Niech na całym świecie wojna, byle polska wieś zaciszna, byle polska wieś spokojna”, cytując Dziennikarza z Wesela Wyspiańskiego. Sielanka jednak pozorna, bowiem przez polską cyber-wieś przewalają się właśnie deszcze niespokojne, w postaci czterech jeźdźców Apokalipsy:

1) nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, męczonej latami przez szczęśliwie minionego już ministra cyfryzacji minionego rządu, odświeżonej przez urzędników minionego rządu pod nowym przewodnictwem. Ma wdrażać Dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (dyrektywa NIS2),

2) unijnego rozporządzenia DORA (Digital Operational Resilience Act), istotnego dla instytucji finansowych działających w UE,

3) wizji ustawy wprowadzającej dyrektywę o odporności podmiotów krytycznych (Dyrektywa CER),

4) najnowszego, bo z 20 maja br., projektu ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa,

Za nimi czai się Jeździec Piąty, przyjęte 21 maja br. unijne rozporządzenie w sprawie sztucznej inteligencji (AI Act).

Pomijam kulawego krasnoluda na kosmatym kucu, tj. naszą wersję Europejskiego Kodeksu Łączności Elektronicznej. Trafił do Sejmu, ale tradycyjnie nie mieści się w domenie cyber, chociaż jest dla niej niezwykle istotny. Zresztą chyba, tę traumę, wszyscy zainteresowani chcą już zapomnieć. Może z powodu wieloletniego opóźnienia, w wyniku sporu, która frakcja Zjednoczonej Prawicy i które z podległych tej frakcji służb będą kosztem wolności obywatelskich i prywatnej właśności lepiej bronić naszego bezpieczeństwa i pozycji TVP. W wyniku „obrony” zapłaciliśmy ponad 7,5 miliona euro z naszych podatków i za każdy kolejny dzień po 21 maja płacimy kolejne 50 tysięcy. To cena dwóch rakiet przechwytujących systemu Patriot, ale komu to potrzebne?

Wdrożenie Dyrektywy NIS2 na szczęście nie jest jeszcze opóźnione. Termin unijny to 18 października tego roku. Jest szansa, by przygotować realne środki poprawy cyberodporności firm, niezależnie od ich wielkości, by poprawić bezpieczeństwo w sektorze publicznym, w tym w samorządach, a przy tym nie ograniczyć naszego dostępu do innowacyjnych usług i produktów, nie osłabić konkurencyjności polskich przedsiębiorstw i nie pogorszyć szans polskiej nauki na udział w kreowaniu innowacji.

Jak realizuje powyższe szansy przedstawiony projekt nowelizacji ustawy o krajowym systemie bezpieczeństwa? Miernie.

Mierna baza merytoryczna projektu ustawy o KSC

Po pierwsze, projekt powstał jako modyfikacja projektu przygotowywanego przez wiele lat w poprzednim rządzie, mocno krytykowanego i powiedzmy wprost – miernego merytorycznie. Każdy, kto cokolwiek w życiu pisał wie, że poprawienie złego cudzego tekstu to praca żmudna i zawsze wynik jest gorszy, niż napisanie dobrego tekstu samemu, od początku. Gorzej, jak w poprawianiu uczestniczą dawni autorzy, przytłoczeni może zbyt bardzo bagażem dyskusji i założeń przygotowanych w środowisku politycznym o wartościach odmiennych od wartości deklarowanych przez obecny rząd. Ten system wartości ze starego projektu pozostał w projekcie nowym. Najbardziej widać to w podejściu centralistycznym – systemie nakazowym wspartym karami. W miejsce współpracy i wymiany informacji o zagrożeniach i sposobach ich mitygowania przez wszystkie ośrodki zajmujące się cyberbezpieczeństwem w sektorze publicznym i prywatnym, mamy sformalizowane procedury, wpisy do rejestrów i kary. Oczywiście nakładane na przedsiębiorców. O skutkach naruszeń bezpieczeństwa w urzędach i karach dla urzędników, którzy zawinili, dużo nie przeczytamy. Projekt karze podmioty gospodarcze będące ofiarami cyberprzestępstw, szczególnie wśród małych i średnich przedsiębiorstw. Tymczasem rząd powinien zaoferować wsparcie, dostęp do informacji i finansowanie szkoleń i inwestycji.

Niekonstytucyjne przepisy ustawy KSC

Drugą poważną wadą projektu jest wiara, że do zapewnienia bezpieczeństwa niezbędne jest poświęcenie konstytucyjnie chronionych wartości, tj. własności, wolności obywatelskich czy swobody działalności gospodarczej. O ile przyzwyczajano nas do tego przez minione osiem lat, o tyle zastosowanie tej samej aksjologii w projekcie rządu koalicji deklarującej ochronę Konstytucji poważnie niepokoi. Widać to szczególnie w dwóch procedurach, które będzie mógł prowadzić minister ds. cyfryzacji – pełnomocnik rządu ds. cyberbezpieczeństwa. Pierwsza to procedura tzw. poleceń zabezpieczających, zgodnie z którymi w razie wystąpienia incydentu krytycznego u podmiotu objętego ustawą, minister będzie mógł „przejmować dowodzenie”, w wyniku czego może w szczególności wyłączać w prywatnych firmach całe systemy, serwisy internetowe, czy usługi cyfrowe, na okres do dwóch lat. Autorzy za poprzedniego rządu deklarowali, że będą to stosować z umiarem i wyjątkowo i trzeba im ufać. Zupełnie jak z Pegasusem. Autorzy z tego rządu jeszcze nie wyjaśnili swoich intencji, ale mają szansę zrobić to w konsultacjach. Druga kontrowersyjna procedura to wyznaczanie „dostawców wysokiego ryzyka” – tzw. HRV. Jest to kopia pojęcia z europejskiego 5G Toolbox, przyjętego przez ENISA jako zalecenie dla przedsiębiorców telekomunikacyjnych, do szacowania ryzyk i ich mitygowania. Poprzednia władza nie rozumiała pojęcie zalecenia i samooceny ryzyk przez przedsiębiorcę, więc postanowiła użyć tych kryteriów jako przesłanek do decyzji urzędniczej czyj sprzęt i usługi są bezpieczne, a czyj nie jest. Pierwotnie była to procedura tajna, bez udziału zainteresowanych stron, mimo że jej wynik mógł skutkować całkowitym zamknięciem danej usługi, czy kosztowną wymianą infrastruktury – będącej prywatną własnością działających w Polsce przedsiębiorców. Takie myślenie nie dziwiło wśród kierownictwa Zjednoczonej Prawicy, wszak tylko państwowy Lewiatan jest dobry, a przedsiębiorcy prywatni to wcielone zło i ich jedynym celem powinno być finansowanie urzędniczych prześladowców. Zgodnie z wartościami deklarowanymi przez rządzącą Koalicję nie ma miejsca na pomijanie zasady proporcjonalności. Dlatego w projekcie brakuje katalogu środków proporcjonalnych i precyzyjnych warunków ich stosowania, jeśli mają wpływ na wolności obywatelskie czy własność prywatną. Szokuje też zgoda na ustawowy brak gwarancji uczestnictwa w procedurze administracyjnej, wszystkich, których procedura dotyczy.

Milionowe kary dla 40 tysięcy podmiotów

Trzeci, równie istotny jak poprzednie, zarzut dotyczy zakresu podmiotowego projektu. Względem poprzednich wersji, listę branż stanowi kilkustronicowy załącznik, a liczbę podmiotów dotkniętych wyliczono na blisko 40 tysięcy. Praktycznie do wszystkich tych podmiotów można będzie stosować wszystkie krytykowane instrumenty regulacyjne. Wszystkie też będą objęte rejestrem i karami, w wysokości do 10 milionów Euro. To chyba najbardziej szokujący przejaw pominięcia zasady proporcjonalności. Kosztów regulacji dla tych podmiotów nie oszacowano. Podobnie jak nie pokazano związku rejestru i kar z poprawą odporności na ataki cybernetyczne.

Szczegółowe zarzuty do obecnego projektu z pewnością zostaną wskazane w toku trwających konsultacji. Chciałbym wierzyć, że doprowadzą one do debaty i przywrócenia tej niezwykle ważnej regulacji fundamentów konstytucyjnych, bo obecnie tkwi ona cały czas w mentalności minionej dekady.

cyberbezpieczeństwo

Pozostało 93% artykułu