Cyber-strachy wracają do polskiej cyber-wioski

Raz wzbiera we mnie nadzieja,

raz jestem niespokojna.

Zbyt wiele rzeczy się dzieje –

coś przyjdzie: miłość lub wojna.

(Z. Ginczanka, maj 1939 r.)

Nie ma tu żadnych bogów, tu są tylko potwory.

Wiedźmin IV, trailer gry

Przyzwyczajam się do tego, że wiosną, z podwodnych szaf, wypływają niedotopione Marzanny. Piękne po takich przejściach nie są, ale za to napuchnięte.

To było pierwsze skojarzenie, po przeczytaniu piątkowej wersji rządowego projektu ustawy zmieniającej ustawę o Krajowym Systemie Cyberbezpieczeństwa. Niby powinna być przyjęta najpóźniej zimą zeszłego roku, kiedy upływał termin wdrożenia Dyrektywy NIS2, ale lepiej późno niż później prawda? No więc, nie. Lepiej chwilę później, ale dobrze.

Czy można przesadzić z troską o bezpieczeństwo? Autorzy pokazują, że tak. Trzymają się schematu zostawionego w szafach poprzedniej ekipy politycznej. Co ciekawe, nie zmienili tego podejścia przez pół roku, mimo wielu negatywnych opinii zgłoszonych w opiniach w toku konsultacji publicznych poprzedniej wersji rozpuchłej Marzanny. Duet biurokracji i specyficznego podejścia do bezpieczeństwa nakazowego, wiara w formalizmy, regulacje i kary (tych „Złych”), zastępuje świeży ogląd i sposób pracy większości praktyków z pierwszej linii odpierania cyberzagrożeń (tych „Dobrych”).

Pracę tych Dobrych doskonale oddaje ostatni Raport CERT Polska za 2024. Wśród zagrożeń online niezmiennie dominuje ransomware, przy czym liczba ataków wyniosła… 147 i spadła o ok. 8% „w stosunku do rekordowego pod tym względem roku 2023”. Ten spadek nastąpił mimo braku nowelizacji…

Drugim poważnym zagrożeniem jest brak aktualizacji oprogramowania i bieżącego łatania podatności. Tutaj Zespół CERT Polska wysłał prawie 12 tysięcy maili do różnych podmiotów, wskazując na łącznie ponad 100 znanych podatności, które nie były załatane na produkcyjnych systemach. Niestety, nie znalazłem w Raporcie informacji ile z tych podmiotów było podmiotami publicznymi, a ile z sektora prywatnego. Ale z wcześniejszych informacji CERT wynika, że najgorsza w tym zakresie sytuacja jest wciąż w samorządach i jednostkach im podległych.

Trzecią kategorią wymienioną w Raporcie są wycieki danych. CERT Polska wskazuje trzy takie przypadki w ciągu całego roku: megamodels.pl, gdzie „znaczna część kont była założona przez automaty”, sklepbaterie.pl oraz najpoważniejszy superpharm.pl, który dotknął 1,6M miliona klientów, ale Zespół CERT Polska do czasu pisania Raportu „nie zaobserwował, aby dane stały się publicznie dostępne.”. Wycieki danych są bardzo dotkliwe dla zwykłych użytkowników, mimo tego, że zastrzeganie PESEL’a i bazy z informacjami o tym co wyciekło pomagają istotnie ograniczać skutki tych zdarzeń. Od strony regulacyjnej wycieki takie są szczegółowo badane przez Prezesa UODO, a podmioty winne zaniedbań otrzymują coraz surowsze kary. Nowelizacja KSC nic w tym zakresie nie poprawia.

Na koniec Zespół CERT Polska pokazuje, że praktyczną największą aktywność przynoszącą rzeczywiste szkody użytkownikom to wyłudzenia (scam) z wykorzystaniem platform społecznościowych, możliwe dzięki tysiącom sztucznych kont i niewłaściwej moderacji treści wpisów i komentarzy. Pewno już zgadniecie, że tym aspektem nowelizacja KSC się także nie zajmuje…

Temat cyberbezpieczeństwa jest szalenie ważny i coraz bardziej aktualny wraz z zaawansowanym tworzeniem naszych cyfrowych kopii w chmurowej rzeczywistości i załatwiania coraz większej liczby spraw tą drogą. Jednak nietrafione przepisy przyniosą skutek odwrotny od zamierzonego.

Mamy straszną Marzannę, która nie adresuje problemów pokazanych przez tych Dobrych, po raz kolejny natomiast próbuje narzucać rozwiązania szeptane przez Złych. Pełne tych podszeptów truchło spuchło do prawie 200 stron tekstu legislacyjnego. Ci Dobrzy, w komentarzach do wpisu na jednym z portali społecznościowych, gdzie załączyłem projekt, skomentowali tylko: kto to będzie czytał?

Wszyscy, kiedy Marzanna stanie się prawem. Niezależnie od skali działalności, jeśli tylko zostali wymienieni w załączniku, który obejmuje szerokie spektrum sektorów usługowych i produkcyjnych.

Takie podejście wykracza daleko poza minimum z europejskiej dyrektywy NIS2. Narusza to nie tylko Konstytucję, ale też bezpośrednio art. 67 pkt 4 Prawa przedsiębiorców. Zgodził się w tym Zespół ds. deregulacji, kierowany przez Pana Rafała Brzoskę, formułując postulat: „Unia Europejska + zero”. Źli jakby celowo tego nie zauważyli.

Podobnie wykraczają poza zakres NIS2 surowe sankcje i dotkliwe kary pieniężne. Mimo wielu głosów wskazujących, że niezgodne z polską Konstytucją jest penalizowanie ofiar przestępstw, autorzy uparcie postulują penalizowanie ofiar cyberprzestępstw, nakładając na te podmioty dotkliwe kary administracyjne. Projekt przepisów przewiduje możliwość zawieszania działalności lub zakazu pełnienia funkcji zarządczych – zanim jeszcze sprawa trafi do sądu. To oznacza, że decyzje administracyjne mogą skutkować poważnymi konsekwencjami dla przedsiębiorców, a prawo do obrony będzie czystą teorią.

Głos Dobrych, że cyberbezpieczeństwo należy budować na edukacji, wsparciu i dobrym przykładzie został praktycznie całkowicie wypatroszony w nowej, cyberstrasznej spuchniętej Marzannie.

Tymczasem praktyka pokazuje, że wiele działań z tego obszaru bez 200 stron nowych przepisów prowadzi w Polsce CERT NASK czy CERT MON. Są to działania prewencyjne, wspólne ćwiczenia czy warsztaty, wymiana informacji między wszystkimi podmiotami, edukacja czy nawet wspomniane w Raporcie CERT Polska informowanie o niezałatanych podatnościach. Takie działania prowadzą też europejskie kraje, które były na pierwszej linii frontu, jak choćby Estonia. Czy da się tutaj coś poprawić? Zdecydowanie tak. Ale nasza Marzanna tego nie zawiera. W szczególności nie dotyka np. zniesienia barier regulacyjnych, które utrudniają, a często uniemożliwiają efektywną komunikację i ostrzeganie się wzajemnie przedsiębiorców o trwającym cyberataktu i wymianie danych o jego szczegółach oraz współpraca w jego odpieraniu. Wśród tych barier formalnych wymienię tylko istniejące przepisy dotyczące ochrony różnych tajemnic i rodzajów danych.

W wielu punktach nowelizacji podtrzymano podejście nakazowej regulacji konkretnych produktów czy usług. Tymczasem „Bezpieczeństwo to proces, a nie produkt” – jak powtarza od lat Bruce Schneier, wybitny specjalista od kryptologii i cyberbezpieczeństwa. Chciałoby się, aby wprowadzić tę myśl do naszej cyber-Marzanny. Wszak mówi się, że dobre serce potrafi zmienić najgorszego potwora.

Uważam bez jakichkolwiek wątpliwości, że potrzebujemy na już dobrych zasad i prawa w obszarze cyberbezpieczeństwa. Potrzebujemy i kropka. Ale muszą być one przejrzyste, proporcjonalne i w zakresie unijnego minimum harmonizacji. Dyrektywę NIS2 powinniśmy wdrożyć szybko, w zgodzie z aktualną praktyką tych Dobrych, a nie oczekiwaniami tych Złych. Serce naszej cyber-Marzanny należy zbudować wokół następujących zasad:

1. Budowanie wzajemnego zaufania zamiast administracyjnych kar i zbiurokratyzowanych procedur

2. NIS2 minimum czyli „Unia Europejska + zero”.

3. Wsparcie ofiar zamiast ich penalizacji. Edukacja zamiast represji (szkolenia, publiczne standardy, pomoc w zgłaszaniu incydentów). Podmioty publiczne zamiast kontroli, powinny tworzyć dobre praktyki, świecić przykładem i udostępniać nieodpłatne narzędzia i serwisy wspierające bezpieczeństwo.

4. Ograniczenie ingerencji administracyjnej do systemów prawdziwie krytycznych lub finansowanych ze środków publicznych.