W Polsce wrze. Wicepremier i minister cyfryzacji w jednej osobie, od wiosny gra cyber-wojenne larum. Zaczęło się podczas organizowanej przez NASK konferencji SECURE 2024 w kwietniu: „Polska jest zagrożona i narażona na różne ataki hybrydowe, najbardziej w cyberprzestrzeni”. Pada teza o 80 tysięcy incydentów w 2023 r, względem 40 tysięcy w 2022.
W opublikowanym na tej samej konferencji Raporcie Rocznym z działań CERT POLSKA można znaleźć taką liczbę. To incydenty w podmiotach gospodarki. Przy czym 95% tej liczby to… oszustwa komputerowe (fałszywe sklepy internetowe, czy lewe inwestycje). Trochę mało to wojenne. Wykorzystywanie podatności, ataki na dane, włamania czy dostępność zasobów to mniej niż 3% tej liczby. Ponadto Raport wskazuje, że Incydentów objętych krajową ustawą o systemie cyberbezpieczeństwa było 40 (czterdzieści!), 31 w sektorze bankowym i 9 w ochronie zdrowia. Plus kilka wystawionych do publicznego Internetu urządzeń sterowania przemysłowego. W wyniku złej konfiguracji. Nic o infrastrukturze firm telekomunikacyjnych. Fakty te nie przeszkadzają, aby w maju w wywiadzie dla PAP ogłosić, że „Polska jest w stanie zimnej wojny cybernetycznej z Rosją”. Wojna przestaje być zimną w czerwcu w TVP INFO: „Polska jest celem wojny cybernetycznej; codziennie dochodzi do ataków na infrastrukturę krytyczną na wielu różnych polach - transport, zdrowie, administracja elektrownie, wodociągi. Miękkie podbrzusze jest w samorządach”. Stan cyberbezpieczeństwa w samorządach to akurat rzeczywisty dramat. Ma zostać poprawiony milionami środków publicznych na zwiększanie ich odporności. I dobrze, tylko jak się to ma do wojny? Kumulacja straszenia nas następuje w lipcu, kiedy dowiadujemy się, że „Polska jest dziś najbardziej atakowanym państwem UE”. Tymczasem według syntetycznego wskaźnika cyber-zagrożenia poszczególnych państw publikowanego przez MixMode Threat Research (maj 2024) w oparciu o 4 globalnie uznawane indeksy bezpieczeństwa Polska jest na pozycji 49 i znacznie bardziej zagrożone są Bułgaria (21), Rumunia (31), Grecja (38), Łotwa (42), Portugalia (43), Węgry (44), Włochy (45). Tylko jeden punkcik bezpieczniejsze niż Polska są Niemcy, Słowacja, Hiszpania, Irlandia i Francja.
Co się kryje za straszeniem cyberwojną
Harmonogram tej eskalacji nie jest przypadkowy: w kwietniu Ministerstwo Cyfryzacji rozpoczęło konsultacje mocno kontrowersyjnych, bo przygotowanych jeszcze za poprzedniego rządu, zgodnie z panującym wówczas stylem zarządzania i autorytarnymi wartościami, zmian w ustawie o krajowym systemie cyberbezpieczeństwa. Głównym celem jest wprowadzenie europejskiej dyrektywy NIS2. Konsultacje zakończyły się w ostatnim tygodniu maja. Wpłynęło grubo ponad 100 stanowisk od organizacji branżowych, społecznych, ekspertów i osób prywatnych oraz kilkanaście od administracji publicznej. Na projekcie nie zostawiono suchej nitki, chociaż zarzuty są różnego kalibru.
Zagrożeni kontrowersyjną, bo opartą na czynnikach wyłącznie politycznych, procedurą wyznaczania dostawcy wysokiego ryzyka (HRV) Chińczycy protestują przeciwko temu mechanizmowi. I nie tylko oni. Wspierają ich operatorzy i dostawcy internetu, w szczególności zrzeszeni w Krajowej Izbie Komunikacji Ethernetowej, wskazując – skądinąd słusznie – że powierzenia decyzji technicznych dotyczących cyberbezpieczeństwa politykom – w kraju pełnym świetnych inżynierów – nie jest najlepszym pomysłem. Procedurę eliminującą Chińczyków chwalą natomiast przedstawiciele amerykańskiej izby handlowej (AMCHAM), wszakże projekt przewiduje, że produkty naszych sojuszników z NATO nie są poddawane ocenie w tym zakresie; to ciekawe, biorąc pod uwagę wspomniany raport CERT NASK i np. zeszłoroczną wpadkę z poważną podatnością Outlooka od Microsoftu.
Krytycy rządowego projektu wskazują nieproporcjonalną ingerencję w zasady prowadzenia działalności gospodarczej, ryzyko naruszenia tajemnicy przedsiębiorcy, ogólność przepisów i idącą za nią uznaniowość, a także przekroczenie zasad zawartych w dyrektywie NIS2, w tym przyjęcie nadmiernie wysokich kar. Laurka dla autorów projektu to nie jest.
A takich antylaurek jest więcej. Szczególnie od podmiotów z sektorów dotychczas nieobjętych regulacjami cyberbezpieczeństwa, jak np. branża wyrobów medycznych, firmy wodociągowo-kanalizacyjne, czy… Polski Fundusz Rozwoju. Projektodawca poszerzył bowiem liczbę podmiotów, na które nakłada obowiązki i przewiduje srogie kary do ponad 40 tys. zł. Jak wojna, to wojna, nikt się nie schowa.
Ciekawe są stanowiska zgłoszone przez organy administracji. Większość dostrzega szansę na poprawę atrakcyjności swoich urzędów dla specjalistów od IT i domaga się dopisania do listy podmiotów, w których będzie można stosować specjalny dodatek płacowy, „świadczenie teleinformatyczne”. Interesujące są też uwagi prezesa Urzędu Komunikacji Elektronicznej, który domaga się zaostrzenia przepisów dotyczących usuwania sprzętu z sieci telekomunikacyjnych, ponieważ… wprowadził taki obowiązek do decyzji przyznających częstotliwości dla sieci 5G, opierając się na projekcie ustawy za rządów Zjednoczonej Prawicy, która jednak nie została prawem. Urocze.
RPO: projekt sprzeczny z konstytucją i konwencją praw człowieka
Najciekawsza okazuje się jednak lektura stanowiska rzecznika praw obywatelskich. Twierdzi on, że przewidziane w projekcie przepisy, dotyczące procedury HRV, nakazy wymiany urządzeń z sieci telekomunikacyjnych prywatnych przedsiębiorstw czy polecenia zabezpieczające (mogące w praktyce wprowadzać cenzurę internetu na okres do dwóch lat!), nie spełniają zasad przewidzianych w polskiej konstytucji i europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (EKPC). Ingerują we własność i inne prawa podstawowe. Ograniczają wolność gospodarczą, naruszając zasadę proporcjonalności. Wprowadzony rygor natychmiastowej wykonalności ex lege jest niezgodny z zasadą proporcjonalności (nadmierna ingerencja niezgodna z art. 2 Konstytucji RP), a „procedura odwoławcza jest niezgodna z prawem do skutecznego środka odwoławczego (art. 13 EKPC, art. 45 Konstytucji RP). Rzecznik praw obywatelskich wskazuje także, że projekt zawiera blankietowe wyłączenia prawa do informacji publicznej, co narusza art. 31 ust. 3 zdanie drugie konstytucji. Kwestionowane są też przepisy dotyczące kontroli.
I ja się z tymi zarzutami rzecznika praw obywatelskich zgadzam. I myślę, że w głębi zgadza się z nimi nasz wicepremier. Stąd pojawiła się cała narracja o zagrożeniu, atakach i wreszcie wojnie. Bo na wojnie to nasze prawa i wolności są jakby mniej ważne. Trzeba je poświęcić w imię większych racji, w imię bezpieczeństwa.
Tylko że konstytucja wojnę reguluje. I to dość precyzyjnie. W Rozdziale XI „Stany Nadzwyczajne”, wymieniając m.in. stan wojenny. I jeśli mamy wojnę, to trzeba stan wojenny wprowadzić. A potem, zgodnie ze stosowną ustawą, wprowadzać ograniczenia naszych swobód i wolności obywatelskich. Tymczasem stanu wojennego w Polsce nie ma (na szczęście). Jedynie wykorzystując narrację o niby-wojnie i potrzebie mobilizacji całej gospodarki, minister cyfryzacji (dlaczego nie minister wojny?!) próbuje wprowadzać drakońskie przepisy, urągające europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności i polskiej konstytucji.
Potrzeba realnej współpracy
Konieczność wprowadzenia NIS2 w Polsce, w parze ze środkami publicznymi przeznaczonymi na programy wzmacniania odporności podmiotów publicznych i przedsiębiorstw w cyberprzestrzeni, stwarza niepowtarzalną szansę na poprawienie cyberbezpieczeństwa Polek i Polaków. Realna poprawa nastąpi jednak tylko wówczas, jeśli wszystko będzie robione na zasadzie partnerstwa i współpracy oraz dobrego przykładu ze strony podmiotów publicznych i wspierania (CERT NASK, CSIRT GOV, CSIRT MON).
Naszego bezpieczeństwa nie poprawią biurokratyczne formalizmy, nakładanie wysokich kar ani tym bardziej niekonstytucyjne procedury i polityczne decyzje zastępujące kompetencje inżynierów.
Znany amerykański ekspert od cyberbezpieczeństwa Bruce Schneier w swojej książce „Beyond Fear”, przestrzega przed rezygnowaniem z wolności na rzecz ułudy bezpieczeństwa. Więzienie, w którym wolność nie istnieje, nie jest wcale miejscem bezpiecznym. Aby zbudować bezpieczną cyfrową Polskę, trzeba zachęt i współpracy. Wokół takich wartości trzeba przebudować projekt ustawy. Mamy całe lato, aby zdążyć przed jesiennym europejskim terminem wdrożenia NIS2.