Zdaniem ekspertów z grupy roboczej, jednym z najsłabszych ogniw Strategii Cyfryzacji Państwa w zakresie cyberbezpieczeństwa jest rozproszenie instytucji odpowiedzialnych za bezpieczeństwo IT. Stanowi to poważną przeszkodę w budowie spójnego i odpornego systemu bezpieczeństwa publicznego. Jak zatem powinien przebiegać proces centralizacji?

Katarzyna Chojecka Istotnym, a często pomijanym w dyskusjach problemem, jest specyfika ustrojowa Polski właściwa dla państwa demokratycznego, która zapewnia samorządom dużą autonomię w wielu obszarach i przez to utrudnia wdrażanie skoordynowanych, ogólnokrajowych rozwiązań w zakresie cyberbezpieczeństwa. Jednostki samorządu terytorialnego nie są wobec siebie hierarchiczne, w wielu aspektach podejmują decyzje niezależne od decyzji administracji rządowej, w tym również terenowej. W praktyce każda próba centralizacji czy standaryzacji rozwiązań, zwłaszcza w obszarach takich jak cyberbezpieczeństwo, napotyka opór lub obawy ze strony samorządów, które obawiają się utraty swojej autonomii w zakresie decydowania o organizacji lokalnych struktur.

Krzysztof Gabrych Nie musimy tego nazywać centralizacją – nazwijmy to po prostu świadczeniem usług. Weźmy na przykład proces wystawiania mandatów – to konkretna usługa. Podobnie może być w obszarze cyberbezpieczeństwa. Zamiast używać specjalistycznej terminologii czy określeń, które wywołują opór, warto zaproponować konkretne rozwiązania. To dobrze, że nie wszystko zostało od razu zinterpretowane jako centralizacja. Można to przecież przedstawić w pozytywnym świetle – jako wsparcie, a nie odbieranie kompetencji. Podczas rozmów prowadzonych z zespołami CSIRT mam pełną świadomość, jak kompetentne są tam osoby. Miałem okazję prowadzić szkolenia z zakresu cyberbezpieczeństwa w ramach PW Cyber w Ministerstwie Cyfryzacji i regularnie z nimi rozmawiać, wiem, jaką wiedzę i profesjonalne podejście reprezentują. Obecnie trudno cokolwiek zmienić ze względu na poważne bariery prawne. Obawy przed tzw. pseudocentralizacją są zrozumiałe, jednak moim zdaniem nie chodzi tu o centralizację, lecz o zabezpieczenie realizacji pewnych zadań, których niektóre jednostki samodzielnie nie są w stanie wykonać. Ryzyko niewykonania tych zadań może prowadzić do poważnych konsekwencji. Warto pamiętać, że gminy są podłączone do wspólnych systemów, dlatego ich bezpieczeństwo wpływa na cały szerszy ekosystem. Na tym etapie lokalne inwestycje w cyberbezpieczeństwo powinny być kontynuowane, jednak ze względu na ograniczenia budżetowe pilnie potrzebne jest holistyczne podejście, które nie jest jeszcze jasno określone i uregulowane.

Jerzy Trzepla Myślę, że problemem jest przede wszystkim strach, a właściwie obawa przed utratą wpływu na rozwiązania technologiczne czy organizacyjne w ramach własnej jednostki. Jednocześnie na szefie jednostki ciąży pełna odpowiedzialność prawno-formalna za jej funkcjonowanie. Dlatego osobiście uważam, że kluczowa jest koordynacja, a nie narzucanie rozwiązań technicznych czy organizacyjnych na poziomie „jednostek liniowych”. Warto też podkreślić, że sytuacja bardzo różni się w zależności od wielkości i specyfiki danej jednostki. Inaczej wygląda mała gmina z półtora tysiącem mieszkańców, a inaczej miasto stołeczne Warszawa. Na przykład na ścianie wschodniej kraju nadal mamy urzędy, gdzie jedna osoba obsługuje kilka referatów, rano zajmuje się edukacją, a po południu zupełnie innymi sprawami – to realny problem. Takie jednostki często nie są w stanie samodzielnie poradzić sobie z wyzwaniami, a jednocześnie kierownik nie może uniknąć odpowiedzialności formalnej za zapewnienie zgodności z przepisami prawa oraz zabezpieczenie infrastruktury urzędu.

Paweł Kopańczuk Warto też podkreślić, że to właśnie te słabsze jednostki będą same dążyły do centralizacji usług. Najbardziej sensowna i korzystna wydaje się przy tym centralizacja na poziomie regionalnym. Niezależnie od tego, czy będzie ona realizowana przez marszałka województwa, czy w ramach ogólnopolskiej struktury, wydaje się, że to właśnie ten kierunek będzie dominujący. Z drugiej strony, jak wspominał Jerzy Trzepla, silniejsze i bardziej zaawansowane technologicznie jednostki, takie jak duże miasta oraz ich spółki zależne obawiają się, że w wyniku takiej centralizacji nie otrzymają usług na takim poziomie jakości, jaki są w stanie zapewnić sobie samodzielnie dziś. Oczywiście pozostaje pytanie, na ile faktycznie te jednostki obecnie radzą sobie dobrze, a także jak można zapewnić, by w przyszłości potrafiły realizować te zadania na wysokim poziomie. Wydaje mi się więc, że ten dualizm, potrzeba centralizacji i jednoczesne obawy przed nią, będzie z nami jeszcze przez dłuższy czas i trudno będzie się go szybko pozbyć.

Rafał Chomicz Wspomniałeś, że bardziej zaawansowane gminy mają świadomość sytuacji. Ja jednak nie jestem przekonany, czy naprawdę wiedzą, co robią. W końcu mówimy tylko o tych przypadkach, które kończą się kryzysem, a więc o najgłośniejszych atakach. Moim zdaniem większość gmin nie ma pojęcia, ile razy faktycznie były celem ataków i w jaki sposób te incydenty mogą być później wykorzystane przeciwko nim. Nie zdają sobie sprawy, jakie „uśpione” zagrożenia mogą już tkwić w ich systemach. Dodatkowo boją się, że oddając część kontroli, stracą wpływ na swoje systemy. Z drugiej strony — jeśli nie chcą oddać tej kontroli, to kto właściwie ma wziąć odpowiedzialność za bezpieczeństwo? Kto dziś odważyłby się powiedzieć: „Ja biorę odpowiedzialność”? Kto założyłby spółkę celową, stworzył powiatowego lub wojewódzkiego SOC-a, objął kilka gmin swoim nadzorem i powiedział: „To ja dbam o wasze bezpieczeństwo”? Kto zorganizowałby szkolenia, wdrożył standardy, miał prawo wymagać, by nie dochodziło do nielogicznych udostępnień danych i by aplikacje były odpowiednio kontrolowane? Na tę chwilę nie widzę takiego lidera — ani na poziomie centralnym, ani regionalnym. Dopóki ktoś taki się nie pojawi, małe gminy nawet nie będą wiedziały, o co mają prosić. Przypomnę, że obecnie na instytucje publiczne przypada około 2 tysięcy ataków tygodniowo. Ktoś może powiedzieć, że to jeszcze nie jest dramat, bo przecież nie każda gmina jest atakowana co tydzień. Jednak z czasem liczba ta może wzrosnąć do 2,5 tysiąca lub więcej dziennie, a tego przecież nie można wykluczyć. Jeśli nie podejmiemy konkretnych działań, nazwijmy to centralizacją, choć słowo to wzbudza emocje, przynajmniej musimy zacząć mówić o współdzieleniu usług i regionalizacji. W tej kwestii kluczową rolę powinno odegrać państwo.