RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

Transkrypt

1 Warszawa, dnia 17 września 2015 r. RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI BM-WP Pani Małgorzata Kidawa-Błońska Marszałek Sejmu RP Szanowna Pani Marszałek, w nawiązaniu do pisma z dnia 26 sierpnia 2015 r. przekazującego interpelację Posła na Sejm RP Pana Kazimierza Ziobry w sprawie przeciwdziałania zagrożeniom występującym w cyberprzestrzeni (nr 34203), uprzejmie przedstawiam poniższe odpowiedzi. Ad. 1 Minister Administracji i Cyfryzacji na podstawie obowiązujących przepisów prawa nie jest organem odpowiedzialnym za operacyjną ochronę cyberprzestrzeni RP. Minister Administracji i Cyfryzacji odpowiada obecnie za zapewnienie minimalnych wymagań z zakresu bezpieczeństwa teleinformatycznego w administracji publicznej ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j.: Dz. U. z 2014 r. poz. 1114) oraz rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r. poz. 526, z późn. zm.) - oraz nadzoruje Urząd Komunikacji Elektronicznej, do którego zgłaszane są, zgodnie z ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j.: Dz. U. z 2014 r. poz. 243, z późn. zm.), najważniejsze incydenty cybernetyczne w sieciach telekomunikacyjnych. Ponadto na podstawie Polityki ochrony cyberprzestrzeni RP 1 Minister Administracji i Cyfryzacji w imieniu Rady Ministrów pełni rolę organu koordynującego działania na poziomie strategicznopolitycznym w zakresie ochrony cyberprzestrzeni dla urzędów administracji rządowej. MAC upowszechnia przewidzianą Polityką sieć pełnomocników ds. bezpieczeństwa cyberprzestrzeni (obecnie jest ich już ponad 130 w różnych urzędach administracji publicznej), organizuje dla nich specjalistyczne szkolenia i konferencje (m.in. MAC było współorganizatorem konferencji CYBERGOV Bezpieczeństwo IT w sektorze publicznym, która odbyła się 18 czerwca br. w Warszawie). MAC organizowało także 1 1/5

2 konkursy dla organizacji działalności pożytku publicznego, których efektem są liczne materiały edukacyjne, m.in. w zakresie bezpiecznego korzystania z usług elektronicznych (projekty tj.: Bezpieczeństwo dzieci w sieci, Bezpieczne Interneciaki, Internet-Uwaga Niebezpieczne, Mobilne Bezpieczeństwo) 2. Działania operacyjne w zakresie bezpieczeństwa cybernetycznego administracji rządowej w ramach Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP realizowane są zgodnie z Polityką ochrony cyberprzestrzeni RP przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, działający w ramach Agencji Bezpieczeństwa Wewnętrznego oraz przez Resortowe Centrum Zarządzania Bezpieczeństwem Sieci i Usług Teleinformatycznych działające w sferze militarnej. Podstawowym zadaniem CERT.GOV.PL jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej do ochrony przed cyberzagrożeniami. Oprócz wspomnianego CERT.GOV.PL, w ramach Naukowej i Akademickiej Sieci Komputerowej, funkcjonuje CERT POLSKA, którego zadaniem jest m.in. obsługa incydentów bezpieczeństwa sieci komputerowych i współpraca z podobnymi jednostkami na całym świecie. Dodatkowo mamy całą sferę infrastruktury krytycznej, a więc sektory zaopatrzenia w energię elektryczną, surowce energetyczne i paliwa, sektor finansowy, transportowy, sieci teleinformatycznych i zdrowia, gdzie funkcjonują rozwiązania samoregulacyjne koordynowane przez Rządowe Centrum Bezpieczeństwa [zgodnie z ustawą z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (t.j.: Dz. U. z 2013 r. poz. 1166) i Narodowym Programie Ochrony Infrastruktury Krytycznej (NPOIK)]. RCB weryfikuje plany operatorów infrastruktury krytycznej m.in. pod kątem oceny ryzyka, stosowanych zabezpieczeń i przyjętych w obiektach zasad ochrony teleinformatycznej. Ad. 2 Działania Ministerstwa Administracji i Cyfryzacji są ukierunkowane na sferę cyberbezpieczeństwa cywilnego. Natomiast działania mające na celu zwalczanie cyberprzestrzępczości oraz współpracy z organami ścigania leżą we właściwości Ministerstwa Spraw Wewnętrznych oraz Ministerstwa Sprawiedliwości. Ministerstwo Spraw Wewnętrznych nadzoruje organy ścigania i odpowiada za przygotowywanie raportów o stanie bezpieczeństwie w Polsce 3. Elementem tych raportów jest m.in. analiza przestępstw w cyberprzestrzeni. Ministerstwo Sprawiedliwości natomiast odpowiada za przygotowywanie propozycji nowelizacji Kodeksu karnego (Dz. U. Nr 88, poz. 553, z późn. zm.) i innych przepisów prawa odnoszących się do szeroko rozumianej ochrony informacji. Ad. 3 W związku z tym, że Minister Administracji i Cyfryzacji w imieniu Rady Ministrów pełni rolę organu koordynującego działania w zakresie ochrony cyberprzestrzeni dla urzędów administracji rządowej na poziomie strategiczno - politycznym, a działania operacyjne /5

3 w zakresie bezpieczeństwa cybernetycznego administracji rządowej - w ramach Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP - realizowane są przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, działający w ramach Agencji Bezpieczeństwa Wewnętrznego oraz przez Resortowe Centrum Zarządzania Bezpieczeństwem Sieci i Usług Teleinformatycznych działające w sferze militarnej, MAC bierze udział w tworzeniu i uzgadnianiu procedur do Krajowego Planu Zarządzania Kryzysowego oraz Planu działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP. Krajowy Plan Zarządzania Kryzysowego jest dokumentem zawierającym opis kompetencji i procedury reagowania w sytuacjach kryzysowych na szczeblu krajowym. W Planie działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP (dokument przyjęty przez Komitet stały Rady Ministrów ds. Cyfryzacji 13 kwietnia 2015 r.), w działaniach długoterminowych, a więc przewidzianych do realizacji od początku 2016 r., wskazano na konieczność ustalenia procesów zarządzania kryzysowego w obliczu zagrożenia cybernetycznego oraz koordynacji Krajowego System Reagowania na Incydenty Komputerowe w Cyberprzestrzeni Rzeczpospolitej Polskiej z regulacjami dotyczącymi wprowadzania stanów nadzwyczajnych. Działania te mają być prowadzone przez MAC i RCB, przy współpracy BBN a także Grupy Eksperckiej i administracji rządowej. MAC podejmie te działania zgodnie z zapisami Planu. Ad. 4 Prowadzenie koordynacji polityki cyberbezpieczeństwa, czyli problemu dotyczącego wszystkich sektorów gospodarki i życia publicznego, jest długotrwałym i skomplikowanym procesem, wymagającym wieloletniego zaangażowania wielu podmiotów, wysoce wykwalifikowanych kadr oraz odpowiednich funduszy. Szybkość przygotowania i przyjęcia Polityki Ochrony Cyberprzestrzeni RP uniemożliwiła przeprowadzenie kluczowych analiz w procesie przygotowawczym, z tego powodu wiele działań analitycznych, w tym przygotowanie planu konkretnych działań, musiało nastąpić w okresie późniejszym. Mając to na uwadze, od połowy 2013 r. MAC prowadził, zgodnie z zapisami Polityki, działania ukierunkowane na rozwój i wzmacnianie systemu ochrony cyberprzestrzeni Polski, przygotowując konkretne działania adresowane do administracji publicznej. Nie było to łatwe, gdyż jak słusznie zauważono w raporcie Najwyższej Izby Kontroli brak wskazania na poziomie norm prawnych jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych i co najważniejsze posiadającego uprawnienia w zakresie oddziaływania na inne instytucje był kluczowym czynnikiem uniemożliwiającym sprawne działanie w tym zakresie. Wychodząc naprzeciw konieczności jeszcze większej koordynacji działań instytucji publicznych w zakresie bezpieczeństwa cyberprzestrzeni RP oraz potrzebie rozbudowy narodowego systemu cyberbezpieczeństwa w czerwcu 2014 r. z inicjatywy MAC, przy Komitecie Rady Ministrów ds. Cyfryzacji (KRMC), powołano Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni RP (Zespół) oraz zapewniającą obsługę techniczną Zespołu Grupę Ekspercką, której spotkania odbywają się regularnie w siedzibie MAC. Na jego forum 3/5

4 uzgodniono Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni, przyjęty przez KRMC w dniu 13 kwietnia br. Plan działań jest obecnie wdrażany w życie i zawiera rekomendacje w zakresie bezpieczeństwa cyberprzestrzeni dla całej administracji rządowej. Jednym z wskazanych w Planie działań zadań jest opracowanie projektu założeń do ustawy regulującej system cyberbezpieczeństwa RP ze wskazaną wiodącą rolą Ministerstwa Administracji i Cyfryzacji. Opracowane założenia wskażą najbardziej optymalną koncepcję rozbudowy krajowego systemu cyberbezpieczeństwa, w tym kompetencje i zadania przypisane do konkretnych instytucji. Przygotowana przez MAC koncepcja zostanie poddana konsultacjom ze wszystkimi interesariuszami, reprezentującymi zarówno sektor publiczny jak i prywatny. W ramach przygotowania założeń do ustawy regulującej system cyberbezpieczeństwa RP MAC opracowało analizę porównawczą dotyczącą systemów cyberbezpieczeństwa w wybranych krajach, jak również zorganizowało spotkania z przedstawicielami niemieckich i amerykańskich instytucji rządowych nt. organizacji krajowych systemów bezpieczeństwa cyberprzestrzeni. MAC przeprowadziło również wstępną analizę istniejących dokumentów strategicznych, programowych i obowiązujących regulacji prawnych dotyczących ochrony cyberprzestrzeni innych krajów. Ad. 5 Szacowanie ryzyka związane z zagrożeniami występującymi w cyberprzestrzeni jest prowadzone odrębnie dla systemów teleinformatycznych administracji publicznej zgodnie z wymienionymi wcześniej rozporządzeniem o Krajowych Ramach Interoperacyjności i Polityką ochrony cyberprzestrzeni RP, a odrębnie dla operatorów infrastruktury krytycznej zgodnie z ustawą o zarządzaniu kryzysowym i Narodowym Programie Ochrony Infrastruktury Krytycznej. Polityka ochrony cyberprzestrzeni RP zakłada komplementarność w stosunku do działań mających na celu ochronę infrastruktury krytycznej Państwa, o których mowa w Narodowym Programie Ochrony Infrastruktury Krytycznej i przewiduje stworzenie efektywnych ram wymiany informacji i współdziałania pomiędzy przedsiębiorcami, działających w sektorach krytycznych. Kierując się doświadczeniami z szacowania ryzyka cyberprzestrzeni w urzędach administracji rządowej w latach r. MAC opracowało własny projekt Metodyki Zarządzania Ryzykiem w administracji rządowej. Metodyka jest obecnie dyskutowana na forum grupy eksperckiej Zespołu zadaniowego ds. bezpieczeństwa cyberprzestrzeni RP. Inną kwestią jest natomiast odpowiedź na pytanie czy należałoby stworzyć wspólną krajową strategię w zakresie bezpieczeństwa sieci i informacji obejmującą swoim zakresem zarówno administrację rządową jak i operatorów infrastruktury krytycznej, i zawierającą wspólne wymagania w zakresie zarządzania ryzykiem. Należy podkreślić, że z analizy systemów cyberbezpieczeństwa w innych państwach wynika, że zapewnienie bezpieczeństwa cyberprzestrzeni dotyczy w znacznej mierze sektorów infrastruktury krytycznej. Państwa federalne tj. Niemcy, Stany Zjednoczone czy Austria wręcz budują 4/5

5 zdolności krajowe w dziedzinie ochrony cyberprzestrzeni od zapewnienia bezpieczeństwa teleinformatycznego infrastruktury krytycznej. Włączenie aspektów ochrony infrastruktury krytycznej do ochrony cyberprzestrzeni ułatwia organizację krajowego systemu zarządzania ryzykiem teleinformatycznym i pozwala na stworzenie spójnego krajowego rejestru ryzyka. Powyższe kwestie zostaną rozstrzygnięte w toku opracowywania ustawy regulującej system cyberbezpieczeństwa RP. Z poważaniem, z up. Ministra Administracji i Cyfryzacji Jurand Drop Podsekretarz Stanu /podpisano elektronicznie/ Do wiadomości: Kancelaria Prezesa Rady Ministrów 5/5