Projekt Polityki Ochrony Cyberprzestrzeni RP Nowa jakość czy stare problemy?

Transkrypt

1 ISSN listopad 2012 BRIEF PROGRAMOWY INSTYTUTU KOŚCIUSZKI Joanna Świątkowska Projekt Polityki Ochrony Cyberprzestrzeni RP Nowa jakość czy stare problemy? autorka briefu Joanna Świątkowska ekspert Instytutu Kościuszki, politolog, absolwentka Uniwersytetu Pedagogicznego w Krakowie i Högskolan Dalarna w Szwecji. Obecnie doktorantka nauk o polityce na Uniwersytecie Pedagogicznym. Ministerstwo Administracji i Cyfryzacji zaprosiło Instytut Kościuszki do zaopiniowana projektu Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej. Dokument ten (zwany tu dalej Polityką ) jest kolejnym rządowym opracowaniem, po opublikowanych wcześniej programach ochrony cyberprzestrzeni RP na lata i , którego autorzy postawili sobie za cel uregulowanie kwestii związanych z zapewnieniem cyberbezpieczeństwa Rzeczypospolitej Polskiej (CRP). Niniejszy Brief Programowy Instytutu Kościuszki opracowany został w oparciu o przekazany Ministerstwu materiał i ma na celu zaprezentowanie opinii publicznej stanowiska Instytutu w kwestiach, których dotyka rządowy projekt. Formułując swoje uwagi, odnosiliśmy się przede wszystkim do zapisów zawartych bezpośrednio w projekcie, lecz nie tylko. Dodatkowo przekazaliśmy bowiem także komentarze i rekomendacje dotyczące spraw, które w Polityce zostały niesłusznie pominięte, błędnie zdefiniowane lub wymagają rozwinięcia. I tak pierwsza, najbardziej generalna uwaga, jaką należy poczynić w odniesieniu do Polityki, dotyczy samego charakteru tego dokumentu. To, że został on pomyślany i opracowany właśnie jako polityka, sprawia, że założenia i propozycje w nim zawarte mają charakter bardzo ogólnikowy. Fakt, że nie towarzyszą im wskazówki określające sposoby ich realizacji, sprawia, że trudno jednoznacznie i rzetelnie ocenić wartość proponowanych w Polityce rozwiązań. Diabeł tkwi bowiem w szczegółach, a tych nie znamy. Uczulając na to zastrzeżenie (i równocześnie czekając na bardziej konkretne propozycje rządowe), poniżej przedstawiamy pozostałe, już szczegółowe uwagi Instytutu Kościuszki do Polityki. O ile zrozumienie specyficznej natury cyberprzestrzeni i charakteru wyzwań, jakie wiążą się z jej użytkowaniem, jest absolutnie kluczowe dla powodzenia działań mających na celu zapewnianie cyberbezpieczeństwa państwa, o tyle po uważnej lekturze Polityki można odnieść wrażenie, że autorzy dokumentu nie do końca ten fundamentalny warunek spełniają. Dla rządowego opracowania ma to poważne negatywne konsekwencje.

2 Brief programowy Niezrozumienie natury cyberprzestrzeni, zagrożeń i relacji między aktorami Kłopot pojawia się już na etapie głównego celu, jaki zdefiniowano w Polityce. Brzmi on mianowicie: Osiągnięcie akceptowalnego poziomu bezpieczeństwa cyberprzestrzeni. Sformułowanie to jest pod każdym względem niefortunne. Przede wszystkim nie da się w sposób precyzyjny wskazać akceptowalnego poziomu bezpieczeństwa w kontekście ochrony cyberprzestrzeni. Zapewnianie cyberbezpieczeństwa jest procesem ciągłym i dynamicznym, nie ma punktu finalnego, w którym zadanie można uznać za zakończone. Zagrożenia w tym środowisku nieustannie ewoluują i wymagają stałego podnoszenia poziomu ochrony oraz modyfikowania działań zapewniających bezpieczeństwo. W tym kontekście więc Polityka nie tylko wyznacza cel źle określony, ale także niemożliwy do osiągnięcia. To bardzo poważna słabość dokumentu, wskazująca na niedostateczne zrozumienie przez autorów tego, czym jest cyberprzestrzeń i z czym wiąże się jej bezpieczeństwo. Zrozumienie specyficznej natury cyberprzestrzeni i charakteru wyzwań, jakie wiążą się z jej użytkowaniem, jest absolutnie kluczowe dla powodzenia działań mających na celu zapewnianie cyberbezpieczeństwa wydaje się, że autorzy Polityki nie sprostali temu zadaniu Ów brak zrozumienia specyfiki cyberprzestrzeni sprawia, że Polityka, zamiast być szeroką i kompleksową strategią odnoszcą się do tego środowiska, określającą m.in. działania słu- żące zapewnianiu bezpieczeństwa, a więc czymś, co w naszym kraju powinno zostać już dawno opracowane, stanowi w istocie zbiór mniej lub bardziej ogólnych postulatów skierowanych głównie do administracji rządowej. Nawet jednak sprowadzony tylko do takiego wymiaru, dokument posiada poważne wady. Brak w nim jasnych definicji interesów kluczowych podmiotów, które należy uszanować (także podmiotów innych niż administracja rządowa czy, szerzej, publiczna), i określenia relacji oraz możliwych konfliktów między nimi. Pominięto też na przykład kwestię konieczności zagwarantowania, że w wyniku podejmowanych działań nie zostaną naruszone prawa użytkowników cyberprzestrzeni (np. zasada prywatności) oraz, że działania te nie będą prowadziły do ograniczenia podstawowych pozytywnych efektów użytkowania cyberprzestrzeni. Już sam główny cel Polityki został bardzo niefortunnie wyznaczony i sformułowany, co więcej jest niemożliwy do zrealizowania W dokumencie razi również bardzo ogólnikowe potraktowanie wielu tematów, w tym kwestii współpracy administracji rządowej z podmiotami prywatnymi oraz międzynarodowymi. Polityka sygnalizuje co prawda konieczność kooperacji podmiotów publicznych z przedsiębiorcami nie określa już jednak żadnych jej szczegółów. Rozumiejąc, że Polityka z założenia ma charakter ogólny, i mając nadzieję, że w następnym kroku Ministerstwo zaproponuje konkrety, rekomendujemy, aby już w tym dokumencie znalazły się zapisy określające choćby fundamentalne zasady współpracy z podmiotami prywatnymi. Polityka powinna zapowiadać położenie nacisku na użycie mechanizmów, które nie tyle narzucą kooperację, co będą wspierać relacje oparte na wzajemnym zaufaniu i dobrowolnym uczestnictwie. Współpraca podmiotów publicznych oraz prywatnych w ramach budowania bezpieczeństwa cyberprzestrzeni jest bowiem sprawą kluczową. Istnieje zaś cały wachlarz narzędzi zachęcających do podjęcia i pogłębiania takiej współpracy. Polityka powinna uwzględniać konieczność ich stosowania, powinna też dawać wyraźny sygnał o intencjach partnerskiego podejścia do wspólnych działań. Partnerstwa publiczno-prywatne powinny być tworzone w oparciu o modelowe rozwiązania i czerpać z dostępnych dobrych praktyk, które maksymalizują otrzymanie najlepszych efektów. Dodatkowo działania takie powinny zostać poprzedzone inwentaryzacją już istniejących inicjatyw i gremiów tego typu, co pozwoli na uniknięcie duplikacji i rozproszenia efektów prac i nie zniechęci interesariuszy z sektora prywatnego. Wadą Polityki jest brak jasnych definicji interesów kluczowych podmiotów i określenia relacji oraz możliwych konfliktów między nimi Zasygnalizowane wyżej problemy bezzasadność sztucznego wyodrębnienia spraw związanych z bezpieczeństwem CRP z całokształtu spraw dotyczących cyberprzestrzeni jako takiej oraz pomijanie niektórych graczy istotnych dla tego środowiska jest poważnym zarzutem. Bezpieczeństwo CRP nie istnieje w próżni i nie jest czymś, co można próbować osiągać w izolacji. A niestety taki typ myślenia dominuje w Polityce, co stanowi kolejny dowód na to, jak wąsko rozumieją problem autorzy dokumentu. Martwi także ogólnikowe potraktowane współpracy międzynarodowej. Uznając, że rozwój i bezpieczeństwo cyberprzestrzeni jest celem nie tylko Polski, ale także kwestią globalną, rekomendujemy wpisanie do Polityki postulatu opracowania priorytetów dla władz RP co do działań (legislacyjnych i nielegislacyjnych) na arenie międzynarodowej w odniesieniu do cyberprzestrzeni i cyberbezpieczeństwa. Zalecamy opracowanie zasad, wizji, stanowiska oraz celów, do jakich Polska powinna dążyć na arenie międzynarodowej w kontekście zagadnień cyberprzestrzeni, a poprzez stworzenie takiej, właściwej strategii określenie konkretnych działań służących ich realizacji. 2

3 J. Świątkowska Projekt Polityki Ochrony Cyberprzestrzeni RP Nowa jakość czy stare problemy? Realizacja tej rekomendacji będzie prowadziła do wzmocnienia bezpieczeństwa cyberprzestrzeni, a także do realizacji szerszych interesów państwa. Postulowana strategia powinna określać zarówno relacje z podmiotami państwowymi jak i pozapaństwowymi. Proponowanym kierunkiem dążeń w tym obszarze jest wspieranie interoperacyjnej, bezpiecznej, cyberprzestrzeni, dającej szansę rozwoju jednostkom, społeczeństwu obywatelskiemu, państwom oraz środowisku biznesowemu przy równoczesnym poszanowaniu zasady wolności słowa, prywatności oraz swobodnego przepływu informacji. Bezpieczeństwo cyberprzestrzeni Polski nie istnieje w próżni i nie jest czymś, co można próbować osiągać w izolacji, a taki typ myślenia dominuje niestety w Polityce Strategia powinna też określać zestaw działań, jakie należy podejmować, aby możliwe było osiągnięcie zarysowanej wizji. Trzeba byłoby zatem m.in. zdefiniować w niej zasady współpracy międzynarodowej, zarówno na niskim jak i na wysokim szczeblu, a także określić funkcje, odpowiedzialność i kompetencje zaangażowanych podmiotów. Istotną rolę powinna pełnić tutaj dyplomacja RP prowadzona przez Ministerstwo Spraw Zagranicznych, dlatego ważne jest, aby do enumeratywnego wyliczenia podmiotów odpowiedzialnych za bezpieczeństwo CRP (zawartego w podrozdziale Ustanowienie odpowiedzialności za bezpieczeństwo CRP ) dodać także ten resort. Podkreślić należy, że w wymienionym powyżej podrozdziale dotyczącym odpowiedzialności za cyberbezpieczeństwo brakuje także innych podmiotów, a określenie stopnia odpowiedzialności jest niepełne. Istotną wadą Polityki jest także to, w jaki sposób przedstawione zostały w niej zagrożenia. Autorzy dokumentu mocno skupiają się na zagrożeniach tradycyjnych, a nie przywiązują wystarczającej wagi do zmieniających się okoliczności i kontekstów. Nie są na bieżąco, co w odniesieniu do cyberprzestrzeni jest sprawą zasadniczą i absolutnie kluczową. Dokument powinien choćby zauważać, a najlepiej wyraźnie uwzględniać konieczność stałego analizowania nowych trendów w teleinformatyce (np. BYOD, przetwarzanie w chmurze), badania nowych zagrożeń, jakie mogą się z nimi wiązać, powinien także skłaniać do monitorowania zagrożeń i wyzwań pozatechnicznych. Efektem takich działań mogłyby być opracowywanie prognoz związanych z bezpieczeństwem cyberprzestrzeni. Tymczasem Polityka, w której zagrożenia związane z cyberprzestrzenią są rozumiane bardzo wąsko, będzie skutkowała niewystarczającym przygotowaniem administracji na wiele niebezpieczeństw. Autorzy Polityki zbyt mocno skupiają się na zagrożeniach tradycyjnych, nie przywiązując wystarczającej wagi do zmieniających się okoliczności i kontekstów Warto podkreślić, że w obecnych czasach cyberprzestrzeń stała się istotną przestrzenią walki informacyjnej, która ma bardzo zróżnicowany charakter. Jej uczestnicy wykorzystują narzędzia i systemy teleinformatyczne m.in. do manipulowania percepcją czy do wojny psychologicznej. Są to zagrożenia wyjątkowo niebezpieczne dla współczesnych państw. Autorzy Polityki wydają się ich nie dostrzegać. Konieczność całościowego i systemowego spojrzenia na problem ochrony cyberprzestrzeni Jak czytamy w Polityce, cel strategiczny dokumentu ma zostać osiągnięty poprzez stworzenie ram organizacyjno- -prawnych oraz systemu skutecznej koordynacji i wymiany informacji pomiędzy użytkownikami CRP. Ma się to stać m.in. poprzez działania legislacyjne, polegające na stworzeniu nowych regulacji prawnych, dających podstawy do podejmowania dalszych działań. Kluczowe jest, by zapowiadane zmiany zostały zaprojektowane z uwzględnieniem systemowego rozumienia cyberbezpieczeństwa, czyli takiego, które bierze pod uwagę współzależność wszystkich podmiotów, przyczynowo-skutkowe połączenia ich działań oraz pozwala na kompleksowe dostrzeganie zagrożeń. W pierwszym akapicie tekstu dotyczącego głównych przesłanek i założeń znajduje się następujący fragment: ( ) bezpieczeństwo demokratycznego państwa zależy od wypracowania mechanizmów pozwalających skutecznie zapobiegać i zwalczać zagrożenia dla bezpieczeństwa cyberprzestrzeni. Tymczasem zapobieganie i zwalczanie zagrożeń powinno być wkomponowane w, równie istotne, całościowe mechanizmy zarządzania ryzykiem, obejmujące także działania minimalizujące skutki incydentów. Zapewnienie stanu pełnego bezpieczeństwa jest niemożliwe. Niezbędne jest więc tworzenie szybkich i skutecznych procedur ograniczających następstwa potencjalnych sytuacji kryzysowych. Niestety, brak takiego całościowego podejścia do tematu bezpieczeństwa cyberprzestrzeni widoczny jest na prawie każdej stronie dokumentu. Także w kontekście postrzegania zagrożeń i podejścia do nich. Ilustracją tego problemu mogą być niejasności zawarte we fragmentach zatytułowanych Główne przesłanki i założenia Polityki ochrony cyberprzestrzeni RP oraz Bezpieczeństwo portali administracji rządowej. Bezpieczeństwo cyberprzestrzeni jest narażone na stale ewoluujące zagrożenia. Należy być przygotowanym na to, że nie zawsze da się zapobiec wszystkim niebezpieczeństwom. Choć dokument w dalszej części, w celach szczegółowych, określa konieczność zmniejszania skutków incydentów, pominięcie tego elementu w początkowych zapisach i niekonsekwentne stosowanie w późniejszych rekomendacjach, sprawia wrażenie, 3

4 Brief programowy jakby było ono traktowane jako element drugiej kategorii. Tymczasem jest to absolutna podstawa przedsięwzięć prowadzących do bezpieczeństwa, która powinna być rekomendowana wszystkim podmiotom. Brak całościowego podejścia do tematu bezpieczeństwa cyberprzestrzeni widoczny jest niestety na prawie każdej stronie dokumentu Całościowe podejście do zagadnienia bezpieczeństwa cyberprzestrzeni wymaga także szerokiego spojrzenia na koordynację działań, które mają je zapewniać. W drugim akapicie podrozdziału dotyczącego uwarunkowań cyberprzestrzeni czytamy, że ( ) niezbędne jest skoordynowanie działań, które umożliwią szybkie i efektywne reagowanie na ataki ( ). Aby koordynacja była udana, musi istnieć wyraźnie zdefiniowany podział ról, kompetencji i odpowiedzialności podmiotów zaangażowanych w działania, a także określony zakres odpowiedzialności każdego z aktorów. W Polityce znajdziemy co prawda ustalenie, że to minister właściwy ds. informatyzacji jest odpowiedzialny za koordynację działań związanych z wdrażaniem Polityki, ale poza tym wydaje się, że wspomniany wyżej postulat jasnego zdefiniowania ról nie został w pełni wykonany. Fragment dotyczący bezpieczeństwa portali rządowych ujawnia natomiast kolejny problem związany z całościowym traktowaniem i rozumieniem cyberbezpieczeństwa. Dowiadujemy się z niego m.in. (pierwszy akapit rzeczonego podrozdziału), że ( ) strony internetowe ( ) administracji rządowej winny spełniać podstawowe wymagania bezpieczeństwa, to jest zapewniać odpowiednią dostępność, integralność oraz poufność danych. Należy zauważyć, że przymioty dostępności, integralności oraz poufności odnoszą się do bezpieczeństwa danych. Jest to archaiczny typ myślenia o cyberbezpieczeństwie, który pomija bardzo istotny aspekt funkcjonowania w tym przypadku stron internetowych. Z punktu widzenia użytkownika bardzo istotne jest zagwarantowanie stabilnego działania portali, a tym samym możliwości korzystania z funkcjonalności i usług przez nie oferowanych. Także trzeci akapit fragmentu o głównych przesłankach mówi, że Niniejszą Polityką Rząd Rzeczypospolitej Polskiej przyjmuje, że poprzez swoich przedstawicieli bierze czynny udział w zapewnianiu bezpieczeństwa zasobów informacyjnych Państwa, jego obywateli oraz realizuje swoje konstytucyjne obowiązki. Tymczasem bezpieczeństwo cyberprzestrzeni wymaga aktywności państwa nie tylko z zakresie ochrony zasobów informacyjnych, ale także w obszarze działań zmierzających do aktywnego zapewnienia (lub wsparcia zapewnienia) bezpiecznego funkcjonowania kluczowych systemów teleinformatycznych i opartych na nich usług. Polityka powinna obligować do takich aktywnych działań na wszystkich odcinkach zapewniania cyberbezpieczeństwa. Ostatni zarzut dotyczący niewystarczająco szerokiego rozumienia bezpieczeństwa cyberprzestrzeni, związany jest z fragmentarycznym i wybiórczym myśleniem o cyklu życia narzędzi, procesów i usług teleinformatycznych. W rozdziale Polityki mówi się o konieczności testowania zarówno poziomu zabezpieczeń technicznych, organizacyjnych jak i rozwiązań proceduralnych. Zgadzając się w pełni z powyższym zapisem, należy dodać osobny fragment, mówiący o konieczności zapewniania bezpieczeństwa w całym cyklu życia produktów, systemów i usług teleinformatycznych. Testowanie jest jednym z elementów łańcucha bezpieczeństwa, na który należy spojrzeć całościowo. Polityka powinna więc jasno definiować wszystkie etapy cyklu: od momentu badań, projektowania rozwiązań teleinformatycznych, poprzez ich pozyskiwanie, funkcjonowanie, użytkowanie, serwisowanie, aż do utylizacji. Szczególnie w kontekście relatywnie krótkiego cyklu życia technologii teleinformatycznych są to postulaty bardzo istotne. Należy zadbać o zaprojektowanie i dostarczenie szerokiego wachlarza odpowiednich narzędzi umożliwiających spełnienie powyższych rekomendacji. Całościowe spojrzenie na cykl życia rozwiązań technologicznych powinno także obejmować programy badawcze. Konieczne jest umieszczenie w Polityce rekomendacji dotyczącej przeznaczania określonych środków finansowych na wspieranie prac badawczo-rozwojowych prowadzących do wzmocnienia cyberbezpieczeństwa. System finansowania projektów powinien zachęcać szczególnie do tworzenia nowatorskich i innowacyjnych rozwiązań charakteryzujących się koniecznością podjęcia większego ryzyka oraz niesztampowego myślenia, jednocześnie mogących przynieść lepsze efekty. W tym kontekście istotna jest propozycja zmodyfikowania rozdziału pt. Finansowanie, który nie przewiduje dodatkowych środków z budżetu państwa na realizację badań. Ponadto w kontekście całego cyklu przygotowań do zapewnienia bezpieczeństwa cyberprzestrzeni należy pamiętać nie tylko o fazie testowania, ale i o innych formach, takich jak np. organizowanie ćwiczeń. Polityka powinna obligować kluczowe podmioty do uczestnictwa w krajowych ćwiczeniach z zakresu cyberbezpieczeństwa (ćwiczenia i testy organizowane i koordynowane na poziomie PCB naszym zdaniem niewystarczające). Jest to jeden z najważniejszych elementów podnoszących poziom bezpieczeństwa teleinformatycznego. W tym roku miały miejsce pierwsze tego typu ćwiczenia Cyber-EXE Polska 2012, zorganizowane przez magazyn Computerworld we współpracy z Fundacją Bezpieczna Cyberprzestrzeń oraz Fundacją Instytut Mikromakro. Rekomendujemy, aby wszystkie najważniejsze podmioty odpowiedzialne za cyberprzestrzeń włączały się aktywnie w to wydarzenie. Istotne jest przy tym, żeby ćwiczenia obejmowały nie tylko kwestie techniczne, ale także dotyczyły zagrożeń wymagających zaangażowania decydentów (pozwoli to m.in. na testowanie poszczególnych procedur i podejmowania określonych decyzji). 4

5 J. Świątkowska Projekt Polityki Ochrony Cyberprzestrzeni RP Nowa jakość czy stare problemy? Czynnik ludzki jako podstawa cyberbezpieczeństwa Zapewnianie cyberbezpieczeństwa jest skuteczne wyłącznie wtedy, gdy obejmuje pełne spektrum działań dotyczących kwestii organizacyjno-prawnych czy działań związanych ze zwiększaniem bezpieczeństwa produktów i usług teleinformatycznych w całym cyklu ich życia, ale także i to w równie ważnym stopniu gdy odnosi się do czynnika ludzkiego. Wielu ekspertów twierdzi bowiem, że najsłabszym ogniwem w łańcuchu bezpieczeństwa jest właśnie człowiek i to jego przygotowanie na zagrożenia powinno być bardzo istotnym działaniem, posiadającym także walory prewencyjne. A Polityka odnosi się do tej kwestii wybiórczo. Postulat konieczności edukacji pracowników administracji rządowej jest w sposób oczywisty słuszny. Na problem należy jednak spojrzeć z szerszej perspektywy. Polityka powinna uwzględniać także m.in. konieczność zadbania o stworzenie systemu rekrutowania osób zatrudnionych na stanowiskach państwowych, szczególnie gdy mają mieć one dostęp do systemów teleinformatycznych ważnych z punktu widzenia bezpieczeństwa państwa. Należy m.in. zminimalizować ryzyko zatrudnienia osób, które mogłyby mieć wrogie zamiary i stanowić zagrożenie z wewnątrz. Dodatkowo system motywacyjny związany z rozwojem kariery osób na stanowiskach kluczowych powinien być na tyle atrakcyjny, by minimalizować ryzyko zaistnienia niezgodnego z prawem, celowego użytkowania systemów teleinformatycznych oraz zasobów informacyjnych. Tytuł rekomendowanego fragmentu Polityki mógłby brzmieć następująco: Zatrudnianie i kształcenie kadry urzędniczej w administracji rządowej. Najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek i to jego przygotowanie na zagrożenia powinno być bardzo istotnym działaniem W kontekście szkoleń kadry urzędniczej i pełnomocników ds. bezpieczeństwa cyberprzestrzeni, należy postulować położenie akcentu na to, aby miały one wielopoziomowy i wielopłaszczyznowy charakter i zawierały m.in. elementy związane z obroną przeciwko zagrożeniom z kategorii inżynierii społecznej. Szkolenia i działania edukacyjne powinny nadążać za nowymi trendami w teleinformatyce, a także uwzględniać inne, pozatechniczne zagrożenia. Polityka rekomenduje powołanie pełnomocnika ds. bezpieczeństwa cyberprzestrzeni. To postulat trafny, ale niepełny. Dokument powinien zawierać wyraźne dookreślenie, że musi to być osoba wysoko wykwalifikowana, posiadająca gruntowne wykształcenie i doświadczenie w obszarze bezpieczeństwa teleinformatycznego, której umiejętności będą systematycznie doskonalone przez regularne ćwiczenia oraz szkolenia. W podrozdziale dokumentu znajdujemy następujący fragment: Jednym z podstawowych aspektów zapewnienia bezpieczeństwa CRP jest posiadanie wysoko wykwalifikowanych kadr w sektorze publicznym i prywatnym odpowiadających za utrzymanie systemów teleinformatycznych ze szczególnym uwzględnieniem zasobów kluczowych dla bezpieczeństwa państwa. Popierając ten zapis, trzeba jednocześnie zwrócić uwagę na potrzebę rozważenia, czy nie należałoby umieścić w Polityce postulatu przygotowania zestawu bodźców i mechanizmów zachęcających wykształconych specjalistów do podejmowania pracy w sektorze publicznym. Mimo, że Polityka nie jest szeroką i kompleksową strategią działań dotyczących cyberprzestrzeni, czyli czymś, co powinno zostać w naszym kraju już dawno opracowane, jej poprawiona wersja musi być konsekwentnie wprowadzona w życie Kończąc przegląd uwag dotyczących Polityki, należy wspomnieć jeszcze o trzech istotnych kwestiach, z których zwłaszcza ostatnia jest kluczowa dla powodzenia implementacji dokumentu. Po pierwsze, zapewniania bezpieczeństwa cyberprzestrzeni, nie może ograniczać się do działań dotyczących bezpieczeństwa wyłącznie aktorów publicznych. Poza włączeniem innych podmiotów do założeń Polityki, rekomendujemy, aby także ich opinia służyła jako źródło konsultacji przy podejmowaniu ważnych decyzji. Tym bardziej, że ich porady są często wyjątkowo przydatne ze względu na wiedzę i doświadczenie, nierzadko przewyższające wiedzę i doświadczenie podmiotów publicznych. Z uwagi na to jednym z elementów Polityki powinien być zapis mówiący, że działania związane z zapewnianiem bezpieczeństwa CRP będą projektowane w połączeniu z debatą i konsultacjami z potencjalnie zainteresowanymi tym podmiotami, mającymi wiedzę i mogącymi opiniować poszczególne działania. Drugą kwestią, jaką należy podkreślić, jest to, że cyberbezpieczeństwo wymaga przeznaczenia na nie dodatkowych środków z budżetu państwa. Autorzy Polityki zdają się tego nie dostrzegać i to powinno budzić niepokój. I wreszcie ostatnia, ale wcale nie najmniej istotna sprawa. We wstępie dokumentu zaznaczone zostało wyraźnie, że został on zbudowany w oparciu o program na lata 5

6 J. Świątkowska Projekt Polityki Ochrony Cyberprzestrzeni RP Nowa jakość czy stare problemy? A przecież jedną z największych słabości poprzednich dokumentów dotyczących CRP, także tego na lata , było to, że pozostały one dokumentami martwymi. Nie wprowadzono ich w życie, nie wniosły zatem realnie nic do przestrzeni publicznej. Dlatego tak ważnym, o ile nie w ogóle najważniejszym, postulatem powinien być w tej chwili ten, by poprawiona wersja Polityki została realnie implementowana i konsekwentnie wprowadzona w życie. W celu uniknięcia sytuacji, jaka stała się udziałem poprzednich dokumentów, opinia publiczna powinna być regularnie informowana w kwestii postępów prac związanych z wdrażaniem Polityki. Przy czym przynajmniej podstawowe informacje należałoby udostępniać w takiej formie, aby możliwa była ocena tych postępów. Polski nie stać na marnowanie kolejnych lat, w trakcie których nie są podejmowane strategiczne działania. Instytut Kościuszki jest niezależnym, pozarządowym instytutem naukowo-badawczym (Think Tank) o charakterze non profit, założonym w 2000 r. Misją Instytutu Kościuszki jest działanie na rzecz społeczno-gospodarczego rozwoju i bezpieczeństwa Polski jako aktywnego członka Unii Europejskiej oraz partnera sojuszu euroatlantyckiego. Instytut Kościuszki pragnie być liderem pozytywnych przemian, tworzyć i przekazywać najlepsze rozwiązania, również na rzecz sąsiadujących krajów budujących państwo prawa, społeczeństwo obywatelskie i gospodarkę wolnorynkową. Biuro w Krakowie: ul. Lenartowicza 7/4, Kraków, Polska, tel.: , ik@ik.org.pl Projekt layoutu, skład i opracowanie graficzne: Małgorzata Kopecka, pani.kopecka@gmail.com Dalsze informacje i komentarze: Joanna Świątkowska joanna.swiatkowska@ik.org.pl tel