Według Najwyższej Izby Kontroli bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Władzy nie interesuje ta sfera bezpieczeństwa?
– W latach 2005-2007 ta dziedzina pozostawała w zainteresowaniu władz państwowych i służb specjalnych. Podjęliśmy działania, które pozwalałyby rozpocząć proces kompleksowego zabezpieczenia Polski przed zagrożeniami z cyberprzestrzeni. Jako szef ABW m.in. podpisywałem umowy z dostarczycielami usług internetowych czy też systemów operacyjnych. Natomiast od kiedy premierem został Donald Tusk i rządzi Polską Platforma Obywatelska, zaniechano jakichkolwiek prób zintegrowanego reagowania na zagrożenia z cyberprzestrzeni oraz zabezpieczenia naszych systemów infrastruktury krytycznej przed takimi niebezpieczeństwami. Niestety, raport NIK potwierdza to, co ja i inni eksperci mówimy od dobrych ośmiu lat: że nie podjęto żadnych działań, aby stworzyć podstawy taktyczne, instytucjonalne, a także prawne do tego, by taka działalność była skuteczna i kompleksowa.
NIK zwraca uwagę na fakt, że nie wypracowano narodowej strategii ochrony cyberprzestrzeni. Kto by miał taką strategię opracować?
– Odpowiedzialna za to jest premier, a pośrednio minister spraw wewnętrznych. To w sferze cywilnej. W wojskowej odpowiada za to minister obrony narodowej. Co prawda w tym roku prezydent Bronisław Komorowski podpisał doktrynę cyberbezpieczeństwa Rzeczypospolitej Polskiej, ale gdy ktokolwiek zada sobie trud zapoznania się z tym dokumentem, to stwierdzi, że jest on pełen ogólników i nic nieznaczących sformułowań, które nie przewidują odpowiednich rozwiązań prawnych czy instytucjonalnych, aby takie bezpieczeństwo zaczęło funkcjonować. Strategia bezpieczeństwa w cyberprzestrzeni powinna powstać, ale w pierwszej kolejności powinniśmy stworzyć instytucję, która się zajęłaby koordynowaniem, a nawet tworzeniem systemu bezpieczeństwa w cyberprzestrzeni.
W siłach zbrojnych Izraela tworzona jest specjalna formacja ds. wojny cybernetycznej. Jest to powszechne działanie?
– W państwach wysoko rozwiniętych, takich jak Izrael, Stany Zjednoczone czy Wielka Brytania, już dawno zdano sobie sprawę z tego, że takie instytucje muszą funkcjonować. Konieczne jest podejmowanie działań zarówno biernych, czyli obronnych, jak i ofensywnych, czyli zewnętrznych. To też takie instytucje powstają. Oczywiście cały czas się reorganizują, unowocześniają, bo zagrożenia się zmieniają. Cyberprzestrzeń jest tym obszarem, który jest najbardziej elastyczny i bardzo szybko reaguje na działania zabezpieczające państw czy firm. Ważne jest, aby przy tworzeniu systemu bezpieczeństwa w cyberprzestrzeni oprzeć się na współpracy z prywatnymi firmami dostarczającymi usługi internetowe, z firmami tworzącymi systemy operacyjne czy zajmującymi się bezpieczeństwem w cyberprzestrzeni. To jest bardzo dobry obszar do partnerstwa publiczno-prywatnego. Zagwarantuje nam to, że zabezpieczone będą nie tylko instytucje publiczne, ale także prywatne, które z punktu widzenia państwa są istotne.
W 2007 r. hakerzy poprzez ataki w cyberprzestrzeni dokonali paraliżu Estonii. Sytuacja ta może powtórzyć się w Polsce?
– Jak najbardziej tak. Gdyby w chwili obecnej takie działania przeciwko polskiej infrastrukturze krytycznej zostały podjęte, i to na szeroką skalę, to myślę, że całkowicie sparaliżowałyby polski system szeroko pojętej władzy. To jest olbrzymie zagrożenie. Donald Tusk i Ewa Kopacz chyba zakrywali oczy, żeby nie widzieć tych niebezpieczeństw i nie podejmować żadnych działań. Raport NIK pokazuje też żenadę i niską jakość władzy publicznej, gdyż stwierdza, że według Ministerstwa Finansów, realizacja zadań dla bezpieczeństwa w cyberprzestrzeni ma się odbyć bezkosztowo! To jest niemożliwe! Musza być poniesione nakłady, aby zabezpieczyć cyberprzestrzeń. Tego nie da się zrobić za darmo.
Jak wielkie są to koszty?
– Tego nie da się wyliczyć od tak. Instytucja, która zajęłaby się ochroną, musiałaby opracować założenia mówiące, jakie sfery życia publicznego, prywatnego czy przedsiębiorstw powinny być chronione przez państwo. Przecież nie każda firma prywatna powinna być chroniona przez państwo. Także nie każda instytucja publiczna musi być chroniona przed przestępstwami w cyberprzestrzeni. Atak na sieć biblioteki jest atakiem wrogim, ale nie sparaliżuje funkcjonowania państwa. Może co najwyżej sparaliżować sieć bibliotek. Ale gdyby był to atak na sieć przesyłu energii elektrycznej, to może to faktycznie sparaliżować kraj. Dlatego taka instytucja musi wyliczyć, jakie sfery życia publicznego i prywatnego powinny być chronione przez państwo i w jakim zakresie. Wtedy należy określić koszty tej ochrony przy założeniu, że jest to partnerstwo prywatno-publiczne, czyli te firmy prywatne, które chciałyby w tym systemie uczestniczyć, musiałyby współfinansować koszty tej ochrony.
