W październiku 2019 r. w życie weszła uchwała Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Jednym z punktów wymienionych w załączniku do tego dokumentu jest „Opracowanie i wdrożenie Narodowych Standardów Cyberbezpieczeństwa oraz promowanie dobrych praktyk i zaleceń”. I tak na tej podstawie Departament Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów opracował wspomniane zasady, które opublikowane zostały we wrześniu 2021 r. jako Narodowe Standardy Cyberbezpieczeństwa (NSC). Jest to zbiór rekomendacji mających na celu ustandaryzowanie rozwiązań zabezpieczających sieci i systemy informatyczne wykorzystywane przez podmioty publiczne chcące efektywnie zarządzać systemami bezpieczeństwa informacji.
NSC zostały opracowane na podstawie standardów amerykańskiego National Institute of Standards and Technology (NIST) oraz przyporządkowane obowiązującym w polskim systemie prawnym normom stosowanym w zarządzaniu bezpieczeństwem informacji przez podmioty krajowego systemu cyberbezpieczeństwa, w tym podmioty realizujące zadania publiczne, operatorów usług kluczowych i dostawców usług cyfrowych. NSC to przewodniki metodyczne, które ułatwią budowanie efektywnego systemu zarządzania bezpieczeństwem informacji w oparciu o praktykę stosowaną w administracji federalnej USA.
Opracowanie NSC ma na celu przede wszystkim zwiększenie bezpieczeństwa systemów IT sektora publicznego oraz ich odporności na ataki czy zakłócenia. Przewidziane są prace nad standardami dla aplikacji, urządzeń mobilnych oraz serwerów i sieci.
Jednym z elementów NSC jest dokument o nazwie „Minimalne wymagania bezpieczeństwa informacji i systemów informatycznych podmiotów publicznych”. W treści znajdują się wprost zalecenia co do budowy efektywnego systemu zarządzania bezpieczeństwem informacji w organizacji. Od razu nasuwa się pytanie: a co z rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (dalej KRI)? Czy w takim razie NSC zastępują KRI czy może są jego rozwinięciem? Sprawa jest dość świeża, więc odpowiedzi pojawią się z czasem. Na chwilę obecną możemy jednak pokusić się o stwierdzenie, iż zdecydowanie szykują się zmiany dla podmiotów publicznych w zakresie zarządzania bezpieczeństwem informacji i systemami informatycznymi, a jak będzie w praktyce – czas pokaże.
Co bardzo istotne, Rząd nie zapewnił funduszy na realizację zadań wynikających ze wspomnianej na początku artykułu Strategii. Zadania w niej wskazane mają być realizowane z budżetów poszczególnych jednostek oraz ze środków Narodowego Centrum Badań i Rozwoju, a także z funduszy europejskich. Jak powszechnie wiadomo, finansowanie dodatkowych zadań w podmiotach sektora finansów publicznych plasuje się dość nisko na liście priorytetów kierownictwa przy planowaniu budżetów, w związku z czym można się spodziewać, iż zmiany wymagane przez Strategię praktycznie nie będą wdrażane lub będą w niewielkim stopniu.
Aktualnie zgodnie z wymaganiami §20 KRI podmioty realizujące zadania publiczne mają obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) w celu zapewnienia poufności, integralności i dostępności informacji. Przepisy te obowiązują już ponad 9 lat, jednak jak pokazuje praktyka są w Polsce podmioty publiczne, które do tej pory zrobiły niewiele w celu dostosowania się do ich wymagań. Jak możemy przeczytać na stronie internetowej Najwyższej Izby Kontroli ostatnia kontrola przeprowadzona w roku 2019 wykazała, iż pomimo upływu kilku lat od czasu poprzednich sprawdzeń nie nastąpiła poprawa w zakresie bezpieczeństwa informacji przetwarzanych w jednostkach publicznych – ponad 70% kontrolowanych urzędów zostało ocenionych negatywnie. Mimo że wymagania KRI nie są wyśrubowane ani skomplikowane, a ich realizacja w praktyce dość prosta nie zostały odpowiednio zaimplementowane, martwić więc może fakt, iż zapisy NSC są o wiele bardziej szczegółowe i skomplikowane…
Analizując przytoczone fakty można wyciągnąć jeden wniosek – podmioty publiczne zostały pozostawione same z tematem osiągnięcia zgodności z narzucanymi na nie wymaganiami dot. zwiększenia bezpieczeństwa danych przetwarzanych w ich systemach informatycznych. Brak środków finansowych w budżetach na zadania dodatkowe, a ponadto ich zmniejszenie spowodowane dodatkowymi wydatkami spowodowanymi m.in. przez pandemię SARS-CoV-2 nie pozwala na wdrożenie wymagań przepisów KRI obowiązujących już od dawna, a co dopiero na realizację założeń Strategii Cyberbezpieczeństwa RP. Zdecydowanie odpowiednie wsparcie finansowe i merytoryczne jednostek w realizacji tych działań dałoby o wiele lepsze i zauważalne rezultaty, niż jedynie stawianie nowych wymagań i oczekiwanie efektów.
Autor: Tomasz Cieślik