W poprzednim artykule, dotyczącym cyberbezpieczeństwa RP, autorzy skupili się na aktach prawnych, regulujących ten zakres. Z punktu widzenia niniejszego artykułu istotnym aktem prawnym jest Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913), która m.in. określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. W poniższej publikacji zostanie przeanalizowana Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej w kontekście aktualnych zagrożeń w tych zakresach.

Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024

Na podstawie art. 68 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560), w dniu 22 października 2019 roku, Rada Ministrów podjęła uchwałę nr 125 w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Ten akt prawa wewnętrznego uchylił uchwałę nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022.

W ramach Strategii cyberbezpieczeństwa RP określone zostały wizja oraz cel główny związane z bezpieczeństwem cyberprzestrzeni Rzeczypospolitej Polskiej. Wskazano, iż wraz ze wzrostem gospodarczym oraz codzienną działalnością przedsiębiorców oraz obywateli, związanymi ze sprawnym i bezpiecznym działaniem systemów informacyjnych i środków komunikacji elektronicznej konieczne jest wzmocnienie oraz rozwój krajowego systemu cyberbezpieczeństwa. Działania te miały uwzględnić systemowe rozwiązania organizacyjne, operacyjne, technologiczne, prawne, kreowanie postaw społecznych oraz prowadzenie badań naukowych tak, aby zapewnić spełnienie wysokich standardów cyberbezpieczeństwa w obszarze oprogramowania, urządzeń i usług cyfrowych. Miały one być podejmowane przez rząd z poszanowaniem praw i wolności obywateli oraz przez budowę zaufania między poszczególnymi sektorami rynkowymi a administracją publiczną.

W dobie pojawiających się coraz częściej informacji o wyciekach prywatnej korespondencji mailowej polityków z ich skrzynek poczty elektronicznej oraz biorąc pod uwagę wszelkie afery związane z podsłuchiwaniem obywateli, trudno tutaj mówić o budowaniu zaufania do działań administracji publicznej w sferze budowania sprawnego systemu cyberbezpieczeństwa.

Cele Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024

Jako cel główny w Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 postawiono podniesienie poziomu odporności na cyberzagrożenia oraz zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym, prywatnym oraz promowanie wiedzy i dobrych praktyk umożliwiających obywatelom lepszą ochronę ich informacji. W ramach strategii wydzielono również cele szczegółowe dotyczące właśnie bezpiecznej cyberprzestrzeni w RP:

1. Rozwój krajowego systemu cyberbezpieczeństwa.

2. Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.

3. Zwiększanie potencjału narodowego w zakresie bezpieczeństwa w cyberprzestrzeni.

4. Budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa.

5. Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.

Z punktu widzenia zagadnień dotyczących m.in. morskiej energetyki wiatrowej na polskich obszarach morskich, istotnym jest cel szczegółowy zatytułowany „Rozwój krajowego systemu cyberbezpieczeństwa”, to właśnie w ramach tego celu zostało opisane zwiększenie cyberbezpieczeństwa usług kluczowych i cyfrowych oraz infrastruktury krytycznej.

Wskazano, iż technologie informatyczne (IT) wykorzystywane przez operatorów usług kluczowych, dostawców usług cyfrowych, operatorów infrastruktury krytycznej (w tym operatorów telekomunikacyjnych) stanowią element krytyczny dla ciągłości działania państwa oraz zapewniania bezpieczeństwa obywatelom. Co więcej bezpieczeństwo najważniejszych sektorów gospodarki, ze szczególnym uwzględnieniem sektora energii, zależy od zapewnienia niezakłóconego działania przemysłowych systemów sterowania (OT). Dlatego zapewnienie cyberbezpieczeństwa zarówno IT, jak i OT, będzie traktowane przez rząd jako priorytet. Jako wyraz właśnie tego priorytetowego działania wskazano analizy dotyczące doprecyzowania wymagań bezpieczeństwa niezbędnych do spełnienia przez operatorów telekomunikacyjnych, szczególnie przy budowie sieci 5G, która w przyszłości będzie podstawą funkcjonowania państwa w zakresie mobilnej telekomunikacji. 

Zakłada się, że będą w tym obszarze konieczne zmiany prawne, aby umożliwić odpowiednią kontrolę nad zapewnieniem cyberbezpieczeństwa. Oprócz tego, mając na uwadze, że odpowiedzialność za zapewnienie bezpieczeństwa usług leży przede wszystkim po stronie podmiotów je świadczących, rząd podejmie działania wspierające budowanie zdolności i kompetencji w zakresie cyberbezpieczeństwa wśród operatorów usług kluczowych, operatorów infrastruktury krytycznej oraz dostawców usług cyfrowych, uwzględniając ich różnorodną specyfikę i różny stopień dojrzałości w zakresie cyberbezpieczeństwa. Ponadto rząd będzie wspierał te podmioty w reagowaniu na incydenty istotne, krytyczne i poważne, szczególnie w przypadku wystąpienia incydentów ponadsektorowych. Po raz kolejny niestety widać, iż nie ma pomysłu systemowego zapewnienia bezpieczeństwa w tym aspekcie.

W pierwszej kolejności miała zostać zapewniona spójność działań w zakresie opracowywania kryteriów identyfikacji operatorów infrastruktury krytycznej i operatorów usług kluczowych, uwzględniająca potrzebę włączenia tych podmiotów do systemu zarządzania kryzysowego. Proces ten przebiegać miał we współpracy ze wszystkimi sektorami. Wykorzystując mechanizmy przewidziane prawem, rekomendowane będą minimalne wymagania w zakresie cyberbezpieczeństwa ze szczególnym uwzględnianiem zarządzania ciągłością działania.

Analogicznym reżimem objęci zostaną dostawcy usług cyfrowych. Biorąc jednak pod uwagę fakt międzynarodowej specyfiki tych podmiotów oraz konieczności zapewnienia takich regulacji, które będą sprzyjały rozwojowi rynku cyfrowego w Polsce, działania w tym obszarze będą prowadzone na forum europejskim, przede wszystkim w ramach Grupy Współpracy dyrektywy NIS, a także w ramach współpracy transatlantyckiej z brytyjskimi i amerykańskimi instytucjami stymulującymi podnoszenie standardów cyberbezpieczeństwa przez dostawców usług cyfrowych.

Konieczność zapewnienia bezpieczeństwa przed cyberatakami na infrastrukturę krytyczną OZE – kilka przykładów

Jak bardzo istotną kwestią jest zapewnienie cyberbezpieczeństwa m.in. infrastrukturze krytycznej mogą świadczyć ataki hakerskie na podmioty związane z wytwarzaniem energii, w tym farmy wiatrowe zlokalizowane na obszarach morskich. Obecna sytuacja, związana z konfliktem na Ukrainie, będzie tylko sprzyjać do nasilenia takowych działań. Warto w tym miejscu wskazać dwa takowe ataki, które miały miejsce po inwazji Rosji na Ukrainę. 

W dniu agresji rosyjskiej na Ukrainę zanotowano szereg istotnych nieprawidłowości w pracy generatorów energii elektrycznej. Większość wiatrowych turbin morskich sterowanych jest przez zautomatyzowane centra mieszczące się często bardzo daleko w głębi lądu. Aby móc je monitorować i nimi sterować wykorzystuje się łączność satelitarną i protokoły internetowe. Atak ten był najprawdopodobniej skutkiem ubocznym ataku na cybernetyczną infrastrukturę militarną operatora Viasat, który obsługuje zarówno satelity satelitarne, obsługujące działanie turbin wiatrowych, jak i satelity wojskowe należące do sił zbrojnych Stanów Zjednoczonych. Skala ataku była dość znaczna, ponieważ wg szacunków ekspertów, mogło dość do automatycznego wyłączenia, w związku z zaistnieniem zagrożenia dla automatyki generatorów, nawet 5800 turbin wiatrowych w całych Niemczech, o mocy 11 GW. 

Nie był to zresztą jedyny atak na infrastrukturę związaną z energetyką wiatrową na terenie Niemiec. Deutsche Windtechnik specjalizujący się w konserwacji turbin wiatrowych został również celem ataku cybernetycznego. Napastnicy zdołali przełamać zabezpieczenia oraz kontrolować systemy zdalnego sterowania obsługujące około 2 tysięcy turbin. Nie działały one przez dzień po ataku. Z kolei Nordex SE, firma zajmująca się projektowaniem, sprzedażą i produkcją turbin wiatrowych poinformowała, iż 31 marca wykryła cyberatak, który zmusił ich do zamknięcia systemów informatycznych. Do tego ataku przyznał się grupa Conti deklarująca wsparcie dla rosyjskiego rządu.

Jak widać sytuacje takie mają miejsce i zdaniem autorów skala ich będzie niestety tylko wzrastać. Biorąc pod uwagę ambitne plany Polski związane z produkcją energii elektrycznej z OZE takich jak właśnie morska energetyka wiatrowa, wodór oraz elektrownie atomowe, należy sprawy związane z zapewnieniem cyberbezpieczeństwa tejże infrastruktury potraktować szalenie poważnie.

Podsumowanie

Biorąc pod uwagę wskazane powyżej uregulowania należy podkreślić, iż bez systemowego podejścia do problemu cyberbezpieczeństwa RP, a w szczególności cyberbezpieczeństwa infrastruktury krytycznej, problem ten pozostanie kolejną sferą życia zarówno publicznego jak i prywatnego, wypełnioną martwymi przepisami oraz pustymi deklaracjami. 

Przerzucanie po raz kolejny całej odpowiedzialności za zapewnienie bezpieczeństwa w cyberprzestrzeni na użytkownika danego systemu, bez jednoczesnego wsparcia tegoż użytkownika ze strony Państwa, odpowiednią legislacją oraz realną pomocą jest po prostu nieodpowiedzialne i może bardzo poważnie odbić się w przyszłości na bezpieczeństwie energetycznym naszego państwa.

Osobną sprawą pozostaje pewnego rodzaju ociemniałość administracji publicznej na fakt konieczności dostosowania poziomu wynagrodzeń fachowców, zajmujących się cyberbezpieczeństwem w agencjach rządowych, do warunków prywatnego sektora. Takie podejście do tak newralgicznych kwestii będzie skutkować tym, iż coraz mniej wysokiej klasy specjalistów będzie skłonnych do podjęcia pracy w ramach zatrudnienia właśnie w sektorze budżetowym, co również w sposób dalece negatywny wpłynie na poziom cyberbezpieczeństwa Rzeczypospolitej Polskiej. 

Niestety w obecnych jakże „ciekawych czasach” można przyjąć, iż wcześniej czy później dojdzie do niebezpiecznego cyberataku na polską infrastrukturę krytyczną, a wtedy te wszystkie uchybienia i nieodpowiedzialne podejście do problemu, które od lat prezentują decydenci obnaży wszystkie braki i słabości naszej „strategii cyberbezpieczeństwa”. Można mieć tylko nadzieję, iż szkody te nie będą zbyt znaczne i będą odwracalne. 

Mateusz Romowicz – radca prawny

Przemysław Niewiński - prawnik