"Obserwujemy działania obcych służb w obszarze dezinformacji." Wywiad z pełnomocnikiem rządu ds. cyberbezpieczeństwa

Fot. Piotr Smolinski / Polska Press

Andrzej Brzuszkiewicz

Naciski dyplomatyczne naszego sojusznika w NATO mogą opóźnić wprowadzanie technologii 5G w Polsce. Na polską cyberprzestrzeń wywierają wpływ obce służby. - Aspekty bezpieczeństwa będziemy pewnie musieli postawić przed aspektami czysto komercyjnymi - mówi w rozmowie z Demaskator24 minister Karol Okoński, pełnomocnik rządu ds. cyberbezpieczeństwa, sekretarz stanu w ministerstwie cyfryzacji.

Katarzyna Stańko, Wojciech Rogacin: Co się teraz dzieje w polskiej cyberprzestrzeni? Jakie raporty otrzymuje Pan na biurko?

W momentach wrażliwych, takich jak wybory czy teraz konflikt na Ukrainie obserwujemy działania obcych służb w obszarze dezinformacji. Mamy też bardzo wrażliwą kwestię rozwoju sieci komórkowej 5G, tzn. jakich urządzeń będziemy używać, a jakich nie przy okazji rozwoju tej sieci.

Mówi pan o konkretnych firmach?

Tak, o firmach, których nazw nie wymienię, ale które są wymieniane w co drugim artykule, który mówi o sieci 5G. Jesteśmy teraz w bardzo ważnym momencie, podejmujemy decyzje o tym, jak będzie zaprojektowana ta sieć i jakie rozwiązania będą masowo wdrażane.

Jakie rozwiązania będą wdrażane?

Nie mogę na tym etapie o tym mówić, ale otrzymujemy informacje kanałami publicznymi i niepublicznymi, komunikowane są oczekiwania ze strony naszych sojuszników, w szczególności z USA, aby wstrzymać się w Polsce z używaniem pewnych urządzeń, które mogą stanowić zagrożenie w zakresie cyberbezpieczeństwa także dla naszych sojuszników i ich własnych struktur. Będziemy podejmować decyzje, analizując materiały, które zgromadzimy sami i otrzymamy od naszych sojuszników.

Co to są za urządzenia?

Zarówno urządzenia brzegowe, obsługujące poszczególne warstwy sieci, jak i routery i urządzenia końcowe. Mamy kilku producentów, którzy zdominowali rynek: Huawei, Ericsson, ZTE, Nokia, Samsung. Poziom dojrzałości rozwiązań prezentowanych przez tych producentów jest różny. Jeśli spojrzymy na cenę i obecny poziom dostępności rozwiązań na rynku, najczęściej są to rozwiązania chińskie. Jednak ustawodawstwo chińskie generuje ryzyko. Pewne informacje bez naszej wiedzy z krajów, gdzie te urządzenia są zainstalowane, mogą być przekazywane do Chin. Są dwa sposoby przeciwdziałaniu temu problemowi. Wykluczyć te urządzenia, wtedy siłą rzeczy te informacje do Chin nie powędrują. Drugi sposób to weryfikacja tych urządzeń, by sprawdzić, jak działają i dopuszczać je wtedy, gdy będziemy mieć pewność, że spełniają wszystkie standardy bezpieczeństwa. Francja i Niemcy chcą mieć swój system certyfikacji. Pytanie, czy wszyscy producenci poddadzą się tej certyfikacji. Jeśli przejdą testy, niezależnie, z którego kraju pochodzą, będą mogły być używane. Dla Niemiec i Francji łatwiej jest wymagać certyfikacji, ponieważ mają już zbudowany system laboratoriów i certyfikacji. Badanie technologii 5G, to dla nich tylko dodanie profilu. W Polsce takiego systemu nie mamy. Tak jak wspomniałem budujemy obecnie laboratorium, które będzie sprawdzać zgodność z normami common criteria, ale na starcie będzie ono miało ograniczony zasięg. Dlatego w okresie przejściowym będziemy musieli się zastanowić, jakie urządzenia wykluczyć, a jakie będziemy w stanie zweryfikować tak, by zapewnić bezpieczeństwo przepływu informacji nam i naszym sojusznikom. Obecnie zbieramy informacje i w najbliższym czasie będziemy te konkrety komunikować. Na razie nie mamy podejścia czarno – białego, typu wykluczamy wszystkie te rozwiązania, które wykluczyły USA. Dostawcy chińscy z punktu widzenia jakości i ceny są obecnie preferowanymi dostawcami w sektorze komercyjnym. Nie dziwi mnie więc, że operatorzy telekomunikacyjni w pierwszej kolejności sięgają po te produkty, bo często są to jedyne produkty dopuszczone do obrotu masowego. Niemniej pamiętajmy, że sektor telekomunikacyjny ma akurat duże znaczenie dla bezpieczeństwa narodowego.

Czy wykluczenie chińskich producentów nie podrożyłoby wdrażaniu technologii 5G w Polsce i nie opóźniłoby jej?

Dobre pytanie. Ostateczne decyzje powinny ten aspekt uwzględnić. Aspekty bezpieczeństwa będziemy pewnie musieli postawić przed aspektami czysto komercyjnymi. W świetle jasnych sygnałów, które wysyłają nasi sojusznicy z NATO, nie są to kwestie, które możemy zignorować. Aspekt bezpieczeństwa jest niezwykle istotny.

Jak wygląda zabezpieczenie Polski w cyberprzestrzeni?

Jesteśmy dziś w zupełnie innej, dużo lepszej sytuacji niż trzy lata temu. Przede wszystkim mamy ustawę o cyberbezpieczeństwie, która jasno definiuje jak ten system u nas wygląda i kto za co odpowiada. Ale trzeba oczywiście pamiętać, że nie jesteśmy w stanie w 100 proc. zabezpieczyć się przed atakami, czy wyeliminować wszystkich. Tak, jak nie będziemy w stanie wyeliminować fake newsów. W rankingach cyberbezpieczeństwa znajdujemy się w średniej światowej. Nie jesteśmy w top 10, ale też nie mamy się czego wstydzić. Co istotne - nie znajdujemy się też w pierwszej dziesiątce celów. Jednak trzeba pamiętać, że granice cyberprzestrzeni nie są proste do narysowania. Z Facebooka wyciekły również dane Polaków. Na naszym rynku funkcjonują przecież globalni gracze. Tworzymy standardy zabezpieczeń dla administracji publicznej. Jeśli chodzi o zagrożenia w sieci cały czas musimy uświadamiać i pracowników administracji, i obywateli. Ustawa o cyberbezpieczeństwie kładzie też szczególny nacisk na zgłaszanie incydentów. Jeśli pyta mnie pani, na ile jesteśmy bezpieczni, odpowiem, że jesteśmy na tyle, na ile jesteśmy świadomi. I zapewne nie wiemy o wszystkich atakach. Zawsze pierwszym filtrem jest tu internauta czy użytkownik poczty. Ograniczone zaufanie i czujność to podstawy! Jesteśmy podatni, bo działamy w ogromnym pośpiechu. W człowieku zawsze jest również chęć zysku. Problemem są kampanie phishingowe, czyli podszywanie się przez przestępców pod kogoś, by wyłudzić dane. Świadomość się jednak zmienia, rzadko kto wierzy już teraz, że książę jakiegoś egzotycznego kraju napisał do nas maila, by przekazać nam swój majątek. Pojawiają się jednak nowe zagrożenia: Spear phishing jest wymierzony wprost w pracowników firm. Mechanizm jest taki, że np. z profili społecznościowych przestępcy czerpią informacje o strukturze organizacyjnej firmy, mogą wykorzystać imię i nazwisko, stanowisko... Przychodzi mail, że jest pilna faktura do zapłacenia. Prezes jest na spotkaniu i... Na dodatek przestępcy często mają w organizacji informatora - kogoś, kto poinformuje np. o spotkaniach. Współcześni cyberprzestępcy stosują socjotechnikę i technologie informatyczne w bardzo zaawansowany sposób.

Czy Polska ma jakiś budżet na cyberbezpieczeństwo?

Nie ma jednego centralnego budżetu. Każda instytucja ma swój własny budżet. Ustawa o cyberbezpieczeństwie mówi o 220 mln zł w ciągu 10 lat, czyli około 22 mln rocznie. Ten budżet jest rozdzielony na poszczególne jednostki odpowiedzialne za bezpieczeństwo w sieci. Ministerstwo Obrony Narodowej ma swój budżet na cyberbezpieczeństwo, ABW – swój, my swój. Mamy jeszcze pieniądze związane z badaniami i rozwojem i środki europejskie, m.in. program CyberSecIdent. Z tego programu przeznaczone zostało już 110 mln zł na nowe projekty. Jednym z projektów jest budowa laboratorium i systemu certyfikacji na zgodność z tzw. common criteria. Wkrótce kolejne 70 mln zostanie oddane do dyspozycji firm. I po raz pierwszy poszerzymy wydatki o narzędzia związane z przeciwdziałaniem dezinformacji.

Ile środków będzie przeznaczone na walkę z dezinformacją?

Program ruszy w 2019 r., kwoty uzależniamy od liczby wniosków.

Czy chodzi tu również o polityczne kampanie dezinformujące, np. przed wyborami?

Generalnie chodzi o zwalczanie botów, które uczestniczą w propagowaniu fałszywych informacji, rozpoznawanie pewnych wzorców dzięki zastosowaniu uczenia maszynowego i sztucznej inteligencji. Plus odpowiednia analiza danych.

W Polsce dużo mówi się o zagrożeniu dezinformacją ze strony Rosji. Czy ono rzeczywiście istnieje czy może jest to demonizowanie naszego wschodniego sąsiada?

Biorąc pod uwagę stałą i systematyczną działalność, która ma miejsce w Polsce, nie jest to demonizowanie.

Co to znaczy stała i systematyczna działalność?

Są wątki i tematy, które mają miejsce non stop i się powtarzają.

Jakie? Jakie przekazy badacie?

W przestrzeni europejskiej jest to np. właśnie budowanie przeświadczenia, że demonizujemy Rosję. W Polsce są to komunikaty zniechęcające do Ukrainy i zaangażowania po stronie Ukrainy. To jest główny wektor plus budowanie przekonania, ze Rosja jest wiarygodnym partnerem. Nie znaczy to, ze mamy z Rosją nie rozmawiać, czy nie robić z nią interesów. Trzeba jednak pamiętać, że pewna część aktywności Rosji jest obliczona na uśpienie naszej czujności.

Czy budżet 220 mln na 10 lat to nie są zbyt skromne środki biorąc pod uwagę, że współczesne wojny mają się toczyć w cyberprzestrzeni i przestrzeni informacyjnej?

Nie możemy liczyć na to, że budżet na cyberprzestrzeń będzie miał priorytet przed wszystkimi innymi potrzebami. Chcemy wykorzystywać środki unijne i komercyjne np. przy budowaniu sztucznej inteligencji. Nigdzie na świecie ona nie została zbudowana ze środków państwowych tylko ze środków własnych firm. Duzi gracze w Polsce są zainteresowani np. projektami publiczno-prywatnymi w tym zakresie.

Jakie są statystyki w zakresie cyberataków?

Mamy ok. 20 tys. zgłoszeń do NASK-u rocznie. Około 1,5 tys. są zakwalifikowane jako rzeczywiste ataki. Mówimy tu głownie o sektorze finansowym. Zabezpieczenia, które istnieją są w stanie od razu odeprzeć pewien poziom ataku, np. DDOS-owe (ang. distributed denial of service), czyli ataki na infrastrukturę, które mają na celu spowodować przerwę w działaniu systemu. Są narzędzia, które pozwalają, by się przed tym bronić. Centralny Ośrodek Informatyki również jest bombardowany non stop. Ataki idą na bieżąco, ale je odpieramy. Pewne ataki nie są tylko działaniami przestępczymi. Mamy również takie, które są rodzajem sabotażu. Bywa, że w tej czy innej organizacji ktoś udostępnia dane czy informacje hakerom. Czasem mogą to być również nieświadome działania, np. uruchomienie podrzuconego pendrive’a z oprogramowaniem, które przesyła dane dalej lub pozwala dostać się do sieci wewnętrznej komuś spoza organizacji. Zdarza się, ze takie sytuacje nie są zgłaszane z obawy przed konsekwencjami. Podkreślam jednak, bo to istotne - nie karzemy za zgłaszanie incydentów! Kary nakładamy właśnie za niezgłaszanie – mając na myśli oczywiście administrację publiczną i operatorów usług kluczowych. Żeby móc się przed czymś bronić, przede wszystkim musimy o tym wiedzieć.

Czy to prawda, że szpital w Kole zapłacił w bitcoinach okup za odzyskanie danych pacjentów, które zostały wykradzione?

Tego nie wiem. Hakerzy, używający oprogramowania typu ransomware, które wymusza okup, w ponad 60 proc. zwykle spełniają obietnicę i rzeczywiście zwracają ukradzione dane. Ale tego typu działanie to sprawa dla wymiaru sprawiedliwości.

Zwykły obywatel może zgłosić się do NASK i poprosić o pomoc?

Jak najbardziej! Ale nie mówimy o technicznym problemie z komputerem tylko o incydencie, który doprowadził np. do wycieku danych. Jeśli chcemy dochodzić szkody, należy zgłosić się na policję.

W grudniu rząd uruchomił system alertów RCB. Zanim system ruszył został zhakowany przez kogoś i rozesłane zostały wiadomości tekstowe z informacją o mobilizacji mężczyzn.

Kto to zrobił i co to była za akcja?

Trwa sprawdzanie. Prosiliśmy zarówno Rządowe Centrum Bezpieczeństwa, jak i ABW, by to zbadali. Nie wiemy, czy smsy na temat mobilizacji ludności faktycznie dotarły do ludzi, czy ta informacja została tylko nagłośniona na zasadzie fake newsa. Sprawdzamy to.

Jednak media informowały o akcji otrzymania sms, nawet publiczne TVP Info.

Sprawa nie jest zamknięta. Niekoniecznie był to atak. Mógł to być akcja dezinformująca obcych służb polegająca na zaangażowaniu mediów w rozpowszechnianie tego faktu na podstawie sfabrykowanych zdjęć ekranów komórek z takimi sms-ami. Możliwości jest wiele.

Czemu miałoby to służyć?

Działania rosyjskie mogą mieć za cel na przykład stworzenie wrażenia, że Ukraina to nie jest godny zaufania partner. Że włączanie Polski w konflikt na Ukrainie nie jest korzystne dla samej Polski. Może chodzić o chęć pokazania, że Ukraina prowokuje, że dochodzi tam do jakiś rozgrywek między Ukrainą a Rosją, że nie chodzi o faktyczny konflikt. Stąd też i akcja informacyjna na temat mobilizacji mężczyzn na Ukrainie i w Polsce. Tego typu zdarzenia nie są jeszcze systematycznie badane. Pracujemy nad zbudowaniem systemu reagowania, by odpowiadać na incydenty akcjami zwrotnymi. Teraz jest tak, że często informacje - wytwory akcji dezinformacyjnych są bardziej popularne w wynikach wyszukiwarek, niż informacje prawdziwe. Przeciwdziałanie temu to szybkie dostarczanie prawdziwej informacji po to, by przebiła fałszywą i była wyżej klasyfikowana w wyszukiwarkach. Krótkie dementi bez rozpropagowania go nie zadziała. Potrzebujemy narzędzi do diagnozowania ataków, rozpoznawania cech ataków, by im przeciwdziałać. To są trudne działania. Wymagają rozpoznawania typowych wzorców zachowania, analizy źródła czy języka komunikatów. Po takiej analizie może się okazać, że źródłem komunikatu jest na przykład tekst rosyjski z portalu prorządowego. Potem trafia do Polski przetłumaczony i sprofilowany w mediach społecznościowych, następnie przebija się do mediów mainstreamowych. Chyba, że inne media będą w stanie rozpoznać te działania, demaskować takie kampanie i sprawiać, że nie będą podawane dalej. Remedium na dezinformację powinna być prawdziwa informacja.

Tworzą państwo teraz strukturę przeciwdziałania dezinformacji w Polsce?

Narzędzia informatyczne to jedno, procedury i przypisane do nich analitycy to drugie. Ministerstwo Cyfryzacji chce dostarczać narzędzi do analizy, ale chce też włączyć inne instytucje w te działania. To jest przedsięwzięcie, które wykracza poza obszar cyberbezpieczeństwa, dlatego powinniśmy włączać inne instytucje – jak np. Centrum Informacyjne Rządu.

Podsumowując, mamy ustawę o cyberbezpieczeństwie obowiązującą od sierpnia 2018 oraz zobowiązanie w stosunku do UE, że przedstawiony zostanie plan w zakresie cyberbezpieczeństwa.

Ustawa implementowała unijną dyrektywę NIS, która wymagała zabezpieczenia odpowiedniego poziomu funkcjonowania administracji publicznej i zachowania ciągłości działania państwa na wypadek ataku cybernetycznego. Musimy wybrać tzw. operatorów usług kluczowych. Dla każdego sektora gospodarki (banki, energetyka, zdrowie - szpitale) jest powołany organ właściwy, jak ministerstwa czy w przypadku sektora finansowego – KNF. Ta instytucja decyduje, kto jest operatorem właściwym.

Pan koordynuje te działania jako pełnomocnik rządu ds. cyberbezpieczeństwa?

Dla każdego sektora gospodarki jest powołany organ właściwy. W większości sektorów są to odpowiednie ministerstwa. W przypadku sektora finansowego - Komisja Nadzoru Finansowego. Te instytucje monitorują sytuacje w zakresie cyberbezpieczeństwa, mogą nakładać kary, jeśli przepisy nie są stosowane. Rejestr usług kluczowych ma Ministerstwo Cyfryzacji. Natomiast nadzór sprawują trzy zespoły reagowania na incydenty komputerowe: NASK, MON i ABW. Rolą pełnomocnika jest badanie, czy ich działanie jest skoordynowane i sprawdzanie czy system, który wszedł w życie pod koniec sierpnia, działa właściwie. Współpracujemy z punktami kontaktowymi w UE. Dyrektywa NIS wymaga, byśmy na bieżąco wymieniali się informacjami na temat incydentów. Powinniśmy wiedzieć czy obejmują one więcej niż jeden kraj europejski. To, jak działa system i jak chcemy, aby on działał będzie zapisane w strategii cyberbezpieczeństwa. Strategia ta ma powstać do października 2019. Zweryfikujemy to, co mamy obecnie, czyli Krajowe Ramy Polityki Cyberbezpieczeństwa, które zostały uchwalone w styczniu 2018.

Będziemy również inicjować działania w obszarze badań i rozwoju, współpracować z Ministerstwem Obrony. Po to, by później wykorzystywać nowe rozwiązania także w sektorach cywilnych, aby polskie firmy mogły na tym skorzystać i wychodzić z nowymi rozwiązaniami na rynek europejski. Europa jest konsumentem rozwiązań i systemów cyberbezpieczeństwa. Unia chce to zmienić i stać się graczem na tym rynku, stworzyć sieć współpracy. Mamy potencjał intelektualny, ale w nie jest on wykorzystywany. Europa jest konsumentem, a wydając pieniądze, często finansuje badanie i rozwój firm spoza Europy, z USA z Azji.

Czy firmy prywatne również będą miały dostęp do rozwiązań dostępnych wojskowym po to, aby zabezpieczać się przed atakami, jak ten kilka miesięcy temu, gdy systemy informatyczne były atakowane przez wirusy?

Chcemy, by spółki skarbu państwa były mecenasami badań w zakresie cyberbezpieczeństwa. Pierwszy raz w historii będzie jeden, centralny europejski program finansowania innowacji - „Digital Europe”, to będzie 2 mld euro. Firmy prywatne będą mogły składać wnioski o finansowanie badań z tego programu. Z obecnie funkcjonującego programu Horyzont 2020 skorzystało mało polskich firm. Brakowało wiedzy i kompetencji, ale i świadomości zagrożeń w cyberprzestrzeni. Chcemy, by postał ekosystem firm, uczelni, naszych informatyków i biznesu. Obecnie sektory i firmy działające w cyberbezpieczeństwie działają w izolacji.

Wywiad został przeprowadzony przed zatrzymaniem dyrektora Huawei w Polsce i byłego oficera ABW

polecane: Komentarze ze sztabów wyborczych po ogłoszeniu wyników sondażowych

Więcej na temat:

Komentarze

4000/4000

Ta strona jest chroniona przez reCAPTCHA i obowiązują na niej polityka prywatności oraz warunki korzystania z usługi firmy Google. Dodając komentarz, akceptujesz regulamin oraz Politykę Prywatności.

Jeśli uważasz, że któryś z komentarzy łamie regulamin, to wyślij nam link do tego artykułu na demaskator24@polskapress.pl

Masz materiał do sprawdzenia?

Prześlij do nas informacje, które weźmiemy pod lupę

Czytaj także

Polecane dla Ciebie