Dokładnie 28 sierpnia Ministerstwo Administracji i Cyfryzacji przedstawiło dokument pt.  Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej. Zamieszczamy go pod tym tekstem. Dokument jest teraz przedmiotem konsultacji i ma ogólnie określać zasady cyberbezpieczeństwa w Polsce.

Dokument przede wszystkim określa, że cyberbezpieczeństwo leży w gestii Ministerstwa Administracji i Cyfryzacji. To samo w sobie jest ważne, bo nie ma nic gorszego niż kilka podmiotów odpowiedzialnych za jedną rzecz. Do tej pory można było sądzić, że ochrona cyberprzestrzenii to zadanie resortu spraw wewnętrznych.

Czytaj: Unia bierze się za cyberbezpieczeństwo. Oby nie przesadziła

Polityka zapowiada m.in. przegląd regulacji prawnych związanych z cyberbezpieczeństwem oraz określa założenia proceduralno-organizacyjne dotyczące cyberbezpieczeństwa, o czym czytamy na stronie 15 i dalszych.

• Premier ma powołać zespół odpowiedzialny za przygotowywanie rekomendacji dla
  właściwego ministra z zakresu działań związanych z bezpieczeństwem cyberprzestrzeni. Zaleca się, aby zespół w terminie 30 dni od dnia powołania przedstawił do zatwierdzenia Radzie Ministrów plan działań w zakresie bezpieczeństwa cyberprzestrzeni RP.
• W ramach jednostek organizacyjnych administracji rządowej powinna zostać
  określona rola pełnomocnika ds. bezpieczeństwa cyberprzestrzeni (PBC). Nie musi to być nowy etat, ale obowiązki te można powierzyć jednemu z obecnych pracowników. Zadania pełnomocnika winny obejmować: realizację obowiązków wynikających z przepisów aktów prawnych, opracowanie i wdrożenie procedur reagowania na incydenty komputerowe, prowadzenie analiz ryzyka, przygotowanie planów awaryjnych itd.
• Istnieje konieczność opracowania systemu szkoleń dla pełnomocników ds. bezpieczeństwa cyberprzestrzeni. W projekcie szkoleń szczególny nacisk powinien być położony na kwestię reagowania na incydenty związane z bezpieczeństwem informacji.

Polityka proponuje też wprowadzenie tematyki bezpieczeństwa teleinformatycznego jako stałego elementu kształcenia na uczelniach wyższych, kształcenie kadry urzędniczej oraz kampanię społeczną o charakterze edukacyjnym.

Jak szczegółowa ma być polityka?

W mediach można się już spotkać z opiniami ekspertów, którzy twierdzą, że proponowana przez MAC polityka jest zbyt ogólna, nie uwzględnia wielu istotnych szczegółów, właściwie nie było sensu jej uchwalać.

Pobieżnie przeglądając dokument, rzeczywiście można odnieść takie wrażenie, ale z drugiej strony... na ile szczegółowy powinien być dokument zwany "polityką"? Czy możemy głębiej wchodzić w szczegóły, nie mając wystarczająco klarownego ogólnego spojrzenia?

W ostatnim czasie cyberbezpieczeństwo bardzo interesuje polityków. W USA Biały Dom ma wydać akt wykonawczy dotyczący cyberbezpieczeństwa, a wcześniej amerykański Senat odrzucił kontrowersyjną ustawę CISPA. Zarówno ustawę, jak i akt wykonawczy cechowało brzmienie w pewnym sensie ogólne i szczegółowe zarazem. Te dokumenty są/były na tyle szczegółowe, aby pozwalać władzom działać na niemal każdym obszarze, a jednocześnie na tyle ogólne, aby zakres tych działań nie był jasny. To może stanowić furtkę do wchodzenia z butami władzy na te obszary, których obywatele woleliby nie deptać.

Przykładowo akt wykonawczy Białego Domu określa infrastrukturę telekomunikacyjną jako "krytyczną", zatem może dojść do nasilenia współpracy między operatorami a instytucjami rządowymi, a to otwiera drogę np. do łatwiejszego przekazywania władzom informacji o aktywności internautów.

W porównaniu z dokumentami amerykańskimi polska Polityka wydaje się bardzo ogólna i tylko ogólna. Nie określa wielu rzeczy, ale też nie daje powodów na wchodzenie w szczegóły w sposób nieokreślony.

Oczywiście trzeba mieć na uwadze, że następnym etapem polskich prac nad cyberprzestrzenią i tak będzie wchodzenie w szczegóły. Przedstawiona raz Polityka może być rozbudowana. Powołując się na nią, prawodawcy będą ingerować w konkretne ustawy. Można zatem potraktować ten dokument nie tyle jako szczegółowe instrukcje, ale jako istotną zapowiedź zmian we wrażliwych obszarach.

Poniżej Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej w pełnym brzmieniu (wersja przedstawiona do konsultacji).

Polityka Ochrony Cyberprzestrzenii RP

Czytaj: Samoregulacja dla bezpieczeństwa, czyli CISPA i ACTA obok prawa