Rząd chce mieć narzędzia umożliwiające zatrzymanie poważnego cyberataku

Chodzi o przygotowywany w KPRM projekt noweli ustawy o krajowym systemie cyberbezpieczeństwa, który przewiduje wprowadzenie mechanizmu polecenia zabezpieczającego.

Jak podkreślił Kośla, który jest dyrektorem Departamentu Cyberbezpieczeństwa w KPRM, pełnomocnik rządu ds. cyberbezpieczeństwa powinien dysponować narzędziami prawnymi umożliwiającymi ostrzeganie o wysokim ryzyku ataków powodujących incydenty krytyczne dla kluczowych sektorów gospodarki oraz zagrażających zdrowiu i życiu obywateli. Minister właściwy do spraw informatyzacji musi mieć możliwość wydawania decyzji administracyjnych, które mają zatrzymać trwający incydent krytyczny i ograniczyć jego niszczące skutki.

Blokowanie internetu?

Według Kośli zarzuty, iż to narzędzie może posłużyć do blokowania stron internetowych lub nawet "zamykania" internetu, są całkowicie bezzasadne.

"Do projektu wprowadzone zostały dwa mechanizmy, które dotyczą ściśle i jednoznacznie sytuacji najpoważniejszych zagrożeń, czyli tzw. incydentów krytycznych. W komentarzach bardzo często jest pomijane to, że aby skorzystać z mechanizmu polecenia zabezpieczającego musi najpierw wystąpić incydent krytyczny, a jego klasyfikacji jako incydentu krytycznego nie dokonuje minister tylko specjalizowane zespoły odpowiedzialne za reagowanie na incydenty bezpieczeństwa na poziomie krajowym" - powiedział.

Jak wyjaśnił Robert Kośla, zarówno obowiązująca ustawa, jak i proponowana nowelizacja definiują incydent krytyczny jako incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. "Co istotne, aby dany atak został uznany za incydent krytyczny, musi go tak sklasyfikować jeden z trzech zespołów CSIRT na poziomie krajowym, czyli CSIRT MON, CSIRT ABW lub CSIRT NASK. To jest naprawdę nadzwyczajna sytuacja. W czasie 2,5 roku obowiązywania ustawy żaden z dotychczas wykrytych i zgłoszonych na poziomie krajowym incydentów nie został sklasyfikowany przez zespoły CSIRT jako incydent krytyczny" - zwrócił uwagę Kośla.

Następnie - jak mówił Kośla - wdrażana jest cała procedura, która decyduje, czy możliwe i konieczne będzie wydanie polecenia zabezpieczającego.

"Wyobraźmy sobie, że mamy trwający cyberatak zakłócający funkcjonowanie sektora energetycznego. Jeśli zespół CSIRT, który go analizuje, uzna ten incydent za krytyczny, składa odpowiedni wniosek do Zespołu ds. Incydentów Krytycznych. Zespół ten, którego pracami kieruje dyrektor Rządowego Centrum Bezpieczeństwa, będzie musiał dokonać analizy czterech elementów: istoty cyberzagrożenia, przewidywanych skutków incydentu (czyli jakie będzie dalej powodował szkody), rodzajów ryzyk związanych z tym incydentem, oraz skutków finansowych, społecznych i prawnych wydania polecenia zabezpieczającego. Bez takiej analizy nie będzie można wydać decyzji o poleceniu zabezpieczającym" - podkreślił.

Dodał, że w samym poleceniu zabezpieczającym określa się rodzaj działań, które muszą być podjęte w celu zakończenia incydentu krytycznego i ograniczenia jego skutków.

"Mówimy tutaj o nakazaniu określonych działań przez podmioty podlegające przepisom ustawy o krajowym systemie cyberbezpieczeństwa. Dlatego zarzuty o wyłączaniu stron internetowych bądź cenzurowaniu treści internetowych są bezzasadne, gdyż takie działanie wykraczałoby to poza zakres przedmiotowy i podmiotowy ustawy. Podmiotowy, gdyż pojedynczych konsumentów nie obejmuje ta ustawa, a dotyczy tylko podmiotów KSC. Przedmiotowy, bo w projekcie wskazano 10 typów zachowań, które mogą być nakazane w poleceniu zabezpieczającym i nie obejmują one wyłączania stron internetowych, ale np. ograniczanie złośliwego ruchu pochodzącego z adresu sieciowego wykorzystywanego do prowadzenia ataku będącego przyczyną trwającego incydentu krytycznego" - powiedział ekspert.

Chodzi o to, że gdy np. wiadomo, że z jakiejś strony internetowej, z której korzystają podmioty krajowego systemu cyberbezpieczeństwa (np. elektrownie czy banki), jest dystrybuowane złośliwe oprogramowanie, to podmioty te mogą one dostać polecenie, by ograniczyć ruch przychodzący z tej strony, a także zakaz korzystania z zainfekowanej wersji oprogramowania. "Takim przykładem były ataki Solar Winds, gdzie okazało się, że oprogramowanie tej firmy zostało zmodyfikowane przez rosyjską grupę, a następnie wykorzystane do ataków na tysiące firm w Stanach Zjednoczonych i w Europie. Gdyby znowelizowana ustawa już obowiązywała i w Polsce doszłoby do incydentu krytycznego spowodowanego przez taki atak to minister mógłby wydać zakaz korzystania z tej wersji oprogramowania do czasu zakończenia trwania incydentu krytycznego" - powiedział.