Cyber podsumowanie ostatnich tygodni

Ostatnich kilka tygodni obfitowało w liczne wydarzenia w świecie bezpieczeństwa, które zasługują na podsumowanie i omówienie. Ja skupię się na trzech moim zdaniem najistotniejszych. Wszystkie dają mi sporą satysfakcję, bo mogę powiedzieć „a nie mówiłem?”. I tylko w jednym przypadku jest to ponura satysfakcja. Trzecie zostawiam sobie na osłodę, na koniec.

Rząd przyjął projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa

Tydzień temu wpadł mi w ręce wpis Ministerstwa Cyfryzacji na LinkedIn w którym MC chwali się sporym osiągnięciem. Sam post został wygenerowany w GPT i specjaliście od sociali nie chciało się tego nawet trochę poprawić, żeby nie było widać, że maszyna komunikuje się w imieniu ministerstwa z obywatelami. Ale mniejsza już o to, bo ostatecznie to o treści chodzi, a nie o formę.

A treść w zasadzie nie mówi niczego, więc musiałem sięgnąć do źródła. W założeniu więc ma to wyglądać następująco:

1. Ustawa wprowadza dobrowolne schematy certyfikacyjne dla produktów, usług, procesów ICT oraz osób, zgodne z unijnym aktem o cyberbezpieczeństwie, z automatycznym uznawaniem certyfikatów w krajach UE.
2. Certyfikaty będą nadawane na 3 poziomach: podstawowym, istotnym i wysokim, co pozwala dostosować wymagania do stopnia ryzyka danego rozwiązania.
3. Oceny i wydawanie certyfikatów prowadzić będą akredytowane przez PCA jednostki, pod nadzorem Ministerstwa Cyfryzacji i Polskiego Centrum Akredytacji.
4. Posiadanie certyfikatu ma wzmacniać konkurencyjność firm, szczególnie w publicznych przetargach — od 2026 roku może stać się kryterium w zamówieniach.
5. Ustawa umożliwia tworzenie krajowych schematów certyfikacji dla produktów i usług nieobjętych jeszcze unijnymi regulacjami.

To jest mój pierwszy powód do satysfakcji. I, o dziwo, wcale nie złośliwej! Bo jest to pierwszy krok do realizacji postulatów, o których pisałem w marcu. Jeśli, ekhem, rzeczywistość odzwierciedli to, co przyjął papier i współpraca ba linii ENISA – MC – PCA – podmioty certyfikowane będzie się układała, to mamy szansę na naprawdę dobry, międzynarodowy system certyfikacji bezpieczeństwa informacji.

Wypada jednak dodać sporą łyżkę dziegciu do tej beczki miodu. A mianowicie – czy sektor prywatny, który od lat operuje na standardach ISO i NIST, będzie w ogóle zaprzątał sobie głowę certyfikacją krajową/unijną? Jaki jest sens posiadania wielu certyfikatów z tego samego obszaru? W dodatku standard ISO jest rozpoznawalny i honorowany na całym świecie. We współpracy międzynarodowej otwiera większość drzwi i potwierdza jakość ochrony danych dla podmiotów z całego świata. Certyfikaty krajowe i unijne będą obowiązkowo honorowane tylko w UE. Także teraz przed MC i ENISA spore wyzwanie – udowodnić, że lepiej jest certyfikować się standardem unijnym, niż światowym.

Zakończyły się konsultacje społeczne ws. Polityki dla rozwoju sztucznej inteligencji w Polsce

Słusznie formułuje zarzuty wobec tego dokumentu dr Jarosław Kopeć z Instrat:

1. Polityka nie powinna narzucać pożądanych efektów i wyników, a tworzyć warunki dla tworzenia innowacji i oferować innowatorom wsparcie administracyjne.
2. Nie została zrobiona analiza możliwości i barier. Zamiast tego skorzystano z ogólnikowych prognoz, bez użycia twardych danych liczbowych.
3. Wskaźniki nie powinny mierzyć tego, ile wykonano czynności urzędniczych, ale to, po czym poznamy, że zrealizowano jej cele. No chyba, że celem jest tworzenie nowych, martwych dokumentów i synekur, to wtedy ok.

Gdybym był złośliwy, to złośliwie bym powiedział „a nie mówiłem?”. Ale nie jestem złośliwy, więc mówię to z przykrością, a nie satysfakcją.

Wisienka na torcie – ruszył Cyber Legion

Jak pisałem we wstępie, najlepsze zostawiłem sobie na koniec.

Jak WOC sam pisze o tym programie:

Cyber LEGION to program wychodzący naprzeciw potrzebom polskiej społeczności cyber. Wsłuchiwaliśmy się w Wasze głosy już od jakiegoś czasu. Nigdy nie zostawały one bez refleksji z naszej strony, a zgłaszane do nas potrzeby były bardzo wartościowe. Tej drzemiącej w Was siły nie wolno nam zmarnować! Wychodzimy do Was z propozycją budowy uniwersum polskiego cyber już nie tylko wokół ćwiczeń NATO Locked Shields, ale i w 12 innych zadaniach! Czekamy na Wasze zgłoszenia i ruszamy razem dalej! Cel? Jeden z najsilniejszych zasobów cyberbezpieczeństwa na świecie! Razem damy radę!

Dlaczego się tak bardzo cieszę z powstania Cyber Legionu? Trochę dlatego, że sam już też pisałem, że cywilna rezerwa Wojsk Obrony Cyberprzestrzeni jest nam bardzo potrzebna. Ale też dlatego, że program WOC jest znacznie bardziej rozbudowany, niż w moich najśmielszych marzeniach. W jego ramach wojsko przewiduje 12 różnych aktywności, do których można dołączyć – od zostania żołnierzem rezerwy WOC, przez współpracę przy projektach jako cywil, aż do e-sportu i wsparcia dla uczniów szkół technicznych.

A więc nie będzie tak, jak wieszczyli pesymiści (albo opłacane wiadomo skąd trolle), że jak tylko się zapiszesz, to od razu w kamasze i wszystkich skoszarują. Wojska Obrony Cyberprzestrzeni proponują cywilom dwustronne partnerstwo, które jednocześnie będzie budować postawy patriotyczne wśród młodszej części naszego społeczeństwa. Jest to bardzo istotne i to chyba pierwszy taki program odkąd w miarę orientuję się, co się dzieje na świecie.

W tym miejscu mój apel – wypiszmy się z Legionu Alicante. Jeśli chcemy wspomagać naszą ojczyznę w trudnych czasach, ale nie czujemy się na siłach (fizycznych, psychicznych, moralnych), żeby dołączyć do struktur wojsk operacyjnych lub obrony cywilnej – pomagajmy WOC. Plan na wypadek wojny polegający na ucieczce z kraju to żaden plan. A wielu z nas ma umiejętności i możliwości, żeby zapisać się do któregoś z tych 12 projektów.

Do następnego!