Wicepremier: jesteśmy na wojnie w przestrzeni cyfrowej. Na cyberbezpieczeństwo wydamy miliardy złotych

Wirtualnemedia.pl: Jak wygląda na dziś stan przygotowania Polski na ataki cybernetyczne,m incydenty związane z cyberbezpieczeństwem?

Krzysztof Gawkowski: Cyberbezpieczeństwo to dla Polski dzisiaj jedna z głównych specjalizacji. Bezpieczeństwo w cyberprzestrzeni jest dla nas tak samo ważne, jak bezpieczeństwo militarne.

W przestrzeni cyfrowej de facto jesteśmy na wojnie z Rosją i Białorusią, dlatego, że ataki na Polskę są coraz częstsze i coraz mocniejsze. W tym roku przeprowadzono ich o 100 proc. więcej niż w 2023. Incydentów, które rozpracowujemy w tym roku jest już ponad 100 tysięcy. Polska wprost jest atakowana przez Białoruś i Rosję. Rosyjskie służby specjalne w Polsce chcą mieć wpływy w naszej cyberprzestrzeni, bo uważają, słusznie zresztą, że Polska dzisiaj jest głównym węzłem dostaw sprzętu na Ukrainę.

Inwestujemy w cyberprzestrzeń, a cyberbezpieczeństwo dla polskiego rządu jest dziś jednym z kluczowych obszarów bezpieczeństwa państwa. Zrobimy wszystko, żeby nasza Cybertarcza RP, którą budujemy, była dla Rosjan, adwersarzy z innych państw, ale też wewnętrznych cyberprzestępców, nie do pokonania.

Kiedy nastąpił wzrost incydentów cyberbezpieczeństwa? Czy rok 2022 był pod tym względem najgorszy?

Najgorszy pod tym względem dla Polski jest rok 2024. Notujemy wzrost liczby incydentów w cyberprzestrzeni. Cyberprzestępcy najczęściej dokonują próby włamań do infrastruktury krytycznej, musimy bardzo ją chronić. Dlaczego? Infrastruktura krytyczna nie obejmuje tylko działalności szeroko pojętego państwa. To dotyczy dostępu wody, prądu, ciepła w każdej gminie, zarządzania gospodarką komunalną czy wywozem śmieci w gminie. Dotyczy w końcu elektryczności w naszym mieszkaniu. To są dzisiaj nasze główne kierunki cyberataków, którym musimy przeciewdziałać, na to wydajemy najwięcej pieniędzy.

Ogłosiliśmy powstanie trzech nowych CSiRT-ów sektorowych, czyli zespołów zarządzania bezpieczeństwa ds. przeciwdziałania incydentom w obszarach: energii, transportu i usług cyfrowych. Tu należy jeszcze bardziej postawić na wzmocnienie cyberochrony. Uzupełnią istniejące jednostki zajmującej się usługami zdrowotnymi i finansowymi, które jednocześnie również wzmacniamy.

Na początku tego roku została przeformułowana połączona jednostka Połączonego Centrum Operacji Cyberbezpieczeństwa, która koordynuje wszystkie polskie służby i CSiRT poziomu krajowego. Wdrażamy Krajowy System Cyberbezpieczeństwa, czyli nową legislację, która będzie dawała większe możliwości ochrony cyberprzestrzeni. Budujemy Centrum Cyberbezpieczeństwa NASK, które będzie takim państwowym ośrodkiem przeciwdziałania różnego rodzaju oszustwom czy atakom w sieci.

Z punktu widzenia rządu, jakie są główne elementy ochrony infrastruktury krytycznej?

Infrastruktura krytyczna z perspektywy rządu może być tylko dofinansowana. Główna odpowiedzialność jest tam, gdzie jest ona zarządzana, czyli infrastruktura w samorządzie. To tam są wodociągi, kanalizacja, elektrociepłownie, gospodarka komunalna.

Realizujemy wielki program „Cyberbezpieczny Samorząd”, w ramach którego do 2,5 tysiąca instytucji w Polsce trafi łącznie ponad 1,5 mld zł na wzmocnienie cyberodporności. Zostaną przeznaczone na audyty, wymianę sprzętu sieciowego, na to co jest najważniejsze z punktu widzenia cyberbezpieczeństwa w gminach i instytucjach samorządowych. To będzie proces długotrwały. Kluczowe zdarzenia cyberbezpieczeństwa blokujemy we współpracy z instytucjami samorządowymi i państwowymi CSiRT-ami.

Jak Pan widzi media w tej strukturze infrastruktury krytycznej? Pamiętamy przecież incydent ataku na Polską Agencję Prasową. Czy mając w pamięci to zdarzenie, można powiedzieć, że media również są ważnym elementem infrastruktury krytycznej?

Media są elementem infrastruktury krytycznej. Musimy umieć to rozdzielać - infrastruktura krytyczna państwa to ta, która mieści się w kategorii samorządu i instytucji centralnych państwo. Media są zarządzane na poziomie państwa w takim rozumieniu, że powinny wiedzieć, że muszą wydawać pieniądze na cyberbezpieczeństwo.

W budowaniu naszego cyberbezpieczeństwa, oprócz działań informacyjnych, ważne jest zrozumienie w instytucjach roli najbardziej miękkiego podbrzusza, czyli naszego urządzenia służbowego. Oprócz pieniędzy wielkie znaczenie ma budowanie kompetencji cyfrowych – świadomość, że np. służbowy smartfon, e-mail jest podatny na zagrożenie. Jeśli tego nie skontrolujemy, może to skończyć się tragicznie dla całej struktury organizacyjnej, tak jak było w przypadku PAP.

Jakie kluczowe działania edukacyjne podejmują dziś instytucje państwowe, by uczyć obywateli o cyberbezpieczeństwie?

Gdy objąłem urząd, zarządziłem, że potrzeba nam specjalnych programów edukacyjnych, które będą kierowały wielkie pieniądze na cyberbezpieczeństwo i tak,  zostały one przygotowane. Dziś realizowane są lekcje w szkołach podstawowych, są specjalne programy dla uczniów i opiekunów oraz nauczycieli w szkołach średnich i podstawowych. Są specjalne programy kierowane dla biznesu. Zaprojektowaliśmy wspólnie z Bankiem Gospodarstwa Krajowego ponad 2,8 mld zł na transformację cyfrową przedsiębiorstw na lata 2025-2026, które zostaną wydane m.in. na wzmocnienie cyberbezpieczeństwa.

Do tego zaprojektowaliśmy programy rozwoju kompetencji cyfrowych, tak by zwiększyć liczę specjalistów ICT.  Działamy więc na wielu poziomach. Edukacyjnym, biznesowym i osobowym. Tylko takie szerokie myślenie o cyberbezpieczeństwie, o rynku cyfrowym pozwoli na likwidację luk w tym obszarze.

Cyberbezpieczeństwem jest też odpowiednie przygotowanie prawa. Dlatego wprowadzamy np. ustawę prawo komunikacji elektronicznej oraz ustawę o krajowym systemie cyberbezpieczeństwa.

Dzięki CERT zablokowaliśmy tylko w tym roku ponad milion SMS-ów od oszustów. Wykryliśmy już 600 wzorców fałszywych wiadomości. CERT przyjął już 500 tysięcy zgłoszeń cyberincydentów. 265 adresów stron niebezpiecznych codziennie trafia na naszą listę.

Jesteśmy liderem, jeżeli chodzi o rozwój naszej cybertarczy w Europie. Inne państwa nam zazdroszczą. Gdy spotykam się z innymi ministrami cyfryzacji i opowiadam, co się udało w Polsce zrobić w ciągu tego roku, to tam jest szok. Oni są też w szoku, że my jesteśmy aż tak atakowani. Dlatego też podjąłem decyzję, że w 2025 roku będziemy budowali nie tylko nasze zdolności defensywne, ale i ofensywne. Nie będziemy ich używali, ale będziemy je rozbudowywali. Potrzebujemy ich, bo nigdy nie wiadomo jak potoczą się losy i wojny na Ukrainie, kto nas będzie atakował, kto będzie naszym adwersarzem.

Skoro Rosja nie kryje się z tym, że nas atakuje, a my skutecznie się bronimy, skoro robi to za pomocą swoich grup APT, które są powiązane z rosyjskim GRU, to my musimy też rozbudować swoje siły ofensywne. Jeśli nie pokażemy, że je mamy, to będziemy na straconej pozycji. Chcąc pokoju w cyberprzestrzeni, musimy być gotowi na wojnę. To oznacza, że, my musimy powiedzieć, iż umiemy też zrobić krzywdę. Nie będziemy jej robić, jeśli nikt nam jej nie będzie chciał wyrządzić.

Czy elementem tych przygotowań była reorganizacja systemu cyberbezpieczeństwa, przeprowadzonego na początku tego roku?

Na pewno. Zdecydowanie skróciliśmy czas odpowiedzi na incydenty, z godzin do minut. W przypadku wspomnianego ataku na PAP pojęto działania w ciągu czterech minut. Gdybyśmy nie zorganizowali tego systemu, byłyby to godziny.

Po drugie, organizacja systemu pozwoliła na większą koordynację działań wielu służb w ramach Połączonego Centrum Operacji Cyberbezpieczeństwa: Agencji Bezpieczeństwa Wewnętrznego, SKW, Agencji Wywiadu, KNF, CSIRT, e-Zdrowie, MON, komponent Wojsk Obrony Cyberprzestrzeni, policja, CBZC.

To wszystko jest w jednym miejscu i w jednych rękach. Musimy też zatrzymać w służbach  dobrych specjalistów. Na Fundusz Cyberbezpieczeństwa w przyszłym roku moje ministerstwo zorganizowało 2,5 razy więcej środków niż w tym. Nie chcemy, by po studiach uciekali do biznesu, bo tam lepiej płacą. W sektorze państwowym wszyscy specjaliści ICT mogą być pewni, że będą zarabiali jeszcze więcej. Mówimy o dziesiątkach tysięcy ludzi, którzy pracują dla polskiego cyberbezpieczeństwa w administracji w różnych miejscach.

Będziemy wydawali duże środki na technologie przełomowe, służące cyberbezpieczeństwu.  Tworzymy Fundusz Sztucznej Inteligencji, który będzie przynosił kolejne miliony złotych na rozwój analityk i algorytmów w cyberbezpieczeństwie. Budujemy fabrykę sztucznej inteligencji w Krakowie. Do tego zainwestowaliśmy pieniądze w kompetencje cyfrowe w ramach kształcenia inżynierów kwantowych, którzy w przyszłości będą programować polski komputer kwantowy, który również dofinansowujemy.

Ogółem na cyberbezpieczeństwo w najbliższych latach wydamy około 10 miliardów.
Musimy ponosić takie wydatki, bo inaczej obudzimy się w Polsce, w której w wyniku cyberataku w  jakimś mieście może nie być prądu albo gazu. Jeżeli ktoś dzisiaj uważa, że do ataku na infrastrukturę potrzebne są czołgi na ulicy, to się myli. Rosyjskie wirtualne czołgi już stoją w gotowości. Dziś nie ma różnicy pomiędzy tym, że ktoś strzeli do elektrowni i ją wyłączy, a tym, że ktoś ją wyłączy zdalnie. Dzisiaj w cyberbezpieczeństwie sektor cywilny jest tak samo ważny, jak wojskowy.

Porozmawiajmy o nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Na jakim to jest etapie teraz i kiedy możemy spodziewać się jej wejścia w życie? Jaką rolę odgrywa ona w takim szerokim infrastrukturze tej cyberbezpieczeństwa?

Rok 2024 roku poświęciliśmy na przygotowanie i konsultacje tej ustawy jako aktu, który ma przyjąć Sejm.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa i jej modyfikacja jest niezbędna, bo zwlekano z tym pięć lat. Przez tak długo nie wdrożono systemów, które przecież bardzo się zmieniają, bo rewolucja cyfrowa nie czeka na prawo. Nie widziano perspektywy dostawców wysokiego ryzyka, czyli sprzętu, który może być też użyty przeciwko Polsce. Nie mówiono nic o tym, że trzeba zmieniać rynek ICT, bo potrzeba więcej ekspertów i specjalistów. My dzisiaj w KSC o tym mówimy.

Traktuję głosy, które mówią o zawieszeniu pracy nad tą ustawą, jako pewnego rodzaju zdradę stanu.  Jeśli ktoś nie chce pracować nad KSC i mówi, że to za szybko albo jej rozwiązania są „za mocne”, to de facto sprzyja naszym przeciwnikom. Sprzyja temu, żeby Polska była w niebezpieczeństwie. Byśmy kiedyś się nie obronili. To jest dla mnie niezrozumiała sytuacja.