Eliminacja chaosu regulacyjnego i przyspieszenie procesu legislacyjnego w Polsce, wdrożenie architektury bezpieczeństwa Zero Trust, powszechne i obowiązkowe szkolenia dla pracowników administracji i firm, a także wymóg projektowania rozwiązań cyfrowych zgodnie z zasadą „Secure by Design”. To niektóre z rekomendacji opublikowanych w „Mapie drogowej dla wzmocnienia polskiej cyberodporności”, opracowanej przez Związek Cyfrowa Polska.
Dokument to zestaw propozycji i zaleceń, których szybkie wprowadzenie – zadaniem organizacji reprezentującej branżę cyfrową w kraju – może pozwolić zwiększyć nasze bezpieczeństwo cyfrowe. Jak bowiem wskazują eksperci Cyfrowej Polski w swoim najnowszym opracowaniu, Polska jest dziś celem skoordynowanych ataków wrogich państw i cyberprzestępców, a nasz system reagowania jest nadal fragmentaryczny, reaktywny i zbyt wolny. Przywołują dane, z których wynika, że w 2024 roku Polska była najczęściej atakowanym państwem w Europie w ramach rosyjskich kampanii dezinformacyjnych i cyberataków. W ciągu 12 miesięcy zgłoszono ponad 600 tysięcy incydentów, a ich wzrost rok do roku osiągnął aż 29 proc. Równocześnie poziom realnej gotowości do przeciwdziałania tym zagrożeniom – zarówno w sektorze publicznym, jak i prywatnym – pozostaje niewystarczający.
– Musimy mówić wprost: jesteśmy krajem frontowym, a tymczasem np. w wielu urzędach nadal korzysta się z publicznych skrzynek e-mail i podpisuje umowy IT bez klauzul bezpieczeństwa. To realne zagrożenie dla państwa i obywateli – mówi Michał Kanownik, prezes Związku Cyfrowa Polska. – W odpowiedzi na to przygotowaliśmy konkretną mapę drogową, czyli gotowe punkty z dziedziny cybersecurity do wdrożenia przez rząd, samorządy, instytucje i firmy. Mamy do wyboru: albo wprowadzimy je teraz, albo będziemy za chwilę liczyć koszty. Polityczne, ekonomiczne i społeczne – wylicza Michał Kanownik, który po raz pierwszy przedstawił dokument na Forum Ekonomicznym w Karpaczu.
Postulaty Cyfrowej Polski, czyli co powinniśmy zrobić „na wczoraj”
Wprowadzenie jakich konkretnych rozwiązań postulują branżowi eksperci? Przede wszystkim wskazują na pilne ujednolicenie przepisów cyberbezpieczeństwa, zarówno na poziomie unijnym, jak i krajowym. Fragmentacja prawa (różna interpretacja dyrektyw NIS2, DORA i CRA w poszczególnych krajach) stanowi dziś poważną barierę dla firm wdrażających nowe technologie i usługi – uważają eksperci. Wzywają do stworzenia jednolitego, spójnego systemu regulacyjnego, który zapewni przewidywalność, ograniczy ryzyko niezgodności i pozwoli na realne zwiększenie poziomu bezpieczeństwa infrastruktury w całej UE.
Drugim strategicznym postulatem „mapy drogowej dla wzmocnienia polskiej cyberodporności” jest radykalna zmiana podejścia do legislacji w Polsce. W ocenie ekspertów, obecny system tworzenia prawa nie nadąża za tempem rozwoju zagrożeń. – Gdy cyberprzestępcy aktualizują swoje techniki co tydzień, my nie możemy mieć systemu, w którym na interpretację przepisów czeka się miesiącami. Potrzebne są szybkie ścieżki, konsultacje z ekspertami i gotowość do testowania rozwiązań w modelu sandboxowym – wyjaśnia prezes Cyfrowej Polski. Eksperci wskazują tu, że w jak najszybszym terminie konieczna jest nowelizacja przepisów o Krajowym Systemie Cyberbezpieczeństwa. Obowiązujące dziś przepisy o KSC powstały w 2018 roku w zupełnie innym kontekście technologicznym i geopolitycznym. Projekt nowelizacji, nad którym prace trwają od wielu miesięcy, dostosowuje nasze prawo do dyrektywy NIS2 i tworzy ramy dla skuteczniejszego przeciwdziałania zagrożeniom. Jak czytamy w raporcie, „to nie jest formalność, lecz realny zestaw konkretnych mechanizmów, które mogą realnie podnieść poziom bezpieczeństwa infrastruktury publicznej i prywatnej”.
Cyfrowa Polska w swoim raporcie podkreśla również konieczność powszechnego wdrożenia architektury Zero Trust, opartej na założeniu, że nikt, nawet wewnątrz organizacji, nie jest z założenia zaufany. Tylko stała weryfikacja tożsamości, monitorowanie aktywności i segmentacja dostępu mogą uchronić przed najbardziej wyrafinowanymi atakami, także tymi z wewnątrz – uważają autorzy opracowania. Ponadto eksperci postulują wprowadzenie obowiązkowego systemu szkoleń z zakresu cyberbezpieczeństwa dla urzędników i pracowników sektora krytycznego. – To człowiek jest dziś najsłabszym ogniwem w systemie, a brak podstawowej wiedzy o phishingu, atakach socjotechnicznych czy zasadach zarządzania hasłami prowadzi do realnych incydentów – ostrzegają.
Równie zdecydowany jest głos branży w kwestii projektowania bezpieczeństwa. Cyfrowa Polska rekomenduje, by zasada „Secure by Design”, czyli projektowanie systemów i urządzeń z wbudowanymi mechanizmami ochrony, stała się standardem regulacyjnym w Polsce i UE. Bez tego producenci nadal będą dostarczali rozwiązania narażone na znane luki, a użytkownicy pozostaną bez realnych narzędzi ochrony – zauważono w raporcie.
„Mapa drogowa” zawiera również rekomendacje rozwiązań dla użytkowników indywidualnych. Eksperci podkreślają znaczenie ochrony urządzeń mobilnych, które są obecnie głównym punktem styku z siecią. Zalecenia obejmują stosowanie rozwiązań typu Mobile Threat Defense, VPN, MFA oraz aktualizacji systemów i aplikacji. Zwrócono też uwagę na potrzebę kontynuacji szerokiej edukacji jako najtańszego i najskuteczniejszego narzędzia wzmacniania odporności cyfrowej całego społeczeństwa.
Wezwanie do działania
Opracowanie teraz trafi do polskich decydentów i ma być podstawą do dalszej pracy nad wzmacnianiem polskiej cyberodporności. Związek Cyfrowa Polska zapowiada także dalsze działania wspierające wdrażanie zawartych w raporcie rekomendacji, zarówno poprzez działania legislacyjne, jak i edukacyjne, a także współpracę z sektorem technologicznym i instytucjami międzynarodowymi.
– Ten dokument to dopiero tylko początek. Polska może być liderem cyfrowego bezpieczeństwa w regionie, ale musi chcieć. My pokazujemy rekomendacje rozwiązań, których wprowadzenie można przybliżyć nas do tego celu – mówi prezes Cyfrowej Polski.
I przypomina, że cyberodporność nie jest projektem jednorazowym. – To proces, który wymaga ciągłości, konsekwencji i współpracy. Tylko wspólny wysiłek administracji, biznesu, nauki i obywateli pozwoli nam zbudować Polskę cyfrową, która będzie bezpieczna nie tylko dziś, ale i za dekadę. Dlatego zwracam się do decydentów na każdym poziomie: potraktujcie ten raport jako wezwanie do działania – apeluje Michał Kanownik.
