Rządowy Program Ochrony Cyberprzestrzeni - szanse powodzenia

2010-09-18 00:00:00 +0100


MSWiA ogłosiło Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016. Jest to wszechstronny i jeden z lepiej przygotowanych programów związanych z technologiami informatycznymi. Ale nawet dobry plan spali na panewce jeśli nie zostanie zmieniona kultura zarządzania w całej administracji publicznej. Podoba mi się, że jako jedno z kluczowych działań przewidziano często niedoceniane u nas działania uświadamiające skierowane do użytkowników końcowych. Działania te mają objąć pracowników administracji (obowiązkowe szkolenia) oraz zwykłych obywateli (kampania społeczna). Dalej mamy wprowadzenie bezpieczeństwa teleinformatycznego do programów uczelni wyższych, programy badawcze, system wczesnego ostrzegania, testy penetracyjne i oceny bezpieczeństwa (15A i 15B), współpracę z telekomami i parę innych elementów. Bardzo ambitny ale i dobrze zaplanowany program.

Problem z jego wdrożeniem może być taki jak z wdrożeniem czegokolwiek w administracji złożonej z udzielnych księstw, z których każde ma swoją kulturę, swoje interesy, swoich dostawców i swoje - zmieniające się co cztery lata - kierownictwo, a co za tym idzie zmieniające się wizje i strategie działania. Kilkunastoletnia odyseja informatyzacji Polski resortowej powinna być lekcją, że jeśli rząd nie chce by program ten stał się kolejnym niewypałem, to musi najpierw odzyskać kontrolę nad swoją administracją. Nie wierzycie? To przypomnijcie sobie inny ambitny i nowoczesny program jakim jest Ocena Skutków Regulacji i sprawdźcie w ilu obecnie przygotowywanych projektach ustaw można znaleźć choćby jego ślad.

Z innych uwag do Rządowego Programu Ochrony Cyberprzestrzeni - plan ustanowienia SZBI w każdym urzędzie (zał. 5) może łatwo przyczynić się do utrwalania resortowości i marnotrawstwa pieniędzy jeśli odbędzie się to tak samo jak np. budowanie systemów obiegu dokumentów. Czyli - każdy urząd sobie, każdy po swojemu, każdy ze swojego budżetu - i tak 30 tys. razy. Z drugiej strony wygląda na to, że autorzy Programu chyba mają świadomość tego ryzyka i będą próbowali go minimalizować (“opracowanie wytycznych do wdrożenia systemu zarządzania bezpieczeństwem informacji dla typowych klas podmiotów publicznych”).

Przyznam, że nie do końca rozumiem koncepcję PKOC (zał. 6), która przewiduje “stworzenie funkcji Pełnomocnika ds. ochrony cyberprzestrzeni w każdej firmie korzystającej z [cyberprzestrzeni RP]”. Nie ma tam na końcu dopiska “w sektorze publicznym”, więc czy to ma być kolejny strażak w każdej firmie?. Dla naszego zawodu brzmi to jak rozkoszne pastwisko - jak uczy przykład podpisu kwalifikowanego, nie ma lepszego klienta niż klient przymusowy. Ale tylko pozornie. W praktyce to behapowcy zrobią “kursy o cyberprzestrzeni” a firmy będa mieć tylko kolejny przymusowy etat i odbębnianie szkoleń na poziomie “umożliwienia dokonania samodzielnego spisania się”.

Jednak zał. 7 z kolei wspomina o szkoleniach PKOC w administracji, więc tym bardziej nie wiadomo o co chodzi. Moim zdaniem sektor prywatny jak najbardziej powinien być objęty rządowym programem ochrony cyberprzestrzeni, ale przede wszystkim za pomocą “miękkich działań” - list mailingowych wczesnego ostrzegania o nowych atakach, kampanii społecznych itd.

Sama instytucja PKOC w urzędach ma głęboki sens i odpowiada funkcji security champions, czyli sieci pracowników rekrutowanych z każdego pionu (a nie zatrudnianych od zera, sorry), których rolą jest dystrybucja informacji dostarczanych przez dział bezpieczeństwa w sposób dostosowany do lokalnego kontekstu i warunków.

Ale, jak napisałem na początku, żeby te nowoczesne techniki odniosły pożądany skutek, rząd powinien jednak zacząć od “rządowego programu modernizacji i odzyskania kontroli nad administracjią”.

Więcej: Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016