Panie generale, jak to jest z naszą suwerennością teleinformatyczną? Czy jesteśmy suwerenni pod względem cyberbezpieczeństwa?

Z suwerennością w cyberprzestrzeni, w teleinformatyce jest tak samo jak z każdą inną. Zależy od nas, od tego, co potrafimy w cyberprzestrzeni, czy mamy odpowiednie rozwiązania, zasoby, kompetencje, produkcję i na ile potrafimy sami zabronić innym wtrącania się w nasze sprawy. Na tyle jesteśmy wolni, suwerenni, na ile innym, którzy chcieliby nam coś zrobić, potrafimy tego zabronić. Pytanie, w jakim stopniu państwo, obywatele chcą komuś z zewnątrz zabronić robienia czegoś na naszą szkodę.

Wspomniał pan o kompetencjach – wydaje się, że polskie społeczeństwo czy też jego jednostki mają je bardzo rozwinięte, jeśli idzie o cyfryzację. Na przykład polscy informatycy są znani i cenieni na całym świecie.

Moim zdaniem nie wkładamy dostatecznych wysiłków, by w długim okresie te kompetencje państwowe, polskie, utrwalać i budować, a także by korzystać z polskich zasobów informatycznych i informatyków, którzy mogą ten kapitał Polski budować. Podobnie rzecz się ma, jeśli chodzi o tworzenie wytwórców, nie tylko aplikacji czy programów komputerowych, lecz także sprzętu i systemów wielofunkcyjnych, w tym sieciowych.

Cyberbezpieczeństwo jest pewną funkcją, nie jest celem samym w sobie. Albo potrafimy je zachować i uchronić obywateli od zagrożeń, albo nie. Odbywa się to na bardzo wielu płaszczyznach. Pierwszą jest warstwa aplikacyjna, walka z atakami malware, trojanami, złośliwym oprogramowaniem lub tworzenie aplikacji, budowa, developing w tym zakresie. I tutaj mamy bardzo duże kompetencje – polskie przedsiębiorstwa i polscy informatycy rzeczywiście są znani, cenieni w tym zakresie. Ale mamy też warstwy urządzeń sieciowych, serwerów, itp., w której jeśli spojrzymy na globalny internet, okaże się, że udział naszych firm jest raczej znikomy. Mamy też warstwę protokołów komunikacyjnych i standardów, w której również w ogóle nas nie ma.

Kiedy mówi pan, że w Polsce brakuje długofalowego myślenia o budowaniu odporności, przychodzi mi na myśl takie podsumowanie: jeśli chodzi o urządzenia, to oddaliśmy ich budowę do Azji, podobnie jak cały świat zachodni, z kolei protokoły nigdy nie zostały wypuszczone z Ameryki, gdzie internet został stworzony...

Nie tylko z Ameryki, jest też kilka innych krajów, które mają w tym obszarze rozwinięte kompetencje. My akurat nie, ale to nie oznacza, że w jakiejś części nie moglibyśmy, gdybyśmy chcieli. Mogę to wyjaśnić na przykładzie wstępu do cyberbezpieczeństwa, którym jest kryptologia narodowa. Wszyscy zachwycają się historią polskiej kryptologii przedwojennej i złamaniem kodu niemieckiej Enigmy przez polską szkołę matematyki i biuro szyfrów Wojska Polskiego. Bardzo się tym chwalimy, ale trzeba pamiętać, że od 1945 r. do 2015 r. w Wojsku Polskim nie było już takiej specjalności, jak kryptolog. Marian Rejewski, jeden z trzech polskich matematyków, którzy rozpracowali Enigmę, po powrocie z Londynu nie zajmował się tym, co tak świetnie potrafił, tylko był zwyczajnym buchalterem w spółdzielni. Nikt nie chciał skorzystać z jego wiedzy i kompetencji.

Po 1991 r., kiedy rozpadł się Układ Warszawski, polskie Ministerstwo Obrony Narodowej chciało odbudować kompetencje kryptologiczne, tworzenie algorytmów, własnych urządzeń, ale z trudem to szło. Na szczęście w 1999 r. wstąpiliśmy do NATO i już nie musieliśmy się kłopotać, bo skorzystaliśmy z rozwiązań amerykańskich. Tych urządzeń, systemów nikt nie kwestionuje, a przynajmniej nie kwestionował do dziś. Chodzi o to, że nie musieliśmy już nic robić samodzielnie na podstawie polskich rozwiązań. Kiedyś Rosjanie, a później Amerykanie wyręczyli nas. W wojsku panowała, można powiedzieć, mentalność niewolnika, który oczekuje od kogoś zabezpieczenia jego podstawowych potrzeb.

Łatwo było przejść od jednego systemu do drugiego…

Tak, bo nie wymagało to żadnego wysiłku, kształcenia zasobów i w żadnym wypadku nie pozwalało na myślenie, czy warto, czy nie. Po prostu „idziemy z duchem czasu”.

Czy dzisiejsza sytuacja geopolityczna nie wybudza nas trochę z tego miłego snu o tym, że nie musimy nic robić, jesteśmy bezpieczni, bo jest NATO, a Amerykanie nas w razie czego obronią i wyposażą?

My to wiedzieliśmy dawno, tylko że w polskiej polityce, w rozwiązaniach państwowych są ciągłe zawirowania. Kwestia wyłączenia systemów, które kupujemy, czy brak panowania nad kodami źródłowymi jest tutaj kluczowa, jak dzisiaj widać. Sprzęt, którego oprogramowania nie jesteśmy w stanie modyfikować, skompilować, rekompilować, sytuacja gdy nie możemy sprawdzić, czy tego, co kupione, możemy właściwie użyć, a także tego, czy nikt nie może nam ograniczyć jurysdykcji państwa i wojska nad tymi systemami – to wszystko rodzi dramatyczne pytania, które można sobie zadać. Brak polskich rozwiązań w sprzęcie, który kupujemy, i zgoda na to, by takiego dostępu nam nie udzielano, moim zdaniem jest błędną polityką. W tym zakresie kompetencja państwa i jego zdolności do absorpcji wiedzy o posiadanych systemach łączności powinna być pełna. Należy jak najszybciej powrócić do zbudowania takiej zdolności, by nikt nam ich nie podsłuchał, nie zakłócił, nie podmienił treści i nie wyłączył.

Ale nie stać nas na to, byśmy budowali u siebie, i chyba trochę nie ma na to czasu w obecnym układzie geopolitycznym. Zanim zbudujemy jakikolwiek samolot wielozadaniowy, czołg czy cokolwiek innego, co się dzisiaj opiera na różnych rozwiązaniach informatycznych, miną dziesiątki lat.

Nie chodzi o to, żeby budować samodzielnie wszystko od zera. Mamy dobre przykłady, kiedy kupujemy licencyjne rozwiązanie i potem je polonizujemy albo przekształcamy i budujemy coś nowego. Rosomak to jest przykład projektu, który został wprowadzony do uzbrojenia polskiej armii jako licencja, a był rozwijany już jako produkt narodowy. Podobnie armatohaubice Krab.

Jesteśmy zdolni do tego, żeby budować system prowadzenia ogniem, oprzyrządowanie informatyczne dronów. To nie jest tak, że nie mamy kompetencji. Mamy jeszcze przemysł obronny, jeszcze możemy te zamówienia kierować właśnie do niego. Chodzi o to, żeby jakaś część technologiczna była polska, nad którą decydującą pieczę sprawuje państwo polskie, szczególnie w zakresie bezpieczeństwa teleinformatycznego sektora militarnego.

System transmisji danych Link 16 jest przykładem na to, że można było kilka lat temu wprowadzić polskie elementy do obsługi amerykańskich systemów kryptografii, i armia podjęła wtedy pewne starania, aby to zrobić. Ale po 2015 r. zaniechano tego. Tak samo było z produkcją czołgów. Może i były zacofane, ale produkowano je w Łabędach, a w tej chwili nie produkujemy żadnego.

Dzisiaj się mówi, że wojny nie prowadzi się na polu bitwy, w okopach, bo wroga można skutecznie ubezwłasnowolnić poprzez ataki w cyberprzestrzeni – na system bankowy, energetyczny lub wodociągowy. Jak tu wygląda sytuacja Polski?

Przygotowywaliśmy przez wiele lat rozwiązania prawne, ale nie poszły za tym rozwiązania instytucjonalne. We wszystkich ustawach związanych z cyberbezpieczeństwem, strategiami informatyki występują trzy jednostki reagowania na incydenty komputerowe: CSIRT ulokowany w NASK podległym ministrowi cyfryzacji, CSIRT w Ministerstwie Obrony Narodowej oraz CSIRT rządowy w Agencji Bezpieczeństwa Wewnętrznego. Skala potrzeb jest ogromna, a te trzy jednostki liczą po dwadzieścia kilka osób. W okresie ostatnich dwudziestu lat liczebność personelu tam zatrudnionego nie zwiększyła się znacząco. Powtarzam, że zasoby państwowe używane do cyberbezpieczeństwa są za małe i niewłaściwie lokowane. Środki finansowe na tego typu rozwiązania państwo ma, ale moim zdaniem wydatkuje je nie do końca właściwie.

Podsumowując: żeby zacząć zmianę i przygotować się strategicznie na najbliższe kilka–kilkanaście lat, po pierwsze trzeba zainwestować w ludzi, którzy będą pracowali na rzecz państwa, a po drugie – inwestować w przemysł obronny w kraju.

Przede wszystkim trzeba zlecać polskim firmom konkretne zadania, zlecać wykonanie konkretnych produktów, zamawiać te produkty i kupować w dużej ilości. Nie inwestować, by inwestować, tylko zamawiać konkretne rozwiązania. Brakuje nam jakiegoś rozwiązania czy innego produktu, więc powinniśmy zlecać polskim firmom te zamówienia. Zamawiać, zamawiać i jeszcze raz zamawiać w Polsce, a nie importować. Podtrzymanie żywotności polskiego przemysłu informatycznego, resztek przemysłu kryptologicznego i wytwórstwa zbrojeniowego to jest jedyny kierunek, który w tej chwili widzę.

Rozmawiał Szymon Glonek. Not. TB

rozmowy i debaty można obejrzeć na cyfrowa-gospodarka.gazetaprawna.pl

PARTNERZY: