Do trzech razy sztuka?

Lata temu mój dobry znajomy objął stery międzynarodowej firmy IT. Firma miała problemy ze sprzedażą, a jego rola miała polegać na postawieniu diagnozy dlaczego tak jest (produkty owej firmy były powszechnie uznane za bardzo dobre) i zmianie sytuacji. Po trzech miesiącach spotkałem się z nim na kawę i nie mogłem się powstrzymać od zadania pytania, czy już wie co jest nie tak. „Jakby to ująć – zaczął – najprościej mówiąc, przejąłem firmę, w której kultura sprzedażowa polega na tym, że sprzedawcy agresywnie czekają na telefon od klienta”. Kolega (obecnie na emeryturze), nie był znany z nadmiernej cierpliwości i sprawy dość szybko przybrały właściwy obrót. Wtedy po raz pierwszy uświadomiłem sobie, że postawienie właściwej diagnozy jest warunkiem dokonania zmiany. Tyle, że czasami jej postawienie nie jest proste.

Pomimo, że historia złośliwego oprogramowania ma już prawie czterdzieści lat, kwestia cyberbezpieczeństwa w wymiarze legislacyjnym jest dużo młodsza (nie licząc przepisów prawa karnego). Uchwalenie przez Unię Europejską dyrektywy NIS (ang. Directive on Security of Network and Information System) dopiero w 2016 roku trudno by określić błyskawiczną reakcją na narastający problem, kładący się cieniem na kolejnych programach cyfryzacji Europy. Dyrektywa była sformułowana dość ogólnie, pozostawiała bardzo dużą swobodę krajom członkowskim w zakresie budowania wewnętrznych struktur mających na celu zwiększenie odporności przedsiębiorstw europejskich, a co najgorsze – był adresowana do dość wąskiego kręgu podmiotów.

W Polsce implementacji dyrektywy NIS dokonano poprzez uchwalenie ustawy o Krajowym Systemie Cyberbezpieczeństwa („UKSC”). Doceniając fakt, iż ustawa ta została w ogóle uchwalona i problem cyberbezpieczeństwa stał się tematem istotnym z puntu widzenia zarządzania zgodnością w przedsiębiorstwie, trudno wskazać zbyt wiele plusów, jakie za sobą niosła. Ustawa miała tworzyć spójny system dla zapewnienia cyberbezpieczeństwa na poziomie krajowym – w tym – jak to optymistycznie stwierdzano – możliwość „niezakłóconego świadczenia usług kluczowych i usług cyfrowych”. Zdefiniowani w ustawie (co do branży i rodzaju świadczonych usług) operatorzy usług kluczowych mieli wdrażać w swoich przedsiębiorstwach procesy zarządzania bezpieczeństwem w systemach informacyjnych, wykorzystywanych do świadczenia tych usług. Co ciekawe – ani ustawa – ani rozporządzenia wykonawcze nie wymagały wdrożenia określonych norm ISO czy NIST – poprzestając na opisaniu generalnej charakterystyki działań, które powinny zostać podjęte. Szacowanie ryzyka, wdrożenie odpowiednich środków technicznych i organizacyjnych, zarządzanie incydentami oraz stosowanie środków zapobiegawczych (między innymi dbałość o aktualizację oprogramowania) to tylko niektóre z nakazanych ustawowo działań. Ustawa stworzyła instytucję Pełnomocnika, podlegającego Radzie Ministrów i specjalnego Kolegium, w skład którego wchodzić miała spora część rządu. Powołano też trzy CSIRT-y oraz tzw. organy właściwe ds. cyberbezpieczeństwa – w zasadzie dla wszystkich sektorów stawały się nimi odpowiednie ministerstwa.

Problem w tym, że ta cała struktura została powołana w kraju, w którym brak specjalistów od cyberbezpieczeństwa liczył się w tysiącach, a sektor prywatny wygrywał walkę o ekspertów, oferując dużo lepsze warunki zatrudnienia. Głównym mankamentem ustawy było także całkowite zignorowanie drugiego kluczowego zagadnienia – skąd wziąć pieniądze na powołanie nowych struktur, zatrudnienie nowych specjalistów, przeprowadzenie niezbędnych audytów oraz wprowadzenie procesów zapewniających właściwe zarządzanie bezpieczeństwem informacji na poziomie oczekiwanym przez ustawę. W tym kontekście, brak wysokich kar za naruszenie postanowień UKSC (uchwalenie tej ustawy zbiegło się w czasie z wejściem w życia RODO przewidującego drakońskie kary za naruszenia tego rozporządzenia unijnego) uznano za jedno z bardziej pozytywnych rozwiązań przyjętych przez ustawodawcę. Tylko czy aby na pewno słusznie?

Dość szybko okazało się, ustawodawca widzi konieczność przeprowadzenia istotnych zmian UKSC. Pierwszy projekt nowelizacji UKSC został opublikowany z datą 7 września 2020 roku – niespełna dwa lata od uchwalenia ustawy – czyli dość szybko. Projekt liczył sobie 25 stron i choć wywoływał kontrowersje, do prawdziwej dyskusji nigdy nie doszło, bo projekt wszedł w tryb uzgodnień międzyresortowych. Wyłonił się z nich po ponad roku i tym razem liczył sobie… 89 stron. Mimo to jego konsultacje przeprowadzono w rekordowym tempie 14 dni (początkowo zakładano… 7 dni), co wzbudziło spore zamieszanie, bo oprócz części poświęconej cyberbezpieczeństwu do projektu wprowadzono szereg zapisów poświęconych telekomunikacji wiążąc sam projekt z projektem innej ustawy – Prawem Komunikacji Elektronicznej. Dlaczego? Tej zagadki nikt nie potrafił rozwiązać, ale jak się miało okazać, obawy związane z dokonaniem szybkiej i dość głębokiej nowelizacji były niepotrzebne. Projekt rozpłynął się w czeluściach rządowych gabinetów.

Ciekawe, bo uzasadnienie wprowadzenia zmian było dość alarmistyczne i potwierdzało, że UKSC posiadała większości opisanych wyżej mankamentów podnoszonych przez ekspertów. Twórcy uzasadnienia nowelizacji przyznawali, że mimo ustawowej możliwości, sektorowe zespoły cyberbezpieczeństwa nie były powoływane (z małymi wyjątkami). Operatorzy usług kluczowych nie powoływali właściwych struktur odpowiedzialnych za cyberbezpieczeństwo, a jeśli już je powoływali to zakres posiadanych kwalifikacji osób tam zatrudnionych był niejednokrotnie nieodpowiedni. Zabrakło też rozwiązań zapewniających stosowanie jednolitych standardów w zakresie bezpieczeństwa.

Nowelizacja UKSC zaczęła żyć własnym życiem. Kolejne projekty wyłaniały się na powierzchnię, wywoływały falę artykułów, debat i radosnych oświadczeń decydentów, że to już teraz, po czym nurkowała w odmęty procesu legislacyjnego. Przesuwano przecinki i średniki, a licznik wersji kręcił się jak szalony.
Co ciekawe, konieczność wprowadzenia zmian do istniejącego w Europie stanu prawnego zauważyła także Komisja Europejska, proponując uchwalenie zupełnie nowej Dyrektywy NIS2. Zdaniem KE Dyrektywa NIS objęła zbyt wąską grupę przedsiębiorstw, a to z uwagi na to, że stopień usieciowienia i cyfryzacji przekroczył znacznie zakładane wcześniej wielkości. Skutkiem czego pojawiły się obszary kluczowe dla rozwoju cyfrowej gospodarki europejskiej, pozostające poza zasięgiem oddziaływania dyrektywy. Ponadto Komisja stwierdziła, że rozwiązaniom pierwszej dyrektywy brakowało wystarczającej precyzji, skutkiem czego określone grupy przedsiębiorstw były regulowane w kilku krajach, a w kilku innych już nie (przykładowo szpitale). Rozjechały się także systemy raportowania przyjmowane przez poszczególne państwa europejskie, co utrudniało, a czasami uniemożliwiało efektywne zarządzenie wyzwaniem cyberzagrożeń w skali europejskiej. Do tego doszedł nieefektywny nadzór i brak odpowiednio sprawnej egzekucji, olbrzymie zróżnicowanie w nakładach na zasoby ludzkie i budżetowe przypisane do realizacji zadań opisanych w NIS I oraz brak systematycznego współdzielenia informacji pomiędzy państwami UE. Patrząc na wyliczankę Komisji, aż chciałoby się zapytać: to co w końcu zadziałało ?

W odróżnieniu jednak od polskiego legislatora, Komisja dość sprawnie przeprowadziła cały proces legislacyjny i zupełnie nowa Dyrektywa NIS2 stała się faktem. Kary podniesiono do poziomu podobnego jak w RODO, zasięg oddziaływania przepisów istotnie rozszerzono, a przedsiębiorcy podlegający nowym przepisom po implementacji NIS II otrzymali regulatorów wyposażonych w licencję na audytowanie, weryfikowanie, nakazywanie określonych zachowań, a także zawieszanie w obowiązkach osób z kierownictwa firmy dopuszczającej się naruszeń.

Kiedy Unia Europejska uchwalała Dyrektywę NIS2, w kraju zaliczyliśmy drugie nieudane podejście do uchwalenia zmiany do UKSC, po czym owa pilna nowelizacja ponownie zanurkowała i zginęła nam z oczu,  żeby objawić się niedawno w swojej kolejnej 12 wersji (wierzę na słowo kolegom po fachu, bo osobiście przestałem liczyć przy wersji piątej).

6 czerwca Rada Ministrów przyjęła projekt, zgodnie z którym przebudowany zostanie model współpracy w ramach KSC, pomiędzy Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) a operacyjnymi centrami bezpieczeństwa (SOC). Jeżeli mankamentem oryginalnej ustawy był zbyt rozbudowany, jak na realne możliwości polskiej administracji, system organów zajmujących się cyberbezpieczeństwem, to remedium ma być dalsze rozbudowanie tej struktury, przekształcając dotychczasowe organy właściwe ds. cyberbezpieczeństwa w operacyjne centra bezpieczeństwa (z ang. SOC) . Trochę jak „klin klinem”, choć trudno zgadnąć czy ta staropolska zasada sprawdzi się także w zakresie cyberbezpieczeństwa.

Ponadto, do KSC  zostaną dodani przedsiębiorcy komunikacji elektronicznej a Centra wymiany informacji i analiz, wpisane do wykazu prowadzonego przez ministra cyfryzacji, zostaną włączone do krajowego systemu cyberbezpieczeństwa. Zdaniem autorów nowelizacji, rozwiązanie takie powinno „przyczynić się do ułatwienia dostępu do specjalistycznej wiedzy i do wymiany informacji o stosowanych rozwiązaniach oraz tzw. dobrych praktykach.” I tu należałoby przyklasnąć, bo dotychczasowe doświadczenia w zwalczaniu cyberprzestępczości pokazują zdecydowanie, że najsłabszym ogniwem systemu obrony był, jest i zapewne w najbliższej przyszłości pozostanie – człowiek. Edukacja okazuje się najtańszym i najbardziej efektywnym narzędziem budowania odporności naszych przedsiębiorstw na hackerskie ataki.

Nowy projekt przewiduje także wzmocnienie pozycji Pełnomocnika Rządu ds. Cyberbezpieczeństwa, poprzez wyposażenie go w konkretne uprawnienia dotyczące wydawania ostrzeżeń o incydentach krytycznych wraz z zalecaniem określonych zachowań. Pełnomocnik będzie mógł również wydawać rekomendacje w celu wzmocnienia poziomu cyberbezpieczeństwa systemów informacyjnych. Jako że w międzyczasie Unia Europejska poszła w tym zakresie znacznie dalej w przyjętej Dyrektywie NIS2, uprawnienia te nie wywołują już tylu emocji, co trzy lata temu – i to kolejny plus legislacyjnej techniki rodem ze znanego hitu Beaty Kozidrak („pojawiam się i znikam”).

Trzy ostatnie istotne zmiany to wprowadzenie możliwości dokonywania  weryfikacji dostawców sprzętu i oprogramowania, powstanie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa oraz zapowiedź powołania operatora strategicznej sieci bezpieczeństwa, który świadczył będzie bezpieczne usługi telekomunikacyjne dla administracji publicznej. Wprowadzenie kontroli dostawców, czyli dalekie echa toczącego się w tle konfliktu na linii Standy Zjednoczone-Chiny, budzi w dalszym ciągu istotne obawy ekspertów, dla których możliwość stosowania woluntaryzmu przy wyborze dostawców, stanowi nieuprawnioną ingerencję polityki w dziedzinę prawa, choć zdania w tej mierze są bardzo podzielona, i to zarówno w Polsce, jak i w wielu krajach europejskich. Podobne kontrowersje, tym razem lokalnej natury, wzbudza powołanie operatora strategicznej sieci bezpieczeństwa, ale to już temat na odrębne rozważania.

Co ważne (i pozytywne), w ostatniej (przynajmniej na teraz) wersji ustawy wydłużono okres vacatio legis do 6 miesiącach od daty ogłoszenia w Dzienniku Ustaw.

I tu dochodzimy do historyjki od której zacząłem swoje rozważania. Technologia rozwija się w tempie nieznanym w historii ludzkości. Trudno powiedzieć dokąd nas to zaprowadzi, ale coraz więcej zagadnień wymaga podejmowania szybkich działań legislacyjnych, głównie polegających na tworzeniu ram regulacyjnych adresujących problemy których kilkanaście lat temu jeszcze nie było, albo były w powijakach. Tak było z ochroną prywatności, tak było z bezpieczeństwem obrotu finansowego (kolejne „edycje” regulacji dotyczących prania brudnych pieniędzy – AML), tak jest obecnie ze sztuczną inteligencją, która oczekuje na swoją pierwsza europejską regulację i tak jest z cyberbezpieczeństwem.

Nie wiem jaki sens ma wprowadzanie zmian do starej ustawy, kiedy za chwilę będziemy musieli zaimplementować całość nowej Dyrektywy NIS2, ale tak w przypadku procesu sprzedaży jak i w przypadku wprowadzania zmian legislacyjnych czekanie nie wystarczy – nawet agresywne. Konieczne jest sprawne zarządzanie tak samym problemem który chcemy zaadresować jak też wszystkimi interesariuszami tego procesu. Skupienie się wyłącznie na jednym z tych elementów prowadzi nieuchronnie do porażki.

Jeżeli, zgodnie z tym o czym pisali autorzy pierwszego procesu, problemy były tak poważne i tak palące, nowelizacja powinna zająć kilka miesięcy a dzisiaj moglibyśmy oceniać jej rezultaty. Jeżeli straciliśmy na to trzy lata (nie ujmując tu wartości kilku zmianom na lepsze które udało się wprowadzić) to być może zmiany te nie były jednak tak pilne. A może w ogóle nie były potrzebne?