Czy dostawcy usług chmurowych spoza Polski dostaną dostęp do krytycznego systemu cyberbezpieczeństwa w Polsce? O systemie S46 w ramach KSC.
Do 24 maja 2024. trwały konsultacje projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa. W uzasadnieniu do projektu znajdują się informacje o krytycznym dla funkcjonowania państwa systemie teleinformatycznym S46. W systemie tym będzie prowadzony wykaz podmiotów kluczowych/ważnych i dodatkowo „po dokonaniu wpisu do wykazu podmioty będą musiały podłączyć się do systemu S46 w zakresie funkcjononalności umożliwiających szacowanie ryzyka i zgłaszanie incydentów. Jest to system już obecnie funkcjonujący, wspierający wymianę informacji między podmiotami krajowego systemu cyberbezpieczeństwa. Docelowo w ramach tego systemu będzie przechodziła cała komunikacja w sprawach cyberbezpieczeństwa. System ten będzie zawierał również narzędzia, które pomogą tym podmiotom m.in. w przygotowaniu oceny ryzyka. Te rozwiązania usprawnią komunikację w ramach krajowego systemu cyberbezpieczeństwa i pozwolą skutecznie wspierać jego podmioty w realizacji ich obowiązków.”
Z kolei z opisu systemu S46 możemy wyczytać, że:
„Skuteczne kierowanie ochroną cyberbezpieczeństwa wymaga także działań perymetrycznych ponadlokalnych, regionalnych, a także centralnych. Uruchomiony 1 stycznia 2021 roku system S46 ma za zadanie zarządzanie cyberbezpieczeństwem na poziomie państwa – realizując w ten sposób efektywne działanie krajowego systemu cyberbezpieczeństwa (KSC). Z punktu widzenia Państwa, współdziałanie podmiotów krajowego systemu cyberbezpieczeństwa oraz udostępnianie jednostkom krajowym informacji o obrazie sytuacyjnym cyberbezpieczeństwa, ich ostrzeganie, jak i prewencyjne wskazywanie podatności jest jednym z podstawowych i istotnych zagadnień zwiększających holistycznie odporności systemu informacyjnego RP na działania naruszające bezpieczeństwo wewnętrzne i zewnętrzne. Istotnym problemem jaki się pojawia w działaniu systemu S46 jest zapewnienie dostępu do niego szerokim grupom ważnych odbiorców – tworzących wspólnie spójny obraz cyberbezpieczeństwa w Polsce oraz nadążanie za wyzwaniami w niezwykle szybko zmieniającym się otoczeniu cyfrowym.”
I dalej możemy dowiedzieć się więcej o genezie projektu
„Zobowiązanie do zbudowania systemu S46 jako strategicznego przedsięwzięcia zostało wprowadzone w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. W art. 89 Ustawy nałożono na ministra właściwego do spraw informatyzacji zadanie polegające na utworzeniu i udostępnieniu systemu teleinformatycznego wymienionego w art. 46 ust. 1, wspierającego koordynację działań i współpracę podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa, wypracowanie i przekazywanie rekomendacji podnoszących poziom cyberbezpieczeństwa, zapewnienie zgłaszania incydentów i umożliwiającego wspomaganie ich łagodzenia przez CSIRT GOV, CSIRT MON, CSIRT NASK oraz ostrzegania o zagrożeniach cyberbezpieczeństwa podmiotów KSC i zapewniającego obserwację ryzyka na poziomie krajowym.
W 2019 r. NASK PIB zostało zlecone zadanie publiczne polegające na „rozwoju systemu teleinformatycznego”, którego celem było dostosowanie produktów projektu NPC do wymagań Ustawy. W dniu 01.01.2021 r. system S46 został uruchomiony operacyjnie. W latach 2022 i 2023 NASK PIB realizował zadanie publiczne polegające na utrzymaniu i rozwoju systemu S46. W latach 2022-2023 NASK PIB realizował również zadanie „Podłączenie podmiotów krajowego systemu cyberbezpieczeństwa do zintegrowanego systemu zarządzania cyberbezpieczeństwem S46 (S46-REACT)” mające na celu zwiększenie liczby podłączonych podmiotów, głównie JST i podmiotów z sektora ochrony zdrowia.
System S46 składa się z redundantnego systemu centralnego, wydzielonej sieci teleinformatycznej opartej na MPLS, podłączonych z jej wykorzystaniem uczestników (z zainstalowanymi u nich urządzeniami dostępowymi – SBU) oraz podłączonymi do systemu centralnego podmiotami KSC: CSIRT GOV, CSIRT MON, CSIRT NASK, organami właściwymi, Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa i innymi. W ramach prac finansowanych z budżetu państwa, planowane jest udostępnienie S46 poprzez Internet ww. podmiotom.”
Z wyżej przytoczonego opisu, bazującego na publicznie dostępnych dokumentach, wynika jasno, że
- system S46 jest krytyczny dla stanu działania cyberbezpieczeństwa w państwie,
- projekt zaprojektował poprzedni rząd,
- pierwsza wersja systemu została uruchomiona w styczniu 2021 r.
- projekt realizuje NASK PIB podległy Ministerstwu Cyfryzacji,
- od stycznia 2024 ruszyła zaplanowana w roku 2022-2023 rozbudowa w związku z realizacją dyrektywy NIS2
- rozbudowa kosztować będzie 41,7 mln PLN.
Ważnym elementem systemu s46 są serwerownie w jakich się on znajduje. Z publicznie dostępnych dokumentów można wyczytać, że “planowane jest użycie chmury publicznej dostępnej przez internet w krytycznym dla działania państwa systemie“.
W konsultowanym dokumencie mowa o tzw. polityce budowania produktów od razu w chmurze (Cloud First Policy w zakresie S46 – slajd9)
Z kolei w opisie projektu S46 możemy wyczytać:
„System S46 został zaprojektowany w modelu wysokiej dostępności, obecnie eksploatowane są trzy centra danych pracujące w gorącej rezerwie, które dostarczają równoważne funkcjonalności. W niniejszym projekcie planowana jest rozbudowa systemu o zewnętrzne usługi dostępne z publicznej sieci Internet.”.
Zatem w ramach prac poprzedniego rządu zaplanowano strategiczną rozbudowę krytycznego systemu S46 i planuje się użycie publicznie chmury dostępnej przez internet. Aż ciśnie się na usta pytanie – skąd i jakiej chmury? Czy polskiej? W mojej ocenie realizując system S46 powinniśmy skorzystać z usług usługi chmurowych oferowanych wyłącznie przez polskich lub ewentualnie europejskich dostawców, którzy nie podlegają prawu spoza Europy. Powinniśmy opracować certyfikowanie usług chmurowych i stworzyć ramy prawne na wzór francuskiej certyfikacji SecNumCloud. Certyfikacja ta zastrzega świadczenie usług chmurowych dla państwa w krytycznych jego obszarach tylko i wyłączenie dla specjalnych dostawców. Przede wszystkim certyfikacja usług chmurowych sprawia, że chronimy nasze krytyczne dane i procesy przed prawem spoza Europy, również służbami i wywiadem.
Czy tak się stanie? Mam głęboką nadzieję. Nie mogę sobie bowiem wyobrazić, że krytyczne dane w KSC trafiają do podmiotów spoza Polski czy Europy.
PS. Właśnie teraz w Europie trwa debata w ENISA w zakresie certyfikacji usług chmurowych dla sektora publicznego (zwana w skrócie EUCS). Podmioty spoza Europy upierają się przy skasowaniu wymogów np. pochodzenia usług i dostawców z Europy czy posiadania w Europie personelu dla świadczenia najbardziej krytycznych usług w państwie. Francja broni cyfrowej suwerenności i nawet jeśli zostaną zaakceptowane ogólne luźniejsze zalecenia opracowane przy ENISA to kraj członkowski będzie mógł się od nich odwołać i nałożyć własne, ostrzejsze (np. SecNumCloud). To warunek Francji zaakceptowania certyfikacji EUCS.
PPS. Całą sytuację pozostaje skomentować mi memem (to mój już drugi!)
PPPS. Kluczowe produkty i kamienie milowe
Comments
Leave a Comment