Kolejny krok w kierunku realizacji inicjatywy wykonany

Koncepcja wykorzystania wiedzy i doświadczenia specjalistów z zakresu cyberbezpieczeństwa w narodowym systemie obronnym pojawiała się już jakiś czas temu.

W 8-mym numerze Informatora o ochronie teleinformatycznej CIIP focus , z listopada 2014 roku, opisywałem jak ten pomysł realizowany jest w kilku krajach. Jakie są jego zalety i jak wyglądają różne modele. W artykule również pojawiło się następujące zdanie: “Wydaje się, że w Polsce projekt powołania ochotniczej cyberarmii mógłby zakończyć się pełnym sukcesem.”

W ostatnim czasie zrobiliśmy pierwszy krok i trzeba przyznać, że jak na razie weryfikacja tego twierdzenia idzie w pozytywnym kierunku.

Fundacja Bezpieczna Cyberprzestrzeń zorganizowała w czasie ostatniej konferencji CONFidence cały blok tematyczny poświęcony pomysłowi powołania do życia Polskiej Cyberarmii Ochotników (inicjatywa ostatecznie przyjęła nazwę Polskiej Obywatelskiej Cyberobrony – POC). Pierwszego dnia wystąpił nasz gość z Łotwy, który opowiedział jak pomysł jest realizowany w ich kraju. Prezentację przedstawiającą powstanie i działalność Cyber Defence Unit, działającego w ramach National Guard of Latvia, wygłosił dowodzący tą formacją – Gatis GRAUDIŅŠ. Była to jednak tylko przygrywka do zasadniczego punktu programu, który miał miejsce drugiego dnia konferencji. Ponad dwugodzinny blok tematyczny poświęcony polskiej inicjatywie składał się z dwóch pozycji – przedstawieniu samej koncepcji przez Tomasza Chlebowskiego i Mirosława Maja z Fundacji Bezpieczna Cyberprzestrzeń, a później do dyskusji w roli panelistów dołączyli wspomniany już Gatis GRAUDIŅŠ z Łotwy i Wojciech Dworakowski z polskiego oddziału OWASP. W debacie bardzo ważną rolę odegrali również uczestnicy sesji. Większość czasu to właśnie oni dzielili się swoimi przemyśleniami, pomysłami i opiniami. Również krytycznymi i sceptycznymi. Przeważały jednak głosy, opowiadające się za powołaniem cyberarmii i wykonaniu kilku oczywistych kroków, które staną się kołem zamachowym dla całej inicjatywy. Główne założenia koncepcji Zanim przedstawiliśmy pierwszą propozycję funkcjonowania Polskiej Obywatelskiej Cyberobrony przejrzeliśmy szczegółowo doświadczenia wiodących w tego typu przedsięwzięciach krajów. Przeanalizowaliśmy koncepcje ze Stanów Zjednoczonych, Wielkiej Brytanii, Estonii i Łotwy. Założenia, które umieszczone są w tym artykule zawierają również spostrzeżenia i postulaty, które pojawiły się w czasie wspomnianej dyskusji na CONFidence.

Naszym celem jest powołanie stowarzyszenia, które dzięki wiedzy i doświadczeniom swoich członków stworzy potencjał do wykorzystania przez polskie struktury odpowiedzialne za bezpieczeństwo teleinformatyczne. Członkowie stowarzyszenia zadeklarują swoje wsparcie dla Państwa Polskiego w sytuacji zagrożenia, ale nie tylko, zakładając swoją stałą profilaktyczną aktywność.

Jest kilka obszarów, które już teraz – na początku inicjatywy – muszą być ustalone. Jednym z nich są zasady rekrutacji. Planujemy rekrutację ekspertów w zakresie cyberbezpieczeństwa spośród najbardziej kompetentnych środowisk w Polsce i zagranicą (oczywiście dotyczy to tylko obywateli polskich przebywających zagranicą). Zakładamy, że aby przystąpić do cyberarmii należy mieć polskie obywatelstwo, być osobą pełnoletnią, niekaralną. Niewykluczone, że konieczne będzie przejście podstawowych testów osobowościowych. Bardzo ważna przy wstąpieniu będzie deklaracja wkładu pracy. Na przykład na Łotwie można zadeklarować, że w ciągu roku poświęci się minimum 4 godziny na przeprowadzenie szkoleń, z których mogą korzystać inni wolontariusze. Chcemy podobne zadania postawić przed uczestnikami polskiej inicjatywy. Zakładamy również że członkostwo w cyberarmii jest na warunkach opt-in – opt-out. Tzn. w każdym momencie można do cyberarmii przystąpić, rzecz jasna po spełnieniu warunków, i w każdym momencie z niego wystąpić.

POC, oprócz zagospodarowania specjalistów z najwyższej półki, będzie również szansą dla młodych fascynatów cyberbezpieczeństwa, którzy będą chcieli podnosić swoje kwalifikacje. Nie wykluczamy jednak zastosowania chociażby podstawowego testu kompetencyjnego. W wyniku dyskusji doszliśmy również do wniosku, że nie powinniśmy tylko i wyłącznie postawić na czyste kompetencje techniczne. Dlatego zakładamy możliwość przystąpienia do inicjatywy specjalistów z innych obszarów – np.: prawników czy specjalistów od socjotechniki.

Nie trudno odgadnąć, że przynajmniej dla realizacji części zadań konieczne będzie posiadanie dopuszczenia do przetwarzania informacji niejawnych. Dlatego jeśli kandydat nie posiada uprawnień, będzie musiał zadeklarować gotowość do przejścia postępowania sprawdzającego.

Kolejnym zagadnieniem jest kwestia podległości i struktury organizacyjnej. Powołaliśmy Stowarzyszenie – POC, czyli “Polska Obywatelska Cyberobrona”. Zgodnie z art. 45 Prawa o Stowarzyszeniach, zakres działalności Stowarzyszenia uzgadniony musiał być z Ministrem Obrony Narodowej, gdyż planowana działalność POC bezpośrednio związana jest z obronnością państwa. Takie uzgodnienie nastąpiło i jego wynik jest pozytywny.

Oczywiście jednym z głównych zadań jest współpraca z instytucjami rządowymi. Naturalnymi partnerami są: MON, ABW, MAiC i RCB. Te instytucje wykonują dziś zadania w polskim systemie cyberbezpieczeństwa i liczymy na to, że uda się wypracować najlepszy model wykorzystania potencjału cyberarmii. Oczywiście szczególne istotne będzie omówienie zadań związanych z udziałem członków POC w sytuacjach realnych zdarzeń naruszających cyberbezpieczeństwo RP. W takiej sytuacji nie może być miejsca na jakiekolwiek nieskoordynowane działanie. To zresztą jest jednym z głównych celów inicjatywy – skoordynowane wsparcie dla komórek rządowych w sytuacji kryzysu w cyberprzestrzeni.

Liczebność organizacji będzie dostosowana po potrzeb i zadań. Zapewne najważniejsze jest to jakie praktyczne zadania będą postawione przed POC. Tak jak wspomnieliśmy wcześniej – część z nich będzie ustalona z innymi podmiotami, niemniej jednak kilka jest dość oczywistych. Zakładamy, że powstaną grupy tematyczne, które będą zdolne do rozwijania kompetencji w ważnych obszarach cyberbezpieczeństwa, takich jak: bezpieczeństwo sieciowe, analiza złośliwego oprogramowania, czy analizy typu forensic. POC powinna prowadzić działania edukacyjne jak również korzystać ze szkoleń zewnętrznych. Z pewnością jednym z ważnych punktów jej działalności powinno być uczestnictwo w różnych ćwiczeniach, np: takich jak Cyber Europe czy Locked Shield, organizowanych przez agencję ENISA i NATO. Zadania powinny być tak sformułowane, aby dawały szansę na stały rozwój kompetencji, a uczestnictwo w nich prowadziło do możliwości utrzymania swojego statusu członka POC.

Oczywiście przy realizacji jakiegokolwiek przedsięwzięcia powinno powstać założenie dotyczące jego budżetu. Nie chcemy tworzyć iluzji, że coś może skutecznie działać za darmo, aczkolwiek zgodnie z zasadą wolontariatu, bardzo dużo będziemy mogli osiągnąć właśnie dzięki wkładowi pracy na zasadach ochotniczych.

Zakładamy, że członkowie POC nie będą pobierali stałego wynagrodzenia. Zakładamy, że będzie możliwe wsparcie budżetem pozwalającym na realizację zadań związanych z prowadzeniem wybranych, ustalonych z ośrodkiem rządowym projektów. Chcemy również aby członkowie mogli korzystać z budżetu przeznaczonego na edukację, na przykład poprzez udział w wybranych konferencjach i szkoleniach. Również działania administracyjne i reprezentacja inicjatywy będzie wymagać pewnych środków, np: na Łotwie w Cyber Defence Unit zatrudnionych są cztery osoby odpowiedzialne za jego funkcjonowanie.

Następne kroki

Wiele zasad funkcjonowania cyberarmii jest już ustalonych. Niemniej jednak czeka nas jeszcze dużo pracy związanej z dopracowaniem koncepcji. Bardzo pomocnym materiałem w realizacji tego zadania będą wnioski z dyskusji, która miała miejsce w czasie konferencji CONFidence. W tej chwili zgłaszają się do nas kolejni zainteresowani wsparciem inicjatywy, którzy wstępnie deklarują przystąpienie do niej. Mamy już kilkunastoosobową grupę gotową do dalszych działań.

Formalna inauguracja działalności POC nastąpi 16 września br w czasie Konferencji Security Case Study 2015, organizowanej przez Fundację Bezpieczna Cyberprzestrzeń.

Inauguracji towarzyszyć będzie dyskusja z przedstawicielami sektora rządowego i prywatnego, która ma nas przybliżyć do uruchomienia jak najbardziej efektywnych, konkretnych działań.

Serdecznie zapraszamy do udziału w tej inauguracji, jak również do samego zgłaszania się do inicjatywy. Można to robić przesyłając deklarację zainteresowania na adres [email protected].

Ten adres może posłużyć również do przekazania nam swoich uwag, również tych krytycznych, i propozycji dotyczących funkcjonowania inicjatywy. Serdecznie zapraszamy do dzielenia się z nami swoimi opiniami, a przede wszystkim do włączenia się w samą inicjatywę Polskiej Obywatelskiej Cyberobrony.