Mamy do czynienia z wielowektorowym działaniem wymierzonym w Polskę, którego celem jest podważenie zaufania społecznego i gra na skrajnych emocjach — mówi Krzysztof Gawkowski, wicepremier, minister cyfryzacji.
PB: W niedawno opublikowanej Strategii cyfryzacji dla Polski, która jest dokumentem dość szczegółowym, brakuje mi wzmianki o zagrożeniach związanych z oszustwami finansowymi. Kwartalne straty z tytułu scamów wynoszą 140 mln zł, czyli rocznie 0,5 mld zł. W innych krajach, takich jak Singapur, Wielka Brytania czy Australia, działania związane ze zwalczaniem oszustw finansowych wpisane są w strategie rządów…
Krzysztof Gawkowski: Strategia identyfikuje najważniejsze wyzwania i zagrożenia, z jakimi musimy jako państwo zmierzyć się w ciągu najbliższych lat. Daje też odpowiedź, jak sobie z nimi poradzić. Kluczowym obszarem jest cyberbezpieczeństwo rozumiane bardzo szeroko jako cały system bezpieczeństwa obywateli i biznesu w cyberprzestrzeni oraz ochrona przed oszustwami finansowymi.
Co tydzień mamy spotkanie w ramach Centrum Operacji Cyberbezpieczeństwa, w których biorą udział przedstawiciele różnych wyspecjalizowanych instytucji monitorujących cyberprzestrzeń, reagujących na zagrożenia i zdarzenia kryzysowe dotyczące m.in. cyberoszustw. One wpisują się w szerszy kontekst i nie wydaje mi się, żeby wymagały jednostkowego, specjalnego traktowania, wpisywania do strategii. Ważne, żeby przeciwdziałać. I to robimy. Najlepszym przykładem jest powołanie sektorowego zespołu cyberbezpieczeństwa przy Komisji Nadzoru Finansowego, który działa bardzo dobrze, a dodatkowo w najbliższym czasie będzie dofinansowywany.
Systemowe rozwiązania pojawią się wraz z wejściem w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, a także po implementacji Dyrektywy NIS 2, które w istotnym stopniu wpłyną na wzrost odporności Polski na cyberzagrożenia, w tym dotyczące oszustw finansowych.
Strategia zapowiada utworzenie kolejnych CSIRT-ów sektorowych. Gdzie powstaną i kiedy?
Do tej pory został powołany sektorowy CSIRT przy KNF. Dysponując wiedzą o charakterze niejawnym, mogę powiedzieć, że z dumą patrzę na ten zespół, ponieważ ilość informacji, jakie dostarcza Centralne Biuro Zwalczania Cyberprzestępczości innym instytucjom, jest nie do przecenienia. Chcemy powołać i wzmocnić pięć CSIRT-ów w sektorach kluczowych dla gospodarki i bezpieczeństwa. Są to: energia, transport, zdrowie, bankowość, infrastruktura cyfrowa, woda. Myślę, że Urząd Komunikacji Elektronicznej i Poczta Polska także powinny być objęte taką ochroną.
Skąd ministerstwo weźmie zasoby na utworzenie tylu zespołów?
Pamiętam, jak powstawał CSIRT przy KNF. Wtedy wiele osób twierdziło, że trudno będzie znaleźć ludzi i środki, bo one są w sektorze prywatnym. Tymczasem zespół cały czas rośnie, co oznacza, że specjaliści chcą tam podejmować pracę. Jeśli chodzi o zasoby, to mamy 66 mln zł na powołanie trzech kolejnych i wzmocnienie dwóch istniejących zespołów.
Kiedy powstaną?
Chcemy, żeby stało się to jak najszybciej. Obserwuję to, co dzieje się w zakresie cyberbezpieczeństwa samorządu terytorialnego — jest to obszar wymagający pilnych działań. Uważam, że jest to bardzo miękkie podbrzusze polskiej administracji publicznej. Tu nie ma na co czekać. Obiecaliśmy kilka miesięcy temu, że powstanie Cybertarcza RP. Znaleźliśmy pieniądze na ten cel i będziemy ją tworzyć.
Ale pieniędzy na powołanie Agencji Cyberbezpieczeństwa nie starczyło…
To nie jest kwestia pieniędzy, ale pewnej wizji dotyczącej cyberbezpieczeństwa. Ona zakłada koordynowanie wszystkich działań i odpowiedzialności w zakresie naszego bezpieczeństwa i ochrony. Są różne ośrodki, którym brakuje koordynacji. Zdecydowaliśmy się rozwijać system ewolucyjnie, krok po kroku. Jesteśmy przed wdrożeniem Krajowego Systemu Cyberbezpieczeństwa (KSC) i NIS 2. Na razie postawiliśmy na wzmocnienie współpracy w ramach Centrum Operacji Cyberbezpieczeństwa między wojskiem a strefą cywilną. Pracujemy nad poprawą komunikacji, żeby służby przekazywały informacje do biznesu. Kiedy cała sieć odpowiedzialności i ochrony zacznie dobrze działać, kolejnym krokiem będzie utworzenie Agencji Cyberbezpieczeństwa.
Kiedy to będzie?
Wszystko zależy od tego, kiedy ostatecznie zostanie przyjęty Krajowy System Cyberbezpieczeństwa. Do tej pory odbyły się dwie tury konsultacji społecznych. Kolejne kroki to uzgodnienia międzyresortowe. Chciałbym, żeby w 2025 r. ustawa została przyjęta. Kolejny krok to Strategia Cyberbezpieczeństwa RP po nowelizacji 2025–29. Jeśli chodzi o agencję, to chciałbym, żeby powstała podczas tej kadencji.
Czy nie uważa pan za zasadne oddzielenie zagadnień z zakresu cyberbezpieczeństwa od kwestii oszustw finansowych? Niektóre kraje zrobiły taki podział, żeby zwiększyć skuteczność walki ze scamami finansowymi.
Nie uważam, że powinniśmy oddzielać te dwie kwestie, czyli obronność i bezpieczeństwo państwa od bezpieczeństwa finansowego obywateli. Dlaczego? Ponieważ kluczowe znaczenie ma koordynacja działań. Nie mogę oczywiście ujawnić tematów posiedzeń Centrum Operacji Cyberbezpieczeństwa, ale właśnie tam widzimy, z jak złożoną problematyką mamy do czynienia. Przestępstwa często się przenikają, dotyczą różnych obszarów, a wektory ataków są podobne albo wręcz takie same. Tylko całościowy przegląd pozwala uzyskać pełny obraz sytuacji. To są koordynowane ataki, które dotyczą na przykład kilku sektorów równocześnie. Dotyczą osób fizycznych i firm. To są też wielotygodniowe, a czasami wielomiesięczne infiltracje, których celem jest tylko zdobywanie informacji wykorzystywanych do kolejnych ataków.
Jak pan ocenia poziom cyberbezpieczeństwa polskiego biznesu?
Bardzo wysoko oceniam polski system bankowy, który uważam za jeden z najlepiej zabezpieczonych sektorów finansowych w Europie. Jeśli jednak spojrzymy na całą gospodarkę, to są firmy, duże, mające znane logo na rynku, do których nasze służby dzwonią z informacją o wykrytych incydentach, bo same firmy ich nie wychwyciły. Generalnie jednak w przypadku dużych firm ocena jest dobra i bardzo dobra. W mniejszych firmach jest mierna, a nawet niedostateczna. Czasem nikt nawet nie myśli o zabezpieczeniach.
Chcę skorzystać z okazji i zwrócić się z apelem do przedsiębiorców: jeśli dzwoni do was specjalista z Centrum Operacji Cyberbezpieczeństwa i mówi, że na firmę przypuszczono atak hakerski, to proszę potraktować to poważnie. Musimy nauczyć się współpracy ze służbami wojskowymi i cywilnymi, ponieważ ataki są coraz częstsze i będzie ich przybywało. Nie należy się bać kontaktu. Ci ludzie są od tego, żeby pomóc.
Polskie firmy są przedmiotem szczególnego zainteresowania rosyjskich służb wywiadowczych, które prowadzą wiele operacji związanych z pozyskiwaniem danych, infiltracją.
Tak, polskie firmy, zwłaszcza z sektorów kluczowych, są celem ataków.
Na wiosnę w Polsce Facebook oflagował posty Muzeum Auschwitz-Birkenau, gdyż podciągnął je pod paragraf o szerzeniu mowy nienawiści. Z drugiej strony Meta nie jest w stanie poradzić sobie z fałszywymi reklamami, w których wykorzystywane są wizerunki znanych osób.
Ministerstwo Cyfryzacji natychmiast zareagowało na to zdarzenie, a Meta przeprosiła, wskazała błędy i zadeklarowała poprawienie zasad moderacji treści. Wiosną byłem z wizytą w Stanach Zjednoczonych i podczas spotkania z szefostwem Mety i Google'a zwracałem uwagę, że są problemy z treściami publikowanymi na tych platformach. Przypomnę zdarzenie z początku tego roku, kiedy na skutek błędu Google podał niewłaściwy kurs złotego. Mówimy głośno o tych zdarzeniach i zauważamy po stronie Google'a i Mety działania podejmowane na skutek naszych interwencji.
Jest pan zadowolony z tych działań? W pierwszej połowie tego roku w mediach społecznościowych ukazały się fałszywe reklamy z udziałem 121 polskich celebrytów i znanych osób. Jedna trzecia to politycy, w tym prezydent i premier.
My to widzimy i podejmujemy działania. Nie bez powodu Google zaproponował CSIRT KNF dołączenie do programu Ads Project Flagger, który udostępnia priorytetowy kanał do zgłaszania oszukańczych treści i pracę ze specjalnym zespołem. I to działa. CSIRT KNF jest zadowolony ze współpracy.
Tydzień temu rząd Australii wniósł do parlamentu ustawę, która przewiduje nałożenie kar na instytucje finansowe i platformy społecznościowe za brak dbałości o ochronę konsumentów przed scamami.
Kary są niezbędnym elementem systemu wzmacniania cyberbezpieczeństwa. Planujemy je wprowadzić do ustawy o usługach cyfrowych, która będzie jasno wskazywać, jak wygląda odpowiedzialność za naruszanie przepisów, wprowadzanie w błąd, dezinformację i nieusuwanie odpowiednio szybko szkodliwych treści. Państwo musi mieć narzędzia do egzekwowania prawa, żeby platformy internetowe wiedziały, gdzie stawiamy granice dla określonych zachowań. Nie wszystkim to się podoba, a niektórzy mówią wprost, że projektowane przepisy w zakresie odpowiedzialności platform internetowych idą dalej niż europejskie dyrektywy.
Jakie będą kary?
Obecnie trwają prace zespołów międzyresortowych, które przygotują szczegółowe rozwiązania. Uważam, że kary muszą być dotkliwe. Dobrym wzorcem jest ustawa implementująca dyrektywę RODO.
Wierzy pan, że dyrektywa o usługach elektronicznych rozwiąże problemy między Unią Europejską a platformami internetowymi?
Uważam, że ustawa wdrażająca akt o usługach cyfrowych jest jednym z elementów walki z wszelkiego rodzaju dezinformacją, nielegalnymi treściami, szkodliwym przekazem. Wyznaczy granice odpowiedzialności platform za to, co jest udostępniane użytkownikom. Dzisiaj często jestem zażenowany tym, że platformy tak późno reagują na fałszywe treści wykorzystujące wizerunki celebrytów czy polityków, namawiające do oszukańczych inwestycji. Tych treści jest mnóstwo i sam często zwracam się do zespołów w NASK o podjęcie szybkich działań.
Żebyśmy mieli jasność — te treści mają określony charakter i cel. Z jednej strony mają wprowadzać w błąd, oszukać użytkownika, z drugiej stanowią element zamierzonej akcji dezinformacyjnej wymierzonej w polskie społeczeństwo.
To, co pan mówi, wpisuje się w tezę, że wschodni wektor ataku na Polskę w przypadku oszustw finansowych nie jest przypadkowy i nie ma wyłącznie na celu kradzieży pieniędzy i danych. Przy okazji wysypu fałszywych reklam z wykorzystaniem wizerunku Rafała Brzoski pojawiły się sugestie, że jest to element wojny hybrydowej.
Ślady zaangażowania służb białoruskich w oszustwa finansowe są wyraźnie zauważalne. W tle jest Rosja. Śmiało można powiedzieć, że mamy do czynienia z wielowektorowym działaniem wymierzonym w Polskę, którego celem jest podważenie zaufania społecznego i gra na skrajnych emocjach.
Większość scamów jest publikowana na platformach społecznościowych, które są nośnikami fałszywego przekazu…
Tak, ktoś na nich zakłada konta. Widzimy, że często stoją za nimi białoruskie służby. Ale zgadzam się, że platformy w pewnym sensie są na wojnie, którą Polska prowadzi w cyberprzestrzeni.
Google i Meta mają tego świadomość?
Tłumaczę im to w USA, na spotkaniach w Warszawie, na każdej konferencji. Nie wiem, co można zrobić więcej, kiedy minister i wicepremier polskiego rządu, łącznie z premierem — bo Donald Tusk też to zgłaszał — mówi i pokazuje, że mamy do czynienia z dezinformacją, z którą trzeba walczyć.
I znowu — nie jest tak, że nic się nie dzieje. Muszę powiedzieć, że wobec tego, co widzieliśmy w pierwszych dniach po powodzi, kiedy mieliśmy do czynienia z ogromnym wzrostem fałszywych informacji adresowanych w części z Rosji, platformy podjęły szybkie działania, blokując konta rozsiewające dezinformacje.
Są też sytuacje, gdy reakcja jest wolniejsza i dlatego ufam, że po wejściu w życie aktu o usługach cyfrowych zamykanie oczu na problemy, o których rozmawiamy, przestanie być opłacalne. Potrzebujemy jeszcze trochę czasu, bo — w co głęboko wierzę — regulacja zacznie obowiązywać w 2025 r.
Bankier.pl
