Polska notuje rocznie tysiące ataków cybernetycznych. To dlatego szef MON, Władysław Kosiniak-Kamysz mówi wprost o „eskalacji dochodzącej do progu wojny”, a także – i na to warto szczególnie zwrócić uwagę – zapowiada, że „wojsko będzie wkraczać w coraz szersze dziedziny życia cywilnego”. Chociaż od razu uspokaja: – Nie, żeby je zawłaszczać, ale żeby te cywilne nie upadły.
Te słowa brzmią uspokajająco, ale jednocześnie generują niebezpieczne uproszczenie. Skoro wojsko „wkracza”, to znaczy, że za cyberbezpieczeństwo państwa odpowiada wojsko. Otóż nie. I dobrze, że nie.
Wojska Obrony Cyberprzestrzeni mają chronić przede wszystkim samo wojsko
Wojska Obrony Cyberprzestrzeni (WOC) powstały na podstawie ustawy o obronie Ojczyzny jako wyspecjalizowany komponent Sił Zbrojnych RP (2022 r.). Ich misją jest zapewnienie bezpieczeństwa w cyberprzestrzeni, ale wyłącznie w wymiarze wojskowym. Choć ustawa wymienia kilka obszarów ich działania, w praktyce sprowadzają się one do dwóch zadań: ochrony struktur wojskowych przed zagrożeniami cybernetycznymi oraz – o czym z oczywistych powodów mówi się ciszej – prowadzenia działań ofensywnych wobec państw i organizacji zagrażających Polsce lub prowadzących przeciwko niej działania hybrydowe. Innymi słowy: WOC pilnują wojska i uderzają w przeciwnika. Nie chronią strony urzędu gminy, systemu bankowego ani oczyszczalni ścieków.
Wszystkim, co znajduje się poza domeną wojskową, czyli administracją państwową, infrastrukturą krytyczną (elektrownie, wodociągi, transport, ochrona zdrowia), gospodarką i samorządami, zajmują się struktury cywilne współpracujące w ramach Krajowego Systemu Cyberbezpieczeństwa. System opiera się na trzech zespołach reagowania, z których każdy ma jasno wyznaczony obszar odpowiedzialności. CSIRT GOV, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego, chroni strony rządowe, systemy administracji publicznej, Narodowy Bank Polski oraz kluczową infrastrukturę krytyczną. CSIRT NASK, działający w Państwowym Instytucie Badawczym NASK, odpowiada za sektor cywilny i gospodarczy: operatorów usług kluczowych, przedsiębiorstwa, samorządy oraz systemy cywilne spoza administracji rządowej. CSIRT MON, ulokowany w strukturach Wojsk Obrony Cyberprzestrzeni, odpowiada wyłącznie za resort obrony narodowej oraz wybrane przedsiębiorstwa o strategicznym znaczeniu obronnym.
Cyberwojska są ważnym filarem odporności państwa, ale nie jedynym
Ten model – jasno rozdzielone domeny – nie jest polskim wynalazkiem ani biurokratycznym kaprysem. Wojsko, służby specjalne i instytucje cywilne operują w różnych reżimach prawnych, mają różne kompetencje i różne narzędzia. Mieszanie tych ról oznaczałoby, że np. żołnierze podejmują decyzje o bezpieczeństwie sieci prywatnego szpitala czy lokalnego wodociągu, co byłoby zarówno nieefektywne, jak i prawnie wątpliwe.
W czasach, gdy niemal codziennie i w różnych kontekstach mówi się o „progu wojny”, pokusa, żeby wszystko oddać wojsku, jest oczywiście zrozumiała. Ale to właśnie teraz najbardziej potrzebujemy zrozumienia, że odporność państwa w cyberprzestrzeni nie zależy od jednej formacji czy jednego ministra. Cyberwojska są ważnym filarem tej odporności, ale nie jedynym. Równie istotna, o ile nawet nie ważniejsza, jest rola ABW, NASK, samorządów, operatorów usług kluczowych, a na samym końcu – o czym nigdy nie powinniśmy zapominać – świadomych obywateli, potrafiących zadbać o swoje podstawowe bezpieczeństwo cybernetyczne.
