10 milhões de zlotys para uma nova equipe de segurança cibernética. A ideia do governo agitou a indústria

• O Ministério de Assuntos Digitais está criando uma nova unidade responsável pela segurança cibernética: a CSIRT Cyfra. O governo pagará 10 milhões de zlotys por ela somente neste ano.
• No entanto, o anúncio do MC gerou polêmica no setor. Surgiram questionamentos sobre a liquidação da equipe de resposta a incidentes de segurança de computadores do NASK, um instituto de pesquisa subordinado ao ministério.
• O MC nega. Como apurou o WNP, a nova equipe será criada com base no atual departamento de segurança cibernética do ministério. Além disso, terá outras atribuições além da NASK.

O Ministério de Assuntos Digitais anunciou a criação de uma nova equipe de segurança cibernética: a CSIRT Cyfra. Sua tarefa será monitorar ameaças na rede, responder a ataques cibernéticos e dar suporte a instituições digitais.

A declaração concisa do ministério, publicada na quarta-feira, no entanto, gerou muita controvérsia no setor. Logo após o anúncio, conversamos com diversos especialistas em segurança cibernética. Entre outras coisas, eles apontaram que existe uma unidade semelhante no instituto de pesquisa NASK, subordinado ao Ministério de Assuntos Digitais. Alguns admitiram que se trata de uma multiplicação desnecessária de equipes.

O assunto foi comentado publicamente por, por exemplo, Adam Haertle, autor do site ZaufanaTrzeciaStrona.pl.

Não há planos para liquidar a CERT Polska na NASK

Solicitamos esclarecimentos adicionais ao Ministério de Assuntos Digitais. Segundo o ministério, a CSIRT Cyfra é uma equipe setorial de segurança cibernética que se encarrega da proteção do setor de infraestrutura digital. Isso inclui entidades como operadores de DNS, pontos de troca de tráfego de internet (IXP) ou registros de domínio.

Como nos assegura Marek Gieorgica, diretor do gabinete de comunicações do ministério, não há planos para liquidar a CERT Polska na NASK ou transferir sua equipe para o MC. A nova unidade deverá ser um nível intermediário entre entidades do sistema de segurança nacional e equipes similares que operam em nível nacional. São elas: CSIRT GOV (operando dentro do ABW), CSIRT MON e CERT Polska na NASK.

De acordo com a declaração, o MC deve complementar e apoiar as atividades dos especialistas que trabalham nessas equipes. Os princípios de cooperação entre essas unidades decorrem da lei sobre o sistema nacional de segurança cibernética.

A estrutura organizacional do CSIRT Cyfra será desenvolvida como parte do projeto anunciado na quarta-feira. Seu financiamento é integralmente coberto pelo Plano Nacional de Reconstrução (KPO). O projeto é supervisionado pelo Centro de Projetos Digital Poland.

Nova unidade, antiga equipe do ministério

Conforme ouvimos no MC, a nova unidade será criada com base na equipe atual do Departamento de Segurança Cibernética do Ministério da Digitalização e em especialistas recrutados por meio de recrutamento tanto para o funcionalismo público quanto para fora do funcionalismo público.

PLN 10 milhões do KPO serão suficientes para formar a equipe Cyfra do CSIRT e financiar sua equipe durante o projeto, além de adquirir os equipamentos e sistemas de segurança cibernética necessários para a execução das tarefas do CSIRT. O KPO também financiará o treinamento dos funcionários da equipe.

De acordo com autoridades do MC, a introdução de uma nova equipe de resposta a incidentes de segurança de computadores é uma resposta aos desafios relacionados à próxima emenda à Lei do Sistema Nacional de Segurança Cibernética.

Conta azarada - anos para implementar, mais de 20 versões

Governos sucessivos vêm trabalhando na alteração da Lei KSC há vários anos. A proposta visa introduzir regras restritivas para a proteção de redes e sistemas de telecomunicações e implementar a diretiva NIS2 da UE no ordenamento jurídico polonês.

A questão mais controversa é a dos Fornecedores de Alto Risco (VAR). São empresas ou entidades que fornecem hardware, software ou serviços de TI, mas que levantam preocupações de segurança. As exclusões de VAR são vistas como um golpe para a empresa chinesa Huawei, embora ministros de sucessivos governos tenham negado que tenham como alvo fornecedores específicos .

O projeto de lei provavelmente será apresentado na quinta-feira, 12 de junho, na reunião da Comissão Permanente do Conselho de Ministros. De acordo com o cronograma da Comissão Permanente, o governo deve adotá-lo até o final de junho. Em seguida, o projeto será encaminhado ao Sejm.