Kategoria artykułu: Technologia

Dyrektor NASK: mamy ludzi, którzy w reagowaniu na incydenty należą do najlepszych na świecie (WYWIAD)

Dyrektor NASK Radosław Nielek tłumaczy, że z poziomem cyberbezpieczeństwa Polski jest „różnie". I nie chodzi tylko o tzw. kompetencje cyfrowe zwykłych obywateli, ale o to, jak do kwestii bezpieczeństwa podchodzą producenci wearables czy sprzętu sieciowego.

Dyrektor NASK-BIB dr inż. Radosław Nielek
Dyrektor NASK Radosław Nielek uważa, że nie można twierdzić, iż najsłabszym elementem systemu bezpieczeństwa jest człowiek. Winne są też firmy, które nie dbają o odpowiednie zabezpieczenie routerów czy wearables. Fot. PAP/Albert Zawada

Z tego artykułu dowiesz się…

  1. W jaki sposób NASK wykorzystuje AI do wykrywania błędów w oprogramowaniu i dlaczego nie wszystkie dane może analizować w chmurze.
  2. Jak będzie wyglądać nowa siedziba NASK i jakie funkcje będzie pełnić Centrum Cyberbezpieczeństwa.
  3. Dlaczego dyrektor NASK uważa, że to producenci sprzętu i oprogramowania, a nie użytkownicy, są najsłabszym ogniwem cyberbezpieczeństwa.
Loading the Elevenlabs Text to Speech AudioNative Player...

Andrzej Mężyński, XYZ: Polska staje się głównym celem ataków w naszym regionie. Jednocześnie część ekspertów przekonuje, że stary model ochrony odchodzi do lamusa. Że bez wykorzystania AI nie ma szans na zbudowanie skutecznego systemu cyberbezpieczeństwa.

Radosław Nielek, dyrektor NASK: Już teraz intensywnie korzystamy z AI. Na początku 2026 r. otworzyliśmy wspólnie z wiceministrem Dariuszem Standerskim klaster. Składa się z ponad 100 kart graficznych firmy Nvidia. Jest wykorzystywany zarówno w cyberbezpieczeństwie, jak i w rozwoju modeli AI ukierunkowanych na ochronę. Wykorzystujemy na przykład duże modele językowe (LLM) w fuzzingu, czyli w procesie wyszukiwania błędów w oprogramowaniu.

Warto wiedzieć

Szef NASK

Dr inż. Radosław Nielek stoi na czele NASK – jednego z najważniejszych instytutów badawczych w Polsce, który od ponad trzech dekad prowadzi działania społeczne i edukacyjne, a także badania naukowe w obszarach sztucznej inteligencji i cyberbezpieczeństwa. Jest profesorem Polsko-Japońskiej Akademii Technik Komputerowych i autorem około 100 publikacji krajowych i międzynarodowych z zakresu sztucznej inteligencji, uczenia maszynowego oraz wiarygodności informacji.

W swojej karierze konsekwentnie łączy teorię z praktyką, czego przykładem jest pełnienie funkcji głównego konsultanta przy opracowywaniu „Strategii Rozwoju Społeczeństwa Informacyjnego Województwa Śląskiego 2020+”. Jest uznanym ekspertem oraz wieloletnim doradcą Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii Sejmu RP.

NASK

Tak jak robi to choćby Mythos firmy Anthropic?

Nie do końca. Fuzzing polega na tym, że „karmimy” oprogramowanie losowym albo specjalnie spreparowanym ciągiem znaków. Musi być zgodny z formatem plików obsługiwanym przez to oprogramowanie. Jeśli pojawiają się błędy w zachowaniu aplikacji, sprawdzamy, czy mogą zostać wykorzystane do przeprowadzenia ataku. Znaleźliśmy już pierwsze istotne podatności i współpracujemy z właścicielami oprogramowania oraz społecznością open source nad ich usunięciem.

LLM pozwala nam więc szybko oceniać, czy konkretny błąd stwarza zagrożenie. Wykorzystujemy je także do generowania danych wejściowych oraz przygotowywania wstępnych wersji raportów. Oczywiście przy tym kontrolujemy, czy nie mają halucynacji. Dzięki AI możemy prowadzić fuzzing znacznie skuteczniej, szybciej i z lepszymi rezultatami. Trzeba jednak pamiętać, że nie wszystkimi danymi chcemy czy możemy się dzielić z modelami udostępnianymi przez podmioty komercyjne w chmurze.

Dlaczego?

Niech pan sobie wyobrazi, że mamy dane pochodzące z wycieku. Powiedzmy, że jest ich 500 GB i pochodzą z instytucji lub firmy. Chcielibyśmy się zorientować, czy znajdują się wśród nich dane osobowe lub inne ważne informacje, które mogą stanowić zagrożenie dla podmiotów współpracujących z ofiarą ataku.

Z jednej strony ich analiza jest bardzo trudną i żmudną pracą wykonywaną ręcznie. Po pierwsze, często wymaga zrozumienia, czym zajmuje się ofiara, po drugie, skala materiału jest ogromna. Oczywiście możemy do tego celu wykorzystać AI. Trudno jednak sobie wyobrazić, byśmy przekazali takie dane podmiotowi, który udostępnia model LLM w chmurze. Przecież nie do końca wiemy, co później z nimi się dzieje. Takie rzeczy możemy robić tylko z wykorzystaniem lokalnej infrastruktury – on-premises. Do tego wykorzystujemy m.in. własny klaster AI.

Czy nowy budynek pozwoli wam rozbudować klastry AI?

Ten, który już istnieje, na pewno będzie rozbudowywany. I to zanim powstanie nowy budynek. Nowa siedziba stworzy nam również przestrzeń na kolejne generacje infrastruktury AI.

Wizualizacja nowej siedziby NASK wygląda imponująco. Czy przeniesiecie do niej wszystkie wasze warszawskie biura?

W tej chwili NASK zatrudnia prawie 1,4 tys. osób w kilku miejscach w Polsce, w tym w trzech lokalizacjach w Warszawie. Dwie są wynajmowane, jedna należy do nas. Teraz budujemy drugą własną siedzibę w Warszawie.

Nawet po zbudowaniu Centrum Cyberbezpieczeństwa NASK wciąż będziemy wynajmować biura w Warszawie. Na Kolskiej, gdzie jesteśmy teraz, zostaną część administracyjna oraz większość kierownictwa NASK-PIB. Do nowego budynku przeniesie się głównie CERT Polska. Nowa siedziba ma nam pomóc dostosować się do potrzeb i wymogów zadań, które przed nami stoją. Czyli sprawniejszej obsługi incydentów, przeciwdziałania zagrożeniom oraz prowadzenia działalności edukacyjnej.

To znaczy?

Potrzebujemy więcej laboratoriów, w których będzie można pracować z dokumentami i informacjami niejawnymi. Potrzebujemy też rozwiązań architektonicznych i technicznych, które pozwolą nam np. pracować z 500-kilogramową macierzą dyskową, przywiezioną do nas przez jeden z zaatakowanych podmiotów. Lepiej dostosowana przestrzeń i lepsze warunki oznaczają większą efektywność, a tym samym bezpieczniejszą Polskę.

Ponadto obszar cyberbezpieczeństwa dynamicznie rośnie od kilku lat i nie widać, by ten trend miał się odwrócić.

Przy budowie nowej siedziby musieliście współpracować z konserwatorem zabytków?

Inwestycja powstaje na warszawskiej Pradze, na terenie byłych koszar. Działka ma powierzchnię 2 ha, ale nie zachowały się na niej żadne budynki. W jej sąsiedztwie znajdują się natomiast co najmniej dwa zachowane budynki koszarowe. Teren znajduje się pod opieką konserwatora zabytków.

Dlatego nowa siedziba NASK nawiązuje kubaturą, fasadą i kolorem do budynków koszarowych. W ramach poczynionych uzgodnień odbudujemy również zbrojownię, czyli mały budynek składający się z czterech izb oddzielonych bardzo grubymi ścianami. Musimy też spełnić dodatkowe wymagania, dotyczące m.in. zachowania części zieleni oraz historycznego ogrodzenia, które jednak nie może pełnić kluczowej funkcji.

Jakiej?

Abyśmy mogli w nowej siedzibie przetwarzać informacje niejawne, w tym ściśle tajne, musimy mieć odpowiednie ogrodzenie. Dlatego od strony ulicy 11 Listopada zachowamy historyczny płot. W pewnej odległości od niego jednak zbudujemy drugie ogrodzenie, które będzie pełniło funkcje związane z zapewnieniem bezpieczeństwa.

Bardzo zależało mi na tym, aby ta inwestycja była modelowym przykładem szacunku dla historii miasta i zachowanych artefaktów.  

Mówił pan, że nowy budynek będzie pełnił funkcje edukacyjne. Co będzie się tam działo?

W tej chwili w NASK szkolimy ponad 1 mln osób rocznie – począwszy od podstawowych kwestii, takich jak cyberhigiena, przez różnego rodzaju ćwiczenia i gry dotyczące reagowania na incydenty, aż po korzystanie z szeroko rozumianych usług cyfrowych. Nowa przestrzeń pozwoli nam jednak prowadzić szkolenia intensywniej i w lepszych warunkach. Po pierwsze, powstanie tam duża aula, która będzie pełniła funkcję przestrzeni konferencyjnej. Zbudujemy również salę, w której będzie można aranżować różne scenariusze incydentów i szkolić ludzi, jak powinni na nie reagować. Nowa przestrzeń pozwoli nam więc szkolić efektywniej i z większym pożytkiem dla kursantów.

A jeśli chodzi o kwestie cyberbezpieczeństwa… Jak pan ocenia stan cyberbezpieczeństwa w Polsce?

To trzeba rozbić na kilka części. Mamy jeden z najlepiej działających systemów cyberbezpieczeństwa nie tylko w Europie, ale także na świecie. W zespołach reagowania na incydenty pracują ludzie należący do światowej czołówki. I to zarówno w strukturze NASK, jak i w CSIRT GOV oraz CSIRT MON. Do tego dochodzi świetnie działająca koordynacja między tymi zespołami. Jesteśmy bowiem nastawieni na współpracę, a nie na rywalizację. To naprawdę rzadkość na świecie. Jeśli jednak chodzi o poziom cyberbezpieczeństwa poszczególnych firm, a nawet osób, to jest… bardzo różnie.

Dlaczego?

Na pewno sześć lat opóźnienia we wdrożeniu do polskiego prawa unijnych regulacji dotyczących cyberbezpieczeństwa nam nie pomogło. Bylibyśmy w zupełnie innym miejscu, gdyby odpowiednie przepisy uchwalono w 2018 r., gdy zaczęto nad nimi pracować. Mamy więc jeszcze wiele do zrobienia.

Co jest priorytetem?

Po pierwsze, jako społeczeństwo i przedsiębiorcy nie mamy świadomości, że zaoszczędzone dziś wydatki na bezpieczeństwo mogą już za pół roku przełożyć się na ogromne koszty. Nasza gospodarka jest w takim miejscu, że musimy się przyzwyczaić do myślenia o zapewnieniu bezpieczeństwa. Nie w perspektywie tygodni, lecz lat. Dlatego inwestycje na poziomie firm są ważne. Możemy też zwiększać kompetencje cyfrowe obywateli, bo to zmniejsza liczbę skutecznych oszustw.

No tak, najsłabszym elementem systemu jest człowiek…

To oczywiście wygodna teza, bo przenosi odpowiedzialność nie tylko na konkretne osoby, ale również na bliżej nieokreślony tłum. Z mojej perspektywy, czyli perspektywy inżyniera oprogramowania zajmującego się cyberbezpieczeństwem, firmy produkujące sprzęt i oprogramowanie, w tym dostawcy dużych usług chmurowych, często „nie dowożą” odpowiedniego poziomu bezpieczeństwa.

To znaczy?

Przyzwyczailiśmy się do pewnych rzeczy, które uważamy za normalne, tymczasem zdecydowanie nie powinniśmy ich tak postrzegać. Musimy dojść do miejsca, w którym nie jest tak, że co tydzień muszę wgrać aktualizację do urządzenia, bo znaleziono w nim  nową podatność, która umożliwia atak. Jak płacę setki tysięcy czy miliony złotych za urządzenia i oprogramowanie, to one nie mogą być tak dziurawe.

Dostawcy rozwiązań wpadli bowiem w pułapkę pogoni za funkcjonalnościami, by co dwa tygodnie dodawać „świecący przycisk”, a zgubiliśmy – a raczej producenci zgubili – gdzieś troskę o podstawowe funkcje tych urządzeń: bezpieczeństwo.

Jak duża jest skala problemu?

To jest trochę tak, że gdyby producenci samochodów robili tak dziurawe urządzenia, jak producenci urządzeń sieciowych, to co trzecie hamowanie nie zakończyłoby się sukcesem. To się musi zmienić, ale to nie jest problem Polski, tylko całego świata i całej branży.

No właśnie. Producenci urządzeń internetu rzeczy bardzo rzadko koncentrują się na bezpieczeństwie swoich urządzeń. A przecież teraz nawet odkurzacze czy lodówki mają dostęp do sieci.

To pewnie wynika z badań. Producenci mogą uważać, że sprzęt, który ma jedną trzecią funkcji konkurencyjnego, ale jednocześnie jest bardzo bezpieczny i nie pozwala nas podsłuchiwać czy podglądać, nie sprzedawałby się dobrze na rynku, bo społeczeństwo pewnie by nie doceniło bezpieczeństwa realizowanego kosztem liczby często niespecjalnie użytecznych funkcji. Taki sprzęt powinien być objęty obowiązkami certyfikacyjnymi, tak jak miało to miejsce w odniesieniu do zabawek.

Co pan ma na myśli?

Muszą one być wykonane z odpowiednio certyfikowanych materiałów i przejść badania. To nikogo nie oburza. Nie oczekujemy też, że dziecko czy rodzic, wybierając taką zabawkę na półce w sklepie, będzie w stanie ocenić, czy jest ona bezpieczna. Tylko uznajemy, że skoro jest dopuszczona do sprzedaży i ma certyfikat, to jest bezpieczna. Dlatego w przyszłości powinniśmy tak podchodzić do sprzętu elektronicznego. Zresztą w NASK funkcjonuje już Ośrodek Standaryzacji i Certyfikacji.

Czym się zajmuje?

Ośrodek zajmuje się certyfikacją wyborów, produktów, procesów czy usług w obszarze bezpieczeństwa IT, a także oceną i certyfikacją kompetencji osób. Wydajemy certyfikaty zgodne z międzynarodową normą Common Criteria, które są honorowane na całym świecie. Będziemy rozszerzać tę działalność. Myślę też, że świat będzie szedł w tym kierunku, by wymusić na producentach IT i tzw. wearables [inteligentne zegarki, opaski i inne urządzenia noszone – red.] konieczność certyfikacji swoich produktów.

Zwłaszcza że producenci wprowadzają na rynek coraz więcej sprzętu opartego na AI i wyposażonego w kamery. Ta kwestia cyberbezpieczeństwa staje się więc coraz bardziej pilna?

Rozwój wearables przyniesie zupełnie nowe wyzwania. Raz, że te urządzenia smart z kamerami i mikrofonami będą z nami dosłownie wszędzie. Drugim wyzwaniem jest jednak to, że mają one bardzo krótki czas życia. I po kilku miesiącach na rynek wychodzi nowy model, a stary nie dostaje już łatek bezpieczeństwa. Tymczasem wielu ludzi używa takich urządzeń, dopóki nie zepsują się.

Kolejnym wyzwaniem będzie zapewnienie cyberbezpieczeństwa tym urządzeniom, ponieważ mają one ograniczony budżet energetyczny.

Co to oznacza?

Po pierwsze, procesory nie są tam bardzo mocne; do tego pojemność baterii też nie jest duża. Jeśli producent będzie miał do wyboru między dołożeniem warstwy bezpieczeństwa, która szybciej zużyje baterię i spowolni pracę urządzenia, a tym, że jego konkurent tego nie zrobi, to wiadomo, jaką decyzję podejmie.

Wyzwaniem jednak są nie tylko wearables, ale także stan infrastruktury państwowej i samorządowej. Niedawno uruchomiliście projekt dla pracowników wodociągów...

Tak, realizujemy z resortem cyfryzacji duży projekt wsparcia cyberbezpieczeństwa w sieciach wodociągowych.

To ponad 600 mln zł, które rozdaliśmy na projekty podnoszące poziom bezpieczeństwa, przede wszystkim automatyki przemysłowej, czyli sprzętu odpowiedzialnego za sterowanie pozyskiwaniem i uzdatnianiem wody. To na pewno nie jest rewolucja, bo potrzeby są dużo większe. To krok zarówno w stronę poprawy bezpieczeństwa, jak i budowy świadomości. Mamy nadzieję, że jeżeli wodociągi nie sfinansują wszystkiego z pieniędzy z tego programu, to przynajmniej zobaczą, na co powinny zdobyć fundusze. Oczywiście powinniśmy też pamiętać o skali różnych firm. W końcu inne mają potrzeby przedsiębiorstw w aglomeracjach, a inne takie, które mają kilka tysięcy odbiorców.

Będziemy też starać się nie tylko podnosić kompetencje, ale i udostępniać narzędzia, które pomagają. Jak choćby strona moje.cert.pl.

Co to za narzędzie?

Każdy właściciel serwisu internetowego, zarówno osoba prywatna, jak i firma, w szczególności mała i średnia, może zarejestrować się tam za darmo i regularnie otrzymywać wyniki skanowania swoich systemów oraz stron internetowych pod kątem istniejących podatności. Efektem tych skanowań są raporty przekazywane użytkownikowi o istniejących podatnościach i krokach, które musi podjąć, aby je załatać. Jeśli gdzieś w sieci pojawi się też wyciek danych dotyczący tego podmiotu, również o tym będziemy informować. To duża pomoc dla małych i średnich firm. Dostają za darmo, od państwa, usługę, która normalnie na rynku kosztowałaby je dziesiątki, a czasem i setki tysięcy złotych.

Przewidujecie takie programy dla innych branż niż branża wodociągowa?

Oferujemy wiele szkoleń dla podmiotów i obywateli. Dalej będziemy to robić, ale trzeba mieć świadomość, że takie kilku- lub kilkunastogodzinne szkolenie nie jest odpowiedzią na wszystkie wyzwania. Możemy pokazać decydentom, jak mają się zabezpieczyć. Z drugiej strony, to administrator w tej czy innej formie musi podnieść swoje kompetencje sam, by wiedzieć, jak bezpiecznie zarządzać u siebie systemami, które ma wdrożone. My raczej będziemy kłaść nacisk na szkolenie z zakresu dobrych praktyk w cyberbezpieczeństwie, z obsługi incydentów, z komunikacji o incydentach i z obowiązków administratorów, ale nie z obsługi konkretnego komercyjnego narzędzia.

Główne wnioski

  1. Instytut dysponuje własnym klastrem AI (ponad 100 kart Nvidii), który wykorzystuje m.in. do fuzzingu, czyli automatycznego wyszukiwania błędów w oprogramowaniu. Kluczowe jest jednak rozróżnienie: przy pracy z wrażliwymi danymi, np. z wycieków zawierających informacje osobowe, NASK korzysta wyłącznie z infrastruktury on-premise, nie z modeli komercyjnych dostępnych w chmurze, ze względu na brak kontroli nad tym, co dzieje się z przesłanymi danymi.
  2. Nowa siedziba NASK na warszawskiej Pradze łączy funkcje bezpieczeństwa z poszanowaniem historii tego miejsca. Budynek powstaje na terenie byłych koszar pod opieką konserwatora zabytków, co wymusiło dopasowanie kubatury, fasady i koloru do historycznej zabudowy oraz odbudowę zbrojowni. Jednocześnie obiekt musi spełniać wymogi bezpieczeństwa dla przetwarzania informacji niejawnych
  3. Dyrektor NASK odrzuca tezę, że człowiek jest najsłabszym ogniwem systemu, wskazując zamiast tego na producentów IT i IoT, którzy stawiają nowe funkcje ponad podstawowe bezpieczeństwo urządzeń. Szczególnie niepokojący jest rozwój wearables – urządzeń z kamerami i mikrofonami, które mają krótki cykl życia, ograniczony budżet energetyczny i rzadko otrzymują łatki bezpieczeństwa.