Państwo, obywatele i biznes czekają na cyfrowego szeryfa
- 20.05.2016, godz. 21:13
Dziś Polska dysponuje znikomymi możliwościami zapewnienia cyberbezpieczeństwa obywatelom i biznesowi. Osiągnięcie minimum w ocenie prokuratora krajowego, Bogdana Święczkowskiego, zajmie co najmniej 3 lata. Jednym z pierwszych koniecznych działań powinno być powołanie Narodowej Agencji Cyberbezpieczeństwa.
Czy na pewno w Polsce sytuacja tak wygląda? Czy państwo dysponuje odpowiednimi narzędziami do weryfikowania zagrożeń w cyberprzestrzeni? Co jest bardziej niebezpieczne? Ataki w skali mikro czy w makro?
Ryzyko na miarę nowoczesnych technologii?
Era cyfrowa daje nam możliwości i technologie, do których jeszcze kilka lat temu nie mieliśmy dostępu; o których istnieniu jeszcze niedawno nie słyszeliśmy. Przedsiębiorstwa prywatne, instytucje państwowe ulegają procesom dynamicznej cyfryzacji. Czy w związku z nowymi możliwościami, jakie niesie era cyfrowa, organizacje będą skłonne zaakceptować większy poziom ryzyka, związany z funkcjonowaniem w sferze cyfrowej? Czy organizacje dysponują odpowiednim przygotowaniem w zakresie ryzyka?
Zobacz również:
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
- GenAI jednym z priorytetów inwestycyjnych w firmach
- Telegram chce, aby z jego usługi zaczął korzystać biznes
Dyrektor Infrastruktury ICT i Cyberbezpieczeństwa Orange Polska. W latach 1996-2004 dyrektor Biura Usług Wewnętrznych w PTK Centertel. W TP od 2004 roku (od 2013 Orange Polska). Rozwinął kluczowe kompetencje informatyczne m.in. bezpieczeństwo ITN, Data Center, cloud computing, zarządzanie usługami IT, zarządzanie infrastrukturą IT. Ukończył Politechnikę Śląską, kierunek Telekomunikacja. W 2002 roku uzyskał Międzynarodowy Dyplom Managementu IFG (MBA) Francuskiego Instytutu Zarządzania, w 2009 ukończył Advanced Management Program IESE Uniwersytetu Nawarra. Zdobył tytuł Lidera Green IT 2009 dla Grupy TP, zajął I miejsce w konkursie CIO Roku 2010.
Cyfrowy świat czeka na szeryfa
Znaczna część podmiotów, tworząc infrastrukturę biznesową, konstruując usługi biznesowe, budując systemy i procesy technologicznie niestety nie decyduje się na wdrożenie elementów ograniczających ryzyko związane z uczestnictwem w scyfryzowanym ekosystemie biznesowym, gdzie zagrożenia czyhają na każdym kroku. Wiele firm, które decydują się „skoczyć na głęboką wodę” w kontekście technologii dostępnych w erze cyfrowej, zapominając jednak o tym, że każdy ruch powinna poprzedzić analiza zagrożeń.
Przedsiębiorstwa dysponujące rozsądną kadrę zarządzającą, ostrożnie podchodzą do całkowitej digitalizacji działalności. Blokadę stanowią właśnie bariery bezpieczeństwa, wysoki poziom ryzyka na wejściu w ten nowy ekosytem. Ryzyko związane z wejściem w świat elektroniczny specjalnie nie różni się przy tym od ryzyka dotyczącego utraty płynności finansowej. Na uwagę zasługuje fakt, że coraz więcej prywatnych przedsiębiorstw oczekuje współpracy państwa przy neutralizacji cyber-zagrożeń - są świadomi zagrożeń i korzyści, chcieliby kolonizacji cyfrowego biznesu, ale oczekują, że państwo zagwarantuje działanie prawa biznesowi i obywatelom w tym nowym wymiarze państwowości.
Kogo dotyczy zagrożenie? Wszystkich. Kto jest zagrożeniem? Wszyscy.
W opinii Artura Józefiaka, senior menadżera w firmie Acceture – ryzyko wystawienia infrastruktury do sieci nie dotyczy tylko jednostek prywatnych, ale niesie konsekwencje również dla organów administracji publicznej, a także struktur państwa w skali makro. Państwo ma zresztą własną perspektywę problemów. W erze cyfrowej zakres zagrożeń bezpieczeństwa jest diametralnie różny od poziomu tego zjawiska, który miał miejsce jeszcze nie tak dawno temu.
Starszy Manager, Dyrektor Zespołu Bezpieczeństwa w firmie Accenture, z którą jest związany od 2007 roku. Specjalizuje się w tematyce cyberbezpieczeństwa oraz zarządzania tożsamością (Digital Identity), w szczególności w kontekście zmian powodowanych przez Cyfrową Rewolucję. Podczas swojej kariery zrealizował liczne projekty, m.in. wdrożenia systemów bankowych, wdrożenia zaawansowanych rozwiązań bezpieczeństwa oraz opracowania i wdrożenia strategii IT, a także zarządzania danymi (Data Governance), przede wszystkim dla klientów z sektora finansowego oraz telekomunikacyjnego. W ostatnim czasie był członkiem zespołów opiniujących wybrane regulacje dot. sektora finansowego (m.in. Rekomendację D, założenia strategii cyberbezpieczeństwa dla RP).
Artur Józefiak ukończył Wojskową Akademię Techniczną, a także studia podyplomowe z dziedziny Organizacji i Zarządzania oraz Audytu Strategicznego. Posiada liczne certyfikaty, m.in. CISM, CRISC, SABSA SCF, ITIL, Prince2 Practitioner, ABCP.
Szorstka przyjaźń
Z tego powodu coraz częściej mówi się o konieczności stworzenia przez władzę centralną Narodowej Agencji Cyberbezpieczeństwa, która będzie łączyła jednostki prywatne i publiczne w celu wielosektorowego działania mającego za zadanie zniwelowanie ryzyka związanego wynikającego z faktu funkcjonowania cyberprzestępczości. Aby proces niwelowania zagrożeń cybernetycznych mógł odnieść skutek, konieczne jest solidarne działanie prywatnych przedsiębiorstw oraz państwa.
Chcesz pokoju? Szykuj się do wojny – to stare powiedzenie znajduje zastosowanie również w problematyce cyberbezpieczeństwa, które w erze cyfrowej stanowi jedno z najpoważniejszych zagrożeń. Ataku możemy się spodziewać właściwie zewsząd, także ze strony członków NATO oraz Unii Europejskiej. – Zarówno nasi przyjaciele, jak i nieprzyjaciele prowadzą w stosunku do nas aktywne działania w Internecie, tudzież w sferze publicznej, a także prywatnej – uważa Bogdan Święczkowski, obecnie Prokurator Krajowy, a wcześniej szef Agencji Bezpieczeństwa Wewnętrznego. Trudno się z nim nie zgodzić, zważywszy na fakt, iż nie tak dawno temu Amerykanie zatrzymali kilku Izraelczyków podejrzanych o szpiegostwo przeciwko Stanom Zjednoczonym, choć oba te państwa łączy przyjaźń oraz bliska współpraca.
Strategia dotycząca cyberbezpieczeństwa
Formalnie Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej jest stworzona, a nawet podpisana – przez poprzedniego prezydenta Bronisława Komorowskiego. W rzeczywistości jednak - zdaniem Bogdana Święczkowskiego, Prokuratora Krajowego – dokument ten jest ogólnikowy i mało konkretny, co powoduje sytuację, w której że niewiele osób orientuje się, że tego rodzaju opracowanie w ogóle istnieje. W ramach Biura Bezpieczeństwa Narodowego powstaje kolejna Strategia Cyberbezpieczeństwa RP. W najbliższych tygodniach ma zostać powołany zespół, który zajmie się stworzeniem jej założeń .
Bogdan Święczkowski - wieloletni prokurator śledczy, obecnie Prokurator Krajowy, były Dyrektor Biura ds. Przestępczości zorganizowanej Prokuratury Krajowej, były szef Agencji Bezpieczeństwa Wewnętrznego oraz były podsekretarz stanu w Ministerstwie Sprawiedliwości, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Ukończył także studia podyplomowe z zakresu prawa europejskiego. Wykładowca akademicki, jeden z założycieli i działacz Niezależnego Stowarzyszenia Prokuratorów „AD VOCEM”. Autor wielu publikacji dotyczącej m.in. wymiaru sprawiedliwości, przestępczości zorganizowanej i służb specjalnych.
Narodowa Agencja Cyberbezpieczeństwa
Jak stwierdził cytowany powyżej Bogdan Święczkowski, niezwłocznie powinna powstać Narodowa Agencja Cyberbezpieczeństwa wzorowana na modelu francuskim, z drobnymi korektami, co do jego stanu wyjściowego. To bardzo dobra informacja dla przedstawicieli środowisk biznesowych, którzy domagali się powołania takiej agencji od kilku lat. We Francji analogiczna organizacja zajmująca się cyberbezpieczeństwem działa na trzech poziomach: 1) państwo przejmuje odpowiedzialność za cyberbezpieczeństwo systemów oraz baz danych, zarówno państwowych jak i prywatnych; 2) współpracuje z instytucjami prywatnymi, w zakresie zwalczania zagrożeń występujących w cyberprzestrzeni; 3) świadczy pomoc instytucjom prywatnym w ich bieżącej działalności, na ich własne życzenia. Podobny model jest implementowany w Wielkiej Brytanii. Przymierzając się do stworzenia NAC nie wolno nam zapominać o konieczności podejmowania innych działań mających na celu ochronę polskiej cyberpowierzchni.
Ustawodawstwo
Polski system prawny, ale nie tylko, bo podobnie sytuacja występuje w przypadku regulacji europejskich, nie nadąża za zmieniającym się światem. Mimo iż przestępstwa w cyberprzestrzeni dokonywane są od wielu lat, do dzisiaj nie stworzono przejrzystych procedur oraz przepisów związanych z wykrywaniem, a także ściganiem cyberprzestępców.
O ile w filozofii prawa międzynarodowego, na poziomie rzeczywistym, istnieją definicje: wojny sprawiedliwej, obrony, ataku sprawiedliwego, czy obrony właściwej; o tyle w zakresie cyberprzestępczości nie wiadomo, kiedy mamy do czynienia z atakiem, a kiedy z wojną, w którym momencie można dokonywać kontrataku, a w którym ofensywy. Kwestie te powinny zostać sprecyzowane przez Organizację Narodów Zjednoczonych, a następnie poprzez konwersję przeniesione do prawodawstwa polskiego. Państwo musi mieć możliwość efektywnego odparcia ataku, sięgnięcia po adekwatną odpowiedź oraz ripostę. Wyobraźmy sobie, że pewnego dnia dochodzi do ataku na infrastrukturę krytyczną w Polsce, która prowadzi do załamania systemu finansowego, co stanowi poważny element zakłócający życie obywateli. Jakie ruchy może podjąć państwo w stosunku do napastnika? To wszystko powinno być sprecyzowane już wiele lat temu, kiedy na świecie nastąpiły pierwsze ataki w cyberprzestrzeni. Na odpowiednio wysokim poziomie międzynarodowym powinny zostać przyjęte zapisy nakierowane na wykrywanie, ścigania oraz skuteczne karania cyberprzestępców.
Szorstka przyjaźń z biznesem
Biznes nierzadko świadomie wymusza ewentualność obniżenia rygorów bezpieczeństwa, po to aby użytkownicy posiadali możliwość korzystania w sposób bardziej wygodny z danych aplikacji, serwisów oraz urządzeń. Między cyberbezpieczeństwem, a biznesem od zawsze istnieje konflikt interesów – biznes ciągnie w kierunku intuicyjności i prostocie rozwiązań, z czym sektorowi cyberbezpieczeństwa nie zawsze jest po drodze; z drugiej jednak strony biznes zadaje pytania w rodzaju: po co wam hasła do konta, skoro macie loginy?
Taka sytuacja ma miejsce w Stanach Zjednoczonych, o czym mało kto słyszał. W USA, w dalszym ciągu część usług finansowych jest dostępna po wpisaniu samego loginu, bez konieczności potwierdzenia tożsamości hasłem. W Polsce identyczna praktyka byłaby nie do pomyślenia. W sferze informatycznej dużo łatwiej jest dokonać ataku na inne państwo; dzięki różnorakim technologiom możliwe jest całkowite ukrycie tożsamości napastnika, co zachęca do inicjowania ataków.
Zdolność Polski do reakcji
- Zdaniem Święczkowskiego – Polska dysponuje znikomymi możliwościami odparcia ataku. Obecnie dopiero zaczyna się tworzyć system cyberbezpieczeństwa, bowiem dotychczasowy jest w powijakach. Według oceny prokuratora możliwości państwa polskiego w zakresie działań kontrofensywnych są na poziomie bliskim zera, podobnie jak w sferze działać ofensywnych, do których powinniśmy być, przygotowani, pamiętając o sprawdzonej dewizie, iż „najlepszą obroną jest atak”. O ile Polska ma system, który – jeżeli chodzi o instytucje publiczne – bardzo szybko pozwala na ustalenie okoliczności ataku, to czym innym jest ujawnienie faktu, a czym innym zabezpieczenie przed nim, na co nie jesteśmy w obecnie zupełnie przygotowani. Niestety do tej pory w Polsce funkcjonował system zorientowany na ujawnienie ataków w sferze cyberbezpieczeństwa, ale był on zaprojektowany w ten sposób, że każda instytucja z osobna odpowiadała za obronę przed cyberatakiem. W zależności od sytuacji kto w danej instytucji zajmował się kwestiami cyberbezpieczeństwa, konkretna instytucja miała mniejsze bądź większe zabezpieczenia – z reguły zresztą mniejsze, bowiem do tej pory problematyka cyberbezpieczeństwa była zupełnie niezrozumiała, a co za tym idzie, zupełnie pomijana przez poprzednich decydentów politycznych. Mało kto zwracał uwagę na kwestię dotyczące cyberbezpieczeństwa.
Wyobraźmy sobie, że pewnego dnia dochodzi do ataku na infrastrukturę krytyczną w Polsce, która prowadzi do załamania systemu finansowego, co stanowi poważny element zakłócający życie obywateli. Jakie ruchy może podjąć państwo w stosunku do napastnika?
Jakkolwiek paradoksalnie to nie zabrzmi, zapóźnienie technologiczne państwa polskiego, zabezpieczało nas przed atakami cybernetycznymi. Dziś kiedy już cyfryzacja wkracza do urzędów i instytucji administracji, bez równoległego budowania kompetencji w zakresie cyberbezpieczeństwa, narazimy się na poważne konsekwencje. Oprócz zatrzymania ataku istotny jest również element zabezpieczenia materiału dowodowego w celu wskazania agresorów. Kluczowy problem stanowi odpowiednie zabezpieczenie dowodów, aby mogły zostać wykorzystane na etapie postępowania przygotowawczego, a następnie jurysdykcyjnego.
Pożądane jest sprzężenie zwrotne
Nie jest możliwa całkowita ochrona cyberprzestrzeni przed atakami największych światowych mocarstw, dlatego warto skupić się na priorytetach - elementach, na których udoskonaleniu bardzo nam zależy.
Polska dysponuje specjalistami, którzy odgrywają wiodącą rolę w działaniach ofensywnych w sferze cyberprzestrzeni. Jednak problem polega na tym, że instytucjom publicznym trudno jest zaoferować fachowcom konkurencyjne warunki zatrudnienia.
Biznes jest potrzebny państwu w celu zbudowania cyberodporności, ale występuje w tym zakresie sprzężenie zwrotne – biznes potrzebuje silnego państwa. Polska dysponuje specjalistami, którzy odgrywają wiodącą rolę w działaniach ofensywnych w sferze cyberprzestrzeni. Jednak problem polega na tym, że instytucjom publicznym trudno jest zaoferować fachowcom konkurencyjne warunki zatrudnienia; nie mają takich możliwości finansowych jak firmy prywatne.
Aby znieść braku zaufania instytucji publicznych do firm prywatnych konieczne jest stworzenie przejrzystych procedur w zakresie wzajemnej współpracy. Przy powołaniu NAC niezbędne jest stworzenie odpowiednich przepisów regulujących, nie tylko działanie samej agencji, ale także podmiotów działających w jej ramach oraz wokół niej.
Co buduje cyberzaufanie?
Bez bardzo ścisłej współpracy operacyjnej nie da się chronić ani pojedynczych obywateli, ani infrastruktury krytycznej, ani agend rządowych. Blisko 2 lata temu miał w Polsce miejsce poważny atak na kilkadziesiąt tysięcy modemów. Wówczas jedna z firm informatycznych, z racji tego, że agresja dotyczyła także jej klientów, podjęła decyzję o blokowaniu dostępu do Internetu (i poinformowaniu o tym procederze użytkowników), bowiem modemy były wykorzystywane przez przestępców do celów przestępczych. Następnie wdrożyła rozwiązania mające na celu zabezpieczenie tychże modemów. Cały proces trwał kilkadziesiąt godzin. O tym zdarzeniu zostały powiadomione organy ścigania oraz służby specjalne, w tym Agencja Bezpieczeństwa Wewnętrznego. Rozwiązanie problemu mogłoby zająć o wiele mniej czasu, gdyby tylko współpraca na linii biznes-państwo znajdowała się na odpowiednio wysokim poziomie.
Cyber-zaufanie budują: kompetencje w obszarze cyberbezpieczeństwa (potrafisz obronić moje zaufanie) oraz etyka użycia danych (jeżeli powierzę Ci dane, to mogę być pewien, że nie użyjesz tych danych bez mojej wiedzy i zgody)
Bez wątpienia cyfrowa rewolucja przesunęła punkt ciężkości w zakresie cyberobrony obywateli - w skali mikro oraz państwa - w skali makro. Przy projektach związanych cyberbezpieczeństwem instytucje państwa powinny współpracować z biznesem, a ten z kolei traktować swoich klientów, jako największe dobro. Państwo powinno przekazać swoje oczekiwania biznesowi, a biznes mógłby otrzymać od instytucji państwowych wskazówki, w zakresie oczekiwań, zwłaszcza w kontekście kroków, które należy realizować w celu ustanowienia dobrej współpracy pomiędzy obydwoma porządkami. Stosunek biznesu do państwa powinien być komplementarny. Stanem wysoce pożądanym byłaby sytuacja, w której biznes w znacznie większym zakresie wziąłby na siebie odpowiedzialność w obszarze cyberochrony swoich klientów (bowiem ma dużo większą zdolność do wykrywania nadużyć i przestępstw). Administracji brak doświadczenia - zbyt rzadko jeszcze wchodzi w interakcje z obywatelem.
Łukasz Ziaja - specjalista ds. bezpieczeństwa danych; publicysta; komentator wydarzeń społeczno-polityczno-ekonomicznych; autor książek: "Łańcuch Poszlak. Wielka gra mafii i rosyjskich służb specjalnych" oraz "Afery czasów Donalda Tuska".