Ustawa o cyberbezpieczeństwie 2012 to kolejna odsłona amerykańskiej debaty o uregulowaniu problematyki współpracy rządu federalnego z sektorem prywatnym. Próbuje się ją określać jako kompromisową syntezę wielu różnych propozycji ustawowych z ostatnich kilkunastu miesięcy. Pomimo że chodzi o przepisy amerykańskie, na które nie mamy wpływu, warto te dyskusje obserwować z europejskiej perspektywy. Chodzi nie tylko o to, że w sektorze technologii ICT amerykańskie firmy należą do najbardziej innowacyjnych i dysponują kluczowymi patentami. Ważne jest również, że uważane powszechnie za strategiczne koncepcje związane z bezpieczeństwem - jak choćby ochrona infrastruktury krytycznej - mają źródła w amerykańskiej doktrynie bezpieczeństwa narodowego.

To również Amerykanie pierwsi zauważyli, że prawie wszystkie systemy, które należałoby kwalifikować jako infrastrukturę krytyczną dla bezpieczeństwa obywateli i ciągłości działania gospodarki, są własnością prywatną. Dlatego wiedzę na temat sposobów ich ochrony w interesie publicznym trzeba budować, opierając się na partnerstwie publiczno-prywatne.

Te kiedyś trochę teoretyczne założenia strategii bezpieczeństwa narodowego zmieniły się w działania dopiero pod presją doświadczenia tragicznych wydarzeń 11 września 2001 r.

Wartościowanie cyberbezpieczeństwa

Amerykańskie firmy technologiczne - w poczuciu patriotycznego obowiązku - zaczęły tworzyć sieci współpracy i wymiany informacji o zagrożeniach i podatnościach w cyberprzestrzeni. Organizują także wspólne ćwiczenia ochrony cyberprzestrzeni. To wszystko działa, ale kiedy emocje wywołane traumą zamachów Al Kaidy i sprowokowaną w ich następstwie wojną w Iraku i Afganistanie zaczęły opadać, pojawiła się refleksja, że podstawy prawne dla tego rodzaju współpracy agencji rządowych z biznesem nie są całkiem przejrzyste.

Przede wszystkim trudno zignorować znaczenie fundamentalnej różnicy interesów w kwestiach bezpieczeństwa. Służby rządowe pragną bronić państwo i jego podstawowe zasoby. Temu podporządkowana jest doktryna bezpieczeństwa narodowego i cele związane z obronnością. Państwa inwestują w bezpieczeństwo narodowe znaczne środki, bo właściwie nie ma ono ceny. Przedsiębiorcy, nawet ci dysponujący infrastrukturą o krytycznym znaczeniu dla państwa, rozpatrują zaś ryzyka związane z naruszeniem cyberbezpieczeństwa głównie pod kątem indywidualnych celów biznesowych. Chociaż banalnie to brzmi, podstawowe cele działania przedsiębiorców w warunkach konkurencji to dostarczanie klientom największej wartości, a inwestorom najbardziej korzystnego zwrotu z inwestycji. Inwestycje w bezpieczeństwo oznaczają mniej środków na wsparcie sprzedaży, marketing, badania i rozwój. Rządowy i biznesowy sposób podejścia do cyberbezpieczeństwa dopełniają się wzajemnie, bardzo jednak utrudniają wymianę informacji.

Sceptycy i obrońcy swobód

Uregulowanie amerykańskich mechanizmów wymiany informacji o zagrożeniach cyberprzestrzeni pomiędzy biznesem a agencjami rządowymi nie wszystkim się podoba. Kolejne projekty ustaw przepadały, nie uzyskując wystarczającej liczby głosów do ostatecznego zatwierdzenia. Chociaż ustawa o cyberbezpieczeństwie 2012 jest promowana przez firmujących ją senatorów jako uzgodniona w międzypartyjnym porozumieniu, to również wobec niej podnosi się wątpliwości - podobnie jak wobec wcześniej dyskutowanej ustawy o cyberprzestępczości CISPA.

Na początku maja br. senatorowie otrzymali kolejny list protestacyjny, tym razem wobec tej propozycji. Podpisały go 34 organizacje zajmujące się swobodami obywatelskimi. Chodzi im przede wszystkim o określenie zakresu ochrony prywatności. Zbyt szeroko rozumiana kategoria cyberprzestępstw i domniemanych naruszeń, które można by raportować we wzajemnych relacjach biznesu i służb rządowych, da sporą, być może nadmierną władzę przetwarzającym dane. Powraca też jak bumerang znane widmo knowań koncernów medialnych, które walczą o dodatkowe narzędzia kontroli, gwarantującej umykające im w internecie zyski z zarządzania prawami autorskimi.

Niemała część komentatorów nadal wietrzy spisek w doniesieniach o zagrożeniu cyberterroryzmem i cyberprzestępczością, głosząc, że to wszystko zostało zmyślone, aby nas postraszyć. Sceptycy skuteczności regulacji i dobrych intencji rządu podają też wyliczenia, mające kwestionować możliwość użytecznej kontroli ogromnych i wciąż rosnących wolumenów ruchu w sieciach telekomunikacyjnych. Uważają, że rząd zamiast gromadzić dane o podejrzanych połączeniach, powinien raczej wykorzystać ukrywane zasoby wiedzy, by wypromować nową architekturę bezpieczeństwa, w tym bezpieczniejsze produkty i aplikacje.

Wespół w zespół

Ryzyko wykradzenia wrażliwych informacji z systemów informacyjnych firm i instytucji rządowych staje się coraz bardziej realne. Wykryte i potwierdzone przypadki ataków wskazują, że coraz częściej mamy do czynienia z działaniami zorganizowanymi, zaplanowanymi, wykorzystującymi informacje z wielu różnych źródeł. W grę wchodzą zarówno nowe sposoby działania przestępczości zorganizowanej, jak i ataki sponsorowane przez obce rządy. Jednocześnie wzrasta przekonanie, że o wielu możliwych podatnościach po prostu nie wiemy.

Wydaje się, że w tej sytuacji uzgodnienie prawnych podstaw do wymiany wrażliwych informacji w sprawach cyberbezpieczeństwa zostanie wkrótce osiągnięte. To jednak dopiero wstęp do planowanych działań. Dzięki temu powstaną bowiem warunki dla podjęcia wszechstronnych prac standaryzacyjnych i modelowania analiz ryzyka i środków zaradczych wobec różnego rodzaju zagrożeń. Powstanie znacznie lepsza niż dotąd podstawa do wykorzystania sektora badawczo-rozwojowego. Istnieje też ogromna potrzeba wzmocnienia współpracy międzynarodowej, w tym z instytucjami Unii Europejskiej. Wspólnie łatwiej będzie postawić właściwe pytania na temat przyszłości technologii ICT i odnaleźć odpowiedzi w sprawie podatności infrastruktury krytycznej, złożonych współzależności.