W trakcie konferencji Semafor 2017, Dyrektor Biura Bezpieczeństwa Cybernetycznego SKW (Służba Kontrwywiadu Wojskowego) – Borys Iwaszko – przedstawił i omówił główne zasoby, jakimi powinien dysponować organizator strategii cyberbezpieczeństwa.

Borys Iwaszko definiuje cyberbezpieczeństwo jako zespół przedsięwzięć organizacyjno-prawnych, technicznych, fizycznych i edukacyjnych, mających na celu zagwarantowanie niezakłóconego funkcjonowania cyberprzestrzeni. Jego trzema podstawowymi składnikami powinny być dobre usługi IT, ochrona funkcjonalności oraz aktywna obrona, która jest zarezerwowana dla sił wojskowych oraz innych wyspecjalizowanych służb. Dyrektor Biura Bezpieczeństwa Cybernetycznego wymienia przy tym cztery obowiązkowe elementy poprawnie skonstruowanej strategii cyberbezpieczeństwa. Mają nimi być:

• Analiza realnych zagrożeń – określenie, które z nich mają realny wpływ na organizację;
• Wyodrębnienie struktury odpowiedzialnej za cyberbezpieczeństwo – określenie poziomu współpracy między organizacjami odpowiedzialnymi za cyberbezpieczeństwo oraz wydzielenie odpowiednich służb odpowiedzialnych za bezpieczeństwo teleinformatyczne państwa;
• Określenie infrastruktury krytycznej dla cyberbezpieczeństwa – określenie z czego konkretnie się składa, a więc elementów systemów IT oraz urządzeń, instalacji i usług wymaganych do jej poprawnego działania;
• Uwzględnienie partnerstwa publiczno-prywatnego – zaangażowanie podmiotów krajowych, funkcjonujących w sferze cyberbezpieczeństwa do wzmocnienia suwerenności technicznej państwa.

Jeśli zaś chodzi o zasoby niezbędne do utrzymania cyberbezpieczeństwa, to zdaniem Iwaszki, da się wyróżnić cztery. Dla przejrzystości wymienia je i opisuje, posługując się modelem i terminologią praktykowaną w biznesie. Kluczowymi zasobami są w nim:

• Informacje. To wiedza i odpowiedni poziom edukacji, a więc między innymi proces tworzenia odpowiednich kierunków nauczania w szkołach wyższych, które będą powiązane z cyberbezpieczeństwem. Za kierunkami studiów powinno się natomiast kryć także finansowanie studentów – często młodych ludzi nie stać na studiowanie w dużych miastach. Powinniśmy więc poważnie myśleć o stypendiach, umożliwiających im to. Jak mówi Iwaszko, w Niemczech i Francji prowadzone są programy zmierzające do tego, by do roku 2020 wyszkolić odpowiednio 3 tysiące i 5 tysięcy specjalistów, którzy świadczyć będą usługi informatyczne na rzecz administracji publicznej. W Izraelu przybywa rok do roku około 10 tys. specjalistów od IT. Większość specjalistów ma za sobą karierę w armii, a specjalistyczne kursy są finansowane przez państwo. Ostatecznie w ten czy inny sposób, tamtejsi eksperci zaczynają pracę de facto na rzecz państwa. Musimy zadbać także o to, by nasi specjaliści po ukończeniu studiów nie wyjeżdżali za granicę w poszukiwaniu pracy. W końcu powinniśmy zacząć kreować świadomość użytkowników na każdym poziomie. Sami użytkownicy powinni być pierwszym sitem zagrożeń. Konieczne staje się wprowadzenie edukacji pod kątem cyberbezpieczeństwa. Należy to zrobić na wczesnym poziomie, żeby już młodzież wiedziała, czego nie należy robić w sieci.
• Personel. Organizując strategię powinniśmy dokonać przeglądu kadr, by nie dublowały się zadania. Iwaszko uważa, że zazwyczaj zamiast jednego silnego stanowiska decyzyjnego związanego z bezpieczeństwem, z reguły cyberbezpieczeństwo rozrzucone jest na wielu osób w firmie. W związku z tym marnowane są kadry i zasoby (finanse oraz czas). Powinno się dążyć do rozwiązania, w którym poszczególne funkcje można łączyć. Odpowiedni personel łączy się również z pierwszym zasobem. W organizacji na pewnych etapach wystarczać może doświadczony menedżer. Podlegający mu personel można rekrutować z osób na wczesnym etapie edukacji, które będą odpowiednio kształtowane już w trakcie pracy. Trzeba przy tym jednak pamiętać, że utrzymanie wysokiego poziomu bezpieczeństwa związane jest z ciągłą edukacją personelu – znajomością zarówno nowych rozwiązań, jak i nowych zagrożeń.
• Posiadany kapitał. Bezpieczeństwo nie jest tanie. Organizacji nie stać na wprowadzanie niesprawdzonych rozwiązań, rzeczy tanich. Oznacza to, że lepiej raz sięgnąć głębiej do posiadanych środków, ale wdrożyć dobre rozwiązania. Podobnie jest z personelem. Musi on być opłacany na konkurencyjnym poziomie, by nie odszedł. Należy przy tym pamiętać, że specjaliści lubią wyzwania i czasem będą chcieli odejść i szukać ich gdzie indziej. Powinniśmy więc dopuszczać myśl, że czasami łatwiej – taniej - jest zatrudnić nowego pracownika, niż utrzymać specjalistę. Nie powinniśmy się tego bać. Czasami jednak wystarczy takiej osobie dać zmienić stanowisko, dać nowe zadania, by była zadowolona. W przypadku kapitału należy także pamiętać o budowie silnych narodowych zdolności w zakresie cyberbezpieczeństwa, a więc w jakimś zakresie preferować dostawców krajowych.
• Czas. To główny zasób nieodnawialny. Powinniśmy więc wykorzystywać go najlepiej jak się da. Warto poświęcać go odpowiednio dużo w celu dopracowania strategii cyberbezpieczeństwa, zarówno narodowej, jak i dla dowolnej organizacji.

Zobacz również:

• Cyberobrona? Mamy w planach