Lata ewolucji kształtowały w nas intuicyjne umiejętności unikania zagrożeń, ale i tak każdy musi się uczyć bezpiecznych zachowań od wczesnego dzieciństwa, gromadząc nowe doświadczenia przez całe życie. Kiedy los rzuci nas w obce środowisko, przeważnie jedną z podstawowych trosk jest uzyskanie informacji, jak nie narazić się na jakieś lokalne specyficzne nieznane nam ryzyko. Mieszczuch w środku tropikalnej dżungli długo nie przetrwa bez troskliwego przewodnika, który będzie uważał na każdy jego krok.

Tempo, w jakim nowe technologie informacyjne opanowują wszystkie dziedziny naszej aktywności, spowodowało, że nie możemy liczyć ani na pierwotne intuicje, ani na wcześniejsze doświadczenia, bo zmienia i charakter, i zakres zagrożeń. Daniel Geer, jeden z najbardziej wpływowych amerykańskich analityków bezpieczeństwa systemów informatycznych z pracującej dla CIA organizacji In-Q-Tel, zauważył pragmatycznie jakiś czas temu, że technologie które mogą nam dać prawie wszystko, czego potrzebujemy, mogą nam też odebrać wszystko, co mamy.

Każdy przedsiębiorca, który uznał użyteczność zastosowań technologii informacyjnych, powinien wiedzieć, że nieostrożność może go narazić na straty, ale ani ta świadomość, ani zainwestowanie w zabezpieczenia, ani wdrożenie polityki bezpieczeństwa nie gwarantują uniknięcia zagrożeń z cyberprzestrzeni. Podobnie jak firmy ubezpieczeniowe, żyjące z szacowania wartości ryzyka, w wielu branżach potencjalne straty związane z łamaniem zabezpieczeń systemów informacyjnych wliczają już rutynowo, chociaż z reguły nieoficjalnie w koszty działalności. Te szacunki zagregowane w poszczególnych branżach lub w całej gospodarce urastają do miliardów i wciąż rosną. Rośnie potencjał cyberprzestępczości, która należy już do najbardziej innowacyjnych sektorów.

Nie ma współpracy, brakuje zaufania

Cyberprzestępczość dostarcza sporych problemów związanych z penalizacją, ściganiem i dochodzeniem roszczeń. Zmusza to państwa do zmian w prawie i wprowadzania nowych skuteczniejszych rozwiązań instytucjonalnych. Od roku działa Europejskie Centrum ds. Walki z Cyberprzestępczością przy siedzibie Europolu. Nowa strategia cyberbezpieczeństwa UE i projekt dyrektywy ma ułatwić koordynację działań zwiększających odporność europejskiej gospodarki na poważne zagrożenia z cyberprzestrzeni. Trudno jednak liczyć na skuteczność tego rodzaju inicjatyw bez wzmocnienia mechanizmów współpracy sektora publicznego i prywatnego. Dla wszystkich uczestników debaty o cyberbezpieczeństwie to niebanalne wyzwanie, ponieważ wymaga zbudowania zaufania w sprawach, dla którego na razie, jak się okazuje, są dosyć wątłe podstawy.

Wystarczyło, by Edward Snowden ujawnił informacje o możliwościach i zakresie inwigilacji amerykańskiego wywiadu elektronicznego, by obudzić w różnych krajach gorące antyamerykańskie poruszenie, a przy okazji wyrażane całkiem poważnie żądania, by założyć wszelkim państwowym służbom kagańce utrudniające wkraczanie w prywatność obywateli. Wielu komentatorom nie przeszkadza, że wiarołomny funkcjonariusz amerykańskich służb prowokujący kryzys międzynarodowego zaufania wolności szuka w Rosji pod opieką FSB. Ponieważ nie od rzeczy w tym przypadku są analizy spiskowe, to można zauważyć, że dzieje się to być może nie całkiem przypadkowo w wyjątkowo ważnym dla światowej gospodarki czasie, kiedy Europa i Stany Zjednoczone są w ostatniej fazie negocjacji umowy o strefie wolnego handlu. Trudno też nie zauważyć, jak Rosja usiłuje po latach osłabienia odbudować międzynarodową pozycję, np. na Bliskim Wschodzie czy w relacjach z Ukrainą wchodzącą w fazę stowarzyszeniową z UE.

Trzeba się liczyć ze wzrostem profesjonalizacji cyberprzestępców, gotowych do działania na zamówienie, by wykradać tajemnice przedsiębiorców, dezinformować, wykorzystywać media profesjonalne lub społecznościowe. O wadze zagrożeń świadczy fakt, że mówi się już otwarcie o atakach sponsorowanych przez państwa, w tym wspierających cele gospodarcze narodowych firm w międzynarodowej konkurencji. Trzeba się liczyć z działaniami ukierunkowanymi na osiąganie celów militarnych czy skryte penetrowanie systemów IT ważnych elementów infrastruktury, które byłoby formą przygotowań do cyberwojny.

Państwo wcale nie wie lepiej

Państwo identyfikuje wybrane grupy przedsiębiorców, na których nakłada szczególne prawne powinności w zakresie cyberbezpieczeństwa, np. w związku z przetwarzaniem informacji niejawnych lub zakwalifikowaniem do kategorii infrastruktura krytyczna państwa w rozumieniu ustawy o zarządzaniu kryzysowym. Wszyscy operatorzy telekomunikacyjni muszą też, w myśl prawa telekomunikacyjnego, podjąć stosowne środki w zakresie bezpieczeństwa, a od niedawna zgłaszać incydenty naruszenia cyberbezpieczeństwa do UKE. Ten system w ostatnich latach trochę ewoluował, ale nie przestał konserwować podejścia tradycyjnego, w którym państwo miało monopol na decydowanie o tym, co jest krytyczne i jakie środki ochrony są optymalne. Jeżeli państwo się samoogranicza do ochrony tego, czym chce bezpośrednio zarządzać, to ryzykuje, że zagubi interes, czyli też kapitał wiedzy przedsiębiorców i kapitał społeczny obywateli.

Tymczasem ani instytucje rządowe, ani poszczególni przedsiębiorcy nie mają pełnego obrazu, wiedzy, upoważnień czy zasobów, by samodzielnie sprostać odpowiedzialności za bezpieczeństwo. Tylko solidarna współodpowiedzialność pozwoli wzmocnić systemy bezpieczeństwa, lepiej rozdzielić ryzyko, zmotywuje do wymiany informacji o zagrożeniach i do współpracy w reagowaniu na incydenty. Każdy, kto zajmuje się dzisiaj profesjonalnie bezpieczeństwem systemów informacyjnych, powinien wiedzieć, że obecnie zaznacza się wyraźnie przewaga podejścia opartego na analizie ryzyka nad tradycyjnym dążeniem do bezwzględnego nieograniczonego bezpieczeństwa. Potrzebne są rozwiązania instytucjonalne w dziedzinie cyberbezpieczeństwa, które dotąd w Polsce nie powstały, i nadanie właściwego sensu debacie o partnerstwie publiczno-prywatnym.