Wspólnota cyberbezpieczeństwa

Tworząc strategię cyberbezpieczeństwa, czy to na poziomie lokalnym, czy państwowym, trzeba ustalić jak i z kim współpracować zapobieganiu kryzysom, reagowaniu i podejmowaniu działań naprawczych. Ale najpierw trzeba się nauczyć rozumieć.

Ministerstwo Cyfryzacji podsumowało niedawno konsultacje założeń nowej strategii cyberbezpieczeństwa RP. Okazję do publicznych konsultacji wykorzystało 78 podmiotów. Z oględnego komentarza ministerstwa wynika, że jakość nadesłanych uwag, opinii, komentarzy lub poprawek jest różnorodna, ale można założyć, że będą pomocne w dalszych pracach. Ministerstwo podejmując się przygotowania strategii może dalej działać na dosyć wysokim poziomie ogólności. Chodzi wszak o dokument kierunkowy, do którego zostaną dopasowywane zasady działania wszelkich instytucji państwa, a w miarę potrzeb również przedsiębiorców.

Wbrew łatwej pokusie, nie da się jednak osiągnąć efektu modernizacji systemu bezpieczeństwa informacyjnego państwa metodą „nakładkową”, co bywa praktyczne w niektórych projektach technologicznych, a co by lubili sprzedawać idący na skróty politycy.

Zobacz również:

Otwarcie zamknięcia

Przed zaplanowaniem wdrożenia strategii należałoby zalecić dokonanie systemowego „bilansu otwarcia” zastanych uwarunkowań, w tym prawnych, politycznych, technicznych lub ekonomicznych. W różnych sytuacjach uszeregowanie priorytetów bywa odmienne.

Na przykład system ochrony tajemnicy państwowej jest nadal dosyć konserwatywny, żeby nie powiedzieć zachowawczy, nawet jeżeli w ostatnich latach prawo ochrony informacji niejawnej podlegało stopniowej ewolucji. Bywa męcząco niewygodny, ale można zaryzykować opinię, że decydujący o jego działaniu funkcjonariusze, zastosują skuteczny opór przed ewentualnością rewolucyjnej zmiany, polegającej na masowym wdrożeniu w utajnionych sieciach jakiegoś hipotetycznego uniwersalnego rozwiązania kryptograficznego. Pomimo że dla zwykłych komercyjnych zastosowań takie rozwiązania na rynku są od dawna dostępne. Niezależnie od tego co na co dzień myślimy o kompetencjach oraz dyskrecji polityków i urzędników, przynajmniej od strony technicznej w sprawach bezpieczeństwa państwa na kompromisy w ogóle nie powinno być miejsca.

Mgliste uwarunkowania czarno-białej bezkompromisowości tajemnic warunkujących bezpieczeństwo państwa, to jednak koncepcyjnie prosta sprawa wobec rosnącej złożoności zagadnień związanych z cyberbezpieczeństwem krytycznych obszarów gospodarki.

Przedsiębiorcy operujący obiektami i sieciami uznanymi za infrastrukturę krytyczną są objęci szczególnymi powinnościami w dziedzinie bezpieczeństwa np. pod rządami ustawy o zarządzaniu kryzysowym. Państwo w swej tradycyjnej władczej roli ma ich w sprawach bezpieczeństwa nadzorować, ponieważ ciągłość działania infrastruktury krytycznej ma żywotne znaczenie dla wszystkich. Jak wiadomo, mowa między innymi o takich systemach jak produkcja i zaopatrzenie w energię, wodę, żywność, telekomunikację, transport.

Wiele aspektów bezpieczeństwa jest obecnie nieźle rozpoznanych, uregulowanych, a nawet skutecznie zarządzanych, ale upowszechnienie zastosowań nowych technologii, szczególnie informacyjnych prowokuje nowe rodzaje zagrożeń, a tym samym stawia kolejne wyzwania. O ile państwo nadal dysponuje tradycyjnymi atrybutami władzy, jest prawodawcą, ma służby wywiadu i kontrwywiadu, bezpieczeństwa i porządku publicznego, reagowania kryzysowego, to wiedza na temat istoty czynników ryzyka, zastosowania środków zaradczych, w tym szczególnie uwarunkowań ekonomicznych i technologicznych od dłuższego czasu jest po stronie przemysłu, czyli przedsiębiorców.

Wespół w zespół

Umocowane w kilku ustawach powinności i świadczenia na rzecz państwa dotyczą w praktyce tylko niektórych przedsiębiorców, ale już na przykład wszystkich operatorów telekomunikacyjnych. Nawet u przedsiębiorców zaliczanych formalnie do operatorów infrastruktury krytycznej te sprawy rzadko mieszczą się w głównym nurcie strategii biznesowej przedsiębiorstw. Co więcej, w dużej części nie są one przez państwo ani refundowane, ani nawet łagodzone w postaci ulg podatkowych. Dlatego inwestowanie w bezpieczeństwo to z reguły przykre, bo kosztowne obciążenie. Trudno w takich warunkach spodziewać się rozbudowy zdolności analitycznych.

Od jakiegoś czasu o rozpoznaniu potencjalnych zagrożeń, zastosowaniu środków zaradczych i przeciwdziałaniu coraz częściej mówi się językiem kontrwywiadu i wywiadu. Skoro jednak państwo wymaga, a nie jest w stanie zaoferować podobnych usług analitycznych, między innymi dlatego, że podstawowa wiedza techniczna i biznesowa własnością przedsiębiorców, to przedsiębiorcy nie unikną inwestycji w dziedzinach, które dotąd uznawali za egzotycznie obce.

Doświadczenie uczy, że nowym wyzwaniom w zakresie bezpieczeństwa łatwiej sprostać, korzystając z okazji do wymiany poglądów, pozwalających kształtować dobre praktyki i standaryzować wymagania. Potrzebne są kontakty nieformalne, ale też rozwiązania bardziej trwałe.

Mowa nie tylko o sprawdzonej na świecie w praktyce, chociaż akurat w Polsce jeszcze niezbyt rozpowszechnionej koncepcji organizowania sektorowych zespołów rozpoznawania zagrożeń CERT i reagowania ISAC. Rośnie zrozumienie dla potrzeby integrowania zasobów analitycznych w oparciu o wiedzę z różnych dziedzin i niełatwą do osiągnięcia zdolność pojmowania złożonych współzależności.

Państwo niektóre systemy bezpieczeństwa w gospodarce chce nadzorować. To zrozumiałe, jeżeli państwo uznaje je w interesie publicznym za krytycznie ważne. Nie jest jednak jasne, w jakim zakresie państwo miałoby być moderatorem działań przedsiębiorców w dziedzinie cyberbezpieczeństwa skoro coś tak podstawowego jak doktryna i strategia dopiero się kształtuje. A na razie niewiele się dyskutuje w kategoriach bodźców i zachęt np. w systemie fiskalnym. Z kolei przedsiębiorcy tak nawykli do nakazowej roli państwa, że często wręcz domagają się regulacji, na które później przecież będą utyskiwać, zdziwieni że nie zostali przez urzędników właściwie zrozumiani.

Próba formułowania założeń dla cyberbezpieczeństwa pokazuje, że tworzenie kultury bezpieczeństwa to proces, który dopiero się rozpoczął. Nadal działa niestety metoda reaktywna, kiedy paradoksalnie pomocni okazują się hakerzy i ich spektakularne ataki. Objawia się wtedy gwałtownie i boleśnie potrzeba wyprzedzającego analizowania korelacji, tworzenia sojuszy nie tylko sektorowych, gdzie łatwiej się technicznie porozumieć, ale też w ramach wspólnoty interesów, np. na poziomie lokalnym, regionalnym, w ramach infrastruktury miejskiej. Spontanicznie identyfikują nowe krytyczne sektory. Bezpieczeństwo staje się modne.