Nowa wojna - jaka? Nowi przeciwnicy - kto? Z kim walczyć, przed czym się bronić? Oto dylematy, na które musi odpowiedzieć polityka bezpieczeństwa informacji zarówno w firmie, jak i instytucji publicznej.

Bezpieczeństwo w Internecie to namierzanie przestępców i wymierzanie kary" - twierdzi Michał Jarski, dyrektor generalny ISS Polska. Jednak nie ma pewności, że kary zniechęcą hakera przed dokonaniem ataku. "Nie ma sytuacji absolutnie bezpiecznych, tak jak nie ma systemu, który nigdy nie został poddany atakowi" - dodaje. A może rozmawiamy o fantasmagorii, jeśli uznamy, że nie istnieje coś takiego jak bezpieczeństwo w Internecie? Wystarczy, że ktoś "życzliwy" zleci wykonanie robaka konkretnie pod dany system i... "Houston, mamy problem"? Według ISS 99% firm stosujących zabezpieczenia antywirusowe ma problemy właśnie z wirusami.

Specjaliści od polityki bezpieczeństwa, których gościliśmy w Serocku, bez wahania recytują listę zagrożeń - penetracja systemu, sabotaż danych, kradzież poufnych informacji, blokada usług, wirusy i robaki, nieautoryzowane działania wewnętrzne, kradzież laptopów i nadużywanie Internetu przez pracowników. Są oni skłonni w poszukiwaniu złotego środka definiować zagrożenia i czynniki zwiększające potencjalne ryzyko, dzielić je na wewnętrzne i zewnętrze, analizować po wielokroć. Ale tak naprawdę chodzi o przewidywanie. Zdaniem Michała Jarskiego "edukacja zaczyna się "na górze", aby móc spłynąć w dół i objąć całą organizację - nawet najbardziej lojalny pracownik może nieświadomie zaszkodzić firmie, dlatego należy inwestować nie tylko w oprogramowania, sztaby kryzysowe i fachowców od IT, ale w każdego pracownika. Niech ze słabego ogniwa stanie się solidnym ogniwem ze świadomością realnych zagrożeń i wiedzą o przeciwdziałaniu im.

Połowa sukcesu to wiedza w co i kogo inwestować. Gorzej, gdy nie mamy pieniędzy. Poza wiedzą merytoryczną ważne jest zatem, żeby nie oszczędzać na inwestycjach, co jest codziennością administracji publicznej. Ale nie można też załamywać rąk, o czym świadczy przykład Związku Powiatów Polskich (ZPP). "Można zadbać o bezpieczeństwo na wysokim poziomie przy niskich nakładach" - przekonuje Lech Ryszewski z ZPP. Jak? W bardzo prosty sposób - w starostwach powiatowych stworzono własne ABC, według którego przeszkolono pracowników. Szkolenia zróżnicowane były w zależności od stanowiska i zakresu obowiązków. Burzę mózgów przeszedł każdy, od szczebla najniższego po najwyższy. Informacja przesyłana była na wewnętrznym serwerze wyłącznie między operatorem a użytkownikiem. Polityka jest bardzo prosta i zarazem oszczędna - najpierw nauczyć, jak zrobić, potem zrobić samemu, zamiast zlecać na zewnątrz. Cel został osiągnięty - stworzono narzędzia do przekazywania informacji, która dociera w ciągu 15 min. Reszta zależy od decyzji, co z tą informacją zrobić.

Dobrze, że takie inicjatywy mają miejsce zarówno na szczeblu lokalnym, jak i na poziomie unijnej ENISA, o której informacje warto czerpać z pierwszej ręki, czyli od Krzysztofa Silickiego, dyrektora technicznego NASK i zarazem Przedstawiciela RP w tej radzie. Tylko wspólnymi siłami będziemy w stanie ostrzegać przed nowym zagrożeniem. Dlatego podmioty powinny połączyć siły. Wspólnie łatwiej będzie im zapobiegać.