Cyberobrona ostrożna

Komisja Europejska od lat przymierza się do kwestii cyberbezpieczeństwa. Mechanizmy koordynacji obrony są niezbędne, ale czy wystarczą, kiedy przyjdzie walczyć z poważnymi zagrożeniami?

Cyberbezpieczeństwo to temat deklarowany przez polityków jako doniosły. W dokumentach towarzyszących nowej unijnej strategii cyberbezpieczeństwa przytaczane są spektakularne przykłady oszacowań dziesiątek miliardów strat, które należy wliczyć do światowych bilansów gospodarki elektronicznej. To nie musi oznaczać rozwiązań politycznych ani trafiać do opinii publicznej, zajętej innymi tematami, których na co dzień dostarczają media. Trudno wytłumaczyć istotę zagrożeń na poziomie popularnych, medialnych przekazów, kiedy atakujący używają coraz bardziej wyrafinowanych narzędzi. Jeżeli atakującymi kierują pobudki materialne, to nie zależy im na rozgłosie. Podobnie jak administratorzy złamanych systemów wolą zatrzymać w tajemnicy słabości zabezpieczeń.

Wspólnota problemów z bezpieczeństwem

Bezpieczeństwo w polityce wspólnotowej należy do dziedzin, do których państwa członkowskie Unii wciąż podchodzą z rezerwą. Nawet w sojuszach obronnych wszyscy wolą się trzymać zasady autonomii, mimo że po stuleciach wojen o terytoria udało się znieść kontrole granic. Europejczycy zapragnęli mobilności i ułatwień w wymianie handlowej. Większość mieszkańców Europy uważa, że należymy do spójnego kręgu kulturowego. Nie różni nas zbyt wiele, ale pamięć odchodzącego pokolenia wojny, nie tak dawny koszmar bałkański czy dający o sobie znać terroryzmem uczą pokory. Podobnie jak wybuchające niekiedy na ulicach europejskich miast okrzyki nienawiści różnej maści radykałów.

Tematyka cyberbezpieczeństwa pojawia się w debacie europejskiej w różnych kontekstach i znaczeniach. Nie zawsze w sposób spójny merytorycznie, co odbija się w nowej unijnej strategii cyberbezpieczeństwa. Mieszają się i krzyżują najróżniejsze wątki. Mówi się o przestępstwach kryminalnych, dziecięcej pornografii, nienawiści rasowej, kradzieży tożsamości, złośliwym oprogramowaniu, a równocześnie o ochronie krytycznych zasobów infrastruktury ważnej dla interesów ekonomicznych państw, ochronie informacji rządowych, cyberterroryzmie, szpiegostwie gospodarczym.

Dyskusja o środkach zaradczych jest zanurzona w debacie o podstawowych swobodach obywatelskich, wolności wypowiedzi, ochronie danych osobowych i prywatności, czy też powszechności dostępu. Są nawiązania do rozbudowy zasobów przemysłowych i technologicznych. Dyskusja o wszystkim, w której każdy znajdzie coś dla siebie, jest trudna do opanowania i pewnie zdryfuje w pewnych tematach na mielizny, a wyrażając się językiem praktycznym - zostawi je niezałatwione.

Europejski CERT

Utworzoną dziewięć lat temu oficjalną unijną agencję ENISA usytuowano na Krecie - trochę na zesłaniu, w oddaleniu od politycznego centrum Europy. Polski rząd jakby nie zauważył pojawienia się tej nowej unijnej instytucji ds. bezpieczeństwa teleinformatycznego. Delegowano tam początkowo przedstawicieli NASK-u, w którego ramach działa polski CERT. Dopiero niedawno zrewidowano mandat ENISA. Z tym, że wśród kilku innych radykalnych koncepcji integracyjnych z 2007 r. w Parlamencie Europejskim przepadł zamysł inkorporowania ENISA w struktury paneuropejskiego regulatora telekomunikacyjnego, bo ten właściwie nie powstał, nominalnie zastąpiony przez forum regulatorów BEREC.

Obecna strategia ponownie zapowiada wzmocnienie ENISA. Propozycje są dobrze przemyślane i cenne. Chodzi m.in. o poprawę wymiany informacji pomiędzy krajowymi CERT-ami, czyli konsolidowanie wiedzy i zasobów, a tym samym zdolności reagowania. Chyba najważniejsze jest zalecenie wzmocnienia dialogu z sektorem prywatnym, dysponującym dzisiaj większą wiedzą o technologiach niż instytucje rządowe. Przedsiębiorcy przejęli też od państwa odpowiedzialność za zarządzanie ciągłością działania infrastruktury krytycznej.

Po przeniesieniu tego na grunt polski widać, jak wiele jest do zrobienia. Polska nie była w stanie wykrzesać energii, aby się włączyć aktywnie w ćwiczenia ENISA. Rządowy projekt strategii ochrony cyberprzestrzeni jest wciąż tylko projektem, a był już krytykowany przez zainteresowane środowiska za brak tych oczywistych zasad współpracy sektora publicznego i prywatnego. Trzeba też zauważyć, że strategia unijna kreśli potrzebę rozwiązań, które są spóźnione o kilka lat, zapewne nie tylko w Polsce. Pewnych zagrożeń być może nie jesteśmy w stanie z pomocą takich struktur analizować.

Kto nam zagraża?

Jednym z istotnych czynników ryzyka, czyli słabości kiepsko usystematyzowanej wielowątkowości unijnej strategii (co za ironia, mówić o ryzyku w związku z dokumentem o bezpieczeństwie!), jest generalizacja kwalifikowania naruszeń bezpieczeństwa cyberprzestrzeni jako cyberprzestępstwa. Zakłada to bowiem głównie pobudki kryminalne, czyli też potrzebę wykrywania i penalizacji. Pociąga to za sobą zaangażowanie na szczeblu unijnym uruchomionego w styczniu 2013 w Hadze Europejskiego Centrum ds. Walki z Cyberprzestępczością. Zorganizowano je przy siedzibie europejskiego urzędu policji Europol, którego partnerami w państwach członkowskich są służby policyjne.

Tworzymy system do ścigania kryminalistów, nie zauważając, innych ważnych zjawisk. Najpoważniejsze, jak się wydaje, obecnie zagrożenia to działania sponsorowane przez rządy i przypadki szpiegostwa przemysłowego. Wzrasta w ten sposób ryzyko szerzej zakrojonych rozgrywek gospodarczych, gdzie mogłoby dojść do reżyserowania zachowań konkurujących firm, włącznie z instrumentalnym użyciem mediów i serwisów społecznościowych. Nie sposób tego analizować, widząc tylko złodziei kart płatniczych, oszustów internetowych lub pedofilów.

Nie są to zagrożenia teoretyczne, jeżeli wczytać się w opublikowany kilka dni temu raport amerykańskiej firmy Mandiant. Podsumowuje ona działania chińskiej jednostki 61398, której przypisuje kradzież terabajtów danych 141 amerykańskich podmiotów z sektorów wysokich technologii. Pomimo zdecydowanego chińskiego dementi, niektórzy eksperci amerykańscy mówią, już inaczej niż w starej Europie, nie o obronie, ale o konieczności walki z użyciem, w miarę konieczności, środków ofensywnych. Kto jest na to gotowy?