Przemiana krytyczna

Zapewnienie ciągłości działania systemów informacyjnych państwa w przypadku powyborczej zmiany partii rządzącej jest jakąś formą sytuacji kryzysowej, w której sprawdza się odporność infrastruktury krytycznej. Dla osób odpowiedzialnych za bezpieczeństwo informacyjne to zawsze próba.

Zapewnienie ciągłości działania systemów informacyjnych państwa w przypadku powyborczej zmiany partii rządzącej jest jakąś formą sytuacji kryzysowej, w której sprawdza się odporność infrastruktury krytycznej. Dla osób odpowiedzialnych za bezpieczeństwo informacyjne to zawsze próba.

Trudno jest mówić o zaskoczeniu, bo to nie atak terrorystyczny, ale przetrzebieniu ulegają kadry zarządzające systemem bezpieczeństwa państwa, urzędnicy, którzy wcześniej nieostrożnie za bardzo zaprzyjaźnili się z polityką, rozglądają się za kartonowymi pudłami, w które zapakują zawartość biurek, a bardziej doświadczeni biurokraci przełączają się na sprawdzony bezpieczny tryb pracy nazywany bierną inercją. Wyobrażenie tego kryzysu podgrzewa wizja kopiowanych twardych dysków, przegrzane kserografy i nieoznakowane furgonetki przewożące w bezpieczniejsze miejsce jakieś tajne dokumenty.

Trzeba jeszcze brać pod uwagę, że powyborczy "kryzys" w polskich warunkach trwa kilka tygodni, zanim w nowym Sejmie zorganizują się komisje zdolne do pracy nad ustawami. W ministerstwach weryfikacji będą podlegać obowiązujące wcześniej priorytety, strategiczne plany, programy i zamierzenia. Rozgrzebane i niedokończone sprawy, jakich w Polsce jest zawsze przewaga, muszą się skonfrontować z punktem widzenia nowych zarządzających.

Rynek zamiast rozporządzeń

Zmiana rządu to zawsze pociągająca medialnie okazja do podsumowań, wytykania błędów i zaniechań poprzedniej ekipy. Co by jednak nie mówić o rządowych programach informatyzacji państwa, rynek robi swoje. Prehistoryczne czasy, kiedy Internet, komputery na biurkach urzędników i komórki w kieszeniach wydawały się ekstrawagancją, uległy zapomnieniu, tak samo jak zapomniane będą różne egzotyczne koncepcje i pomysły na budowanie wydzielonych, autonomicznych sieci wyposażonych w niepowtarzalne aplikacje, tworzone od początku krok po kroku dla jednego projektu.

Oczywiście nadal są w Polsce znaczne obszary zaniedbane informacyjnie, co wymusza teraz na nowo aktywne zaangażowanie państwa i samorządów, ale wiele kluczowych dziedzin działalności państwa po prostu adaptuje się do tego co oferuje rynek. Trzeba przyjąć, że obszary zaangażowania sektora prywatnego w dziedziny tradycyjnie programowane przez państwo będą się poszerzać. To rynek, inaczej mówiąc przedsiębiorcy szeroko rozumianej branży teleinformatycznej dostarczają wiedzy o sposobach przetwarzania, przechowywania i przesyłania informacji, coraz częściej w postaci gotowych wysoko przetworzonych produktów IT, usług i aplikacji, coraz częściej przystosowanych do indywidualnych potrzeb. Komercyjni operatorzy zarządzają sieciami telekomunikacyjnymi, służącymi do przesyłania informacji, bez których ani państwo, ani większość obywateli nie mogłaby już normalnie funkcjonować.

Rosnąca konkurencja w sektorze telekomunikacji wymusza w coraz bardziej spektakularny sposób wzrost efektywności i coraz bardziej innowacyjne specjalizacje biznesowe. Takie podejście było absolutnie niewyobrażalne w warunkach państwowych monopoli. Zmiany w strukturze rynku bywają ostatnio trudne do zrozumienia nawet dla osób, które - na co dzień - są wciągnięte w biznes telekomunikacyjny. Dla zatwardziałych konserwatystów z administracji, przyzwyczajonych do przewagi państwowej monopolistycznej własności i pełnej fizycznej kontroli wszystkiego co rządowe, pouczające powinno być przynajmniej to, że na rynku można kupić już prawie wszystko: bezpieczne łącza o zadanych parametrach jakościowych, zarządzanie usługami w wydzielonych sieciach, przetwarzanie dowolnych zbiorów danych, ich składowanie w warunkach spełniających najostrzejsze normy bezpieczeństwa, wydzielone sieci dyspozytorskie o funkcjonalnościach, o których dotąd nie można było nawet zamarzyć.

Niektórym trudno wciąż przyjąć do wiadomości, że większość zastosowań rządowych można wymodelować w oparciu o usługi i sieci dostępne lub potencjalnie dostępne na komercyjnym rynku, zostawiając zaufanym służbom wyłącznie kierowanie ograniczonym organizacyjnie, ale elastycznym obszarem działania wirtualnego operatora. Istnieje pewne pole, gdzie twarda fizyczna kontrola nad urządzeniami i niektórymi elementami sieci jest obiektywnie uzasadniona, ale w ogólnej skali potrzeb państwa jest ono wąskie.

Bezpieczeństwo na sprzedaż

Bezpieczeństwo stało się komercyjnie oferowanym produktem lub usługą. Nawet bogate państwa pozbyły się ambicji, aby produkować urządzenia kryptograficzne w stuprocentowo kontrolowanych rządowych laboratoriach, bo takich państwowych producentów elektroniki już prawie nie ma. Cała wiedza o tym, jak się produkuje nowoczesne urządzenia teleinformatyczne, przeszła do sektora prywatnego.

Musiało to zacząć dotyczyć również specjalizowanych urządzeń teleinformatycznych, zapewniających bezpieczeństwo kryptograficzne, pomimo lub może właśnie dlatego, że twórcy kryptografii dla zastosowań rządowych z opóźnieniem reagują na rynkowe nowinki technologiczne, długo i uważnie oglądając ze wszystkich stron drogę każdego bitu w urządzeniu, któremu mają zaufać ich rządowi klienci.

Coraz trudniej określić granicę, za którą zaczyna się domena państwa, jeżeli chodzi o wiedzę o bezpieczeństwie. Pewne jest natomiast, że zainteresowani muszą się uczyć na ten temat bezpiecznie rozmawiać, szczególnie kiedy w grę wchodzi interes państwa.

Krytyczna obrona

To sektor prywatny jest właścicielem większości sieci telekomunikacyjnych w państwie. Sieci, za którymi jeszcze stoi pośrednio lub bezpośrednio państwowy właściciel, z reguły są zarządzane również przez komercyjne przedsiębiorstwa, które muszą sprostać coraz ostrzejszym wymogom konkurencji. Państwo przestaje być w poszczególnych sektorach właścicielem, tym samym nie może być zarządcą, natomiast staje się regulatorem i strategicznym organizatorem.

Połączone ze sobą sieci telekomunikacyjne są częścią infrastruktury krytycznej, nie tylko w wąskim zakresie, który dotyczy obsługi kluczowych dla bezpieczeństwa państwa organów administracji, instytucji i przedsiębiorców, co można by wnioskować z definicji zawartej w ustawie o zarządzaniu kryzysowym. Infrastrukturę należy traktować jako krytyczną, jeżeli obniżenie sprawności, przerwanie ciągłości jej działania lub zniszczenie mogłoby mieć poważny wpływ na zdrowie, bezpieczeństwo lub dobro obywateli lub skuteczne działanie władz publicznych bądź gospodarki.

Państwo, które straciło monopol na wiedzę o najnowszych technologiach informacyjnych, rynku telekomunikacyjnym, związanych z nim uwarunkowaniach biznesowych, sposobach wykorzystania i przetwarzania informacji, ma również z natury rzeczy ograniczony dostęp do wiedzy na temat zagrożeń systemów teleinformatycznych, podatności, technik i sposobów ataków, a nawet intencji, które kierują atakującymi.

Rządowe służby, dysponujące wyjątkowymi możliwościami gromadzenia i analizowania informacji wywiadowczych, często w ogóle się nie dowiadują o wielu istotnych zagrożeniach, np. ukierunkowanych atakach na biznesowe sieci komputerowe. W przypadku instytucji finansowych, jak np. sektora bankowego, które opierają swoją wiarygodność na zaufaniu, ochrona informacji o skutecznych atakach jest zwykle zasadą.

Działania, które mogą powodować zagrożenie bezpieczeństwa infrastruktury krytycznej, nie muszą być skierowane wprost przeciwko instytucjom państwa, ale prywatnym przedsiębiorcom, prywatnym właścicielom obiektów infrastrukturalnych. Z drugiej strony sektor prywatny jest na pierwszej linii ataku, ale nie ma dostępu do informacji gromadzonych przez służby bezpieczeństwa państwa, ponieważ z zasady są one tajemnicą państwową.

Rozmawiajmy

Stworzenie dobrego zwyczaju, a technicznie płaszczyzny wymiany wiedzy pomiędzy sektorem prywatnym a rządem, jest bardzo potrzebne. Oglądanie się na jakieś prawdziwe lub wyimaginowane zagrożenia korupcją, które miałyby z tego wynikać, to kompletne nieporozumienie. Wielu zwykłych przedsiębiorców służy państwu za własne pieniądze nie gorzej, niż opłacani z budżetu urzędnicy. Trudno powiedzieć, czemu mogły służyć znane z niedalekiej przeszłości paniczne ostrzeżenia urzędników przed jakimkolwiek wpływem przedsiębiorców branży teleinformatycznej na organizację sieci rządowych, sposobu świadczenia w nich usług, funkcjonalność aplikacji, wybór technologii. W przypadku tych przedsiębiorców, zarządzających infrastrukturą, której sprawne działanie ma znaczenie dla bezpieczeństwa ogółu obywateli, gospodarki lub administracji, taka stała płaszczyzna bezpośrednich roboczych kontaktów bez zbędnych pośredników to imperatyw. To również wyzwanie dla przedsiębiorców, którzy muszą się nauczyć myśleć w kategoriach interesu państwa, budując odpowiednie zasoby do gromadzenia i przetwarzania wiedzy, która temu państwu będzie przydatna


TOP 200