Cyberbezpieczeństwo jest najważniejsze

Dzięki nowym technologiom świat idzie do przodu. One po prostu ułatwiają nam życie, czyniąc je prostszym, przyjemniejszym, odciążając nas od powtarzalnych czynności dnia codziennego. Pytanie, czy potrafimy, jako społeczeństwa i przedsiębiorstwa, wykorzystać w pełni potencjał, który drzemie w technologiach – mówi Michał Kanownik, prezes Związku Importerów i Producentów Sprzętu Elektrycznego i Elektronicznego „Cyfrowa Polska”.

CW: Spróbujmy zdefiniować pojęcie bezpieczeństwa. Wówczas łatwiej będzie nam identyfikować pewne procesy i zachowania.

Michał Kanownik: Obawiam się, że na omówienie tej sprawy nie wystarczyłby nam cały numer „Computerworlda”… Bezpieczeństwo w klasycznym rozumieniu to np. przebywanie w pewnej strefie komfortu. Wiemy i czujemy – jako ludzie, obywatele – że nic nam nie grozi. Siedzimy teraz w tym pokoju i wiemy, że pomijając jakieś ekstremalne sytuacje, nic nam się tu nie stanie. Budynek stoi, nie ma za oknem oznak klęski żywiołowej, nie toczy się wojna. Ale jeśli spróbujemy przenieść nasze odczucia do świata cyfrowego, to będzie już zupełnie inna sytuacja, niemająca nic wspólnego z naszym fizycznym bezpieczeństwem. Nie dlatego nawet, że za chwilę coś nam będzie zagrażać, jakiś cyberatak, ale nasze poczucie bezpieczeństwa jest zakłócone tym, że tak naprawdę nie wiemy, co dzieje sią za pośrednictwem naszego komputera, telefonu, a nawet smartwatcha.

Czy jesteśmy pewni, że w tej chwili ktoś właśnie nie zagląda nam do plików, nie ogląda zdjęć, które posiadamy w postaci cyfrowej w notebooku? Gdybyśmy mieli chociażby globalny czy lokalny katalog osób, o których wiadomo, że mogą stwarzać zagrożenie, pewnie udałoby się to kontrolować. Nic tak nie uspokaja jak zdefiniowany wróg.

A tymczasem…

Tylko nasza wyobraźnia ogranicza zakres osób, które mogłyby czyhać na nasze dane. Cyberbezpieczeństwo jest ważne dla każdego obywatela, nie tylko instytucji. Z jednej strony poszerza się zakres podmiotów, dla których cyberbezpieczeństwo jest istotne. Z drugiej strony poszerza się w sposób nieograniczony i niezdefiniowany katalog zagrożeń. Pomińmy jednak te zagrożenia, które w jakiś sposób są od każdego obywatela zależne, na które prawdopodobnie, posiadając odpowiednią wiedzę i świadomość poruszania się w cyberświecie, ma wpływ.

Moim zdaniem, przestępcy nie będą w nieskończoność liczyć na to, że pozyskają np. dane przez nasz błąd czy niefrasobliwość. To oczywiście jest istotne zagrożenie, ale atakujący będą szukali możliwości dotarcia do danych, obchodząc nasze najlepsze nawyki i zabezpieczenia. Będą wykazywali się inicjatywą, a nie czekali na nasz błąd. Niebawem dane będą tak cennym produktem na rynku, że konieczne będą wielkie inwestycje w zapewnienie bezpieczeństwa niezależnego od naszych lepszych czy gorszych zachowań w świecie cyfrowym.

Czyli potrzebujemy cyberstrażników. Kto dziś stoi na straży?

Nikt. Oczywiście, od strony formalnej mamy tych strażników. W analogowym bezpieczeństwie mamy policję i inne służby czy instytucje, które zapewniają nam poczucie bezpieczeństwa. Jeśli idziemy przez miasto i widzimy patrol policji, czujemy się bezpieczniej. Mamy świadomość, że ktoś nas pilnuje. W cyberświecie nie ustanowimy policji cyfrowej.

Ale ona przecież jest.

Tak, od strony formalnej jak najbardziej. Ale nie da się fizycznie wstawić „policjanta” do komputera. Dlatego z jednej strony konsument musi zaufać regulacjom, które mogą być mniej lub bardziej skuteczne. Oczywiście trudno wyobrazić sobie regulację, która będzie skuteczna całkowicie w kontekście przyszłych lat i rozwoju świata cyfrowego. Zawsze będzie odrobinę nieszczelna. Konsument musi zaufać państwu w tym zakresie, że robi ono wszystko, co możliwe, by zapewnić bezpieczeństwo. Z drugiej strony państwo musi oprócz samej regulacji jak najwięcej robić w zakresie budowy świadomości konsumenta. Świadomości, jakie są zagrożenia i jakie mogą być ich konsekwencje. Dziś, moim zdaniem, większość małego biznesu i konsumentów nie ma pojęcia o tym, jak daleko idące są zagrożenia w cyfrowym świecie i jak bardzo mogą na tym stracić w mierzalny, finansowy sposób.

Skoro państwo ma nas chronić, jako obywateli, przedsiębiorców, to jak chroni samo siebie?

Nie oszukujmy się, przykładów mniej lub bardziej spektakularnych ataków na instytucje państwowe będzie przybywało. Do niedawna część ataków przechodziła niezauważalnie, nie była nagłaśniana. Teraz jest większa presja, by je pokazywać, ponieważ przez pokazywanie ataków buduje się świadomość zagrożenia. W Polsce mamy ustawę o Krajowym Systemie Cyberbezpieczeństwa, która jest moim zdaniem dobra. W końcu przeszliśmy od trategii do konkretnej ustawy. Teraz jest ważne, by ustawa przekuła się na dobrą praktykę. Mamy dobre podstawy formalne i narzędzia, które możemy wykorzystywać.

Pytanie: jak państwo będzie potrafiło je wykorzystać? Czy uda się zbudować skoordynowaną politykę bezpieczeństwa w ramach resortów? Spójne działania MSW, MON, Ministerstwa Cyfryzacji czy Ministerstwa Zdrowia to minimum. Czy one są? Pewnie nie do końca, ale chcemy wierzyć, że są. Państwo skupiło się na pierwszym etapie, na zapewnieniu poczucia cyberbezpieczeństwa poprzez działania i inicjatywy realizowane na samej górze, czyli na zabezpieczeniu systemów teleinformatycznych. Pytanie, kiedy państwo będzie gotowe, by zejść z pracami i praktyką, na poziom urzędniczy, gdy dojdzie do tych najsłabszych elementów w świecie administracyjnym. Czyli tam, gdzie faktycznie można dokonać wyłomu.

Urzędnicy to raz, a dwa – tak mi się wydaje – to sprzęt, z którego korzystają.

Właśnie! Urządzenia końcowe to bardzo słaby punkt. Najlepszy system teleinformatyczny nie pomoże, jeśli urzędnik będzie używał laptopa firmowego czy smartfona podczas prywatnych wyjazdów i będzie korzystał z niezabezpieczonej i nieznanej sieci. Nie obwiniam tu państwa. To nie jest wina ministra danego resortu, że urzędnicy nie zawsze wiedzą, jak się zachować, by nie narazić danych. To praca u podstaw, budowanie świadomości i wdrażania czasem nawet elementarnych zasad wymagań dla sprzętu, którym posługują się ministerstwa.

Zawsze podaję przykład urządzeń drukujących w organizacjach. Dla przeciętnego użytkownika drukarka jest urządzeniem technicznym – jego zadaniem jest wydrukowanie nam jakiegoś tekstu czy tabelki. A to jest słaby punkt, bo przez to urządzenie w nieograniczony sposób można dostać się do danych w organizacji.

Dlatego w coraz większym stopniu firmy dostarczające sprzęt IT zwracają uwagę swoim klientom, by ci, wybierając dany produkt czy technologię, myśleli chociażby o takich rzeczach jak zabezpieczenie drukarek. Ważne jest wpajanie tej świadomości cyberbezpieczeństwa nie tylko na etapie użytkowania danego urządzenia, ale już na etapie jego wyboru.

Stara prawda mówi, że producent chce sprzedać, a klient kupić. W dobie nowych zagrożeń potrzebna jest więc strona, która będzie niezależnie, obiektywnie rekomendować zakupy. Szczególnie, jeśli mówimy o poziomie państwa.

Firmom zależy, by sprzedać towar – tu się zgadzamy. Odwieczne prawo wolnego rynku, jedni chcą za wszelką cenę sprzedać, drudzy kupić. Niestety, w przetargach publicznych wyraźnie widać, że administracji zależy, by kupować najtaniej. Kryterium cenowe jest wciąż kluczowe. I tu jest problem. Firmy nigdy nie będą obiektywne. Każda będzie zachwalała swoje produkty. Tu, jako związek branżowy, widzimy swoją rolę. Podjęliśmy działania, by zebrać i skatalogować urządzenia końcowe, które są najczęściej kupowane przez administrację i jednocześnie też najbardziej narażone na ataki. Wybraliśmy drukarki, notebooki, smartfony i tablety.

Zebraliśmy opinie producentów tych urządzeń, co według nich należy zrobić, by zminimalizować to ryzyko. Na przykład trudno w przypadku telefonów komórkowych wymienić wymagania techniczne – tu się skupiliśmy na edukacji użytkownika i transparentności produkcji telefonu. Żeby państwo, jako organ wybierający urządzenia dla urzędników, miało możliwość weryfikacji, czy na etapie produkcji tego telefonu nie ma zagrożenia, że coś zostało do niego dodane, co może zostać wykorzystanie do realizacji ataków na system.

Piękna teoria. Tymczasem za oceanem, w państwie, zdawałoby się, świadomym i zabezpieczonym, nagle okazuje się, że w administracji używano urządzeń, przy których ingerowano już na poziomie procesora…

Tego nie da się wyeliminować. Możemy tylko minimalizować ryzyko. Robić wszystko, co jest możliwe i w konsekwencji nie grozi zarzutami, że wykluczamy wolną konkurencję na rynku. To muszą więc być kryteria, które każda firma, jeśli chce, potrafi spełnić. Na przykład zwracamy uwagę na aktualizację oprogramowania drukarek, na zmianę haseł w komputerach. W firmach komercyjnych to standard, w administracji tego najczęściej się nie stosuje. Niestety. Co piąty użytkownik – tak wynika z naszego badania – ma świadomość, że cyberochrony potrzebują także urządzenia wielofunkcyjne.

To co można z tym zrobić?

Rekomendujemy administracji wprowadzenie jako zaleceń w procesie procedury zamówień publicznych pewnych kryteriów, które pomogą minimalizować cyberryzyko. Na przykład w przypadku wyboru smartfonów i urządzeń mobilnych rekomendujemy, by wybierano tylko takie, które posiadają normy bezpieczeństwa systemów teleinformatycznych takie jak Common Criteria.

Namawiamy też administrację, żeby wykorzystać zapisy, które są w ustawie o Krajowym Systemie Cyberbezpieczeństwa, i stworzyć krajowy, polski certyfikat cyberbezpieczeństwa. Żeby urządzenia, które są kupowane przez polską administrację, przechodziły sito i weryfikację w polskiej instytucji. To mógłby być NASK czy Instytut Łączności. Mamy takie instytucje, które mogłyby się tego podjąć z dnia na dzień, ponieważ posiadają odpowiednie kompetencje. Ustawa weszła niedawno, więc dajmy administracji szansę.

Zakładam, że pierwszym krokiem powinno być wypracowanie pewnych rekomendacji, jakie punkty, narzędzia oceny powinny znaleźć się w takim certyfikacie, aby mógł działaćć. Nasze rekomendacje to sugestia dla administracji, czym się kierować, czy wręcz podpowiedzi, co wpisywać jako wymaganie, choćby aktualizację oprogramowania drukarek. To ważne, bo mogę sobie wyobrazić sytuację, że jakaś instytucja robi przetarg na drukarki, a żeby było taniej, to nie chce aktualizacji oprogramowania. A to byłoby fatalne…

W 2018 r. odbył się wielki przetarg Komendy Głównej Policji na dostawę kilkunastu tysięcy notebooków. Czy ktoś zwracał się do Państwa o pomoc i rekomendacje dla zamawianego sprzętu? To są właśnie te momenty, w których administracja powinna nauczyć się pewnych dobrych praktyk.

Nie, nikt się do nas nie zwracał. Ale nie boję się o instytucje takie jak policja czy wojsko, bo zakładam, że są tam specjaliści, którzy nad przetargiem czuwają. Ale boję się o pozostałe resorty, np. resort zdrowia, który dysponuje najbardziej wrażliwymi danymi dotyczącymi nas, obywateli. I to dla nas jest istotne, w jaki sposób tam dobiera się sprzęt, który potem przechowuje nasze dane medyczne. Sposób myślenia urzędnika to lata pracy, zwłaszcza w resortach, które nie są w centrum zainteresowania obywatela, jako mniej wrażliwe dla nas.

Dlatego moim celem jest to, by wprowadzić wspomniany certyfikat krajowy, który będzie musiał spełnić każde urządzenie trafiające do administracji. To optymalne rozwiązanie. Administracja musi inwestować w bezpieczeństwo, bo to nasze bezpieczeństwo. Nie chodzi o to, by minister mógł spać spokojnie, bo ma dobrze zabezpieczony telefon służbowy, ale chodzi o nasze dane, którymi państwo zarządza.

Myślę, że musimy rozdzielić pewne rzeczy związane z cyberbezpieczeństwem. Czym innym będą ataki na nasze dane, realizowane przez przestępców z pobudek chociażby finansowych, a czym innym ingerencja innego państwa. Słyszałem opinię, że jedyny wybór, jaki mamy, to taki, przez jakie państwo chcemy być szpiegowani…

Czy musimy wybierać? Chyba musimy… nie lubię sformułowania „mniejsze zło”, ale trudno znaleźć lepsze określenie. Musimy wybrać coś, co znamy, i mamy świadomość, na ile oddajemy swoje dane komuś. Prosty przykład usługi pocztowej Google. Owszem, jest to w gruncie rzeczy „sprzedanie” danych Amerykanom, ale jeśli – teoretycznie – mielibyśmy wybór między usługą pocztową gmail a mail.ru, to kogo wybierzemy? Myślę, że Amerykanów, ale nie dlatego, że Rosjan nie lubimy, tylko że amerykańskie standardy są dużo wyższe.

Dziś nie mamy możliwości i czasu, by budować polskie chipy, serwery. Musimy siłą rzeczy zdać się na kogoś, komu trochę bardziej zaufamy. Niecałkowicie. Dlatego będziemy ufać tym instytucjom, do których jest nam bliżej ideologicznie, kulturowo, albo mamy poczucie, że tamtejszy rynek ma dobre regulacje. Druga sprawa, naprawdę stać nas na to, by kupować porządne, sprawdzone rozwiązania technologiczne, a nie te najtańsze. Jesteśmy dużym krajem. Wszystko jest kwestią świadomości i przemyślanych wyborów. To nie jest tak, że jesteśmy zdani na jedną technologię. Dwóch dużych operatorów telekomunikacyjnych do wdrożenia technologii 5G wybrało chińskiego producenta. W Łodzi trwa pilotaż 5G Politechniki oparty na rozwiązaniach Ericssona. Więc zawsze można wybierać.

Skoro już mowa o 5G, wydaje się, że ta technologia pomogłaby minimalizować ryzyko płynące z ataków DoS na urządzenia IoT. Często wyobrażam sobie falę ataku płynącą z milionów urządzeń w kierunku Warszawy…

IoT to świetna technologia, ułatwiająca życie i automatyzująca wiele procesów. Ale znów – jako Kowalski niewiele mogę samemu zrobić, by to było bezpieczne. Muszę zaufać komuś, że nad tym czuwa. Czyli to państwo musi być tym strażnikiem, które tworzy regulacje, i w razie czego utrudni możliwość ataku DoS. Czy państwo jest w stanie? Nie wiem, wierzę, że tak, ale wolałbym w praktyce tego nie sprawdzać. 5G jest jakąś szansą, by IoT działało w bezpieczniejszy sposób, ale z drugiej strony pojawia się tu jeszcze inne, mało identyfikowane zagrożenie. A co, jeśli ktoś wyłączy internet?

Jak to wyłączy?

Wyłączenie internetu może być bronią w cyberwojnie albo narzędziem nacisku na politykę państwa w czasie pokoju. Z siecią internetową dziś jest jak z gazem pochodzącym z Rosji. Moskwa jako główny dostawca do krajów Europy Środkowo-Wschodniej bardzo długo traktowała ten surowiec jako element dyktowania polityki w regionie.

Obecnie tak samo ten, kto posiada w swoich rękach infrastrukturę sieciową, którą mógłby wyłączyć w dowolnym momencie na dowolnym wybranym obszarze, ma w praktyce olbrzymią władzę. Dlatego lepiej polegać w tym obszarze na technologii i rozwiązaniach państw, z którymi łączą nas sojusze.