Cyberzagrożeniom trzeba zapobiegać, a nie leczyć ich skutki

Ministerstwo Cyfryzacji opublikowało „Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”. Dokument ten przygotowuje grunt pod przyjęcie unijnej dyrektywy w sprawie bezpieczeństwa sieci, która postuluje wprowadzenie jednolitego standardu cyberbezpieczeństwa, m.in. poprzez uregulowanie obowiązków firm w zakresie stosowania procedur ochronnych oraz ich współpracy z instytucjami państwowymi. Niestety, Strategia ma reaktywny charakter i w rezultacie koncentruje się bardziej na wprowadzaniu systemów monitorowania i łagodzeniu negatywnych skutków zagrożeń, aniżeli zapobieganiu im. 

Strategia, odwołując się do treści dyrektywy w sprawie bezpieczeństwa sieci i informacji (Network and Information Security Directive – NIS), definiuje kilka konkretnych zadań. Pierwszym z nich jest powołanie w administracji państwowej zespołów reagowania na incydenty  w cyberprzestrzeni. Po drugie, dokument zakłada stworzenie w Ministerstwie Cyfryzacji Ośrodka Koordynacji Działań związanych z ochroną cyberprzestrzeni, zgodnie z zaleceniem NIK do czasu wdrożenia docelowych struktur. Po trzecie, Strategia wskazuje na konieczność uzupełnienia Krajowego Planu Zarządzania Kryzysowego o zagrożenia związane z cyberbezpieczeństwem. Wreszcie, postuluje się opracowanie i wdrożenie Strategii Ochrony Cyberprzestrzeni Państwa.

Dotychczas w administracji naszego kraju funkcjonowały równolegle różne instytucje (cywilne i wojskowe) odpowiedzialne za ogólnie rozumiane bezpieczeństwo, którym powierzono także pewne kompetencje w zakresie cyberbezpieczeństwa.

Strategia dowodzi, że ten rodzaj bezpieczeństwa zasługuje na wyodrębnienie wyspecjalizowanego ośrodka. Dlatego zgodnie z założeniami Strategii, funkcję tę ma pełnić Ministerstwo Cyfryzacji (MC), które będzie odpowiedzialne za tworzenie, konsultowanie i przedstawianie odpowiednich rozwiązań legislacyjnych pozwalających na funkcjonowanie całego systemu bezpieczeństwa cyberprzestrzeni.

Po drugie, MC działając w logice horyzontalnej będzie odpowiedzialne za przygotowywanie projektów aktów prawnych o charakterze międzysektorowym, a także harmonizację z prawodawstwem Unii Europejskiej. Warto również zauważyć, że Strategia postuluje utworzenie we współpracy z podmiotami rynkowymi oraz środowiskiem akademickim ośrodka analitycznego −Narodowego Centrum Cyberbezpieczeństwa. Rozwiązanie to przypomina próbę zastosowania na poziomie państwa doświadczeń znanych z kultury korporacyjnej. Z tej perspektywy nowy ośrodek pełniłby funkcję państwowego CSO (Chief Security Officer), jak w korporacjach określa się osobę odpowiedzialną za wdrażanie i utrwalanie procedur bezpieczeństwa. Poza rozwiązaniami o charakterze instytucjonalnym, głównym założeniem projektu jest standaryzacja procedur reagowania w sytuacji zagrożeń. W praktyce oznacza to stały monitoring, opracowanie procedur reagowania na ataki oraz w sytuacji ich wystąpienia szacowanie i minimalizację strat.

Strategia ma za zadanie przygotować państwo do reagowania na sytuacje kryzysowe w cyberprzestrzeni. Niestety, twórcy dokumentu nie docenili znaczenia działań o charakterze prewencyjnym.

W rezultacie, założenia Strategii można przyrównać do sytuacji, w której dowódca tworzy ambitny plan obrony cyfrowej fortecy, a jednocześnie zapomina wyjaśnić obrońcom, iż nie powinni otwierać bram bez sprawdzenia, kto zapukał.

Najlepsze drzwi antywłamaniowe i system alarmowy nie wystarczą bowiem do zapewnienia bezpieczeństwa naszemu domowi w sytuacji, gdy nie nauczymy dziecka, że nie można wpuszczać do domu obcych. Niestety, polskiemu społeczeństwu wciąż brakuje cyfrowej kindersztuby − pamiętamy, by zamykać drzwi domu na klucz, ale wciąż powszechnie używamy przez wiele lat tych samych słabych haseł. Przykładowo, z badań przeprowadzonych w styczniu br. przez IQS na zlecenie mBanku wynika, że Polacy lekceważą kwestie bezpieczeństwa w sieci. Co prawda w założeniach Strategii autorzy wspominają o konieczności przeznaczenia środków na edukację w zakresie cyberbezpieczeństwa, ale nie określono w precyzyjny sposób celu takich działań i kogo dokładnie miałyby one objąć. A trzeba pamiętać, że każdy użytkownik sieci jest podatny na zagrożenia i wszystko, co jest związane z życiem zapośredniczonym przez sieci komputerowe, staje się infrastrukturą krytyczną, decydującą czasem o życiu lub śmierci.

Analizując nową strategię cyberbezpieczeństwa należy zdać sobie sprawę, że podstawowy problem z bezpieczeństwem w Internecie wynika z samej jego konstrukcji. Sieć nie została bowiem zaprojektowana jako obszar bezpieczny, poddający się kontroli. Zgodnie z założeniami twórców Internetu, Sieć jest strukturą informacyjno-komunikacyjną, która dzięki cechom rozproszenia, amorficzności i decentralizacji umożliwia przechowanie danych i komunikację w warunkach uderzenia jądrowego. W efekcie nie można w prosty sposób kontrolować Internetu ani zapewnić bezpieczeństwa jego użytkownikom. Można jedynie łagodzić negatywne skutki korzystania z Sieci dzięki zarządzaniu bezpieczeństwem teleinformatycznym. W praktyce oznacza ono kontrolowanie zakresu, w jakim inne systemy – ludzie, maszyny, czy wręcz całe fabryki, są uzależnione od Internetu.

Z tego powodu na poziomie państwa, a być może także na poziomie regionalnym, musimy określić, jakie elementy infrastruktury nie powinny być oparte i uzależnione od sieci teleinformatycznych. Nie chodzi tu wyłącznie o przygotowanie proponowanej w Strategii łączności zapasowej na wypadek awarii.

Chodzi o intencjonalne zarządzanie cyfrowym wykluczeniem,na które należy spojrzeć nie jako na symptom cywilizacyjnego zacofania, ale jako zasób strategiczny państwa.

Niestety autorzy Strategii proponują, by problem uzależnienia funkcjonowania infrastruktury krytycznej państwa, przedsiębiorstw i obywateli od sieci teleinformatycznych rozwiązywać poprzez pogłębianie tegoż uzależnienia. W ten sposób problem społeczno-organizacyjny został przez autorów Strategii sprowadzony wyłącznie do kwestii natury technicznej.

Tekst pierwotnie został opublikowany na stronie Centrum Analiz Klubu Jagiellońskiego.