- Postulujemy porozumienie firm nowych technologii z całego świata, które wspólnie będą bronić swoich klientów. Także przed atakami rządowymi - mówi Brad Smith.
Rośnie zagrożenie cyberprzestępczością lub wręcz cyberterroryzmem, ale czy pan nie przesadza, nawołując do uchwalenia cyfrowej konwencji genewskiej?
W żadnym razie nie uważam, że to przesada. Cyberprzestępczość jest poważnym problemem i wymaga zdecydowanych kroków. Mamy dziś już wiele rodzajów takiej działalności przestępczej. Są osoby prywatne, które czasem traktują to jak hobby. Jest zorganizowana przestępczość, która widzi w tym świetny zarobek. Mamy też państwa, które są zaangażowane w takie działania. Niektóre państwa mają już przepisy wspierające walkę z tymi problemami, ale jasno widać, że mniej lub bardziej skutecznie udaje się walczyć tylko z dwoma pierwszymi typami ataków. Niestety międzynarodowa społeczność nie ma środków, czyli właśnie międzynarodowego prawa, by przeciwdziałać negatywnym skutkom cyberataków inicjowanych przez państwa. Mamy globalne przepisy dotyczące konwencjonalnej broni, ale brakuje podobnego prawa o broni cyfrowej. Dlatego odwołuję się do konwencji genewskich uchwalonych w 1949 r., które były odpowiedzią na doświadczenia II wojny światowej. Uchwalano je, by mieć na przyszłość prawo, które pomoże ochronić cywilów nawet w czasie wojny. Nikt wtedy nie przewidział, że podobnej ochrony potrzebować będziemy także przed zagrożeniami z cyberprzestrzeni w czasie pokoju.
Co konkretnie sprawiło, że pojawił się pomysł tej cyfrowej konwencji?
Nałożyło się na siebie kilka czynników. Mniej więcej od 2010 r. nasiliły się poważne cyberataki, kilka wstrząsnęło całą branżą. Korea Północna zaatakowała firmę Sony w związku z wyprodukowaniem filmu (komedii „Wywiad ze Słońcem Narodu” o próbie zamachu na Kim Dzong Una – red.). Firma została praktycznie najechana przez wandali za to, że wspierała wolność słowa. Doszliśmy do wniosku, że my, jako firma działająca na rynku globalnym, wiemy, jak sobie z tym problemem radzić, zarówno od strony technologicznej, jak i organizacyjnej, by chronić naszych pracowników i klientów. Mamy jednak przekonanie, że wspólnie z innymi możemy to robić o wiele skuteczniej.
Czy w tak podzielonym jak obecnie świecie uda się wciągnąć do takiego systemu obok Stanów Zjednoczonych, Europy także Rosję, Chiny i kraje arabskie?
Interesy poszczególnych państw mogą być mocno rozbieżne. Rządy będą nadal nawzajem się szpiegowały i być może nawet atakowały. W interesie żadnego państwa nie leży, aby zagrożone były jego infrastruktura krytyczna, drogownictwo, energetyka, wodociągi, system publicznej opieki zdrowotnej czy nawet demokratyczne instytucje i procesy. Pod tym względem wszystkie państwa mają wspólny interes. Wiemy doskonale, że może być trudno nakłonić rządy do takiego współdziałania. Dlatego postulujemy inne podejście – porozumienie firm nowych technologii z całego świata, które wspólnie będą działać w obronie swoich klientów, także przed atakami rządowymi. Żeby to się udało, konieczne jest powołanie nowej, niezależnej organizacji na wzór Czerwonego Krzyża lub Międzynarodowej Agencji Energii Atomowej. Mogłaby ona zbierać globalnie informacje o skali i rodzajach cyberataków. Współpracowałaby z uczelniami, ekspertami i organizacjami pozarządowymi, ale także chętnymi rządami. Publikowałaby raporty i badała konkretne źródła zagrożeń. Dziś jednym z podstawowych powodów, dla których rządy używają cyberprzestrzeni do ataków, jest przekonanie, że ujdzie im to na sucho. Czasem rzeczywiście trudno jest wskazać winnego, nie mówiąc już o pociągnięciu go do odpowiedzialności. Firmy nie mogą sobie pozwolić na nagłaśnianie takich spraw, bo np. mają pracowników zatrudnionych w kraju, który dokonał ataku, i mogłoby to stanowić zagrożenie dla nich lub dla klientów. Co innego, gdyby takie informacje opublikowała organizacja międzynarodowa, za którą będzie stało prawo – siła wpływu i nacisku takiej organizacji może być o wiele większa.
Mówi pan o organizacji cywilnej, ale czy w sytuacji ataków inspirowanych przez państwa nie powinniśmy raczej rozważać czegoś na kształt nowego cyber-NATO?
Nie mamy jeszcze szczegółowo wyklarowanego planu. Po raz pierwszy o inicjatywie powiedzieliśmy w połowie lutego, po to żeby zainicjować dyskusję. Inspirujemy do podjęcia tego tematu, ale to nie znaczy, że mamy gotowe rozwiązania i wszystkie odpowiedzi. Zwróćmy uwagę, że organizacje cywilne też mają możliwości sprawnego działania. Wspomniany Czerwony Krzyż jest pozarządową, prywatną organizacją, która właśnie dzięki swojej niezależności od państw i neutralności ma ogromne wpływy. Może pojawiać się na terenach objętych konfliktami i wojnami bez względu na to, kto w nich uczestniczy. Oczywiście nie jest w stanie wstrzymać wojen, ale pomaga cywilom.
Czy rozmawiacie już z firmami z innych krajów? Czy biznes internetowy jest gotowy na takie ponadnarodowe porozumienia?
Pierwszym graczem, który od razu pozytywnie zareagował na moje wystąpienie, był Kaspersky z Rosji, firma specjalizująca się w zapewnianiu bezpieczeństwa sieciowego. Jestem przekonany, że przedsiębiorcom z całego świata będzie zależało na współpracy ograniczającej skutki cyberataków. Jest silne przekonanie, że konieczne są zmiany i my przedsiębiorcy nie powinniśmy bezczynnie czekać. Musimy być ich kołem zamachowym.
Czy pierwszym celem tego „Cyfrowego Czerwonego Krzyża” będą zmiany w prawie międzynarodowym?
Tak, bo są one niezbędne, żeby zapewnić organizacji niezależność i technologiczne możliwości pobierania informacji o inspirowanych przez państwa cyberatakach. Potem powinny być one publikowane, nawet jeżeli początkowo może to wydawać się kontrowersyjne.
Oczywiście będzie wielu ludzi i wiele rządów chcących zabrać głos i przekazać swoje opinie, które trzeba będzie rozważyć. Z drugiej strony jest też wiele rządów zmartwionych rozwojem sytuacji. Historia nas uczy, że umowy dotyczące praw człowieka są łamane, ale mimo wszystko to nie jest powód, by ich nie było. Świat z pewnością jest bezpieczniejszy dzięki temu, że takie normy międzynarodowe zostały ustanowione.
Jak wyobraża pan sobie takie konwencje? Jak miałaby brzmieć jej inwokacja: „Każdy obywatel ma prawo czuć się bezpieczny zarówno w wirtualnej, jak i realnej rzeczywistości”?
Bardzo możliwe, że właśnie tak. Najważniejsze jest to, by nowe prawo obligowało rządy, żeby w czasie pokoju nie przeprowadzały cyberataków na cywilną infrastrukturę krytyczną rozumianą nie tylko jako energetyka, wodociągi czy służba zdrowia, ale także media. To one i swoboda ich działania są niezbędne do zapewnienia bezpieczeństwa społeczeństwom. Dlatego jednym z elementów tej konwencji powinna być ochrona korespondencji, także e-mailowej, dziennikarzy. Bez tego nie mają szansy chronić swoich źródeł.