- Atak nastąpi, pytanie kiedy. Potrzebujemy jednego podmiotu kreującego politykę państwa w zakresie cyberbezpieczeństwa- mówi były funkcjonariusz Urzędu Ochrony Państwa i szef Agencji Wywiadu, ekspert Fundacji Pułaskiego Grzegorz Małecki.
Zagrożenia internetowe to ostatnio bardzo modny termin. Co i rusz dochodzą nas kolejne doniesienia o zmasowanych atakach w sieci. Kto w Polsce odpowiada za tę kwestię?
Odpowiedzialność jest rozproszona.
Czyli nikt!
Nie, tak nie można powiedzieć. Każdy odpowiada za swoje podwórko. Nie ma podmiotu wyznaczonego, by odpowiadać za całość tego zagadnienia na poziomie strategicznym. Od mniej więcej 10 lat, gdy politycy uświadomili sobie zagrożenia mogące płynąć z cyberprzestrzeni, na świecie rozpoczęły się prace nad różnymi formami uregulowania tego zagadnienia.
W Polsce podjęto aktywniejsze prace nad problemem w latach 2010–2011. W ramach NASK (Naukowa Akademicka Sieć Komputerowa) już znacznie wcześniej powstał CERT narodowy, czyli zespół reagowania na incydenty (z ang. Computer Emergency Response Team). To był pierwszy krok i w większości krajów właśnie w ten sposób to się zaczęło. Problem w tym, że leży to niejako na marginesie struktur państwowych i że cyberbezpieczeństwo traktuje się jako domenę informatyków. A tym trzeba się zająć nie z poziomu technicznego, ale z politycznego.
A tu mamy konflikt między Ministerstwem Obrony Narodowej a Ministerstwem Cyfryzacji.
Między aktorami danej dziedziny konflikty pojawiają się zawsze. Rywalizacja jest we wszystkich krajach. Z pewnością militarna część bezpieczeństwa opiera się różnym regulacjom ogólnopaństwowym, bo funkcjonuje w systemie niejawnym i ma reagować na zagrożenia zdolności funkcjonowania najważniejszych sektorów państwa. I takie założenie ma swoje racje.
Powstały krajowe ramy polityki cyberbezpieczeństwa 2017–2022, których celem jest „zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych”. To krok naprzód?
Pół kroku. Miała powstać strategia, a powstały tylko jej ramy. Pokazują jedynie kierunek, w którym mamy iść. Brak strategii to dowód, że ścierają się wizje różnych ośrodków i wciąż nikt nie przeforsował swojej. Dobrze się stało, że przyjęto choć ramy, ale konieczne jest skonkretyzowanie ich w formie strategii, która jest nam niezbędna i zgodnie z dyrektywą unijną musimy ją wdrożyć do maja przyszłego roku. Ona powinna być precyzyjnie sformułowana.
Co powinno się w niej znaleźć?
Najważniejsze jest budowanie fundamentów zapobiegających cyberatakom. Chodzi o to, by do nich nie dopuszczać, budując właściwą kulturę i środowisko cyberbezpieczeństwa.
Państwa takie jak Izrael, Francja czy Wielka Brytania uświadomiły sobie, że najbardziej zaawansowane techniki odpowiedzi będą zawodne, jeśli nie zbudujemy systemu, który minimalizuje liczbę incydentów dochodzących do skutku. Trzeba kształtować świadomość użytkowników, bo to na nich spoczywa główny ciężar przygotowania się i wprowadzenia praktyk i mechanizmów zapobiegawczych. To jest budowanie odporności organizmu, jakim są systemy tworzące cyberprzestrzeń danego państwa. Uświadamianie menedżerom wysokiego szczebla, że kwestia cyberbezpieczeństwa jest nie tylko problemem pionów IT, ale że to po prostu jest kwestia bezpieczeństwa instytucji czy firmy. To oddziałuje na fundamenty istnienia całego przedsiębiorstwa i należy poważnie potraktować jako element zarządzania firmą.
Izrael, który dziś jest jednym z państw najbardziej zaawansowanych w tej materii, zaczął właśnie od budowy takiego środowiska. Dopiero na tym buduje się warstwę reagowania na konkretne incydenty.
Jak powinna wyglądać budowa takiego środowiska?
Należy zacząć od podstawowych praktyk, takich jak np. zmienianie haseł. Nie omijać, gdy system wymusza, tylko po prostu zmieniać. Warto blokować dostęp pendrive’ów do portów zewnętrznych i oczywiście nie otwierać e-maili i załączników z nieznanych źródeł. Większość tych praktyk jest na tak elementarnym poziomie. Bo ataki odbywają się najczęściej przez błędy ludzi, którzy są najsłabszym elementem wszystkich systemów.
Gdzie może się zwrócić o pomoc firma, której system okazał się słaby i został skutecznie zaatakowany?
W pierwszej kolejności kontaktuje się z CERT narodowym. Ten dbający o bezpieczeństwo sieci rządowych znajduje się w Agencji Bezpieczeństwa Wewnętrznego, a ten narodowy, Cert.pl, jest usytuowany w Naukowej Akademickiej Sieci Komputerowej, która podlega Ministerstwu Cyfryzacji. W jej ramach funkcjonuje powołane w zeszłym roku Narodowe Centrum Cyberbezpieczeństwa. To pokazuje strukturalną słabość. Bo o pomoc trzeba się zwracać do podmiotu de facto niepublicznego, który działa niejako wewnątrz innej struktury bardzo luźno powiązanej z rządem. To rozwiązanie jest niedoskonałe i trzeba nad nim pracować. CERT-y w wiodących krajach są ulokowane w strukturach rządowych, bardzo często bezpośrednio pod premierem. To daje rangę, moc i zaufanie, a również przełożenie na inne instytucje rządowe.
Biznes, a nawet niektóre instytucje rządowe narzekają że mają obowiązek informować o różnych incydentach naruszających cyberbezpieczeństwo, a nie dostają nic w zamian. Nie otrzymują lekarstwa na chorobę. Czyli drugi poziom szwankuje.
Dzisiaj na stronie Narodowego Centrum Cyberbezpieczeństwa jest informacja, jak należy się bronić. Założenie jest takie, że każdy sobie wejdzie i przeczyta. Ale tak to nie działa. To jest tylko uspokojenie sumienia, że ktoś coś zrobił. Państwo musi wziąć na siebie pokazanie wszystkim uczestnikom rynku, gdzie jest jego odpowiedzialność, a gdzie zaczyna się odpowiedzialność użytkownika. Powinno budować platformy komunikacji pomiędzy głównymi aktorami – instytucjami rządowymi, samorządem, biznesem, środowiskami naukowymi itd.
Ostatnio podczas ataku hakerskiego na Ukrainie publikowano zdjęcia z supermarketów, które były sparaliżowane, bo nie działały kasy. W Polsce tak jeszcze nie było. Rozumiem, że właściwe pytanie nie brzmi czy, ale kiedy?
Tak. To się dzieje cały czas. Podczas tego ataku u nas sparaliżowane zostały np. niektóre firmy kurierskie. Przesyłki ginęły w systemie, nie docierały do adresata itd. Podstawą zwalczania takich rzeczy jest wymiana informacji przez tych, którzy zostali zaatakowani, a to szwankuje na całym świecie. Nikt nie chce się chwalić porażkami. My nawet nie wiemy, jaka jest skala tych ataków. Wiemy jedynie, że one się dzieją cały czas.
Ostatnio na konferencji Cyberweek w Izraelu występował premier Netanjahu, który stwierdził, że w momencie gdy przemawia, Izrael jest celem trzech – pięciu ataków hakerskich. To się dzieje cały czas. Z kolei niedawno Bundeswehra stwierdziła, że w ciągu jednego miesiąca tego roku mieli ok. 280 tys. ataków na swoje sieci.
Trudno się dziwić biznesowi, że nie chce mówić o swoich problemach.
To jasne. Główną motywacją jest to, by nie dowiedziała się konkurencja. Tymczasem państwo powinno zachęcać, by dzielił się on doświadczeniami z branżą. Trzeba stworzyć platformę, by oni mogli się spotkać i porozmawiać. Tak to np. funkcjonuje już między bankami pod egidą Związku Banków Polskich.
Państwo w kwestii cyberbezpieczeństwa z jednej strony jest regulatorem systemu, z drugiej lekarzem, gdy ten system zawiedzie. A rola biznesu?
Chodzi o to, by państwo z biznesem rozmawiało, prowadziło stały dialog. Także o to, aby najnowocześniejsze technologie powstawały u nas, by były kołem zamachowym gospodarki. Trzeba stworzyć specyficzne inkubatory przedsiębiorczości.
Inkubatory mamy przecież od lat.
Jednak nie przynoszą oczekiwanych wyników. Być może państwo nie wykazuje wystarczająco dużego zaangażowania w tego typu działaniach. Jest zbyt pasywne. Chodzi o budowanie właściwego ekosystemu, w którym stykają się główni gracze zainteresowani cyberbezpieczeństwem.
Brzmi pięknie, ale nierealnie.
W niektórych krajach jak USA, Izrael czy Francja to działa. Biznes musi poczuć, że państwo nie tylko żąda, ale również coś daje w zamian. Musi poczuć partnerstwo z państwem. To się powinno przełożyć na tworzenie formuł prawnych do współpracy w ramach partnerstwa publiczno-prywatnego, być może przez zachęty finansowe. To musi być partnerstwo, a nie relacja nierównoprawna, dominacja czy inna forma zależności. Biznes musi czuć, że ma w sferze publicznej partnera, a nie kogoś, kto chce go wykorzystać lub traktuje instrumentalnie, do osiągania własnych celów.
Co powinniśmy zrobić, by cyberbezpieczeństwo w Polsce poprawić?
Temat budowy zdrowego ekosystemu cyberbezpieczeństwa musi otrzymać priorytet z poziomu premiera. Optymalne rozwiązanie to powołanie jednego podmiotu odpowiedzialnego za tego rodzaju zagadnienia na poziomie strategicznym, rządowym. Powinien on podlegać premierowi i jemu raportować. Nie bójmy się tworzyć nowych instytucji. Rzeczywistość jest coraz bardziej skomplikowana i trzeba się do tego dostosowywać. Ciągłe dokładanie zadań istniejącym instytucjom powoduje, że pewne obszary są zarządzane tylko na papierze. Na przykład w Stanach Zjednoczonych obecnie uważa się, że NSA (National Security Agency) jest za duża, potyka się o własne nogi i rozważany jest jej podział. Sfera cyber przenika naszą rzeczywistość w sposób nieprawdopodobny, my nawet nie zdajemy sobie z tego sprawy. Potrzebujemy jednego podmiotu kreującego politykę państwa w zakresie cyberbezpieczeństwa, latarni, na której każdy uczestnik powinien móc polegać.