Cyberbezpieczeństwo to strategiczne wyzwanie dla państwa

Dziś nie trzeba używać rakiet, bomb czy czołgów, by pozbawić państwo dostępu do energii elektrycznej czy zakłócić funkcjonowanie transportu. W cyberataku słabszy może pokonać silniejszego – opisuje ekspert Joanna Świątkowska.

Aktualizacja: 26.12.2015 07:56 Publikacja: 26.12.2015 01:00

Foto: 123RF

Coraz bardziej napięta sytuacja geopolityczna w Europie, a szczególnie konflikt hybrydowy na wschodzie Ukrainy oraz nasilająca się działalność tzw. Państwa Islamskiego wymagają zwiększenia cyberbezpieczeństwa Polski. Odniesienia do tych wyzwań brakuje w toczącej się debacie publicznej – pisze dr Joanna Świątkowska, ekspert Instytutu Kościuszki, dyrektor programowy Europejskiego Forum Cyberbezpieczeństwa CYBERSEC, organizowanego pod patronatem medialnym „Rzeczpospolitej".

Cyberprzestrzeń stwarza ogromne możliwości, będąc jednocześnie źródłem coraz większych zagrożeń – tak poważnych, że wymagają zaangażowania wielu podmiotów zarówno państwowych, jak i prywatnych. W Polsce 2015 r. cyberbezpieczeństwo powinno się doczekać zaawansowanych i merytorycznych dyskusji najważniejszych decydentów. Konieczność zmian organizacyjnych, reform instytucjonalnych i prawnych, większych inwestycji oraz zwiększania kompetencji kadr – to tylko niektóre z wniosków płynących z tegorocznej pierwszej edycji Europejskiego Forum Cyberbezpieczeństwa, które odbyło się we wrześniu w Krakowie. Problem powinien zostać potraktowany priorytetowo, bo jak zauważa CERT.GOV.PL w raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2014 r., rok ten pod względem liczby otrzymanych zgłoszeń oraz obsłużonych incydentów okazał się rekordowy.

To naczynia połączone

Współczesny świat, funkcjonowanie państwa, społeczeństwa, firm opiera się na niezakłóconym działaniu systemów teleinformatycznych. Dzięki nim możliwa jest m.in. komunikacja oraz prawidłowe funkcjonowanie najważniejszych z punktu widzenia bezpieczeństwa kraju obiektów, instalacji, usług, czyli infrastruktury krytycznej. Banki, elektrownie, operatorzy komórkowi czy lotniska nie mogą już działać bez systemów teleinformatycznych. Skalę uzależnienia świata od internetu obrazuje ilość podłączonych do niego urządzeń, którą szacuje się na 30 miliardów w 2020 r.

Dziś cyberatak na infrastrukturę krytyczną doprowadzić może do olbrzymich zniszczeń fizycznych zagrażających często życiu ludzkiemu czy środowisku naturalnemu. Ponieważ infrastruktura krytyczna to zespół naczyń połączonych, awaria w jednym sektorze może prowadzić do kaskadowych awarii w innych. Na przykład brak prądu paraliżuje równocześnie transport, system finansowy i łączność oraz wiele innych podstawowych usług. W takim wypadku obnażona zostaje zarówno słabość zaatakowanego państwa, jak i podważony jest jego wizerunek. Sparaliżowanie wszystkich najważniejszych systemów teleinformatycznych kraju nie jest już scenariuszem filmów science fiction, gdyż za cyberatakami coraz częściej stoją profesjonalnie zorganizowane grupy wspierane przez podmioty państwowe. Coraz więcej krajów dostrzega możliwości, jakie daje cyberprzestrzeń i rozwija potencjał działań ofensywnych. Co więcej, najważniejsi gracze deklarują możliwość użycia kinetycznych środków w odpowiedzi na ataki cyfrowe. Ryzyko eskalacji konfliktu w wyniku incydentów w cyberprzestrzeni stało się zatem realne.

Zagrożenia, ataki, przestępstwa

Sytuacja geopolityczna w Europie jest coraz bardziej napięta. Polska znajduje się w pierwszym szeregu państw narażonych na skutki negatywnego rozwoju sytuacji na Ukrainie. W scenariuszu eskalacji konfliktu jest bardzo prawdopodobne, że to właśnie cyberprzestrzeń może zostać wykorzystana do prowadzenia działań destabilizujących sytuację w regionie.

Cyberataki doskonale wpisują się w naturę wojny hybrydowej, czyli nowoczesnej formy konfliktu, którą obserwujemy za wschodnią granicą. A to dlatego, że po pierwsze, cyberprzestrzeń daje możliwość osiągania założonych rezultatów przy relatywnie niskich kosztach. Dziś nie trzeba używać drogich rakiet, bomb czy czołgów, aby pozbawić państwo dostępu do energii elektrycznej czy zakłócić funkcjonowanie transportu. Tańsze narzędzia teleinformatyczne mogą być z powodzeniem stosowane zarówno przez podmioty państwowe, jak i pozapaństwowe. Cyberatak stał się zatem bardzo atrakcyjnym narzędziem konfliktów asymetrycznych, w których słabszy podmiot może doprowadzić do zneutralizowania przewagi rywala. Po drugie, działania w cyberprzestrzeni mogą pozostać anonimowe. Bardzo ciężko bowiem jednoznacznie ustalić, kto jest odpowiedzialny za cyberatak. Agresor może przechwycić komputery niczego nieświadomych użytkowników i wykorzystując je, stworzyć globalną sieć do przeprowadzenia agresywnych cyberdziałań. Tak jak w aktualnie prowadzonej wojnie hybrydowej na Ukrainie, nieoznaczone „zielone ludziki", „białe konwoje" oraz inne formy maskirowki pozwalają unikać Rosji jednoznacznej odpowiedzialności politycznej za eskalację konfliktu, tak możliwość anonimizacji cyberataków może służyć destabilizowaniu funkcjonowania całego państwa lub wybranych elementów infrastruktury krytycznej bez oficjalnego angażowania się w konflikt państwa-agresora.

Po trzecie, choć ataki w cyberprzestrzeni często nie mają konsekwencji w postaci fizycznych zniszczeń, to mogą prowadzić do napięć i problemów wewnątrzpaństwowych lub międzypaństwowych. Cyberprzestrzeń daje możliwości prowadzenia działań nakierowanych na zniszczenie wizerunku państwa i podkopanie zaufania obywateli do władzy. Na przykład potencjalny atak na systemy teleinformatyczne organów podatkowych może spowodować wyciek wrażliwych informacji lub ich zmanipulowanie, a w konsekwencji doprowadzić do chaosu, osłabienia państwa i utraty wiarygodności w oczach jego obywateli. Łatwo wyobrazić sobie także zmasowane akcje dezinformujące, zmierzające do eskalacji politycznych konfliktów i podsycania negatywnych nastrojów społecznych. Destabilizacja przeciwnika poprzez systematyczne działania propagandowe doskonale pasuje do scenariusza konfliktu ukraińskiego. Moskwie pozwala utrzymać niepokój wewnętrzny na Ukrainie, a Kijowowi utrudnia prowadzenie skutecznych działań politycznych na arenie międzynarodowej.

Po czwarte, cyberprzestrzeń jest coraz częściej areną bardzo intensywnych działań szpiegowskich nakierowanych na pozyskanie tajemnic państwowych i informacji gospodarczych. Według raportów firm zajmujących się bezpieczeństwem teleinformatycznym celem szpiegostwa w sieci są najważniejsze instytucje administracji rządowej i kluczowe z punktu widzenia polskiej gospodarki przedsiębiorstwa z sektora energetycznego. Utrata najpilniej strzeżonych informacji oznacza osłabiane potencjału państwa w najważniejszych obszarach jego funkcjonowania. Co więcej, często prawdziwe skutki ataków przeprowadzonych dzisiaj mogą być zauważone dopiero w przyszłości. Czyli w momencie, w którym agresor zdecyduje się uruchomić zaplanowany wcześniej łańcuch zdarzeń.

Pomijając działania związane z konfliktami międzynarodowymi, cyberataki niosą także olbrzymie straty finansowe dla podmiotów komercyjnych i zwykłych obywateli. Jak pokazują dane, na które powołuje się Europol, dochody z cyberprzestępstw już teraz przynoszą grupom przestępczym większe zyski niż handel marihuaną, kokainą i heroiną łącznie.

Co zatem robić?

Wszystko to pokazuje, że cyberbezpieczeństwo jest jednym z najważniejszych wyzwań każdego cywilizowanego i niefasadowego państwa. Świadomi tego faktu decydenci muszą pilnie podjąć wiele przemyślanych i usystematyzowanych działań. Ekspansja informatyzacji w połączeniu z zagrożeniami geopolitycznymi powoduje, że prowadzone dotychczas przez polskie państwo działania punktowe nie są adekwatne do zagrożeń. Obrazujący skalę zaniedbań raport przedstawiła w czerwcu Najwyższa Izba Kontroli. Kontrolerzy stwierdzili, że administracja państwowa nie podjęła dotychczas niezbędnych działań, mających na celu zapewnienie bezpieczeństwa teleinformatycznego Polski, poprzez m.in. brak stworzenia adekwatnej wobec wyzwań narodowej strategii cyberbezpieczeństwa, brak niezbędnych regulacji prawnych oraz niespójną i nieefektywną politykę najważniejszych podmiotów państwowych odpowiedzialnych za bezpieczeństwo Polski w wymiarze teleinformatycznym.

W Polsce powoli dostrzegana jest konieczność podejmowania działań związanych z cyberbezpieczeństwem.

W maju ubiegłego roku przedstawiciele: Agencji Bezpieczeństwa Wewnętrznego z Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL, Ministerstwa Obrony Narodowej, Służby Kontrwywiadu Wojskowego, Wojskowej Akademii Technicznej oraz CERT Polska zwyciężyli ćwiczenia NATO LOCKED SHIELDS 2014. Także polski zespół Dragon Sector zwyciężył międzynarodowe zawody „Capture Flag", pokonując między innymi rywali z USA czy Rosji. Wiele ważnych inicjatyw, takich jak utworzenie Narodowego Centrum Kryptologii czy formowanie Centrum Operacji Cybernetycznych, jest prowadzonych w Ministerstwie Obrony Narodowej. Działania zabezpieczające cyberprzestrzeń podejmuje również Rządowe Centrum Bezpieczeństwa. Biuro Bezpieczeństwa Narodowego przygotowało doktrynę cyberbezpieczeństwa RP. Ministerstwo Administracji i Cyfryzacji wraz z Agencją Bezpieczeństwa Wewnętrznego stworzyło politykę ochrony cyberprzestrzeni RP. – Powyższe inicjatywy i dokumenty wymagają jednak pogłębienia i ulepszenia, aby pełniej odpowiadały rosnącym wyzwaniom.

Pomimo wskazanych pozytywnych inicjatyw w opinii wielu ekspertów i decydentów nie jesteśmy gotowi na obronę przed agresywnymi działaniami w cyberprzestrzeni. Gigantyczna skala wyzwań i realnych zagrożeń dla instytucji państwa, całej gospodarki, jak również społeczeństwa obywatelskiego wymaga zdecydowanie większego wysiłku.

Nie można zwlekać

W wymiarze wewnątrzpaństwowym budowa cyberbezpieczeństwa wymaga działań systemowych. Konieczne jest jasne określenie ról i odpowiedzialności podmiotów państwowych zaprojektowanie koordynacji ich zadań. Musi zostać wzmocniony potencjał zaangażowanych podmiotów, a także podejmowane skuteczne działania z obszaru zarządzania ryzykiem. W tym celu należy przeprowadzić konieczne zmiany legislacyjne pozwalające między innymi na egzekwowanie nałożonych zobowiązań oraz zwiększyć inwestycje finansowe w różne obszary związane z bezpieczeństwem. Wszystko to musi iść w parze z intensywnymi działaniami edukacyjnymi.

Natura cyberprzestrzeni nie pozwala na osiągnięcie założonych celów przy użyciu znanych, konwencjonalnych koncepcji i narzędzi. Nie można na przykład zabezpieczyć zewnętrznych jej granic za pomocą wojska. W dodatku państwo nie sprawuje bezpośredniej kontroli nad systemami informatycznymi, które są kluczowe z punktu widzenia zarówno administracji publicznej, obywateli, jak i przedsiębiorców. Dlatego jednym z fundamentalnych warunków sukcesu w zakresie budowy cyberbezpieczeństwa jest umiejętne przebudowanie hierarchicznego modelu zapewniania bezpieczeństwa i uzupełnienie go dobrze funkcjonującą współpracą publiczno-prywatną. Sektor publiczny powinien skutecznie wspierać i mobilizować podmioty prywatne do dbania o wysoki poziom cyberbezpieczeństwa. Działania powinny być mieszanką wymagań i realnej pomocy w szeroko rozumianych inwestycjach w bezpieczeństwo. W wymiarze międzynarodowym Polska powinna coraz aktywniej brać udział we wszystkich działaniach prowadzących do wzmacniania bezpieczeństwa cyberprzestrzeni. Organizacje międzynarodowe, takie jak NATO i UE, dają instrumenty pomagające wzmacniać poziom cyberbezpieczeństwa. Równie istotna, dla budowania swoich własnych zdolności, jest wymiana dobrych praktyk i doświadczeń z sojusznikami oraz próba wypracowania określonych porozumień także z podmiotami mającymi odmienne punkty widzenia. Przede wszystkim Polska powinna stać się liderem regionu Europy Środkowo-Wschodniej we wzmacnianiu cyberbezpieczeństwa. Wskazane działania muszą być prowadzone tu i teraz z pełną determinacją i zaangażowaniem wszystkich interesariuszy i dostępnych zasobów.

Analiza poważnych incydentów w cyberprzestrzeni z udziałem podmiotów państwowych wskazuje, że ataki w cyberprzestrzeni zawsze towarzyszą realnym konfliktom. Wzrost napięć politycznych w Europie i na świecie musi iść w parze ze wzmożonymi działaniami nakierowanymi na wzmocnienie poziomu cyberbezpieczeństwa. Nie można zwlekać, aby powiedzenie „mądry Polak po szkodzie" po raz kolejny nie okazało się boleśnie prawdziwe.

Autorka jest ekspertem Instytutu Kościuszki, dyrektorem programowy Europejskiego Forum Cyberbezpieczeństwa CYBERSEC organizowanego pod patronatem medialnym „Rzeczpospolitej"

Coraz bardziej napięta sytuacja geopolityczna w Europie, a szczególnie konflikt hybrydowy na wschodzie Ukrainy oraz nasilająca się działalność tzw. Państwa Islamskiego wymagają zwiększenia cyberbezpieczeństwa Polski. Odniesienia do tych wyzwań brakuje w toczącej się debacie publicznej – pisze dr Joanna Świątkowska, ekspert Instytutu Kościuszki, dyrektor programowy Europejskiego Forum Cyberbezpieczeństwa CYBERSEC, organizowanego pod patronatem medialnym „Rzeczpospolitej".

Cyberprzestrzeń stwarza ogromne możliwości, będąc jednocześnie źródłem coraz większych zagrożeń – tak poważnych, że wymagają zaangażowania wielu podmiotów zarówno państwowych, jak i prywatnych. W Polsce 2015 r. cyberbezpieczeństwo powinno się doczekać zaawansowanych i merytorycznych dyskusji najważniejszych decydentów. Konieczność zmian organizacyjnych, reform instytucjonalnych i prawnych, większych inwestycji oraz zwiększania kompetencji kadr – to tylko niektóre z wniosków płynących z tegorocznej pierwszej edycji Europejskiego Forum Cyberbezpieczeństwa, które odbyło się we wrześniu w Krakowie. Problem powinien zostać potraktowany priorytetowo, bo jak zauważa CERT.GOV.PL w raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2014 r., rok ten pod względem liczby otrzymanych zgłoszeń oraz obsłużonych incydentów okazał się rekordowy.

Pozostało 89% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Opinie Prawne
Prof. Pecyna o komisji ds. Pegasusa: jedni mogą korzystać z telefonu inni nie
Opinie Prawne
Joanna Kalinowska o składce zdrowotnej: tak się kończy zabawa populistów w podatki
Opinie Prawne
Robert Gwiazdowski: Przywracanie, ale czego – praworządności czy władzy PO?
Opinie Prawne
Ewa Szadkowska: Bieg z przeszkodami fundacji rodzinnych
Opinie Prawne
Isański: O co sąd administracyjny pytał Trybunał Konstytucyjny?