Drużynowy sport cyberbezpieczeństwo

Podpisując „Rozporządzenie wykonawcze ws. dzielenia się informacjami nt. zagrożeń dla cyberbezpieczeństwa", prezydent Barack Obama powiedział: „Świat cyfrowy to bardzo dziki Zachód...". Niestety, czasy samotnego szeryfa stającego do pojedynku z czarnym charakterem w centrum miasteczka dawno minęły. Problem przypomina raczej film „Pogromcy duchów" („Ghostbusters"), bo nasi wrogowie pojawiają się i znikają niczym zjawy. I stanowią powszechne zagrożenie dla wszystkich: konsumentów, państw, firm, gospodarek, branż, obywateli...

Ale chociaż dostrzegamy to niebezpieczeństwo, to nadal oczekujemy scenariusza niczym z filmu „W samo południe". Coraz częściej deklarujemy, że do przeciwstawienia się „wrogowi" konieczna jest współpraca. Wciąż jednak wygląda na to, że istnieje tu wiele różnych punktów widzenia, różnych stanowisk, różnych interesów... Przypadek Edwarda Snowdena zwrócił powszechną uwagę na istotną kwestię zachowania równowagi pomiędzy bezpieczeństwem narodowym a prywatnością informacji.

Sprzeczne interesy

Każdy zgadza się z tym, że należy dzielić się informacjami, by chronić nasze kraje, firmy i prywatne dane przed cyberatakami. Z drugiej strony nie chcemy jednak się zgodzić, by „ktoś mnie podglądał". Coraz bardziej obawiamy się utraty prywatności czy przewagi konkurencyjnej.

Istnieje rozdźwięk na poziomie stosunków międzypaństwowych. Mamy do czynienia z wrogiem, który z łatwością przekracza granice. Natomiast my, jako „ci dobrzy", musimy stosować się do systemów legislacyjnych, które różnią się w zależności od kraju. Każde śledztwo jest trudne i czasochłonne. Dodatkowo kraje stosują różne kary za cyberprzestępstwa. Więc nawet jeśli zostaniesz złapany, ale znajdujesz się w odpowiednim miejscu, to karą może być np. sześć miesięcy pozbawienia wolności w zawieszeniu. W porównaniu z potencjalną „nagrodą", to niezbyt duże ryzyko.

Wojskowi stratedzy również dostrzegli potencjał cyberprzestrzeni. Wygląda na to, że można w niej wyrządzić wrogowi największe szkody. Atrakcyjność takich działań zwiększa fakt, że podczas ataku pozostajesz anonimowy. Jeśli wystrzelisz standardowy pocisk, to w ciągu kilku minut każdy wie, że to ty. Jeśli zaatakujesz jakiś ważny element infrastruktury i odetniesz prąd w danym kraju, potrzeba dużo czasu, zanim zaczną cię podejrzewać. Dlatego na poziomie międzynarodowym trudno jest dojść do jakiegokolwiek porozumienia.

Istnieje również rozdźwięk pomiędzy instytucjami prywatnymi i państwowymi. Z zasady współpraca pomiędzy tymi dwoma sektorami jest trudna. Podlegają one ponadto różnym regulacjom w zależności od kraju. Podstawową zasadą kapitalizmu jest wolny rynek. Dlatego każda państwowa interwencja uznawana jest za zagrożenie dla swobody działalności gospodarczej. Podstawowym argumentem jest to, że instytucje prywatne prowadzą działalność na własne ryzyko, dlatego muszą troszczyć się o własne bezpieczeństwo. Trudno jest jednak oczekiwać, by nawet duże przedsiębiorstwa mogły dokonać tego własnymi siłami.

Cyberatak na Sony Pictures Entertainment pokazuje, że nikt nie jest bezpieczny. Szczególnie, że w przypadku Sony mieliśmy prawdopodobnie do czynienia z atakiem dokonanym przez państwo na prywatne przedsiębiorstwo. Pokazuje to, że istnieje potrzeba współpracy w tym zakresie, ale nie opracowano jeszcze odpowiedniego mechanizmu.

Dyskusja rozgorzała ze szczególną siłą po 11 września 2001 r., wraz z wojną z terroryzmem, ale czy doszliśmy do jakichś wniosków? Czy widzimy problem w tym, że moje lub jakiekolwiek inne państwo przegląda moje prywatne e-maile w poszukiwaniu podejrzanych słów?

Bez względu na zagrożenia każda spółka, która podpisała z państwem oficjalną umowę nt. wymiany informacji dotyczących jej klientów może znaleźć się w tarapatach. Jako klienci pragniemy mieć pełne prawo do decydowania o naszych osobistych i prywatnych danych. Ważne, by pamiętać, jak zakończyła się próba porozumienia w sprawie ochrony własności intelektualnej. Sprawa ACTA wywołała dyskusje, czasami gwałtowne.

Wygląda na to, że znaczna część ludzi traktuje cyberprzestrzeń jako obszar nieuregulowany. Negocjowany przez długie lata projekt został uznany za atak na wolność w internecie. Moim zdaniem postrzeganie cyberprzestrzeni i jej wolności nie zmieniło się od tamtego czasu. W tym znaczeniu jest to nadal „...bardzo Dziki Zachód".

W końcu także przedsiębiorstwa wydają się być mało zainteresowane walką z cyberprzestępczością. Głównym powodem do zmartwienia wydaje się przewaga konkurencyjna. Krąży opinia, że każdy cyberatak na naszego konkurenta pozwala wzmocnić własną pozycję rynkową. Prowadzi to do dużego oporu w sprawie dzielenia się informacjami na temat cyberataków.

Pojawia się pytanie, czy na przykład zakrojony na dużą skalę cyberatak na dany bank nie zmniejsza poziomu zaufania do całego sektora bankowego? Jeśli odpowiedź na nie jest twierdząca, to gdy nasz konkurent ma kłopoty, z punktu widzenia przewagi konkurencyjnej wygrywamy bitwę, ale przegrywamy wojnę.

Cyberprzestrzeń jak kosmos

Co możemy zrobić? Dokąd mamy zmierzać? Ważnym krokiem może być potraktowanie cyberprzestrzeni tak jak przestrzeni kosmicznej. Ze wszystkimi tego konsekwencjami dla każdego z aspektów prawa międzynarodowego. Przyjęcie założenia, że cyberprzestrzeń nie jest umiejscowiona na konkretnym serwerze w konkretnym kraju z miejscową jurysdykcją, lecz stanowi odrębny wymiar, otwiera wiele nowych możliwości i może stanowić skrót do tworzenia przepisów międzynarodowych.

Tymczasem powinniśmy zrobić wszystko, co w naszej mocy, na naszych rynkach lokalnych. Spójrzmy na bankowość, która jest moją dziedziną. Fakt, że coraz większa część klientów wykorzystuje nowoczesne kanały komunikacji, oczywiście zwiększa ryzyko zaistnienia cyberprzestępstw. Przed erą bankowości mobilnej istniała dużo lepsza kontrola nad komunikacją z klientami. W razie wystąpienia czegoś na kształt cyberataku, można było załatwić sprawę po cichu – bank bezzwłocznie wypłacał odszkodowanie klientowi i nie było konieczności roztrząsania tego problemu.

Dzisiaj wraz z rosnącą otwartością urządzeń mobilnych oraz lepszymi umiejętnościami hakerów, liczba takich incydentów rośnie w szybkim tempie. Potencjalny koszt wypłaty odszkodowań wszystkim klientom poszkodowanym przez cyberataki (bez względu na to, czy stało się to z winy banku czy nie) staje się zbyt wysoki. Stajemy zatem przed koniecznością informowania klientów, że istnieje ryzyko utraty pieniędzy, którego bank nie weźmie na siebie.

Dobrym testem może być sprawdzenie, czy jest szansa na osiągnięcie porozumienia w odniesieniu do wspólnej polityki w ramach sektora bankowego oraz w ramach jednego kraju. Czy wiemy, jak poinformować naszych klientów o tym, że nie wszystko jest tak bezpieczne, jak myślą? Jak nie stracić ich zaufania? Czy możemy rozwiązać ten problem nie w trybie „konkurencyjnym", a raczej w trybie „współpracy"? Czy możemy dokonać tego jako sektor, bez żadnych wyjątków? Wydaje się, że jest to wyzwanie, które można pokonać bez globalnych decyzji lub zmian systemu legislacyjnego. Jeśli uda nam się to zrobić, to wykażemy się umiejętnością pracy zespołowej.

Scenariusz rabunku banku

Inny przykład, również z dziedziny bankowości, potwierdza, że w celu zwiększenia bezpieczeństwa musimy współpracować i być gotowi na kompromisy. Jeśli przyjrzymy się procesowi kradzieży pieniędzy z rachunku bankowego, to scenariusz tego działania jest podobny jak w przypadku tradycyjnego rabunku. Należy zatem dostać się do banku, zabrać pieniądze i... wydostać się z banku.

Różnica polega na tym, że w przypadku „tradycyjnego" przestępstwa ostatnia faza wydaje się trudna, natomiast wydostanie się z banku w wirtualnym świecie jest stosunkowo proste.

Jest to głównie skutkiem tendencji do przyspieszania procesu płatności w trosce o komfort klienta. W Polsce jest możliwość przelania pieniędzy online (SORBNET) pomiędzy bankami na rachunek otwierany automatycznie w banku beneficjenta wyłącznie do obsługi tej jednej płatności. Jest to bardzo prosta droga ucieczki ze skradzionymi z banku pieniędzmi.

W celu zapewnienia większego bezpieczeństwa pieniądzom klienta musimy zadbać o bezpieczeństwo na każdym etapie płatności, a jeśli uda nam się utrzymać pieniądze w sektorze bankowym, to możemy je zlokalizować i zabezpieczyć. Jednym z działań, jakie możemy podjąć, jest wzajemnie uzgodnione przez banki odejścia od praktyki automatycznego otwierania konta tylko po to, by otrzymać przelew. Prawdopodobnie powinniśmy wprowadzić pewne ograniczenia płatności SORBNET.

Mówiąc ogólnie, powinniśmy współpracować ze sobą, by utrzymać skradzione pieniądze w systemie. Czy jesteśmy w stanie to zrobić? Czy jesteśmy w stanie przestać ze sobą konkurować i zacząć współpracować w tej konkretnej sprawie?

Podsumowując, cyberprzestrzeń przenosi nasze życie w inny wymiar. Wiemy już, że reguły rządzące dwuwymiarową przestrzenią odnoszą się do przestrzeni trójwymiarowej. Ponieważ jednak świat 3D jest inny, to musimy wprowadzić nowe reguły, by go lepiej opisać i zrozumieć. Proponowałbym podobne podejście do cyberprzestrzeni – nie możemy w niej po prostu stosować reguł wziętych z naszego „realnego" świata. Musimy spojrzeć dużo szerzej.