Jak co roku, wraz z nadejściem sezonu jesiennego, w Europie przyszedł czas na dyskusje o tym, jak podnieść świadomość zagrożeń w obecnym, cyfrowym świecie. Europejski Miesiąc Cyberbezpieczeństwa, organizowany już po raz dziesiąty, to także okazja do rozmów o najnowszych regulacjach czy też szansach na wzmocnienie cyberodporności. Toczą się one między rządami a biznesem i stanowią zwieńczenie działań podejmowanych w ciągu roku. Są też momentem koniecznej debaty nad aktualnością analiz, jakimi dysponujemy i ich
przydatności do zrozumienia przeszłości, podejmowania dobrych decyzji w teraźniejszości i przewidywania przyszłych zagrożeń.
Gotowość bez przerw i czasu na drzemkę
Historia pomaga zrozumieć wiele procesów i ich konsekwencji. Uwidacznia też schematy ludzkiego zachowania, które zaważyły na biegu dziejów wiele lat temu i najprawdopodobniej powtórzą się w przyszłości, sprawiając, że zatoczymy koło.
Po długo wyczekiwanym upadku żelaznej kurtyny, w historii naszego regionu świata nastąpił chyba najlepszy w dziejach, wręcz arkadyjski okres. Pełni euforii i wiary w bezpieczną przyszłość szybko zapomnieliśmy o bolesnych doświadczeniach ostatnich kilkudziesięciu (może nawet kilkuset) lat.
Nie tylko zresztą my. Wiele państw europejskich (z wyłączeniem Skandynawii) pospiesznie wypłaciło sobie dywidendę od zakończenia zimnej wojny zakładając, że nastał docelowy dla Europy czas długotrwałego pokoju. Zakończył się wyścig zbrojeń, wojska radzieckie opuściły terytorium byłego już Układu Warszawskiego, a NATO w zamian zobowiązało się do redukcji pewnych zdolności i infrastruktury. W zarządzaniu bezpieczeństwem pojawił się biznesowy model skupiony na ciągłości działania, a kwestie przygotowań obronnych państwa i przedsiębiorców zeszły na dalszy plan.
Niestety, historia brutalnie wyrwała Europę z tej błogiej drzemki, zataczając przy okazji koło i wracając do niespokojnych czasów, do których chyba trzeba się będzie przyzwyczaić na dłużej. W dobie transformacji cyfrowej i rozwoju technologicznego ten niepokój uwydatnia się w cyberprzestrzeni, a cyfrowe operacje towarzyszące wojnie przybierają zupełnie inny charakter niż do tej pory.
Wiadomo, że wojna zaczyna się o wiele wcześniej, niż zaczną spadać rakiety i strzelać czołgi. A kiedy się już zacznie, to rozgrywa się na znacznie szerszym obszarze niż tylko pole bitwy. Doskonalone od dziesięcioleci rosyjskie metody dezinformacji i działań hybrydowych, wskutek rozwoju usług cyfrowych i powszechnego dostępu do mediów społecznościowych, są dziś stałym elementem polskiej codzienności. Krajobraz cyberbezpieczeństwa po tegorocznej inwazji na Ukrainę zmienił się na tyle, że należałoby na nowo zdefiniować działania, dzięki którym zapewnimy (celowo używam liczby mnogiej) właściwy poziom cyberbezpieczeństwa Polski.
Porzućcie przedwojenne analizy
Wspólnym mianownikiem większości współczesnych regulacji z obszaru bezpieczeństwa jest działanie w oparciu o analizę ryzyka. Decyzje o wdrażaniu rozwiązań zapewniających bezpieczeństwo powinny być realizowane w sposób adekwatny i proporcjonalny do zidentyfikowanych potencjalnych zagrożeń. Zasada ta jest opisana zarówno w dokumentach krajowych, jak np. Narodowy Program Ochrony Infrastruktury Krytycznej, jak również w szeregu regulacji europejskich, włączając w to dyrektywę NIS określającą zasady zapewnienia bezpieczeństwa systemów i sieci teleinformatycznych na terytorium UE. Również ustawa o krajowym systemie cyberbezpieczeństwa, jako pierwszy obowiązek operatora usługi kluczowej wyraźnie wskazuje systematyczne szacowanie ryzyka oraz zarządzanie nim poprzez wdrożenie odpowiednich i proporcjonalnych do poziomu ryzyka środków.
Wybuch wojny u naszych granic oraz nasilenie działań hybrydowych w Polsce do poziomu skutkującego wprowadzeniem stopni alarmowych BRAVO oraz CHARLIE CRP to okoliczności, wobec których analizę ryzyka należałoby przeprowadzić od nowa. Dotyczy to zresztą nie tylko cyberbezpieczeństwa, ale też kwestii zupełnie fundamentalnych, w których wszyscy, zarówno przedsiębiorcy jak i rządzący, powinniśmy odpowiedzieć sobie na nowo na kilka podstawowych pytań. Czy na pewno chronimy to, co powinniśmy? Czy robimy to we właściwy sposób? Co się wokół nas zmieniło przez ostatnie pół roku?
Zwróćmy uwagę, że analiza ryzyka jest podstawą do wyłaniania krajowej infrastruktury krytycznej. Skoro ryzyko się zmieniło, to może trzeba infrastrukturę krytyczną wyłonić na nowo? Jej właściciele z kolei mają ustawowy obowiązek ochrony tej infrastruktury, poprzez wdrożenie adekwatnych do ryzyka środków. Te środki również wymagają gruntownego przeglądu.
Samozadowolenie bez pokrycia
Tymczasem wiele organizacji żyje przeświadczeniem, że jeśli będą przestrzegać dotychczasowych (czytaj: (przedwojennych) zasad i jeśli dokończą rozpoczęte w zeszłych latach projekty mające na celu zapewnienie bezpieczeństwa swoich sieci i systemów IT, to mogą spać spokojnie. Niestety, trudno się z tym zgodzić.
Po pierwsze, zapewnienie bezpieczeństwa to ciągły proces. W słowniku managera bezpieczeństwa nie ma zwrotu „udało się”, a stan samozadowolenia jest dla niego śmiertelnym zagrożeniem. Powinien pozostawać w ciągłym stanie nieufności (o zasadzie Zero Trust za chwilę) spodziewając się ataku w każdej chwili i w każdym miejscu systemu, nie ograniczając się do pilnowania brzegu sieci czy stacji roboczej.
Po drugie, głębokie zmiany w rejestrze ryzyka powodują, że stosowane (lub zaplanowane do wdrożenia) dotychczas środki zaradcze są nieadekwatne do nowych, dodatkowych zagrożeń, które przyniosła ze sobą wojna czy pandemia COVID-19.
Dialog technologiczny
Odpowiedzią na wspomniane powyżej nowe ryzyka, które w znacznej mierze wiążą się z działaniami hybrydowymi prowadzonymi w Polsce przez wrogie państwa, powinna być najnowocześniejsza technologia cyfrowa (szczególnie potencjał chmury obliczeniowej wsparty uczeniem maszynowym i sztuczną inteligencją) oraz inne możliwości, które przyniósł ze sobą rozwój techniki. Dobitnie pokazują to doświadczenia z Ukrainy.
Nie ma innej drogi. Rząd powinien podjąć z dostawcami usług cyfrowych dialog na rzecz zapewnienia bezpieczeństwa Polski w średniej i długiej perspektywie. Tak wydarzyło się w USA, gdzie prezydent Biden, w obliczu nowych cyberzagrożeń, zobowiązał pięciu największych dostawców usług cyfrowych do konkretnych działań i wielomiliardowych inwestycji na rzecz wzmocnienia cyberbezpieczeństwa państwa.
Zobowiązanie Microsoft na najbliższe 5 lat dotyczy inwestycji o wartości 20 miliardów dolarów. Wobec miliarda dolarów rocznie inwestowanych przez Microsoft w cyberbezpieczeństwo, oznacza to czterokrotny wzrost nakładów w tym obszarze. Niezależnie od tego szef Microsoft Satya Nadella zadeklarował niezwłoczne przekazanie 150 mln USD na działania dla wsparcia cyberbezpieczeństwa amerykańskiej administracji na wszystkich szczeblach. Przywołane kwoty są znaczne, ale z drugiej strony przedstawiciele firm technologicznych zyskali przewidywalnego rządowego partnera do wieloletniej współpracy, w ramach której można budować realną odporność państwa, nie ograniczając się do reaktywnych, pokazowych przedsięwzięć.