Zbudowanie systemu idealnego, który rozwiąże problem cyberataków, jest iluzją. Możemy jednak zwiększyć nasze bezpieczeństwo w sieci, ale konieczne jest strategiczne podejście do tego zagadnienia, bo obrona indywidualna się nie sprawdza.

Sojusz północnoatlantycki już kilka lat temu zwrócił uwagę na bezpieczeństwo w cyberprzestrzeni. Decyzja o tym, że obrona przed atakami w sieci powinna stać się wspólnym obszarem działania państw członkowskich, zapadła w 2008 roku na szczycie w Bukareszcie. Rok później w Tallinie w Estonii rozpoczęło działalność Centrum Współpracy Cybernetycznej NATO (Polska przyłączyła się do niego w 2011 roku). Zadaniem tej placówki jest rozwijanie zdolności obronnych, współpracy i wymiany informacji między członkami sojuszu i jego partnerami w dziedzinie bezpieczeństwa cybernetycznego.

Na szczycie w Wielkiej Brytanii w 2014 roku NATO uznało cyberataki za ataki zbrojne, które uruchamiają mechanizmy kolektywnej obrony. Dwa lata później na szczycie w Warszawie sojusz dopisał cyberprzestrzeń do swoich obszarów działań (obok lądu, morza, powietrza i kosmosu). Pojawiły się też głosy, że kolejnym krokiem powinno być utworzenie sojuszniczego dowództwa cybernetycznego. Czy mogłoby ono znaleźć się w Polsce? Niektórzy eksperci nie wykluczają takiego rozwiązania, przypominając, że nasz kraj dysponuje sporym potencjałem w rozwoju technologii kryptograficznych, a polskie zespoły informatyczne odnoszą sukcesy podczas międzynarodowych ćwiczeń cybernetycznych.

Przywiązywanie przez NATO coraz większej wagi do cyberzagrożeń nie powinno dziwić, bo, jak stwierdził płk Zbigniew Klonowski, zastępca szefa Zarządu Łączności i Informacji Dowództwa Operacyjnego Rodzajów Sił Zbrojnych, na konferencji „Cyber Security – bezpieczeństwo ponad granicami”, działaniami w cyberprzestrzeni można osiągać już prawie takie same efekty, jak z wykorzystaniem wojskowych środków konwencjonalnych”. Przypomniał, jak w 2010 roku wirus komputerowy Stuxnet zakłócił funkcjonowanie tysięcy wirówek używanych przez Iran do wzbogacania uranu. Ten „robak” został wówczas uznany za „ukierunkowaną broń cybernetyczną". Płk Klonowski przyznał jednak, że czasem trudno określić, kiedy działania w cyberprzestrzeni należy traktować jako wojenne. Tymczasem wiele państw rozwija własne militarne zdolności do działania w sieci. Brytyjskie ministerstwo obrony zainwestowało w rozwój cyberbezpieczeństwa ponad ćwierć miliarda funtów. Oddziały do zwalczania takich zagrożeń istnieją już m.in. w strukturach Bundeswehry (do 2021 roku niemiecka cyberarmia ma liczyć ponad 13 tys. specjalistów od IT). Żołnierze cyberdowództwa USA (United States Cyber Command – USCYBERCOM) prowadzą natomiast w sieci wojnę z Państwem Islamskim. Na konferencji „Cyber Security – bezpieczeństwo ponad granicami” również gen. broni Mirosław Różański, dowódca generalny rodzajów sił zbrojnych, zauważył, że jest to właściwy kierunek rozwoju. „Powinniśmy szukać rozwiązań, które umożliwią bezpieczne przetwarzanie informacji, gdyż to one stają się cenniejsze niż liczba posiadanych czołgów, okrętów czy samolotów. Z drugiej strony, musimy też zapewnić bezpieczeństwo działania samych sił zbrojnych, tak by w razie awarii sieci nadal mogły funkcjonować”.

Zmiany na lepsze

„W ostatnich miesiącach zaobserwowałem kilka pozytywnych zmian dotyczących cyberbezpieczeństwa Polski”, ocenia Robert Kośla, dyrektor Sektora Bezpieczeństwa Narodowego i Obronności na Region Europy Środkowej i Wschodniej Microsoft Europe i były oficer Agencji Bezpieczeństwa Wewnętrznego. Powstało Ministerstwo Cyfryzacji, które koordynuje inicjatywy związane z cyberbezpieczeństwem, oraz Narodowe Centrum Cyberbezpieczeństwa, zajmujące się zbieraniem informacji o zagrożeniach od różnych podmiotów, przetwarzaniem ich i przekazywaniem do zainteresowanych. Także kierownictwo Ministerstwa Obrony Narodowej uznało działania w cyberprzestrzeni za jeden z priorytetów modernizacji technicznej sił zbrojnych (w resorcie sprawami cyberbezpieczeństwa zajmuje się wiceminister Bartłomiej Grabski).

Od dwóch lat mamy też doktrynę cyberbezpieczeństwa RP, w której wskazano takie zagrożenia, jak ataki na systemy łączności, od których zależy kierowanie bezpieczeństwem narodowym, a w odniesieniu do obywateli – kradzieże danych i tożsamości oraz przejmowanie kontroli nad prywatnymi komputerami. Zwrócono też uwagę na szpiegowanie w sieci przez inne państwa i organizacje pozapaństwowe oraz ataki organizacji terrorystycznych. Aby im skutecznie zapobiegać, potrzebne są działania instytucji państwowych, sektora prywatnego i wszystkich obywateli. Doktryna za konieczne uznaje też „prowadzenie aktywnej cyberobrony – i w jej ramach działań ofensywnych w cyberprzestrzeni – oraz utrzymanie gotowości do cyberwojny”.

Strategia jak instrukcja

Doktrynę opracowaną przez Biuro Bezpieczeństwa Narodowego rozwija przygotowana w Ministerstwie Cyfryzacji „Strategia cyberbezpieczeństwa RP na lata 2016–2020”. Nowy dokument uwzględnia wymogi unijnej dyrektywy o bezpieczeństwie sieci i informacji (Network and Information Security – NIS), którą w lipcu 2016 roku przyjął Parlament Europejski. NIS zakłada współdzielenie się informacjami o zagrożeniach nie tylko z podmiotami sektora publicznego, lecz także z dostawcami usług i dysponentami infrastruktury krytycznej. Ta lista obejmuje energetykę, transport, bankowość, infrastrukturę rynków finansowych (np. giełdy papierów wartościowych), służbę zdrowia, wodociągi oraz infrastrukturę cyfrową.

Według strategii cyberbezpieczeństwa, powinien powstać trzypoziomowy system, który będzie obejmował ochronę nie tylko instytucji państwowych, lecz także sektora prywatnego i obywateli. Autorzy projektu zauważyli bowiem, że zainfekowane złośliwym oprogramowaniem komputery indywidualnych użytkowników mogą stanowić zagrożenie dla systemów państwowych. Anna Streżyńska, minister cyfryzacji, zapowiada budowę takiego wielowarstwowego systemu bezpieczeństwa w cyberprzestrzeni. Przyznaje jednak, że jesteśmy zaledwie na początku tej drogi.

Rządowym organem koordynującym taką strukturę na poziomie polityczno-strategicznym będzie właśnie minister odpowiadający za informatyzację, ale jej częścią staną się także pozostałe ministerstwa, zgodnie z zakresem ich kompetencji, a także Narodowe Centrum Cyberbezpieczeństwa, sektorowe zespoły reagowania na incydenty (CSIRT) oraz kierownicy urzędów i instytucji. Strategia zakłada, że powstaną klastry bezpieczeństwa, obejmujące administrację rządową oraz samorządy. Mają one zapewnić dodatkową ochronę danych oraz niezbędną infrastrukturę techniczną. Ze względu na specyfikę działań, zarówno ABW, jak i MON nie zostaną włączone do struktur klastra bezpieczeństwa.

„Skuteczne i szybkie wdrożenie strategii cyberbezpieczeństwa jest istotne dla Polski, ponieważ za kilka lat liczba urządzeń podłączonych do sieci komputerowej wzrośnie ponadczterokrotnie i wówczas może być za późno na porządkowanie tego obszaru”, mówi gen. Włodzimierz Nowak, pełnomocnik ministra cyfryzacji ds. cyberbezpieczeństwa.

W strategii zwraca się także uwagę na powszechną edukację społeczną (należy ją rozpocząć już w szkole podstawowej) oraz przygotowanie wykwalifikowanych kadr. Jej autorzy postulują uruchomienie w szkołach wyższych nowych kierunków studiów, w których będzie się kładło większy nacisk na zagadnienia związane z cyberbezpieczeństwem. Zakłada się również szkolenia dla pracowników organów ścigania i administracji publicznej.

Cyberbezpieczeństwo kosztuje

Anna Streżyńska zapowiedziała, że w kwietniu 2017 roku do Sejmu trafi projekt ustawy o krajowym systemie cyberbezpieczeństwa. „Uporządkuje ona kompetencje wszystkich podmiotów zaangażowanych w proces zapewnienia bezpieczeństwa na szczeblu strategicznym i operacyjnym. Dzisiaj w wielu aktach prawnych są elementy odnoszące się do bezpieczeństwa w sieciach komputerowych, ale regulacje te nie zawsze są spójne”, mówi gen. Nowak.

Wprowadzenie w życie zmian proponowanych przez Ministerstwo Cyfryzacji musi jednak kosztować. W przyszłym roku resort wyda na ten cel 60 mln zł. Na co zostaną przeznaczone te pieniądze? „Na najpilniejsze sprawy”, odpowiada gen. Nowak i wylicza. Po pierwsze, na wdrożenie systemu wczesnego ostrzegania, który pozwala na monitorowanie sytuacji na granicach sieci oraz zablokowanie niepożądanego ruchu przychodzącego, co w sposób systemowy będzie chroniło państwo polskie przed bezpośrednimi atakami z zagranicy. Po drugie, na rządowy klaster bezpieczeństwa, który zapewni dodatkowe zabezpieczenie rejestrów państwowych i serwisów rządowych oraz pozwoli na segmentację sieci, czyli możliwość izolowania źródła zagrożenia. I wreszcie po trzecie, pieniądze zostaną wydane na bezpośrednią ochronę danych. Chodzi m.in. o tworzenie i przechowywanie w bezpieczny sposób danych z rejestrów państwowych, tj. umieszczania kopii zapasowych i danych archiwalnych w miejscu oddalonym geograficznie od systemu głównego.

„Rozwój cyfryzacji to nie tylko same korzyści dla państwa i obywateli, lecz także sporo zagrożeń, które są nieodłączną częścią postępu. Zwiększające się uzależnienie procesów gospodarczych i społecznych od dostępu do usług cyfrowych wymaga skutecznych mechanizmów zapobiegania, reagowania i przeciwdziałania pojawiającym się zagrożeniom. To jest odpowiedzialność państwa, by dać obywatelom możliwość korzystania z usług cyfrowych w sposób bezpieczny. Wymaga to jednak skoordynowanych działań na poziomie administracji państwowej, samorządowej i wszystkich uczestników procesu zapewnienia bezpieczeństwa”, podsumowuje gen. bryg. Włodzimierz Nowak. Od tego, jak zrealizujemy w praktyce postanowienia strategii, będzie zależeć nasze bezpieczeństwo w cyberprzestrzeni.