Warszawa, 10 lipca 203 roku - Europejskie Forum Nowych Idei

EUROPEJSKIE FORUM NOWYCH IDEI 2015
Okrągły stół, czwartek, 1 października 2015, 8:00–9:30
Partner: ZP Technologii Cyfrowych Lewiatan
Cyberbezpieczeństwo - problem nas wszystkich? Strategie państw UE wobec wyzwań
związanych z dostępem do danych w sieci
•
Czy zapewnienie bezpieczeństwa w sieci jest zadaniem państwa czy firm informatycznych?
•
Jak eliminować zagrożenia związane z rozszerzaniem dostępu do danych w internecie?
•
Jak można zapewnić państwu, firmom i obywatelom bezpieczeństwo cyfrowe – przykłady
Wielkiej Brytanii i Estonii.
Rozwój technologii informacyjno-komunikacyjnych (ICT) jest jednym z najważniejszych elementów
globalizacji. Ich aplikacja do coraz to nowych dziedzin funkcjonowania państwa, przedsiębiorstw, ale
też „zwykłych” obywateli pozwoliła na dokonanie ogromnego skoku cywilizacyjnego. Konsekwencją jest
jednak także wielowymiarowa zależność technologiczna współczesnych społeczeństw. Silna zależność
pociąga za sobą wrażliwość, a ta – w połączeniu z działalnością wrogich państw, przestępczości
zorganizowanej, środowisk i jednostek radykalnych – oznacza zagrożenia. O ich powadze niech
świadczą wyniki badania Pew Research Center. Ośrodek ten zapytał ponad 1600 ekspertów, czy do
roku 2025 przewidują potężny atak w cyberprzestrzeni, w wyniku którego może zginąć duża liczba ludzi
lub też który przyniesie straty materialne na poziomie dziesiątek miliardów dolarów. Ponad 60 proc.
pytanych odpowiedziało twierdząco.
Czy zapewnienie bezpieczeństwa w sieci jest zadaniem państwa czy firm
informatycznych?
Powaga problemu wynika także z charakteru zagrożeń w cyberprzestrzeni. Funkcjonujący w niej układ
sił różni się od tego w „realu”. Ujmując to obrazowo – lotniskowiec zda się na niewiele, kiedy głównym
przeciwnikiem jest wirus komputerowy. Jak w takiej sytuacji powinny zachować się państwa Zachodu?
1
Czy w swoich doktrynach obronnych powinny zarezerwować sobie prawo do ofensywnych działań
prewencyjnych?
Cyberzagrożenia nie mają kodu pocztowego, a ataki mogą być dokonywane praktycznie z każdego
miejsca na Ziemi. Zacieranie granic dotyczy także podziału między sektorem państwowym a
prywatnym. Z jednej strony, coraz powszechniejsza jest współpraca państw z grupami kryminalnymi,
np. na rynku programów wykorzystujących luki systemowe (zero-day exploit). Z drugiej, z powodu
głębokiej współzależności po stronie potencjalnej ofiary dochodzi do uwspólnienia strat.
Dlatego jednym z najczęściej pojawiających się wniosków w debatach nad cyberbezpieczeństwem jest
konieczność ścisłego współdziałania państwa z sektorem prywatnym. To ten drugi jest zresztą pod
największą presją ze strony cyberataków – według szacunków Lloyd’s cyberataki przynoszą straty w
wysokości 400 miliardów dolarów rocznie.
•
Jak takie współdziałanie powinno wyglądać w praktyce?
•
Jak
zapewnić
maksymalne
bezpieczeństwo
bez
pogwałcenia
wolności
obywateli
demokratycznego państwa prawa?
Ujawnione przez Edwarda Snowdena dokumenty pokazują, z jak bardzo wrażliwymi i kontrowersyjnymi
kwestiami mamy tu do czynienia.
Jak eliminować zagrożenia związane z rozszerzaniem dostępu do danych w internecie?
Współpraca i koordynowanie działań konieczne jest nie tylko na poziomie państwa, lecz także
międzynarodowym. Żaden kraj nie jest bowiem w stanie samodzielnie zabezpieczyć nieprzerwanego
dostępu do kluczowych usług teleinformatycznych. W ostatnich latach rośnie świadomość konieczności
podjęcia działań na poziomie Unii Europejskiej. Jednak do nadrobienia jest sporo. Do największych
mankamentów zaliczany jest brak spójności zasobów, ale też rozwiązań instytucjonalnych i prawnych
w poszczególnych państwach członkowskich. Szanse na zwiększenie bezpieczeństwa w tym obszarze
niesie Dyrektywa o bezpieczeństwie sieci i informacji (NIS Directive), jednak zakres jej stosowania jest
przedmiotem sporu politycznego i opóźnień w jej przyjęciu.
•
Jaka jest stawka negocjacji w sprawie ostatecznego kształtu Dyrektywy NIS?
2
•
Na ile jej przyjęcie wyeliminuje istniejące problemy oraz pozwoli przeciwdziałać zagrożeniom
płynącym z cyberprzestrzeni na poziomie UE ?
Jak można zapewnić państwu, firmom i obywatelom bezpieczeństwo cyfrowe
– przykłady Wielkiej Brytanii i Estonii
Wobec niewystarczającego poziomu działania wspólnotowego na pierwszym planie pozostają strategie
narodowe. Liderem na tym polu jest Estonia, która jako jeden z pierwszych krajów przyjęła w 2008 r.
strategię bezpieczeństwa cybernetycznego, zaktualizowaną pod koniec 2014 r. Jej szczególna pozycja
w dziedzinie cyberbezpieczeństwa wynika z dwóch czynników. Dzięki konsekwentnej polityce „E-stonia”
jest technologicznym liderem – krajem wyborów przeprowadzanych online, narodzin Skype’a oraz
systemów płatności mobilnych – gdzie ponad 95 proc. transakcji bankowych przeprowadzane jest przez
internet. Jednocześnie w 2007 r., po usunięciu z centrum Tallinnu sowieckiego pomnika Brązowego
Żołnierza, stała się ofiarą cyberataku na niespotykaną wcześniej skalę. Pod „ostrzałem” znalazły się
m.in. strony internetowe instytucji państwowych, głównych organizacji informacyjnych, banków oraz
firm telekomunikacyjnych.
Po tym wydarzeniu estońskie władze energicznie zabrały się do poprawy cyberbezpieczeństwa. W 2008
r. w wyremontowanych barakach „goszczących” sowiecką armię utworzone zostało Centrum
Doskonalenia Obrony Cybernetycznej NATO. Przyjęta w tym samym roku, wspomniana Strategia
bezpieczeństwa cybernetycznego zapewnić miała maksimum bezpieczeństwa w okresie chaosu i
ograniczonych zasobów. Zastępująca ją strategia na lata 2014-17 za główny cel stawia zaś wzmocnienie
cybernetycznej tarczy oraz dostosowanie jej do nowych wyzwań i zagrożeń. Specyfikę estońskiego
położenia i historii oddaje plan utworzenia „cyfrowych ambasad” – niezależnych od rządowej
infrastruktury i rozmieszczonych na terenie państw sojuszniczych, gdzie na wypadek zajęcia terytorium
Estonii przez wrogie siły przechowywane mają być najważniejsze bazy danych. Niewątpliwym
osiągnieciem polityki bezpieczeństwa cybernetycznego Estonii jest też daleko posunięte partnerstwo
prywatno-publiczne. W jego ramach utworzona została Liga Obrony Cybernetycznej zasilana przez
ochotników z sektora prywatnego, którzy w razie zagrożenia podlegać mają dowództwu wojskowemu.
Także Wielka Brytania niezwykle poważnie podchodzi do kwestii cyberbezpieczeństwa. O jej wrażliwości
w tej sferze stanowi m.in. najbardziej rozwinięty na świecie sektor e-handlu, wpisujący się w obraz
całej gospodarki – w dużej części opartej na korzystających z Internetu usługach (np. londyńskie City).
Doceniając skalę problemu, Strategia bezpieczeństwa narodowego z 2010 r. umieściła ataki w
cyberprzestrzeni wśród zagrożeń najwyżej kategorii (Tier 1). W 2011 r. przyjęta została nowa Strategia
3
cyberbezpieczeństwa (pierwsza powstała w 2009 r.), której jednym z celów jest uczynienie kraju
jednym z najbardziej bezpiecznych do prowadzenia biznesu miejsc na świecie.
W swojej polityce cyberbezpieczeństwa brytyjskie władze dużą wagę poświęcają zabezpieczeniu
sektora prywatnego. W celu zwiększenia świadomości opracowały poradniki skierowane do różnego
rozmiaru firm, w których zawarte zostały jasne i zwięzłe informacje na temat zwiększania
bezpieczeństwa kluczowych zasobów. Dużym problemem w zapewnianiu cyberbezpieczeństwa sektora
prywatnego jest motywowana względami wizerunkowymi niechęć firm do dzielenia się informacjami o
tym, że padły ofiarą cyberataku. Obejściu tego problemu służy specjalna platforma (Cyber Security
Information Sharing Partnership), która umożliwia anonimowe dzielenie się w czasie rzeczywistym
informacjami na ten temat między biznesem a stroną rządową. Ogółem na realizację celów
wyznaczonych przez strategię brytyjski rząd przeznaczył 1,4 mld dolarów.
•
Jakie są najważniejsze doświadczenie Estonii i Wielkiej Brytanii w zakresie polityk
cyberbezpieczeństwa?
•
W jakim stopni mogą one stanowić inspirację do tworzenia polityk cyberbezpieczeństwa przez
pozostałe kraje UE?
AUTOR: ANDRZEJ TURKOWSKI, ANALITYK CENTRUM STOSUNKÓW MIĘDZYNARODOWYCH
(CSM)
CENTRUM
STOSUNKÓW
MIĘDZYNARODOWYCH
(CSM)
JEST
PARTNEREM
MERYTORYCZNYM EFNI 2015.
4