Warszawa, 10 lipca 203 roku - Europejskie Forum Nowych Idei
Transkrypt
Warszawa, 10 lipca 203 roku - Europejskie Forum Nowych Idei
EUROPEJSKIE FORUM NOWYCH IDEI 2015 Okrągły stół, czwartek, 1 października 2015, 8:00–9:30 Partner: ZP Technologii Cyfrowych Lewiatan Cyberbezpieczeństwo - problem nas wszystkich? Strategie państw UE wobec wyzwań związanych z dostępem do danych w sieci • Czy zapewnienie bezpieczeństwa w sieci jest zadaniem państwa czy firm informatycznych? • Jak eliminować zagrożenia związane z rozszerzaniem dostępu do danych w internecie? • Jak można zapewnić państwu, firmom i obywatelom bezpieczeństwo cyfrowe – przykłady Wielkiej Brytanii i Estonii. Rozwój technologii informacyjno-komunikacyjnych (ICT) jest jednym z najważniejszych elementów globalizacji. Ich aplikacja do coraz to nowych dziedzin funkcjonowania państwa, przedsiębiorstw, ale też „zwykłych” obywateli pozwoliła na dokonanie ogromnego skoku cywilizacyjnego. Konsekwencją jest jednak także wielowymiarowa zależność technologiczna współczesnych społeczeństw. Silna zależność pociąga za sobą wrażliwość, a ta – w połączeniu z działalnością wrogich państw, przestępczości zorganizowanej, środowisk i jednostek radykalnych – oznacza zagrożenia. O ich powadze niech świadczą wyniki badania Pew Research Center. Ośrodek ten zapytał ponad 1600 ekspertów, czy do roku 2025 przewidują potężny atak w cyberprzestrzeni, w wyniku którego może zginąć duża liczba ludzi lub też który przyniesie straty materialne na poziomie dziesiątek miliardów dolarów. Ponad 60 proc. pytanych odpowiedziało twierdząco. Czy zapewnienie bezpieczeństwa w sieci jest zadaniem państwa czy firm informatycznych? Powaga problemu wynika także z charakteru zagrożeń w cyberprzestrzeni. Funkcjonujący w niej układ sił różni się od tego w „realu”. Ujmując to obrazowo – lotniskowiec zda się na niewiele, kiedy głównym przeciwnikiem jest wirus komputerowy. Jak w takiej sytuacji powinny zachować się państwa Zachodu? 1 Czy w swoich doktrynach obronnych powinny zarezerwować sobie prawo do ofensywnych działań prewencyjnych? Cyberzagrożenia nie mają kodu pocztowego, a ataki mogą być dokonywane praktycznie z każdego miejsca na Ziemi. Zacieranie granic dotyczy także podziału między sektorem państwowym a prywatnym. Z jednej strony, coraz powszechniejsza jest współpraca państw z grupami kryminalnymi, np. na rynku programów wykorzystujących luki systemowe (zero-day exploit). Z drugiej, z powodu głębokiej współzależności po stronie potencjalnej ofiary dochodzi do uwspólnienia strat. Dlatego jednym z najczęściej pojawiających się wniosków w debatach nad cyberbezpieczeństwem jest konieczność ścisłego współdziałania państwa z sektorem prywatnym. To ten drugi jest zresztą pod największą presją ze strony cyberataków – według szacunków Lloyd’s cyberataki przynoszą straty w wysokości 400 miliardów dolarów rocznie. • Jak takie współdziałanie powinno wyglądać w praktyce? • Jak zapewnić maksymalne bezpieczeństwo bez pogwałcenia wolności obywateli demokratycznego państwa prawa? Ujawnione przez Edwarda Snowdena dokumenty pokazują, z jak bardzo wrażliwymi i kontrowersyjnymi kwestiami mamy tu do czynienia. Jak eliminować zagrożenia związane z rozszerzaniem dostępu do danych w internecie? Współpraca i koordynowanie działań konieczne jest nie tylko na poziomie państwa, lecz także międzynarodowym. Żaden kraj nie jest bowiem w stanie samodzielnie zabezpieczyć nieprzerwanego dostępu do kluczowych usług teleinformatycznych. W ostatnich latach rośnie świadomość konieczności podjęcia działań na poziomie Unii Europejskiej. Jednak do nadrobienia jest sporo. Do największych mankamentów zaliczany jest brak spójności zasobów, ale też rozwiązań instytucjonalnych i prawnych w poszczególnych państwach członkowskich. Szanse na zwiększenie bezpieczeństwa w tym obszarze niesie Dyrektywa o bezpieczeństwie sieci i informacji (NIS Directive), jednak zakres jej stosowania jest przedmiotem sporu politycznego i opóźnień w jej przyjęciu. • Jaka jest stawka negocjacji w sprawie ostatecznego kształtu Dyrektywy NIS? 2 • Na ile jej przyjęcie wyeliminuje istniejące problemy oraz pozwoli przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni na poziomie UE ? Jak można zapewnić państwu, firmom i obywatelom bezpieczeństwo cyfrowe – przykłady Wielkiej Brytanii i Estonii Wobec niewystarczającego poziomu działania wspólnotowego na pierwszym planie pozostają strategie narodowe. Liderem na tym polu jest Estonia, która jako jeden z pierwszych krajów przyjęła w 2008 r. strategię bezpieczeństwa cybernetycznego, zaktualizowaną pod koniec 2014 r. Jej szczególna pozycja w dziedzinie cyberbezpieczeństwa wynika z dwóch czynników. Dzięki konsekwentnej polityce „E-stonia” jest technologicznym liderem – krajem wyborów przeprowadzanych online, narodzin Skype’a oraz systemów płatności mobilnych – gdzie ponad 95 proc. transakcji bankowych przeprowadzane jest przez internet. Jednocześnie w 2007 r., po usunięciu z centrum Tallinnu sowieckiego pomnika Brązowego Żołnierza, stała się ofiarą cyberataku na niespotykaną wcześniej skalę. Pod „ostrzałem” znalazły się m.in. strony internetowe instytucji państwowych, głównych organizacji informacyjnych, banków oraz firm telekomunikacyjnych. Po tym wydarzeniu estońskie władze energicznie zabrały się do poprawy cyberbezpieczeństwa. W 2008 r. w wyremontowanych barakach „goszczących” sowiecką armię utworzone zostało Centrum Doskonalenia Obrony Cybernetycznej NATO. Przyjęta w tym samym roku, wspomniana Strategia bezpieczeństwa cybernetycznego zapewnić miała maksimum bezpieczeństwa w okresie chaosu i ograniczonych zasobów. Zastępująca ją strategia na lata 2014-17 za główny cel stawia zaś wzmocnienie cybernetycznej tarczy oraz dostosowanie jej do nowych wyzwań i zagrożeń. Specyfikę estońskiego położenia i historii oddaje plan utworzenia „cyfrowych ambasad” – niezależnych od rządowej infrastruktury i rozmieszczonych na terenie państw sojuszniczych, gdzie na wypadek zajęcia terytorium Estonii przez wrogie siły przechowywane mają być najważniejsze bazy danych. Niewątpliwym osiągnieciem polityki bezpieczeństwa cybernetycznego Estonii jest też daleko posunięte partnerstwo prywatno-publiczne. W jego ramach utworzona została Liga Obrony Cybernetycznej zasilana przez ochotników z sektora prywatnego, którzy w razie zagrożenia podlegać mają dowództwu wojskowemu. Także Wielka Brytania niezwykle poważnie podchodzi do kwestii cyberbezpieczeństwa. O jej wrażliwości w tej sferze stanowi m.in. najbardziej rozwinięty na świecie sektor e-handlu, wpisujący się w obraz całej gospodarki – w dużej części opartej na korzystających z Internetu usługach (np. londyńskie City). Doceniając skalę problemu, Strategia bezpieczeństwa narodowego z 2010 r. umieściła ataki w cyberprzestrzeni wśród zagrożeń najwyżej kategorii (Tier 1). W 2011 r. przyjęta została nowa Strategia 3 cyberbezpieczeństwa (pierwsza powstała w 2009 r.), której jednym z celów jest uczynienie kraju jednym z najbardziej bezpiecznych do prowadzenia biznesu miejsc na świecie. W swojej polityce cyberbezpieczeństwa brytyjskie władze dużą wagę poświęcają zabezpieczeniu sektora prywatnego. W celu zwiększenia świadomości opracowały poradniki skierowane do różnego rozmiaru firm, w których zawarte zostały jasne i zwięzłe informacje na temat zwiększania bezpieczeństwa kluczowych zasobów. Dużym problemem w zapewnianiu cyberbezpieczeństwa sektora prywatnego jest motywowana względami wizerunkowymi niechęć firm do dzielenia się informacjami o tym, że padły ofiarą cyberataku. Obejściu tego problemu służy specjalna platforma (Cyber Security Information Sharing Partnership), która umożliwia anonimowe dzielenie się w czasie rzeczywistym informacjami na ten temat między biznesem a stroną rządową. Ogółem na realizację celów wyznaczonych przez strategię brytyjski rząd przeznaczył 1,4 mld dolarów. • Jakie są najważniejsze doświadczenie Estonii i Wielkiej Brytanii w zakresie polityk cyberbezpieczeństwa? • W jakim stopni mogą one stanowić inspirację do tworzenia polityk cyberbezpieczeństwa przez pozostałe kraje UE? AUTOR: ANDRZEJ TURKOWSKI, ANALITYK CENTRUM STOSUNKÓW MIĘDZYNARODOWYCH (CSM) CENTRUM STOSUNKÓW MIĘDZYNARODOWYCH (CSM) JEST PARTNEREM MERYTORYCZNYM EFNI 2015. 4