Batalia toczy się od jesieni zeszłego roku. Przedsiębiorcy krytykują wiele zapisów zawartych w projekcie ustawy zmieniającej ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC). W październiku, w ramach normalnych konsultacji operatorzy telekomunikacyjni zgłosili łącznie ponad 750 uwag i wątpliwości. W kolejnej wersji tej ustawy, opublikowanej 20 stycznia br. rząd zlekceważył większość zgłaszanych postulatów i wątpliwości, a nowego projektu nie poddał pod dyskusję.
W debacie medialnej na temat projektu niewiele było o samym cyberbezpieczeństwie. Wątpliwości budziły zapisy o uznaniowym i nietransparentnym trybie eliminacji z rynku dostawców, których władza uzna za niebezpiecznych. Wielu uczestników rynku telekomunikacyjnego dostrzegło, że mechanizm zagraża stabilności małych operatorów telekomunikacyjnych i może wpłynąć na wzrost kosztów inwestycji w następną generację sieci. Jeszcze więcej emocji wzbudził projekt utworzenia państwowego operatora strategicznej komunikacji elektronicznej. W myśl projeku to podmiot o uprzywilejowanej pozycji rynkowej ze specjalnym dostępem do zasobów częstotliwości.
Mamy już koniec marca i wszystko wskazuje na to, że projekt nowych przepisów i w tym miesiącu nie trafi do Sejmu. Rzeczywisty problem sporu – budowa państwowego operatora strategicznej komunikacji elektronicznej – jest daleki od rozwiązania. Można nawet zaryzykować tezę, że spór nie dotyczy kwestii cyberbezpieczeństwa. Jesteśmy świadkami działań, których celem jest kolejne ograniczenie swobody prowadzenia działalności gospodarczej na rynku telekomunikacyjnym. Tym razem pretekstem do jego wprowadzenia jest potrzeba wzmocnienia cyberbezpieczeństwa – budowy systemów ochrony przez atakami cyfrowymi.
Nie ma wątpliwości, że skutki ataków cyfrowych mogą być poważne. Dlatego należy wrócić do meritum dyskusji i popularyzować wiedzę na temat rzeczywistych zagrożeń oraz dostępnych sposobów obrony. Generalnie znane są dwa typy ataków cyfrowych: militarne i kryminalne. O atakach militarnych nie należy dyskutować publicznie. Mogą mieć charakter wywiadowczy lub fizyczny, czyli rodzący skutki fizyczne w postaci czasowego zatrzymania urządzeń lub ich uszkodzenia. Udany atak wywiadowczy polega na pozyskaniu określonych informacji bez wiedzy właściciela tych informacji. Atak fizyczny może składać się z dwóch faz. Faza przygotowawcza może polegać na instalowaniu narzędzi ataku. Można sobie wyobrazić najróżniejsze metody, warunki i scenariusze aktywacji przygotowanych wcześniej narzędzi. Sam atak to jakaś forma aktywacji tych narzędzi. Logika cyberataków militarnych podpowiada, że strona atakowana z założenia nie informuje o fakcie ataku oraz jego skutkach. Wielkość środków finansowych, zasobów kompetencyjnych itp. będących w dyspozycji wojska oraz potencjalne cele są trudne do zdefiniowania. Siła i skala ataku militarnego może być nieporównywalna z siłą ataku kryminalnego. Obecnie nawet nie wiemy, czy tego typu cyberataki militarne o charakterze fizycznym są przygotowywane lub planowane. Wydaje się, że ewentualna cyberwojna będzie elementem konfliktu z użyciem klasycznej broni. W razie gorącego konfliktu przestrzeń cyfrowa będzie tylko jednym z wielu teatrów wojny. Trochę więcej wiadomo o cyberatakach typu dywersyjnego oraz atakach wywiadowczych, bo niektóre z nich zostały opisane.
To, na czym powinna skupić się dyskusja publiczna, to zagrożenie atakami cyfrowymi o podłożu kryminalnym. Można je z grubsza podzielić na dwie grupy. Pierwsza to po prostu kradzieże produktów wirtualnych – oprogramowania, filmów, utworów muzycznych, zdjęć, nagrań, danych osobowych, dokumentów itd.., które mogą być przedmiotem odsprzedaży lub np. narzędziami szantażu. Odrębnym zagadnieniem są włamania do instytucji finansowych, których efektem może być przejęcie środków lub zablokowanie określonych aktywów. Świat przestępczy buduje również bardziej złożone modele biznesowe będące u podstaw ataków cyfrowych, ale nie chcę ich reklamować.
Celem budowy KSC jest zapobieganie wszelkiego typu atakom na oprogramowanie, dane i sprzęt cyfrowy. Jego zadaniem jest wdrożenie adekwatnych do poziomu zagrożenia narzędzi nadzoru i obrony. Powinniśmy również dysponować odpowiednimi zasobami, by w przypadku udanego ataku, jak najszybciej przywrócić normalne działanie sprzętu i oprogramowania.
Każdy system cyberobrony jest tylko tak dobry, jak jego najsłabszy element. Tym najsłabszym ogniwem jest człowiek. Umiejętne wykorzystanie ułomności natury ludzkiej jest podstawą 80 proc. udanych cyberataków. Przyjmuje się, że drugim głównym źródłem zagrożenia cyfrowego jest wrogie oprogramowanie. Intencjonalnie szkodliwe programy i funkcjonalności sprzętu mogą być również elementami jego konstrukcji. Jednak nie są publicznie znane przykłady wykorzystania tego typu cyberataku w praktyce. Dlatego przyjmuje się, że zagrożeniem jest oprogramowanie, które jest instalowane dopiero po wejściu sprzętu do eksploatacji. Przy obecnym poziomie techniki sprzętu cyfrowego, w każdej sieci znajduje się w eksploatacji mnóstwo urządzeń bardzo podatnych na cyberataki. To samo dotyczy systemów operacyjnych i aplikacji. Zatem nie ma potrzeby podejmować ryzyka produkcji sprzętu przygotowanego do działań dywersyjnych lub agresywnych. Hakerzy przy projektowaniu tego typu cybernarzędzi korzystają z dogłębnej wiedzy dotyczącej najpopularniejszego sprzętu, oprogramowania wbudowanego, systemów operacyjnych i aplikacji stosowanych w sieciach cyfrowych. Skuteczny cyfrowy atak na jakąkolwiek sieć powinien opierać się na wiedzy o sprzęcie i oprogramowaniu stosowanym w tej sieci. Dlatego trudno obronić tezę, że eliminacja z rynku dostawcy uważanego za niewiarygodnego w jakimkolwiek stopniu przyczyni się do poprawy bezpieczeństwa cyfrowego kraju.
Największe straty powodują udane ataki na infrastrukturę sieciową. Dlatego jednym z możliwych środków ochrony infrastruktury może być zakaz używania określonego urządzenia lub oprogramowania w zdefiniowanych obszarach sieci. Taki zakaz środek może być stosowany w stosunku do tych konstrukcji, które zawierają zdefiniowane błędy i wady konstrukcyjne, ale powinien to być środek ostateczny. Przed podjęciem takiej decyzji, powinni być wysłuchani zainteresowani – dostawca i użytkownik. Powinni mieć możliwość podjęcia działań naprawczych, zmierzających do wyeliminowania nieprawidłowości w częściach krytycznych sieci. Dopiero gdy podmioty te nie podejmą wymaganych działań w wyznaczonym terminie lub gdy podjęte działania okażą się niewystarczające do wyeliminowania zagrożenia, może zostać wydana decyzja nakazująca usunięcie z sieci określonego sprzętu.
W organizacji systemów obrony przed zagrożeniem istnieją ogólne zasady i metody postępowania, które znajdują zastosowanie również w wypadku cyberobrony. Jedną z nich jest zasada proporcjonalności. W zakresie ochrony np. sieci infrastrukturalnych opieramy się na zróżnicowanym poziomie ochrony, proporcjonalnym do poziomu zagrożenia oraz do potencjalnych strat – w razie udanego ataku. Nie jest możliwe, a nawet potrzebne, zapewnienie takiej samej ochrony dla wszystkich elementów, usług, oprogramowania czy też sprzętu. Dlatego racjonalny KSC powinien być oparty na zasadzie proporcjonalności oraz prawidłowej identyfikacji i ochronie rzeczywiście krytycznych elementów sieci cyfrowych.
W nadchodzących latach najważniejszym celem systemów cyberbezpieczeństwa będzie ochrona suwerenności cyfrowej. Uzyskanie dostępu do danych cyfrowych wiąże się z tak kolosalnymi korzyściami finansowymi, że stało się celem gier politycznych przeradzających się w konflikty, a walka o ten dostęp staje się równie zażarta jak walki o dostęp do surowców energetycznych i mineralnych, rynków zbytu i innych zasobów stanowiących wartość ekonomiczną.
Być może najważniejszym celem cyberobrony będzie ochrona posiadania i zdolności korzystania ze swoich danych cyfrowych oraz pełnia praw w zakresie świadomego dysponowania tymi danymi w relacjach z innymi podmiotami. Podmiotem w tym kontekście może być obszar państwa, regionu, instytucja, organizacja, podmiot prawa handlowego, osoba fizyczna. Suwerenność w cyberprzestrzeni stała się gorącym tematem, bo dane stały się zasobem wielkiej wartości dla państwa, instytucji, firmy, a nawet pojedynczego człowieka. Aby lepiej podkreślić ich wagę, uprawnione jest zastosowanie parafrazy. Suwerenność cyfrowa w relacji do zbiorów danych jest jak suwerenność państwa i obywateli w relacji do złóż ropy naftowej, gazu ziemnego na jego ziemi, czy też na jego terytorium. Warto zauważyć, że również w ramach jednego państwa, suwerenność poszczególnych podmiotów w dysponowaniu swymi zasobami w różnych krajach jest różna.
W miarę wzrostu poziomu komplikacji naszych powiązań z cyberprzestrzenią, będą pojawiać się nowe zagrożenia, których jeszcze nie jesteśmy sobie w stanie wyobrazić. Jedno jest niemal pewne: w miarę postępów cyfryzacji poszerzymy pojemności pojęcia bezpieczeństwo i zrezygnujemy z przedrostka cyber-.
/>
