Wyzwania polskiej cyberobrony

We wtorek w Krakowie zakończyło się II Europejskie Forum Cyberbezpieczeństwa. W stolicy Małopolski na Cybersec 2016 spotkali się przedstawiciele świata polityki, biznesu, wojska, społeczeństwa obywatelskiego i nauki. Podczas konferencji dyskutowano m.in. na temat budowy regionalnego systemu cyberbezpieczeństwa Europy Środkowo-Wschodniej, cyberobrony państw NATO, walki z terroryzmem za pomocą cybernarzędzi czy rosnącego deficytu wśród cyberspecjalistów. O zagrożeniach cybernetycznych, a także działaniach polskiego rządu w kierunku poprawy naszego bezpieczeństwa rozmawialiśmy w Krakowie z dr Joanną Kuleszą z Uniwersytetu Łódzkiego, ekspertką ds. prawa nowych technologii. Dariusz Jaroń, Interia: Czym - z punktu widzenia przeciętnego człowieka - jest cyberbezpieczeństwo? Dr Joanna Kulesza: Cyberbezpieczeństwo jest kwestią codziennej higieny informatycznej, czyli bezpiecznego korzystania z komputera czy telefonu. Musimy mieć zabezpieczony sprzęt i oprogramowanie, a przede wszystkim świadomość tego, że zagrożenia wynikające z korzystania z internetu czyhają na każdego z nas. W jaki sposób? - Narażone może być nasze konto bankowe, telefon komórkowy, poczta elektroniczna. Miejmy na uwadze to, że wszystkie aplikacje, z których korzystamy, mogą być celem ataku, a nasze dane zostać wykradzione, sprzedane, a informacje, z których korzystamy, można zmodyfikować bez naszej wiedzy. Cieszę się, że w Krakowie spotkali się przedstawiciele biznesu i rządu, bo rządzący nie zawsze pojawiają się na spotkaniach, gdzie jest obecny biznes i przedstawiciele społeczeństwa obywatelskiego. Tu wszyscy zastanawiali się nad tym, jak pomóc codziennym użytkownikom internetu, żeby wspomniane zagrożenia nie musiały ich nadmiernie martwić. Jak przekłada się ochrona pojedynczego użytkownika sieci na bezpieczeństwo cybernetyczne państwa? - Zaczynamy od małych rzeczy, jak indywidualne konto bankowe, a to się natychmiast przenosi na bezpieczeństwo całego systemu bankowego, co z kolei wpływa na bezpieczeństwo ekonomiczne państwa. W przypadku cyberbezpieczeństwa ta granica jest płynna, ponieważ nie wiemy, czy mamy do czynienia z pojedynczym czynem czy zmasowanym atakiem. Ile tych ataków będzie? Jak się przeciw nim bronić? Te kwestie dotykają każdego obszaru działalności państwa, momentalnie ze skali jednostkowej przenosząc się na skalę masową. Jakie są w chwili obecnej największe zagrożenia płynące z sieci? - Organizatorzy konferencji - i słusznie - kładą nacisk na zagrożenie terrorystyczne. Problem w tym, że od bez mała 40 lat Organizacja Narodów Zjednoczonych zastanawia się, czym właściwe jest terroryzm. Co dla jednych jest przestępstwem i zbrodnią, dla innych jest walką o niepodległość. Z perspektywy cyberbezpieczeństwa to zagadnienie jest jeszcze bardziej skomplikowane i niejasne. Wielkie znaczenie mają również treści cyberterrrorystyczne, modyfikowanie informacji w internecie tak, aby wywrzeć jak największe wrażenie na odbiorcy i wpłynąć na niego. Sporo miejsca poświęcono w trakcie obrad "armiom marionetek", które są formowane czasem przez rząd, czasem przez aktorów pozarządowych, aby rekrutować nowych zwolenników lub namawiać ludzi do podjęcia określonych decyzji gospodarczych i politycznych. O jak poważnych decyzjach politycznych mówimy? - Podobno wystarczy wpłynąć na decyzje 100 tysięcy osób, żeby zmienić wynik wyborów w danym kraju. W przypadku mniejszego państwa, to może być zaledwie 10 tys. W przypadku Brexitu ta różnica była niewielka, gdyby udało się przekonać za pomocą środków elektronicznych pewną grupę Brytyjczyków, wynik referendum byłby inny. - Inną kwestią o strategicznym znaczeniu dla państwa jest cyberbezpieczeństwo infrastruktury krytycznej. To duży i ważny temat, który za chwilę się zaktualizuje, bo pojawi się unijna dyrektywa o bezpieczeństwie sieci informatycznych. Minister Anna Streżyńska zapowiedziała w Krakowie, że rząd już pracuje nad jej implementacją. Mówimy o dyrektywie NIS. Jakie zmiany w podejściu do bezpieczeństwa cybernetycznego ona zakłada? - Nakłada nowe obowiązki na przedstawicieli biznesu, nie tylko tych, którzy do tej pory traktowani byli jako operatorzy infrastruktury krytycznej. Kiedy dyrektywa NIS wejdzie w życie, o bezpieczeństwo swoich zasobów będą musieli zadbać m.in. wszyscy dostawcy treści internetowych tak, jak do tej pory zajmowali się przedsiębiorcy z branży energetycznej czy komunikacyjnej. Cel jest szczytny, będziemy mieli lepiej zabezpieczoną infrastrukturę informatyczną, ale to duże wyzwanie logistyczne, organizacyjne i techniczne. I ogromny koszt. Kto za to zapłaci? - Zakłada się, że biznes sam ten koszt poniesie. Po rozmowach z przedstawicielami ministerstwa i biznesu antycypujemy, że ta dyskusja w Polsce o tym, kto ten koszt powinien ponieść pojawi się za kilka lat, kiedy ustawa faktycznie będzie implementowana. Wtedy do przedsiębiorców - tych średnich i małych także - dotrze, że trzeba ponieść nakłady na cyberbezpieczeństwo. Wracając do pytania o najważniejsze tematy związane z konferencją, to są główne trendy: z jednej strony nie w pełni zdefiniowany cyberterroryzm, z drugiej bezpieczeństwo szeroko rozumianej infrastruktury krytycznej, wynikające z zapisów dyrektywy NIS. Nie zapominajmy jednak, i to jest temat dla mnie bliski, o ochronie praw człowieka. Jeżeli chcemy się bronić i gromadzić informacje o przestępcach, to miejmy na uwadze, że nie każdy jest przestępcą. Gdzie leży granica między dbaniem o bezpieczeństwo a ograniczaniem praw człowieka? - Nie ma uniwersalnej odpowiedzi na to pytanie. Państwa szukają aktualnych i skutecznych rozwiązań testując różne polityki. W Polsce ostatnio z pewnością niebezpiecznie przechyliliśmy szalę w kierunku bezpieczeństwa, wprowadzając ustawy, które pozwalają blokować pewne treści, a także mechanizmy pozwalające na gromadzenie informacji o użytkownikach internetu. Nadzór sądowy nad tą inwigilacją pozostawia sporo do życzenia, choć oczywiście nie jest tak, że tylko polski rząd podjął decyzję o dopuszczeniu inwigilacji obywateli w internecie. To ogólnoeuropejski trend, chociaż trzeba podkreślić, że skala tego zagrożenia we Francji czy Belgii znacząco różni się od sytuacji w Polsce. - Widzimy zakrwawione ofiary w Brukseli czy Paryżu, dlatego w tych krajach szala przechyla się w stronę bezpieczeństwa, a rządy decydują się na ograniczanie dostępu do praw obywatelskich, prawa do prywatności czy do wolności wypowiedzi, blokując treści, które mogą być postrzegane jako terrorystyczne. Wobec braku dowodów na istnienie takiego bezpośredniego zagrożenia w Polsce, ostatnie istotne ingerencje w prawa jednostki w imię ochrony przed terroryzmem (nowelizacja ustawy o ABW pozwalająca na gromadzenie "danych internetowych" czy tzw. "ustawa terrorystyczna", pozwalająca na blokowanie dostępu do określonych treści w internecie) uznać należy za nieproporcjonalne. Jeszcze bardziej martwi całkowity brak wymaganej w demokratycznym państwie debaty publicznej przed ich wprowadzeniem. Czy obawa przed atakami terrorystycznymi sprawi, że rządy jeszcze śmielej będą te prawa ograniczać, tłumacząc swoje postępowanie względami bezpieczeństwa? - W tej chwili obserwujemy taką tendencję. Czy ona się utrzyma? Nie potrafię powiedzieć. Jako optymistka zakładam, że znajdziemy równowagę, która pozwoli skutecznie egzekwować prawa człowieka w sieci jak i poza nią. Dlatego bardzo cieszy mnie obecność i głos obrońców praw człowieka w Krakowie, odzwierciedlająca międzynarodową tendencję - mówiąc o bezpieczeństwie w sieci nie sposób nie mówić o prawach użytkowników internetu. Często tłumaczę studentom, że prawa człowieka nie są wymysłem grupy lewaków, którzy mówią o potrzebie wolności wypowiedzi i prywatności z potrzeby serca, tylko bezpośrednią konsekwencją II wojny światowej, kiedy przekonanie rządzących o wyższości jednych poglądów nad innymi doprowadziło do tragedii. Zawsze trzeba zachować najwyższą ostrożność podejmując decyzję o ograniczeniu praw człowieka i upewnić się, że jest ona poddana niezawisłej ocenie sądów w każdej jednostkowej sprawie. W kontekście zagrożenia cybernetycznego padło sporo słów o wojnie hybrydowej. Czy to oznacza, że obraz wojny, jaki mamy utrwalony, może zostać zastąpiony działaniami w sieci? - Patrząc na sytuację w Syrii, to raczej nie. Wojna to wciąż krew na ulicach, czołgi i wybuchające bomby. Wojna hybrydowa to termin chwytliwy, ale jego znaczenie wciąż się zmienia. Próbując zdefiniować to pojęcie na potrzeby naszej rozmowy, powiedziałabym, że jest to wojna, która jest prowadzona nie tylko tradycyjnymi środkami, ale także z użyciem np. dezinformacji: podawania błędnych informacji, świadomie wprowadzanych do internetu. Propaganda zawsze była elementem tradycyjnej wojny, ale dziś może mieć szerszy zakres oddziaływania przy znacznie mniejszych nakładach. Amerykanie od jakiegoś czasu utrzymują, że program komputerowy to też broń. Wirus jak karabin? Z punktu widzenia prawa międzynarodowego wciąż trudno przekonująco uzasadnić taką interpretację. Jak ocenia pani bezpieczeństwo cybernetyczne Polski? - Ocena polskiego cyberbezpieczeństwa jest krytyczna, i nie jest to mój osąd, tylko np. Najwyższej Izby Kontroli. Potrzebujemy dobrej koordynacji, a temu nie sprzyjają zmiany polityczne, nie sprzyja temu taka kultura polityczna, która po wyborach wymienia całą kadrę i kierunek działania. Z niepokojem patrzę też na dystrybucję kompetencji, na brak spójnego mechanizmu odpowiedzialności. Wiele podmiotów jest odpowiedzialnych za różne kwestie, kiedy przychodzi do brania odpowiedzialności, nie ma podmiotu, który by się tego podjął. Słowem, wciąż jest dużo do zrobienia... - Do tej pory brakowało nam spójnej polityki i jej realizacji. A wyzwanie jest duże, bo mamy dyrektywę NIS, mamy rozporządzenie mówiące o ochronie danych osobowych i mamy codzienne zagrożenie cybernetyczne. Bardzo szanuję panią minister, to profesjonalistka, która zna się na tym, co robi. Zapowiedziała na konferencji, że pojawi się nowa strategia, nowe ustawy. Wierzę, że będzie to krok w kierunku usprawnienia polskiej cyberobrony. Rozmawiał Dariusz Jaroń