W styczniu 2021 r. opublikowana została 16 edycja Global Risk Report opracowanego przez Światowe Forum Ekonomiczne, w którym wskazane zostały najważniejsze zagrożenia dla światowej gospodarki, z którymi borykamy się obecnie lub będziemy w najbliższej przyszłości. O ile pierwsze 3 pozycje są do przewidzenia (choroby zakaźne, nierówność dochodów i ekstremalne zjawiska pogodowe), to pozycja znajdująca się zaraz za podium wzbudza nasze największe zainteresowanie: cyberbezpieczeństwo.
Pandemia COVID-19 ujawniła duże luki w cyberprzestrzeni i nieprzygotowanie większości organizacji do przejścia na pracę zdalną i jednocześnie pogłębiła nierówności technologiczne w obrębie społeczeństw i między państwami. Warto jednak zauważyć jej pozytywny skutek – zaangażowanie organizacji w sprawy cyberbezpieczeństwa znacząco wzrosło, a co za tym idzie zwiększyły się również wydatki na ten obszar działalności.
Obecnie wszyscy starają się być na bieżąco z najnowszymi metodami cyberataków, ale są kraje, które bardziej niż pozostałe angażują się w temat cyberbezpieczeństwa. Szczegółowej informacji w tym zakresie dostarcza nam Global Cybersecurity Index (GCI). Jest to wskaźnik, który mierzy zaangażowanie krajów w cyberbezpieczeństwo na poziomie globalnym. Cyberbezpieczeństwo ma szerokie zastosowanie i obejmuje wiele branż oraz różne sektory gospodarki, dlatego też poziom rozwoju oraz zaangażowania każdego kraju ocenia się w GCI według pięciu filarów:
- środki prawne
- środki techniczne
- środki organizacyjne
- rozwój
- współpraca
Zgodnie z wynikami przedstawionymi w ostatnim opublikowanym raporcie za rok 2020 na pierwszym miejscu znalazły się USA. Nie jest zaskoczeniem, bowiem to właśnie w Stanach Zjednoczonych angażuje się największą ilość środków na zapewnienie i poprawę cyberbezpieczeństwa na świecie. Co więcej, niedawny atak hackerski na Colonial Pipeline pokazał jak bardzo amerykański rząd i przemysł są nadal podatne na nawet podstawowe ataki pochodzące z sieci, w związku z czym Prezydent USA zapowiedział znaczne zwiększenie środków finansowych z budżetu federalnego na rozwój cyberbezpieczeństwa.
Jeśli zaś chodzi o Europę, to niekwestionowanym liderem w kwestii zapewnienia cyberbezpieczeństwa jest… Estonia. Pierwsza na świecie wojna cybernetyczna, która miała miejsce w 2007 roku dała temu liczącemu zaledwie 1,3 miliona mieszkańców nadbałtyckiemu krajowi doświadczenie niezbędne do wzniesienia się na szczyt świata cyberbezpieczeństwa, zarówno w sektorze prywatnym, jak i publicznym. Wszystko zaczęło się od decyzji estońskich władz o likwidacji pomnika wojennego z czasów sowieckich z centrum Tallina i przeniesieniu go na cmentarz wojskowy. Fakt ten wywołał oburzenie rosyjskich dyplomatów, którzy potępili zachowanie estońskich władz. Ciekawym zbiegiem okoliczności akurat w tym czasie Estonia stała się celem największego jak dotąd cyberataku na pojedynczy kraj. Miały wtedy miejsce trwające nieco ponad dwa tygodnie cyberataki na estońskie jednostki publiczne oraz firmy, a co znamienne kraj ten był już w tamtym czasie zdecydowanym liderem w dziedzinie e-administracji, wprowadzając usługi takie jak choćby głosowanie online czy podpisy cyfrowe. Podczas wspomnianych ataków nie miały miejsca wycieki czy utrata danych – były one raczej ukierunkowane na zakłócenie ciągłości działania (ataki typu DoS) stron internetowych banków, szpitali czy urzędów. Niektóre z nich trwały 22 dni, jedne usługi były zakłócane, podczas gdy pozostałe zostały całkowicie wyłączone. Przez te ciężkie doświadczenia estońskie władze podjęły decyzję o wdrożeniu krajowej strategii cyberbezpieczeństwa, która nieustannie jest realizowana i aktualizowana. W ramach niej nawiązano współpracę z prywatnymi firmami w celu budowy bezpiecznych systemów oraz utworzone zostały tzw. „ambasady danych” w Luksemburgu – bezpieczne centra danych (spełniające TIER 4) zlokalizowane w chmurze, które zawierają kopie zapasowe krytycznych danych i systemów wykorzystywanych przez estoński rząd i jednostki publiczne.
A teraz przenieśmy się na nasz rodzimy grunt. Wracając do wyników opublikowanych we wspominanym już Global Risk Report Polska znalazła się na 30 miejscu, pomiędzy Austrią (29) i Kazachstanem (31) na około 170 państw z całego świata biorących udział w badaniu.
W Polsce temat cyberbezpieczeństwa nie jest może aż tak rozwinięty i powszechny jak w Estonii, jednak z roku na rok dzieje się w tym obszarze coraz więcej. W 2018 r. została wprowadzona ustawa o Krajowym Systemie Cyberbezpieczeństwa, która miała przede wszystkim na celu 2 rzeczy: dostosowanie krajowych regulacji prawnych do dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148 – tzw. Dyrektywa NIS) oraz ustanowienie ram cyberbezpieczeństwa dla różnych gałęzi polskiej gospodarki. Jej wymagania zmusiły przede wszystkim jednostki publiczne i podmioty uznane za „operatorów usług kluczowych” do stworzenia wewnętrznych struktur odpowiedzialnych za zapewnienie bezpieczeństwa teleinformatycznego, jak również wprowadzenia szeregu rozwiązań i zabezpieczeń, o których mowa choćby w normach ISO/IEC serii 27000 czy standardach NIST Special Publication 800-34, 800-82 oraz 800-62.
Co więcej, wprowadzenie w życie wspomnianej ustawy ma fundamentalne znaczenie w zakresie finansowania cyberbezpieczeństwa w Polsce, ponieważ jej zapisy zobowiązują podmioty realizujące zadania publiczne do ujmowania w swoich planach finansowych nakładów na cyberbezpieczeństwo. Jednak analizując art. 93 ustawy opisujący można mieć uzasadnione obawy co do wielkości planowanych wydatków na cyberbezpieczeństwo – zapisy te wskazują na utrzymanie ich stałego maksymalnego limitu aż do 2027 roku. Fakt ten może niepokoić ze względu na dość sporą dynamikę zmian w obszarze zapewnienia bezpieczeństwa teleinformatycznego kraju, a co za tym idzie – braku wystarczających środków na rozwój zabezpieczeń i walkę z zagrożeniami w cyberprzestrzeni. Niemniej jednak jednostki publiczne oraz organizacje objęte wymaganiami ustawy o Krajowym Systemie Cyberbezpieczeństwa wdrażają konieczne rozwiązania, a świadomość konieczności podnoszenia poziomu bezpieczeństwa cybernetycznego w naszym kraju jest coraz większa.
Autor: Tomasz Cieślik