Publicystyka - ngo.pl

Mirosław Maj: – Jakkolwiek może to być zaskakujące, od zeszłego roku istnieje. Kompleksowym systemem można nazwać Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która opisuje podstawowych graczy w tej dziedzinie oraz rzeczy, które powinny się wydarzyć i jak powinny potem funkcjonować. Dokument ten jest implementacją dyrektywy europejskiej, która powszechnie nazywana jest dyrektywą NIS (Network Information Security).

– To prawda, ale nawet NATO formalnie uznało cyberprzestrzeń jako nową domenę walki, porównywalną z wodą, powietrzem i lądem, dopiero w 2016 roku, zresztą na szczycie w Warszawie. Nie znaczy to oczywiście, że dopiero wtedy państwa Sojuszu przystąpiły do różnych działań. Stany Zjednoczone mają co najmniej kilkunastoletnią historię zajmowania się cyberbezpieczeństwem w kontekście militarnym. Dyrektywa NIS na poziomie europejskim to 2015 rok, ale znów: wiele państw robiło różne rzeczy wcześniej. Pracuję w tej dziedzinie od kilkunastu lat, przypatrywałem się więc powstawaniu różnych dokumentów, były różne podejścia do sprawy. Nie było jednak nigdy kompleksowych i konkretnych wymagań, a jeśli ich nie ma, to trudno jest kogokolwiek przekonać, że są to sprawy ważne.

Przy okazji, jak nie ma odpowiedniego dokumentu, właśnie ustawy, to nie ma też odpowiedniego budżetu, który jest potrzebny do wdrożenia zaleceń. Być może więc po prostu zabrakło determinacji i ludzi rozumiejących potrzeby. Mówię teraz oczywiście o administracji państwowej, w sektorze komercyjnym wygląda to trochę inaczej. Tak czy siak, należy cieszyć się, że jest ta ustawa.

– Wydaje mi się, że to zbyt ogólna i generalizująca ocena. Co nie zmienia oczywiście faktu, że jak ktoś jest bardzo zdeterminowany i posiada duże środki oraz czas, to może zrobić bardzo dużo. Nie wiem, czy można się podszyć pod każdego, aczkolwiek pamiętać trzeba, że podszycie się pod kogoś w Internecie nie jest zbyt trudnym zadaniem.

Internet można wykorzystywać do różnych rzeczy, to jasne, ale na ile będą to działania skuteczne, zależy właśnie od systemu ochrony.

– Trzeba przede wszystkim pamiętać, że nie ma czegoś takiego jak stuprocentowe bezpieczeństwo. Czy nasz system działa, trudno powiedzieć, ponieważ jest bardzo młody – ustawa weszła w życie pod koniec sierpnia, więc nie ma nawet roku. Pojawiło się w niej mnóstwo rzeczy, które należy zrobić i myślę, że jest to praca na kilka lat. Część systemów ma zacząć funkcjonować dopiero w przyszłym roku. Oceniam więc, że prace nad stworzeniem systemu i jego wdrożeniem wciąż trwają.

I powtarzam, nie należy liczyć, że kiedy wszystkie zapisy ustawy zostaną zrealizowane, to z dnia na dzień będzie bezpiecznie, bo ekosystem cyberbezpieczeństwa cały czas żyje. Pojawiają się nowe zagrożenia, nowi gracze – mam na myśli zarówno przestępców, jak i poziom państwowy – którzy mają różne interesy w tym, by atakować różne sektory. Musimy więc wiedzieć, że cały czas jest pewne ryzyko, a zatem trzeba działać, by je ograniczać. Nie wolno spocząć na laurach.

– W tej kwestii nie jest najgorzej. Polska często podawana jest jako przykład państwa, w którym wiele osób interesuje się cyberbezpieczeństwem i ma niezłe osiągnięcia.

Instytucje, o których pan wspomniał, czyli CSIRT (są trzy: NASK, GOV i MON), działają od wielu lat. CSIRT NASK to zespół CERT Polska, który powstał w 1996 roku, ma dwudziestotrzyletnią historię. To jest masa doświadczeń, silne więzy i wypracowane struktury współpracy w środowisku międzynarodowym, co jest bardzo ważne. A także kilkunastoosobowe zespoły ludzi, którzy naprawdę są bardzo dobrzy w tym fachu. Poruszył pan też wątek finansowy. Tu jest dobrze i źle.

– Dobrze jest dlatego, że w związku z tym, iż widać, że jest coraz większa konieczność zajmowania się cyberbezpieczeństwem, ludzie w firmach komercyjnych nie mają problemu ze znalezieniem pracy. Natomiast jeśli mówimy o administracji państwowej, to mamy znane bariery. Sytuacja nie wygląda tak, że spece od cyberbezpieczeństwa są dwa razy lepiej wynagradzani niż inni. A pewnie najlepiej by było osiągnąć ten poziom, by była mocna konkurencja z rynkiem komercyjnym. Tam, gdzie obecnie płaci się mniej, są entuzjaści, którzy być może mają silniejszy gen pracy dla państwa. Są to też osoby, które stawiają na rozwój, bo w instytucjach państwowych można się trochę więcej nauczyć niż w średniej firmie komercyjnej, która stawia na dość wąski zakres potrzeb. Podsumowując, można powiedzieć, że ludzi trochę jest, pewnie powinno być ich więcej i w sektorze państwowym powinny wytworzyć się mechanizmy lepszego wynagradzania pracowników, by móc budować mocne struktury.

– To dobre i ważne pytanie, ale jeśli mamy mówić o konkretach, to uważam, że trzeba uciekać od emocjonalnych ocen, że wszystko jest źle lub dobrze. Odpowiedź na takie pytanie związana jest z koniecznością przeprowadzenia audytu. Drugą formą oceny jest sprawdzenie, co wiemy o systemie na podstawie jego historii. W kwestii ePUAP-u nie są mi znane żadne konkrety, nie brałem udziału w żadnym audycie. Jeśli chodzi o drugie podejście, to nie pamiętam żadnej poważniejszej wpadki związanej z tym systemem. Proszę też pamiętać, że dzięki minister Annie Streżyńskiej w system ePUAP-u zostały włączone banki po to, by szybciej rozpropagować profil zaufany. Został on użyty przy programie 500+. A banki mają bardzo dobre zabezpieczenia.

– Zależy, do jakiego wniosku chcemy dojść.

Wprowadzanie usług cyfrowych jest też oczywiście wprowadzeniem nowego ryzyka: zdalnego dostępu do zasobów, niezadziałania danego systemu. Dużą część bankowości przerzuciliśmy do Internetu i łatwo sobie wyobrazić – co jako fundacja ćwiczymy często – co by się stało, gdyby te systemy przestały działać. Czeka nas co najmniej chaos, jeśli nie paraliż. Tyle tylko, że te rozważania możemy historycznie porównać do dyskusji o samochodach. Też można było powiedzieć, że przecież są niebezpieczne, są wypadki, ludzie giną. Może więc zostawmy tylko chodniki i rowery. Ale to absurd, bo przed takimi rzeczami nie ma odwrotu. Musimy się z tym pogodzić, w związku z czym musimy inwestować w bezpieczeństwo w nowym obszarze. Warto zresztą dodać, że papier wcale nie jest pozbawiony ryzyka i też podlega trzem podstawowym zasadom bezpieczeństwa.

– Odpowiem, dodatkowo tłumacząc, jak podlega im papier. Pierwsza to poufność: ktoś może wyjąć z szuflady dokument albo wynieść całą ich teczkę. I będzie kłopot, nawet czasem większy, bo okaże się, że nie ma kopii zapasowej albo są one nieważne, bo musimy mieć oryginał. Druga to dostępność: archiwum może spłonąć. Ostatnia to integralność: papierowe dokumenty też można fałszować. Dziś patrzymy na papier z większą bojaźnią, bo Internet i usługi cyfrowe skanalizowały zagrożenia. Jednocześnie pojawił się wątek tego, że są one niezrozumiałe. Mogę przecież z tego pokoju obejrzeć coś, co jest we Wrocławiu. Kiedyś musiałem wsiąść w pociąg, pojechać do biblioteki i dostać dokument. Dziś jest to możliwe zdalnie i niewiele osób potrafi wytłumaczyć, na czym technologicznie to polega. O co chodzi w protokole sieciowym, jakie mogą być błędy, jak można go zaatakować. Ta niewiedza powoduje niepewność i stąd poczucie zagrożenia, o którym zapominamy w kontekście papieru.

– Cóż, różnie. Wiele firm od wielu lat zajmuje się cyberbezpieczeństwem, bo często zostały zmuszone do tego przez rynek. Co nie znaczy, że jest idealnie. Trzeba by przeprowadzić testy, ale obstawiam, że w wielu firmach efekt byłby taki, o jakim pan mówi.

Można się przed tym bronić na dwa sposoby, które powinny być ze sobą kompatybilne. Po pierwsze, technologicznie. Do zdarzenia, które pan przytoczył, nie doszłoby, gdyby w firmie był system, który w przypadku włożenia nieautoryzowanego pendrive’a do firmowego komputera blokuje jakikolwiek przesył danych z niego i informuje o zdarzeniu administratora bezpieczeństwa. Drugi sposób to uświadamianie pracowników. Znam wiele przykładów, gdy przyniosło to świetny efekt. Nazywam to „ludzkim systemem wykrywania intruzów”. Przeszkoleni ludzie są w stanie wychwycić rzeczy, których nie zauważają systemy technologiczne.

– Tak, trzy. Pierwszy to wspomniany już sektor bankowy. Ataki przeprowadzane na banki i ich klientów mają długą historię i gdyby nie zajęły się one tym tematem poważnie, to część z nich mogłaby nawet zbankrutować. Drugi to sektor telekomunikacyjny, który jest jednak wyspowy – niektórzy operatorzy mają wręcz wzorcowe rozwiązania, inni trochę gorsze. Ostatni to sektor energetyczny, w którym pojawiają się już wyzwania związane z bezpieczeństwem państwa. Dbałość o cyberbezpieczeństwo poprawia się tu bardzo wyraźnie. Organizowaliśmy w tym sektorze ćwiczenia w 2012 i potem w 2017 roku. Widać było znaczącą poprawę. Raz, że w ćwiczeniach wzięło udział więcej firm, dwa, że wzrósł poziom kompetencji pracowników.

– Tak nie powiem, bo później się to wydarzy i będzie, że Maj nie miał racji. Grozi nam wszystko. Pytanie brzmi, jaką determinację mają ci, którzy chcieliby do tego doprowadzić. Jest to jednak możliwe, w ostatnich latach na Ukrainie doszło do dwóch blackoutów. U nas jest i niedobrze, i dobrze. Niedobrze, bo to sektor o bardzo dużym ryzyku i trzeba by sprawdzić, czy nie jest zaminowany – czy nie istnieją w nim pewnego rodzaju bomby logiczne, które po odpaleniu wyrządzą poważne szkody. Dobrze, bo na całe szczęście narzędzia, zwłaszcza te najbardziej wyspecjalizowane, których by trzeba użyć do takiej akcji, są jednorazowe. Raz użyte powodują, że druga strona, nawet jeśli stanie się ofiarą, to później, po analizie, będzie w stanie zabezpieczyć się przed powtórką.

A przygotowanie takiego ataku nie jest łatwe. Ominięcie zabezpieczeń systemów sektora energetycznego wymaga dużej pracy, niekiedy są to projekty trwające lata. Nie mówiąc o tym, że kosztowne. Kolokwialnie rzecz ujmując, nikt nie chce się z nich wystrzelać, bo potem, jeśli będą naprawdę potrzebne, nie zadziałają. Nie do końca wiemy zatem, jak jest, ale jednocześnie nie odczuwamy co chwila związanych z tym problemów.

– NGO są systematycznie atakowane, bo współpracują z administracją państwową. Uznaje się je więc za tak zwane miejsca przesiadkowe do tego, by pozyskać jakąś informację, na przykład poprzez podszycie się pod kogoś. Jednocześnie jest to sektor, który ze względu na swoją niezależność trudno uregulować i narzucić mu konieczność wdrożenia zabezpieczeń.

A i to będzie wynikać z tego, że po prostu zajmują się bezpieczeństwem, więc mają świadomość i kompetencje. W przypadku innych obstawiam, że ta świadomość jest nikła, jeśli nie zerowa. Nikt tego jednak nie badał i może dobrym postulatem jest, by to zrobić.

– Jak najbardziej powinny i żeby być uczciwym, to trzeba powiedzieć, że czasem się pojawiają. Na dzień dzisiejszy zagadnienia te dotyczą w szkole głównie cyberbullyingu, tego, że można komuś zrobić krzywdę, nagrywając ośmieszający filmik, czy ostrzeżenia przed kontaktami z podejrzanymi osobami. Wynika to po części z tego, że nie mamy w polskim języku rozróżnienia terminologicznego, które funkcjonuje w angielskim. Tam jest security i safety. Pierwsze to bezpieczeństwo związane z tym, że możemy ponieść straty w wyniku działań o naturze technicznej. Drugie oznacza bezpieczeństwo, które może być związane z wykorzystywaniem technologii, a głównym zagrożeniem jest niebezpieczna treść. W szkołach brakuje więc, może poza podstawowym „pamiętaj o haśle”, tego typu kwestii.

Tutaj ciekawostka: eksperci mówią, że wcale nie jest to dobra rekomendacja.

– Może to doprowadzić do tego, że ludzie albo zaczynają wymyślać banalne hasła, albo system ich zmiany jest naiwny, albo zapisują je gdzieś, bo nie są w stanie wszystkiego spamiętać.

Wracając jednak do szkół, to jeśli chodzi o cyberbezpieczeństwo technologiczne, jest sporo do zrobienia. Pewnie także dlatego, że na tym poziomie tego typu zagrożenia nie występują lub dzieje się to rzadko: na przykład ktoś włamał się do dziennika. Nie są to jednak na tyle powszechne przypadki, by szkoła wdrażała system ochrony albo by powstał ogólnopolski program dedykowany tej dziedzinie. Może się to zmieni, bo jesteśmy w trakcie wielkiego projektu Ogólnopolskiej Sieci Edukacyjnej, w ramach którego szkoły nie tylko są podłączane do Internetu, ale wraz z nim wprowadzane są mechanizmy ich zabezpieczenia. Być może pójdą za tym wątki edukacyjne dla nauczycieli i uczniów.

– To są trudne zagadnienia, więc wiele osób się ich boi. Zazwyczaj przypominam, że nadal jest tak, iż większość ataków jest masowa. Polegają one na tym, że nie trzeba specjalnie szukać ofiary, bo jest ich potencjalnie tak dużo, że łamanie zabezpieczeń konkretnej osoby mija się z celem. Próbą takiego ataku może być rozesłanie spamu z załącznikiem, który ma złośliwe oprogramowanie. Zawsze znajdzie się ktoś, kto go otworzy. Wystarczy więc nie być w grupie największego ryzyka, przestępcy zawsze idą bowiem po linii najmniejszego oporu, by nie wiązało się to z ich strony z dużymi kosztami.

Jeżeli mamy więc aktualne system operacyjny, oprogramowanie antywirusowe i najważniejsze aplikacje (w tym przede wszystkim przeglądarkę internetową), to ryzyko, że coś nam się stanie, drastycznie spada.

Nie zmienia to oczywiście faktu, że jak ktoś się uprze, to będzie w stanie przełamać nasze zabezpieczenia. Zresztą nawet specjaliści zajmujący się cyberbezpieczeństwem nie są całkowicie odporni na ataki. Tak, jak mówiłem: nie ma czegoś takiego, jak 100% bezpieczeństwo.

Mirosław Maj – założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń. W latach 2017-18 doradca Ministra Obrony Narodowej. Był członkiem stałego zespołu ds. cyberbezpieczeństwa RP powołanego przez szefa BBN, brał udział w tworzeniu ustawy o Krajowym Systemie Cyberbezpieczeństwa. W latach 2012-2018 koordynował pierwsze w Polsce ćwiczenia z ochrony w cyberprzestrzeni – Cyber-EXE™ Polska, realizowane w najważniejszych sektorach gospodarki. Koordynował NATO-owski projekt CLOSER, dzięki któremu powstały CERT-y w Gruzji, Mołdawii, Armenii i Azerbejdżanie. Prowadzi wykłady z bezpieczeństwa teleinformatycznego na PW, UJ, PwB, PJWSTK i SGH.