Wojna trwa. Nie ma wprawdzie krwi, ani ofiar śmiertelnych, ale każdy jest narażony na szkodliwy atak. A z cyberterroryzmem trzeba walczyć wspólnie i można wygrać — jak zauważyli uczestnicy panelu dyskusyjnego „Cyberbezpieczeństwo partnerstwo publiczno-prywatne w wykrywaniu i przeciwdziałaniu cyber-zagrożeniom” zorganizowanego podczas XXVI Forum Ekonomicznego w Krynicy- Zdroju. Inicjatorem i organizatorem był przewodniczący sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii dr Paweł Pudłowski.

— Intensywna współpraca między firmami, użytkownikami, jednostkami administracji publicznej i organami ścigania umożliwi nam skuteczniejszą ochronę naszych danych i urządzeń. Musimy zdawać sobie sprawę, że cyberprzestępcy są bardzo zaawansowani technologicznie i organizacyjnie. Dysponują wartą miliony dolarów infrastrukturą sieciową, mają legalne firmy, służące za przykrywkę rozległej działalności przestępczej, poszukują rozwiązań innowacyjnych. Tymczasem zasoby rządów, firm i osób prywatnych, przeznaczane na ochronę, nie mogą rosnąć w nieskończoność. Dlatego potrzebna jest synergia tych działań — podkreśla dr Paweł Pudłowski.

Serwery pod obstrzałem

Europejski parlament przyjął w lipcu 2016 r. dyrektywę NIS (Network and Information Security), która ma na celu ujednolicenie polityki cyberbezpieczeństwa UE i poprawę funkcjonowania firm na Starym Kontynencie. Jej podstawowym założeniem jest zorganizowanie sieci współpracy między krajowymi „punktami kontaktowymi”, czyli zespołami szybkiego reagowania na cyberzagrożenia (Computer Emergency Response Teams — w skrócie CERT). CERT-y mają być dostępne bez przerwy i koordynować działania w dziedzinie cyberbezpieczeństwa. I choć w wielu państwach europejskich, w tym w Polsce, takie zespoły istnieją już od dawna, dyrektywa nadaje im szczególną rangę oraz wprowadza obowiązek utworzenia ich tam, gdzie ich jeszcze nie ma. Nasz kraj, jak i pozostałe gospodarki członkowskie, mają 21 miesięcy na wprowadzenie dyrektywy do prawa krajowego, od momentu wpisania jej do Dziennika Urzędowego UE.

— Przyjęcie Dyrektywy NIS jest przełomem. Mam nadzieję, że polski parament przyjmie relatywnie szybko ustawę o cyberbezpieczeństwie. Dzięki temu będziemy mogli razem z administracją państwową rozwiązywać problemy, które pojawiają się na tej strategicznej dla państwa polskiego dziedzinie — zauważył Piotr Muszyński, wiceprezes Orange Polska. Według zapowiedzi resortu cyfryzacji, w październiku 2016 r. rząd przyjmie strategię dotyczącą cyberbezpieczeństwa kraju, zaś sama ustawa o cyberbezpieczeństwie ma być gotowa w 2017 r.

A potrzeba ochrony przed e-terrorem jest coraz bardziej paląca. Pod obstrzałem są banki, administracja publiczna, indywidualni użytkownicy sieci, a przede wszystkim serwery przedsiębiorstw. W sumie w 2015 r. na całym świecie doszło do 8,2 mld cyberataków, o 73 proc. więcej niż rok wcześniej.

— Jeśli nawet uda się nam co jakiś czas schwytać i ukarać hakera, to żaden sukces. Bezpieczeństwo informacyjne musi tworzyć każdy z nas i to codziennie. Istotną rolę odgrywa tu również prędkość wymiany informacji, zwłaszcza między sektorem prywatnym a publicznym — podkreślał Andras Tlegdy z banku Citi Handlowy.

David Francis szef ds. cyberbezpieczeństwa w Huawei na obszar UE, stwierdził, że przy tworzeniu płaszcza ochronnego przed cyberagresją należy najpierw zdefiniować wszystkich odpowiedzialnych w tym procesie uczest ników. A będą to zarówno producenci technologii jak i ich nabywcy, czyli przed siębiorstwa oraz osoby prywatne, a także rządy.

— Każdy odbiorca powinien mieć zapewnione wysokiej jakości produkty, które z definicji będą zaopatrzone we wszelkie zabezpieczenia. I jednocześnie każdy musi zrozumieć, że ma swój udział w zbiorowej odpowiedzialności. Nie jesteśmy wyłącz nie ofiarami cyberprzestępstw. Częściowo sami do nich doprowadziliśmy. Np. w Polsce działa około 50 mln komputerów, które odgrywają czynną rolę w sieci. I tym samym są narażone na cyberagresję — tłumaczył David Francis.

Zombie w Sejmie

Zdaniem Radu Jugureanu, menedżera departamentu e-Content w rumuńskiej spółce Siveco, należy przede wszystkim stworzyć program nauczania społeczeństwa, oparty na tzw. myśleniu krytycznym. Bowiem aż 80 proc. przestępstw w cyberprzestrzeni opiera się na naiwności, niewiedzy i braku świadomości osób korzystających z komputerów czy urządzeń mobilnych. Również Jarosław Jakimczyk, redaktor serwisu Cyberdefence24, podkreślał rolę, którą obok biznesu i administracji ma do odegrania nauka przy tworzeniu partnerstwa publiczno — prywatnego dla zapobiegania i zwalczania cyberprzestępczości.

— Brakuje nam rozwiązań edukacyjnych, które podniosą świadomość użytkowników internetu, i to zarówno tych najmłodszych, jak i osób wykluczonych cyfrowo w Polsce — mam tu na myśli pokolenie 65+, używające coraz częściej smartfonów, bez przygotowania na różnego rodzaju zagrożenia. Obok działań organów administracyjnych na tym polu, środowiska biznesowe mogłyby bardziej się zaangażować w przedsięwzięcia pro publico bono o charakterze edukacyjnym, biorąc np. udział w różnego rodzaju kampaniach reklamy społecznej — zauważył Jarosław Jakimczyk.

Pełnomocnik Ministra Cyfryzacji ds. Cyberbezpieczeństwa Włodzimierz Nowak, zaznaczył, że konieczna jest przede wszystkim edukacja na poziomie akademickim. — Większość inżynierów skupia się nad projektowaniem systemów czy aplikacji pod konkretną usługę. W tym procesie często brakuje elementu bezpieczeństwa. Dlatego chcemy, by zarówno inżynierowie, projektanci systemów, jak i ich administratorzy byli kształceni również tych w kwestiach. Pewnymi warunkami bezpieczeństwa musi być objęta również i dystrybucja wszelkich informatycznych rozwiązań. Co więcej, wprowadzenie edukacji przewidujemy także na poziomie szkół podstawowych — zapowiadał Włodzimierz Nowak. Ministerstwo cyfryzacji przewiduje też działania ukierunkowane na użytkowników, którzy np. spędzają wiele czasu przed telewizorem. W tym przypadku padają propozycje wprowadzenia do fabuły seriali telewizyjnych sytuacji związanych z cyberagresją, z których każdy widz może wyciągnąć odpowiednie wnioski. Planów rozwoju edukacji obejmującej zagadnienia bezpieczeństwa w sieci jest więc sporo.

— Edukacja istotnie wpłynie na to, jak w przyszłości będziemy użytkowali wszelkie urządzenia. Przyda się firmom i przemysłowi, gdyż lepiej wyedukowany obywatel jest również lepszym pracownikiem — podsumował Mateusz Radecki, przedstawiciel PERN-u, spółki zarządzającej rurociągami oraz bazami ropy naftowej i paliw na obszarze Polski. Z kolei zdaniem Jarosława Jakimczyka, edukacji potrzebuje również sama władza, tworząca przepisy. Przykładowo, od kilku lat trwają starania o to, żeby w kancelarii sejmu zacząć używać sondy ARAKIS-GOV, opracowanej wspólnie przez Agencję Bezpieczeństwa Wewnętrznego oraz Naukową i Akademicką Sieć Komputerową (NASK).

— Dotychczas nie udało się wdrożyć tego systemu, choć zagraniczne CERT-y co jakiś czas informują polskie władzę, że sejmowa strona WWW zamienia się w zombie, rozsiewając wszędzie zawirusowane oprogramowanie — zauważył Jarosław Jakimczyk.

Pomoc na platformach

Choć najbardziej zaawansowani w walce z cyberagresją są przedstawiciele telekomów oraz sektora bankowego, świadomość potrzeby cyberzabezpieczeń zaczyna zataczać coraz szersze kręgi w naszym kraju. Jedną z pierwszych dużych umów na polskim rynku, dotyczących ochrony przez cyberatakami, jest kontrakt zawarty w ubiegłym miesiącu między PERN a NASK. W ramach tej umowy do 2017 r. NASK ma chronić infrastrukturę informatyczną PERN.

— Ta umowa to najlepszy przykład dobrej współpracy sektora publicznego, naukowego i gospodarczego na rzecz cyberbezpieczeństwa, którą powinniśmy rozwijać właśnie przez konkretne projekty i wdrożenia. Państwo powinno wspierać takie modele współdziałania — ocenia przewodniczący Paweł Pudłowski. Ponadto pojawia się coraz więcej programów i platform służących bezpieczeństwu w sieci. IBM realizuje np. program ochronny dla swoich klientów, bazując na swych 20 centrach kompetencyjnych, które nieustannie monitorują wszelkie zagrożenia ze strony hakerów.

— Centra te są w stanie rozpoznać zagrożenie, z którym spotkał się klient na jednym kontynencie, zbudować wiedzę o przebiegu zagrożenia, opracować procedury obrony przed nim i replikować na wszystkich klientów, którzy korzystają z tego rozwiązania — tłumaczył Rafał Owczarek, szef rozwoju ds. bezpieczeństwa w spółce Avnet. IBM ma także otwartą platformę X-Force, która zawiera informacje o cyberbezpieczeństwie, atakach hakerskich oraz predykcje do nich. Co ważne, można z niej korzystać za darmo. Instytut NASK, obok działań na rzecz cyberbezpieczeństwa, prowadzi także szeroką działalność edukacyjną w zakresie kompetencji cyfrowych i bezpiecznej sieci. Działa m.in., portal e-learningowy IT Szkoła. Również Comarch opracował platformę Comarch Security, służącą do analizy danych z cyberprzestrzeni w celach związanych z bezpieczeństwem. Może ona być stosowana np. w siłach zbrojnych czy różnych w formacjach obronnych, ochronnych — oraz centrach kryzysowych.

 PARTNEREM PUBLIKACJI JEST HUAWEI, PARTNER MERYTORYCZNY: NASK

ŚWIADOMOŚĆ I PRZEPISY: Uczestnicy krynickiej debaty poświęconej zwalczaniu przestępczości w sieci zgodnie podkreślali, że u podstaw jej ograniczania leżą odpowiednie regulacje prawne i edukacja społeczeństwa. [FOT. MAREK PODMOKŁY_AG]

POTRZEBNA KOALICJA: Intensywna współpraca między firmami, użytkownikami, jednostkami administracji publicznej i organami ścigania umożliwi nam skuteczniejszą ochronę naszych danych i urządzeń — mówi Paweł Pudłowski. [FOT. ŁUKASZ KAMIŃSKI]

WSPÓŁWINNI: Według Davida Francisa, szefa ds. cyberbezpieczeństwa w Huawei na obszar UE, każdy użytkownik sieci ma swój udział w zbiorowej odpowiedzialności za popełniane w niej przestępstwa. [FOT. ARC]