Budowanie narodowych cyberzdolności i suwerenności państw, wzmacnianie polityki cyberbezpieczeństwa NATO, kształtowanie efektywnej współpracy publiczno-prywatnej, a także zwiększona cyberochrona infrastruktury krytycznej – Instytut Kościuszki publikuje rekomendacje wypracowane podczas I edycji Europejskiego Forum Cyberbezpieczeństwa (CYBERSEC).
Rosnąca zależność państw i społeczeństw od systemów teleinformatycznych oznacza coraz większe zagrożenie cyberatakami. Choć ich potencjalne skutki mogą być katastrofalne to, jak pokazują badania, zarówno państwa, jak i firmy wciąż nie są na nie wystarczająco przygotowane. Aby zwrócić uwagę na problem i zadbać o realne wzmocnienie poziomu cyberbezpieczeństwa w Europie, Instytut Kościuszki zainicjował Europejskie Forum Cyberbezpieczeństwa. Poniżej przedstawiamy wybrane najważniejsze postulaty i konkluzje z konferencji.
Strategiczna rola cyberbezpieczeństwa
Pierwszym krokiem w budowaniu zdolności do działania w cyberprzestrzeni jest przekonanie o strategicznym znaczeniu i roli działań związanych z cyberbezpieczeństwem. Niezależnie od tego czy chodzi o cyberbezpieczeństwo pojedynczej firmy, czy całego państwa, kluczowe jest aby było to wyzwanie wbudowane w strategię funkcjonowania całego organizmu. Takie podejście umożliwia należyte potraktowanie problemu, nadanie mu wysokiego priorytetu, właściwe określenie ról i odpowiedzialności oraz przeznaczenie niezbędnych zasobów (także finansowych).
Po drugie, zapewnienie odpowiedniego poziomu cyberbezpieczeństwa jest bezpośrednim zadaniem i odpowiedzialnością państw (w skali makro) i poszczególnych przedsiębiorstw (w skali mikro). „Niezależnie od ważnej roli wspomagającej, jaką pełnić mogą organizacje ponadnarodowe takie, jak NATO czy UE, to właśnie państwa muszą budować własne zdolności i rozwiązania zapewniające im bezpieczne funkcjonowanie w cyberprzestrzeni. Struktury ponadnarodowe mogą harmonizować podejście, wskazywać zależności, pomagać, jednak to państwa muszą wziąć na siebie odpowiedzialność należytego przygotowania do stawiania czoła cyberzagrożeniom” – ocenia Joanna Świątkowska, ekspert Instytutu Kościuszki, dyrektor programowy CYBERSEC. „W Polsce mieliśmy przykład zbyt dużego polegania na działaniach europejskich. Od lat czekamy na Dyrektywę NIS, która miała być katalizatorem zmian w Polsce. Przez bierne oczekiwanie straciliśmy mnóstwo cennego czasu, a opóźnienia są ogromne” – dodaje.
W kwestii odpowiedniego zabezpieczenia państw przed zagrożeniami płynącymi z cybeprzestrzeni, to właśnie zwiększenie finansowania w zakresie cyberbezpieczeństwa i właściwa priorytetyzacja wydatków wymieniane są wśród najważniejszych zaleceń dla rządzących. Coraz więcej państw decyduje się zwiększać poziom wydatków na obronę wprowadzając na przykład zasadę przeznaczenia 2% PKB na ten cel. Jak zgodnie przyznają eksperci, analogicznie, w ramach długofalowych strategii państwa powinny również jasno określać wartość środków przeznaczanych na cyberbezpieczeństwo. „Cyberbezpieczeństwo nie może być dłużej traktowane jako niepotrzebna inwestycja, ale jako element zapewniający bezpieczne funkcjonowanie państw i obywateli” – podkreśla Helena Raud, ekspert European Cybersecurity Initiative w Estonii.
Zwiększenie nakładów pieniężnych, a także wdrożenie pozafinansowych mechanizmów wsparcia powinno obejmować także sektor małych i średnich przedsiębiorstw oraz start-upy. Takie działania umożliwią budowanie europejskiego potencjału w zakresie cyberbezpieczeństwa i wstrzymają odpływ innowacyjnych firm poza Europę.
Bezpieczeństwo infrastruktury krytycznej
Jednym z kluczowych tematów poruszanych na CYBERSEC było bezpieczeństwo infrastruktury krytycznej – obszarów, obiektów i usług strategicznych z punktu widzenia funkcjonowania i bezpieczeństwa państw i społeczeństw, takich jak np. lotniska, szpitale, elektrownie. Zdaniem ekspertów, cyberataków na te strategiczne podmioty będzie coraz więcej.
Jednym z najważniejszych działań zapewniających cyberbezpieczeństwo najbardziej newralgicznych infrastruktur kraju jest skuteczna wymiana informacji – dokument z rekomendacjami szerzej opisuje również zasady, na których powinna się ona opierać. Eksperci podkreślają także konieczność stworzenia mechanizmów efektywnej współpracy prywatno-publicznej, szczególnie że coraz większa liczba infrastruktur krytycznych znajduje się w rękach prywatnych. Drugim istotnym działaniem, które należy podjąć w tym obszarze jest również stosowanie odpowiednich standardów cyberbezpieczeństwa, które powinny być wypracowywane sektorowo i bezwzględnie wdrażane.
Budowanie narodowych zdolności państw członkowskich NATO
Cyberprzestrzeń to wyzwanie również dla wojska, które realizując swoje działania powinno być odpowiednio przygotowane na potencjalne zagrożenia płynące z sieci. Konieczne jest określenie stałych procedur postępowania, również w sytuacjach kryzysowych. Państwa powinny dążyć do rozbudowy ofensywnych zdolności armii do działania w cyberprzestrzeni. Element ten stanowi ważny czynnik z punktu widzenia odstraszania i obrony. Brak odpowiedniego przygotowania za zagrożenia płynące z cyberprzestrzeni może doprowadzić do tego, że w ramach odpowiedzi na atak będziemy zmuszeni uruchomić środki konwencjonalne.
Budowanie narodowych zdolności na poziomie państw jest istotnym czynnikiem również z punktu widzenia bezpiecznego funkcjonowania NATO. Silni członkowie Sojuszu to silna sama organizacja, dlatego każdy kraj powinien wzmacniać suwerenne rozwiązania. Jednocześnie należy pamiętać, że obecnie NATO nie zezwala na prowadzenie ofensywnych operacji w cyberprzestrzeni w ramach Sojuszu, zatem decyzja o rozbudowie tego typu zdolności powinna spoczywać na barkach państw członkowskich.
Aprobatę uczestników zyskał postulat intensywnego wdrażania ćwiczeń doskonalących działania w zakresie cyberbezpieczeństwa, zarówno na poziomie narodowym, jak i międzynarodowym. Konieczna jest organizacja wspólnych ćwiczeń NATO oraz UE, które w obliczu rosnącego napięcia geopolitycznego mogą wydawać się szczególnie istotne. Eksperci wsparli też pomysł utworzenia i przeszkolenia Sił Obrony Cybernetycznej NATO, specjalnych jednostek do działania w cyberprzestrzeni, podobnych sposobem funkcjonowania do Sił Reagowania NATO. Co więcej, oprócz Lądowych, Morskich i Specjalnych Dowództw Komponentu NATO powinno rozważyć się również stworzenie ich Cybernetycznego odpowiednika.
Jak podkreśla Instytut Kościuszki, Polska, jako kraj o dużym potencjale może stać się istotnym partnerem międzynarodowych rozmów o cyberbezpieczeństwie. Szansą może być lipcowy szczyt NATO w Warszawie, podczas którego cyberbezpieczeństwo będzie dyskutowane w ramach trzeciego „koszyka” tematów obejmującego nowe hybrydowe zagrożenia dla bezpieczeństwa. Krajowy potencjał państw członkowskich NATO to jeden z najistotniejszych obszarów rekomendacji wypracowanych podczas CYBERSEC. Organizatorzy konferencji liczą, że konkluzje ekspertów okażą się pomocne przy tworzeniu polskiego stanowiska, które zostanie zaprezentowane na szczycie Sojuszu w Warszawie.
Ważnym elementem dyskusji było także wskazanie, że działania w cyberprzestrzeni prowadzone przez państwa (lub z ich inspiracji) są prawie zawsze powiązane z działaniami konwencjonalnymi i stanowią cześć działań służących realizacji konkretnych celów politycznych. Dlatego skuteczna obrona przed nimi wymaga analizowania aktualnej sytuacji geopolitycznej i stosowania działań także z asortymentu klasycznej polityki. W tym kontekście, bardzo ważną rekomendacją była konieczność budowania przez poszczególne kraje cyberdyplomacji. Korpus dyplomatyczny powinien posiadać umiejętności stosowania różnorodnych narzędzi w odniesieniu do wszystkich najważniejszych kwestii związanych z cyberprzestrzenią, także tych związanych z potencjalnymi konfliktami. Ponadto, jak wskazują eksperci, państwa powinny prowadzić polityki rozwojowe zintegrowane z politykami bezpieczeństwa, co pozwoli zwiększyć ogólny poziom cyberbezpieczeństwa.
Potrzeba więcej specjalistów od bezpieczeństwa
Kompleksowe podejście do problemu cyberbezpieczeństwa powinno wychodzić naprzeciw również takim problemom, jak diametralnie rosnąca luka zatrudnienia specjalistów w tym obszarze. Wzrastają potrzeby tak na poziomie sektora prywatnego, jak i publicznego w zakresie wykwalifikowanych profesjonalistów w zakresie cyberbezpieczeństwa, dlatego tak ważna jest współpraca obu tych sfer na wielu poziomach. Jak pokazują badania, do roku 2020 aż 1,5 mln miejsc pracy w cyberbezpieczeństwie pozostanie nieobsadzonych. Należy zatem budować strategie kształcenia profesjonalnej siły już na poziomie narodowym, na co szczególny nacisk kładzie Instytut Kościuszki. Podaż powinna wynikać z potrzeb rynku, a uczelnie w porozumieniu z m.in. sektorem prywatnym powinny dostosowywać do tego strategię edukacji.
Wspólnym mianownikiem wszystkich niemal sesji konferencji CYBERSEC była konieczność podnoszenia świadomości i edukacja w zakresie cyberbezpieczeństwa. Celem powinno być uświadomienie każdemu obywatelowi tego, jak ważne jest„higieniczne” i bezpieczne korzystanie z sieci oraz wyposażenie go w podstawową wiedzę z tego obszaru. Jak rekomendują eksperci, cyberbezpieczeństwo powinno zostać inkorporowane w cały cykl edukacyjny od najmłodszych lat. Jest to kwestia, którą powinny zająć się ministerstwa edukacji wszystkich państw Unii Europejskiej.
