Już niebawem opublikowana zostanie druga edycja światowego indeksu cyberbezpieczeństwa – Global Cybersecurity Index 2016. Pierwszy światowy indeks powstawał ponad półtora roku pod egidą Międzynarodowego Związku Telekomunikacyjnego (International Telecommunications Union – ITU) i objął swym badaniem 195 państw członkowskich ITU. Indeks ten stał się niejako wyznacznikiem dla rządów w określeniu ich miejsca w cyberprzestrzeni. W przededniu publikacji drugiej edycji należy bliżej zastanowić się, jaką rolę odegrał i odegrać może indeks w zwiększeniu globalnego cyberbezpieczeństwa.
Biznes inspiracją dla państw?
ITU jest najstarszą na świecie, założoną w 1865 r., organizacją międzypaństwową i obecnie jedną z instytucji wyspecjalizowanych ONZ. ONZ jako organizacja o zasięgu światowym posiada długoletnie doświadczenie w publikacji różnego rodzaju indeksów, np. Wskaźnika Wykształcenia, Uniwersalnego Wskaźnika Praw Człowieka, Wskaźnika Rozwoju Społecznego. Globalny Wskaźnik Cyberbezpieczeństwa wydaję się być zatem ewolucyjnym miernikiem rzeczywistości zastanej i procesów, które jeszcze kilkanaście lat temu po prostu nie istniały – np. regulacji prawnych i procedur rządów odnośnie do cyberprzestrzeni, doktryn cybernetycznych czy zespołów reagowania na incydenty komputerowe (CERT lub CIRT).
Można oczywiście zadać sobie pytanie, dlaczego pierwszy indeks powstał dopiero w ub.r.? Rządy państw często określa się mianem „spóźnialskich” (ang. latecomers) dla podkreślenia ich opóźnionej reakcji w porównaniu z prywatnymi przedsiębiorcami w grze o podporządkowanie sobie części Internetu czy też pewnej części zjawisk sieciowych. Prawdopodobnie próba zbadania tak abstracyjnych dziedzin, dla których w większości państw brakowało jakichkolwiek statystyk, wymagało sporo czasu i pomysłowości. Tym samym sukces międzypaństwowej społeczności można uznać za odrycie brakującego puzzle’a odsłaniającego pełen obraz cyberukładanki państw.
Dla porówniania, prywatni przedsiębiorcy od wielu lat stosują różną metodologię indeksacji swoich biznes partnerów i sami poddają się takiej indeksacji ze strony regulatorów. Można zaryzykować tezę, że to biznes był katalizatorem i wzorem dla państw jak stworzyć wskaźniki cyberbezpieczeństwa. Z wcześniejszych rozwiązań biznesowych państwa zaczerpnęły w swych raportach o stanie cyberbezpieczeństwa takie narzędzia jak:
- due diligence (ang. należyta staranność) -poddanie przedsiębiorstwa wyczerpującej, wielopłaszczyznowej analizie także w zakresie bezpieczeństwa danych. Do przykładu globalnego można zaliczyć ONZ-owski wskaźnik cyberbezpieczeństwa lub jakikolwiek inny raport;
- annual due diligence – coroczna analiza bezpieczeństwa danych. Jej realizacją przez państwo może być coroczne wypełnienia kwestionariusza, na podstawie którego obliczony zostanie wskaźnik cyberbezpieczeństwa. Podczas gdy due diligence jest analizą jednorazową, annual due diligence skupia się na regularności i periodyczności ocen w ramach promowanego w teorii zarządzania continual improvement process - procesu stałego doskonalenia;
- disaster recovery (ang. odtwarzanie awaryjne) - plan działania w przypadku cyberataku na strategiczną infrastrukturę państwa z definicją różnych scenariuszy;
- cyber governance (ang. cyberzarządzanie) - udokumentowanie polityki, praktyk, procedur i procesów w celu zwalczania cyberzagrożeń.
- cyber risk management – ocena ryzyka związana z niedostatkami państwa w pewnych cyberdziedzinach. W praktyce oznaczać by to mogło nadanie rangi problemom i odchyleniom od globalnych norm bezpieczeństwa w danym państwie.
W niedalekiej przyszłości możemy się spodziewać także bardziej sformalizowanej formy oceny cyberbezpieczeństwa państwa w postaci:
- audytu wewnętrznego i zewnętrznego. Na razie brak jest regulacji prawnych, które pozwalałyby zobowiązać państwa do poddawania się pełnym audytom. Ciekawym pomysłem byłoby wdrożenie fukcji międzypaństwowego audytora pod egidą ONZ;
- planu wdrożenia usprawnień i rekomendacji przekazanych przez niezależnych audytorów.
Biznes stał się zatem inspiracją dla państw, jednak szybkość zbliżenia tych dwóch światów będzie zależała w przeważającej mierze od porzucenia wzajemnej nieufności, która obecnie blokuje współpracę między rządami w cyberprzestrzeni.
Jakie cyberindeksy opublikowano dotychczas?
Dotychczas z najbardziej znanych globalnych lub regionalnych indeksów cyberbezpieczeństwa państw wyróżnić można:
- Cyber-Security: the vexed question of global rules (Cyberbezpieczeństwo: dręczący problem globalnych zasad) wydany przez think thank SDA (Security and Defence Agenda) w 2012 r. Ten ideks i raport zarazem jest jedną z pierwszych prób porównania rzeczywistego stanu cyberbezpieczeństwa wybranych państw. Jego mocną stroną jest też przyznanie ocen w postaci gwiazdek każdemu z badanych państw. Polska też wzięła udział w tym badaniu. http://www.isn.ethz.ch/Digital-Library/Publications/Detail/?id=139895
- The Cyber Index: International Security Trends and Realities – opublikowany w 2013 r. przez Instytut Badań nad Rozbrojeniem ONZ (UN Institute for Disarmament Research). Dokument w spójny sposób opisuje zadanie poszczególnych jednostek cyberbezpieczeństwa w różnych państwach i organizacjach międzypaństwowych. http://www.unidir.org/files/publications/pdfs/cyber-index-2013-en-463.pdf
- Global Cybersecurity Index and Cyberwellness Profiles – wspomniany już na samym początku indeks opublikowany przez ITU w 2015 r. Jest on najlepiej rozbudowanym i jedynym obejmującym prawie wszystkie państwa raportem i rankingiem zarazem. Zob. https://www.itu.int/pub/D-STR-SECU-2015
- EU Cybersecurity Dashboard – jak dotąd jedyne profesjonalne podsumowanie standardów cyberbezpieczeństwa państw członkowskich UE. Metodologią zastosowaną przez twórców raportu były kwestionariusze składające się z 25 pytań, na które odpowiadali przedstawiciele państw. Odpowiedzi były weryfikowane przez ekspertów na podstawie dostarczonej ewidencji. http://cybersecurity.bsa.org/
Liczba indeksów i rankingów będzie z czasem stale rosła, spełniając tym samym swój główny cel – uświadomienia państw, na jakim etapie cyberrozwoju się znajdują i nad jakimi elementami winny jeszcze popracować.
Co oceniają indeksy?
Prawdziwą formę ankiet zastosowano tak naprawdę tylko w dwóch indeksach: EU Cybersecurity Dashboard i Global Cybersecurity Index and Cyberwellness Profiles.
EU Cybersecurity Dashboard ocenia wszystkie państwa członkowskie w pięciu dziedzinach:
- podstawy prawne dla cyberbezpieczeństwa – wszystkie dokumenty prawne regulujące strategię cyberbezpieczeństwa, ochronę danych, inwentaryzację systemów i klasyfikację danych, ocenę ryzyka, audyt, struktury zarządzania, ochronę infrastruktury krytycznej, certyfikację;
- zdolności operacyjne – istnienie CERT-ów i CSIRT-ów oraz zakres ich działania
- współpraca sektora publicznego i prywatnego – czy istnieje legalna platforma współpracy dwóch sektorów?
- specyficzne dla sektorów plany cyberbezpieczeństwa – czy państwa wypracowują różne plany dla każdego z sektorów. Z założenia różne sektory mają odmienne potrzeby informatyczne i krytyczność ich działania może znacznie się różnić.
- Cyberedukacja – programy szkolne, uniwersyteckie i dla osób starszych mające na celu dotarcie do wszystkich kategorii wiekowych i podwyższenie świadomości cyberbezpieczeństwa
Większość z 25 pytań zadawanych w ankietach unijnych odnosi się do podstaw prawnych cyberbezpieczeństwa. W praktyce ankieta ta skupia się na zbadaniu governance – zarządzania cyberprzestrzenią w danym państwie. Zdolności operacyjne na razie nie zajmują jeszcze należytego im miejsca. Najgorsze wyniki wszystkie państwa uzyskały w dziedzinie planów cyberbezpieczeństwa dla specyficznych sektorów. Reasumując, państwa członkowskie posiadają dość dobre fundamenty prawne dla określenie ich roli i odpowiedzialności w cyberprzestrzeni, jednak współpraca między sektorami, a także wyszczególnienie ryzyka i scenariuszy wymagają dalszej uwagi.
Global Cybersecurity Index z kolei opracowany został na podstawie ankiety składającej się z 17 pytań dotyczących pięciu dziedzin:
- podstaw prawnych – z naciskiem na kryminalistykę i zwalczanie cyberprzestępczości;
- zdolności operacyjnych – porównywalnych z indeksem unijnym;
- środków organizacyjnych – „map drogowych”, polityki, procedur, systemów ocen;
- budowy wydolności państwa – satndardyzacji rozwoju, rozwoju kadry profesjonalistów, certyfikacji;
- współpracy między państwami, agencjami, sektorami i w ramach organizacji międzypaństwowych.
Ponadto ITU zadawało dodatkowe pytania 196 państwom członkowskim odnośnie ich regulacji prawnej i praktyki ochrony nieletnich przed zawartością sieci. Uogólniajac, oba indeksy skupiają się na podobnych aspektach i są pierwszych krokiem do kontroli regulacji prawnych i teoretycznych mechanizmów cyberbezpieczeństwa. Prawdopodobnie kolejnym krokiem będzie skupienie się na praktycznej stronie. Jest to jednak niewykonalne dopóty, dopóki - jak już zostało wspomniane - państwa nie poddadzą się wnikliwym i niezależnym audytom.
Co to takiego profil cyberkondycji?
Warto wspomnieć o ostatnio coraz modniejszym terminie – profilu cyberkondycji czy też profilu cyberzdrowia (ang. cyberwelness profile). Termin ten znalazł się w drugim członie nazwy światowego indeksu cyberbezpieczeństwa opublikowanego przez ITU. Profil rozumiany jest jako wyszczególnienie i opisanie rzeczywistego stanu cyberbezpieczeństwa w danych państwie. W porównaniu z profilem, nadanie rangi czy wskaźnik (indeks) są uproszczoną formą oceny.
Co z tą Polską?
Analizując niektóre z indeksów warto przypatrzeć się miejscu jakie zajmuje w nich Polska. W unijnym raporcie EU Cybersecurity Dashboard Polska uplasowała się ex aequo na pozycji 15 razem ze Szwecją wśród 28 państw członkowskich. Co prawda raport ten nie określał wprost rangi i miejsca poszczególnych krajów, jednak można je ustalić we własnym zakresie poprzez sumę tzw. niedociągnięć, czyli odpowiedzi NIE na poszczególne pytania. Na unijnym podium stanęły Wielka Brytania, Holandia i Estonia. Ponadto, w Unii Europejskiej wyprzedzają nas m.in. Łotwa, Czechy, Węgry i Litwa. Wynik ten raczej nie jest zadowalający, biorąc pod uwagę, że nie znaleziono żadnej korelacji pomiędzy wielkością i zamożnością państwa a jego indeksem cyberbezpieczeństwa. Pocieszeniem może być tylko fakt, że kraje takie jak Słowenia, Francja, Luksemburg, Dania i Irlandia znalazły się na samym końcu rankingu.
W raporcie Cyber-Security: the vexed question of global rulesPolska otrzymała trzy na pięć możliwych do uzyskania gwiazdek za organizację cyberbezpieczeństwa, czyli tyle samo, co nasz sąsiad - Rosja. Jedną gwiazdkę więcej, dla porównania, otrzymał nasz zachodni sąsiad – Niemcy, a pół gwiazdki mniej - Rumunia.
W raporcie ITU : Global Cybersecurity Index and Cyberwellness profiles, Polska uplasowała się w przedziale od 40. do 50. miejsca w jednej puli z Azerbejdżanem, Ruandą i Tunezją. W światowej czołówwce znalazły się Stany Zjednoczone, Kanada, Australia, Malezja, Oman, Nowa Zelandia, Norwegia, Brazylia, Estonia i Niemcy. Ponownie wyprzedziły nas takie państwa jak Węgry, Łotwa i Słowacja.
Wskaźniki pokazują pewne różnice, jednak trend jest dość jednolity. Polska należy do państw o średniozaawansowanej infrastrukturze, technologii i dokumentacji cyberbezpieczeństwa. Zaskakujące dobre są wyniki naszych sąsiadów i ogólnie pozostałych państw Europy Środkowo-Wschodniej, w której Polska przez wiele lat była uważana przez Zachód za lidera przemianach społeczno-politycznych, rynkowych i technologicznych. Rankingi pokazują jednak, że jest nad czym pracować.
Co wniesie druga edycja?
Według informacji przekazanej przez ITU, proces gromadzenia danych dla drugiej edycji światowego indeksu cyber bezpieczeństwa zakończył się w marcu 2016 r. W napięciu oczekiwana jest zatem publikacja owoców pracy analityków, statystyków i ekspertów.
Druga edycja będzie rewolucyjną próbą oceny cyberbezpieczeństwa większości państw świata we wspomnianych wyżej pięciu kategoriach. Rewolucyjność polegać będzie na niespotykanej dotąd licznie 130 pytań w kwestionariuszach rozsyłanych rządom państw. Wszystkie pytania ułożone zostały w formie drzewa (tree structure), co oznacza, że w przypadku odpowiedzi na pytania główne pojawi się dodatkowa lista pytań szczegółowych.
Niewątpliwie sam indeks i profil cyberkondycji będzie jednym z najciekawszych dokumentów komparatystycznych opublikowanych w 2016 r.
Na ile warto wierzyć wskaźnikom i rankingom?
Głównym celem indeksów - jak podkreślają ich autorzy - jest pokazanie państwom ich stanu zaawansowania pod względem cyberbezpieczeństwa i promocja świadomości cyberbezpieczeństwa oraz roli państwa w zwalczaniu cyberzagrożeń. Unijny raport EU Cybersecurity Dashboard nie zawiera np. żadnego oficjalnego rankingu państw, a jedynie definiuje obszary, nad którymi dane państwo powinno dalej pracować.
Z jednej strony powinniśmy być świadomi, że niemożliwe jest znalezienie idealnej formuły dla rankingów i wskaźników. Ich publikacja może zawierać błąd statystyczny i w małym stopniu zdeklasyfikować jedno czy więcej państw. Z drugiej strony trzeba mieć świadomość, że indeksy nie mają na celu upokorzenia jednych państw i gloryfikacji drugich czy też nakładania kar i przyznawania nagród za osiągnięcia w dziedzinie cyberbezpieczeństwa.
Proces wprowadzania pozytywnych zmian zostanie zapoczątkowany dopiero, gdy państwa same będą świadome swych niedociągnięć i braków. Zdrowa konkurencja to kolejny z pozytywnych efektów komparatystycznych publikacji takich jak światowy indeks.
Jeśli potraktujemy cyberbezpieczeństwo państw jako oddzielne puzzle, to indeksy mogą odegrać rolę nie tylko brakującego puzzle’a, ale i całego wzorca w cyberukładance.
Paweł Góralski