Strategiczne myślenie w cyberbezpieczeństwie

„Prowadzenie poprzedniej wojny” - w USA często korzysta się z takiego zwrotu. Odnosi się on do tendencji sił zbrojnych do wyciągania za daleko idących wniosków z prowadzonych działań. Surowy, wojskowy sposób myślenia wydaje się lepiej pasować do prowadzenia analiz na temat porażek w poprzednich konfliktach, poprawiania taktyki czy modernizacji sprzętu. W ten sposób można pokonać podobnego nieprzyjaciela w przyszłości. Takie podejście leży w opozycji do innej skrajności, czyli kreatywnego myślenia o kształcie potencjalnie nadchodzących konfliktów. Identycznego odniesienia można użyć względem ekspertów zajmujących się cyberbezpieczeństwem. Wrażliwe punkty systemów komputerowych są wszechobecne, podczas gdy doktryna, polityka i najlepsze praktyki związane z cyberbezpieczeństwem - w najlepszym razie - wchodzą we wczesne stadia rozwoju. Utrzymywanie tempa w pogoni za bieżącymi zagrożeniami, myślenie nie - futurystyczne - to był dotychczasowy porządek przyjęty w tej dziedzinie.

„Internet rzeczy” – oparty o dołączenie układów scalonych, czujników i zdolności połączenia z siecią w każdym typie obiektu materialnego – stał się potężnym narzędziem w procesie zwalczania problemów związanych z edukacją, środowiskiem, zdrowiem, pracą i osobistym samopoczuciem.

W tym kontekście w Center for Long-Term Cybersecurity (CLTC - Centrum Cyberbezpieczeństwa Długoterminowego Uniwersytetu Kalifornijskiego w Berekeley), uruchomiono nowy projekt. Może on w dziedzinie cyberbezpieczeństwa wprowadzić pewną dozę strategicznego myślenia. Zgodnie z opisem samego Centrum, „praca (realizowana przez ośrodek) opiera się na przyszłościowej konceptualizacji cyberbezpieczeństwa, na tym, co może ono implikować i oznaczać dla ludzi, maszyn i społeczności, uzależnionych zarówno od czynnika ludzkiego, jak i technologii.” Jednym z pierwszych wysiłków podjętych przez CLTC jest próba opracowania zestawu scenariuszy opisujących przyszłość, które mogą się zrealizować wskutek działania bieżących trendów technologicznych, tendencji w dziedzinie bezpieczeństwa, lub nieprzewidzianych zmian w tym obszarze. Ostatecznym celem jest identyfikacja problemów związanych z bezpieczeństwem w Internecie, potencjalnie wywoływanych przez możliwe przyszłe zdarzenia. Ośrodek chce zacząć już dziś myśleć o tym, jak zwiększyć poziom bezpieczeństwa jutro.

Od Sensorium do Bańki 2.0

Jak dotąd Centrum CLTC opracowało pięć różnych scenariuszy, które warto zacytować:

Nowa Norma: ...Większość użytkowników Internetu działa z założeniem, że z całym prawdopodobieństwem ich dane zostaną wykradzione, a informacje osobiste opublikowane/przekazane dalej. Organa ścigania podejmowały i próbują utrzymać tempo w pogoni za cyber-atakami realizowanymi w małej skali, które się upowszechniły i zyskały bardziej personalny wymiar. (...) Manipulowanie danymi innych ludzi również stało się normą. Jednostki i instytucje odpowiadają na wiele różnych sposobów na te zagrożenia. Niektórzy decydują się na odcięcie od Internetu; inni publikują swoje dane zanim te mogą paść łupem złodzieja; inni walczą, wszelkimi dostępnymi środkami, by być o krok przed kolejnym włamaniem.

Omega: ...Naukowcy pracujący jako Data Scientist, we współpracy z neurologami i innymi ekspertami opracowali potężne modele zdolne do przewidywania i manipulacji czynnościami, które wykonują ludzie w danej chwili. Dla osób odpowiedzialnych za utrzymywanie bezpieczeństwa w cyberprzestrzeni stawka właśnie wzrosła. Zależność od technologii osiąga szczyty, a konsekwencje włamań są bardziej znaczące, biorąc pod uwagę ich głębokość i szczegółowość informacji zawartych w „osobistych plikach zachowań” (personal behaviour files - PBFs) przeciętnych obywateli.

Bańka 2.0: Dwie dekady po pęknięciu pierwszej bańki dot.com oparty na reklamach model biznesowy stosowany w Internecie okazuje się niemożliwy do utrzymania, prowadząc do szybkiego upadku firm bazujących swoją działalność na sieci Internet. Firmy te, wyspecjalizowane w zbieraniu danych o klientach grają fair, a zarówno działający zgodnie, jak i niezgodnie z prawem gracze ścigali się w uzyskiwaniu  własności w odniesieniu do cenionych nisko, jednak potencjalnie wartościowych aktyw opartych na danych. Zarówno w obrocie legalnym, jak i na czarnym rynku na graczy, którzy wchodzą w posiadanie tych danych i aktyw ludzkich wywierana jest presja, by znaleźć sposoby na generowanie przychodów tak szybko, i w sposób tak agresywny, jak to tylko możliwe.

Paternalistyczny Internet Rzeczy: Od lodówek, przekazujących dane do smartfonów, po wielkoskalowe systemy dostarczania wody, „Internet rzeczy” – oparty o dołączenie układów scalonych, czujników i zdolności połączenia z siecią w każdym typie obiektu materialnego – stał się potężnym narzędziem w procesie zwalczania problemów związanych z edukacją, środowiskiem, zdrowiem, pracą i osobistym samopoczuciem.  W wyniku tych kroków koncepcja „cyberbezpieczeństwa”, jako cecha traktowana oddzielnie od naszego życia codziennego, została przedefiniowana. Obecnie mowa jest o „bezpieczeństwie” w ujęciu ogólnym, natomiast „bezpieczeństwo osobiste” odnosi się do osobistych urządzeń i sprzętu AGD. „Bezpieczeństwo społeczności” dotyczy lokalnych systemów publicznych, „Bezpieczeństwo środowiskowe” jest powiązane się z systemami i czujnikami badającymi pogodę, natomiast „Bezpieczeństwo narodowe” obejmuje systemy tajne i wojskowe.

Sensorium: Intensyfikacja użycia bio-sensorów i biometryki zmieniła rolę technologii, która działa teraz jako „czytnik emocji”, dotykając najintymniejszych aspektów ludzkiej psychologii. W wyniku tego procesu, psychiczne, emocjonalne i fizyczne zdrowie jest teraz przekazywane w formie danych, podobnie nadzorowane są historie zawartych transakcji, przychody i rozchody. Cyber-przestępcy korzystają z nowych możliwości, jakie dają bio-dane, na potrzeby pogróżek, „revenge-porn”, czy też z innych pobudek.

Jak widać, mimo iż powyższe hipotezy rozpisano w formie pięciu różnych scenariuszy, nie wyłączają się one wzajemnie. Tak naprawdę, pięć z nich jest opartych o jedną lub dwie podstawowe dynamiki, realizowane jednak w skrajny sposób. Dwa fundamentalne trendy tu obecne do danyfikacja (czyli nasycenie danymi) i wzmocnienie.

Gra o wysoką stawkę

Pierwszy dotyczy naszej coraz to większej zdolności do zbierania, przechowywania i analizowania danych, poprzez proliferację zintegrowanej technologii czujników i łączności. Scenariusze takie jak Omega, Bańka 2.0, Paternalistyczny Internet Rzeczy czy Sensorium to wyobrażenia na temat tego, jakie typy danych wykraczają poza zakres definiowany jako preferencje przeglądania Internetu.

Dotyczą także tego, jakie czujniki opracowywane w przyszłości mogłyby zbierać dane, do czego takie dane mogłyby być wykorzystane i jakie mogłyby być negatywne konsekwencje posiadania tego typu informacji.

Druga dynamika, czyli wzbogacenie, dotyczy zmniejszenia podziału między światem rzeczywistym i światem wirtualnym. Niedługo będziemy żyć nie w rzeczywistości wirtualnej, a wzbogaconej.  O ile anonimowość w Internecie 1.0 czyniła z niego kreatywne medium dla osób, które chciały stworzyć tożsamość bardzo różną od realnej, to teraz zmierzamy ku sytuacji, w której nasza obecność online będzie dokładnym przedstawieniem nas w świecie rzeczywistym. W miarę jak danyfikacja nabiera tempa, czeka nas przyszłość, w której nasze wirtualne ego będzie mieć w większym  stopniu wpływ na nasze życie w rzeczywistości. W scenariuszach takich jak Omega, Paternalistyczny Internet Rzeczy i Sensorium, wiele z naszych cech rzeczywistych może zostać ujętych online, dlatego ktokolwiek, kto uzyska dostęp do plików, będzie mieć także dostęp do sedna tego kim jesteśmy, do naszych motywów, emocji, słabości. To umożliwi tym osobom prowadzenie manipulacji w efektywniejszy sposób.

Informacje mogą pragnąć wolności, jednak ludzie nie zawsze chcą dopuścić do ich uwolnienia. Te dwie przeczące sobie dynamiki przejawiają potencjał ku temu, by znacząco przearanżować systemy społeczne i polityczne, a także rozkład aktorów w cyberprzestrzeni.

Scenariusze podkreślają to, o jak wysoką stawkę toczy się gra, w której chodzi o należyte organizowanie cyberbezpieczeństwa. Danyfikacja i wzbogacenie mogą sprawić, że chronienie naszych danych może nie ograniczyć się do kłopotliwych sytuacji, jak na przykład wyrobienie nowej karty kredytowej. Może dojść do okoliczności, gdzie zagrożone będzie nasze fizyczne samopoczucie. Jedną z kwestii, które nie zostały poruszone przez CLTC, poza jedynie muśnięciem ich w scenariuszu „Nowa Norma”, jest to, jak przyszłościowe układy społeczno-polityczne wpłyną na cyberbezpieczeństwo.

Internet został okrzyknięty ostatecznym wehikułem globalizacji łączącym ludzi na całym świecie. Jednak w mniejszym stopniu dyskutuje się na temat jego roli, w której działa w charakterze rozpraszacza, izolatora. Informacje mogą pragnąć wolności, jednak ludzie nie zawsze chcą dopuścić do ich uwolnienia. Te dwie przeczące sobie dynamiki przejawiają potencjał ku temu, by znacząco przearanżować systemy społeczne i polityczne, a także rozkład aktorów w cyberprzestrzeni. Dalsza dominacja suwerenności narodowej jako zasady organizacji w Internecie, musi zostać zakwestionowana. Możliwość rozdzielenia Internetu na osobne, niepołączone sieci narodowe lub międzyspołeczne również musi zostać poddana rozwadze. Z takimi założeniami nie wiadomo, czy hakerzy i eksperci od bezpieczeństwa nadal będą stać po tej samej stronie barykady co dziś.

Projekt CLTC stanowi istotny pierwszy krok w myśleniu na temat przyszłości cyberbezpieczeństwa, ponieważ poza aspektem technologicznym należy także brać pod rozwagę aspekty społeczne i polityczne. Tworzenie przestrzeni dla tego typu kreatywności jest niezbędne w celu podniesienie poziomu naszego cyberbezpieczeństwa w życiu codziennym i utrzymywania nieautoryzowanych użytkowników poza naszymi sieciami.

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl