Polityka i prawo
Biznes musi zyskać na strategii cyberbezpieczeństwa
Mówiąc o cyberbezpieczeństwie powinniśmy pomyśleć o bardziej transakcyjnym podejściu, które pokaże wartość dodaną dla biznesu. Pojedyncze firmy nie mają tak szerokiego pola widzenia, takiego oglądu całości, jak strona rządowa. To właśnie może być ta wartość dodana. W wypadku, gdy będziemy mówić tylko o przepływie informacji w jedną stronę i na dodatek bez korzyści od biznesu, strategia nie będzie działała - mówi Artur Józefiak, senior manager firmy Accenture.
Przygotowanie założeń strategii cyberbezpieczeństwa to krok w dobrą stronę. Ministerstwo przygotowało dokument wskazujący właściwy kierunek. Wcześniejsze opracowania (Doktryna Cyberbezpieczeństwa RP, Polityka Ochrony Cyberprzestrzeni RP) były na tak wysokim poziomie ogólności, że nie dało się ich przełożyć na żadne konkretne działania w większości jednostek sektora publicznego, a tym bardziej w biznesie, który potrzebuje jasnych i w miarę wiążących wytycznych. Z „Założeń Strategii” można wywnioskować, w którą stronę zmierza Ministerstwo Cyfryzacji i co oznacza to dla sektorów publicznego i komercyjnego. Podstawy wyglądają więc obiecująco.
Jednak odwołania do konkretnych rozwiązań, które pomagają zrozumieć intencje twórców, są przejawem niedoskonałości dokumentu. Wśród wielu szczegółów, pominięte zostały kwestie kluczowe, na które taki dokument powinien odpowiadać.
Framework wspólny dla wszystkich
Zważywszy na to, że strategia cyberbezpieczeństwa będzie punktem odniesienia dla bardzo wielu podmiotów brakuje w nim wskazania tzw. frameworku, czyli wspólnej metodyki i opisu kluczowych zagadnień, dzięki którym wszystkie zainteresowane strony zrozumieją się wzajemnie i będą mogły współpracować. Przykład: Amerykanie mają Cybersecurity Framework opracowany przez National Institute of Standard – NIST. Framework ten, pomimo, że ma pewne braki, to stał się de facto standardem nie tylko dla amerykańskich podmiotów, ale także punktem odniesienia dla całego świata. Bez tego nie wiemy, czy wszyscy tak samo rozumieją podstawowe pojęcia – i interakcje miedzy sobą nawzajem.
Takie rzeczy jak cross sektorowe CERTy czy CERT narodowy to dobry kierunek – ale nie będą działać, jeśli podmioty w to zaangażowane nie wiedzą, co na tym zyskają. W takim przypadku będzie to postrzegane przez nie tylko jako koszt – wtedy trudno mówić o faktycznie efektywnym systemie
Wskazanie takiego frameworku, jako punktu odniesienia, pomogłoby także w wyrównaniu pewnej nierównowagi, którą widać w Założeniach do Strategii. Dokument Ministerstwa bardzo dużo uwagi poświęca zagadnieniom związanym z reagowaniem na incydenty i nieco mniej kwestiom monitorowania. Natomiast zdecydowanie za mało uwagi jest poświęcone działaniom związanym z analizą ryzyka, zrozumieniem słabości i podatności chronionych podmiotów oraz działaniom przygotowawczym.
Pozytywne jest to, że Ministerstwo nie skupiało się tylko na cyber-ochronie infrastruktury krytycznej rozumianej jako: energetyka, transport, sieci telekomunikacyjne, infrastruktura komunalna. W strategii w ramach IK pojawiają się też banki, instytucje finansowe, opieka zdrowotna. Od razu jednak pojawia się pytanie: kto ma wiedzę kogo, jakie zasoby my tak naprawdę chronimy i jakie są w tym wszystkim priorytety? Jakie są zagrożenia i podatności, kto za nie odpowiada?
Co zyska biznes?
Skuteczność cyberbezpieczeństwa jest silnie uzależniona od bliskiej współpracy z wszystkimi, którzy tymi zasobami zarządzają, utrzymują i kontrolują. Strategia o tej współpracy pomiędzy podmiotami mówi zbyt mało. Podobnie jak bardzo niewiele jest w niej napisane o tym, jak podmioty prywatne mają uczestniczyć w zapewnieniu cyberbezpieczeństwa RP - inaczej niż poprzez uczestniczenie w systemie reagowania na incydenty.
Pamiętajmy, że biznes musi mieć jasne informacje, a tego również brakuje w założeniach do strategii. Jeżeli administracja państwowa będzie wymagała od biznesu raportowania o nie tylko o udanych naruszeniach, ale także próbach ataków (bo z tym wiąże się pomysł ogólnokrajowego trójpoziomowego systemu reagowania), to pojawia się pytanie, o jakich dokładnie incydentach i w jakim formacie lub w jaki sposób biznes ma to przekazywać? Dla każdego większego podmiotu szczegółowe monitorowanie i raportowanie to znaczący koszt.
Tak liczne grono opiniodawców pokazuje, że temat jest ważny i jest nim zainteresowanych wiele podmiotów, z których część jest gotowa współuczestniczyć w wypracowaniu dobrego dokumentu docelowego. Pytanie jednak, czy Ministerstwo z tej pomocy chce skorzystać.
Co najważniejsze: Warto by było jasno pokazać wartość dodaną dla każdego, kto będzie włączony w proces cyberochrony Państwa. Trzeba sobie zadać pytanie, co jest ważne dla podmiotów biznesowych, jakie będą dla nich korzyści? Takie rzeczy jak cross sektorowe CERTy czy CERT narodowy to dobry kierunek – ale nie będą działać, jeśli podmioty w to zaangażowane nie wiedzą, co na tym zyskają. W takim przypadku będzie to postrzegane przez nie tylko jako koszt – wtedy trudno mówić o faktycznie efektywnym systemie.
Powinniśmy pomyśleć o bardziej transakcyjnym podejściu, które pokaże wartość dodaną dla biznesu z tytułu uczestnictwa w systemie bezpieczeństwa. Pojedyncze firmy nie mają tak szerokiego pola widzenia, takiego oglądu całości, jak strona rządowa. To właśnie może być ta wartość dodana. W wypadku, gdy będziemy mówić tylko o przepływie informacji w jedną stronę i na dodatek bez korzyści od biznesu, strategia nie będzie działała.
Blisko 70 uwag, które spłynęły do Ministerstwa w trakcie opiniowania założeń pokazuje, że potrzeba będzie włożyć jeszcze wiele pracy w przygotowanie Strategii. Z drugiej strony jednak tak liczne grono opiniodawców pokazuje, że temat jest ważny i jest nim zainteresowanych wiele podmiotów, z których część jest gotowa współuczestniczyć w wypracowaniu dobrego dokumentu docelowego.
Pytanie jednak, czy Ministerstwo z tej pomocy chce skorzystać.
Artur Józefiak: Ekspert w obszarze Zarządzania i Strategii IT oraz Bezpieczeństwa IT, senior manager w firmie Accenture.
Haertle: Każdego da się zhakować
Materiał sponsorowany