Nowa doktryna cyberodporności. Dlaczego strategie bezpieczeństwa krytycznych zasobów muszą zostać zrewidowane?

Materiał sponsorowany

Niepewność w obszarze bezpieczeństwa związana ze zmianami geopolitycznymi rodzi pytanie o gotowość Europy i Polski do obrony cyberprzestrzeni w kontekście potencjalnego konfliktu militarnego. Czy jesteśmy przygotowani na takie scenariusze?

Andrea Rigoni, Global Security Lead for Government and Public Services, Accenture, Non-Residence Senior Fellow Atlantic Council: Europa buduje swoją cyberodporność od co najmniej końca ubiegłego wieku. Jednak ze względu na wydarzenia ostatnich lat, takie jak wojna na Ukrainie, rozwój AI i komputerów kwantowych, powinniśmy pilnie przemyśleć założenia europejskiej cyberodporności w kontekstach technologicznym i geopolitycznym. 

Przykładem mogą być konsekwencje uzależnienia Europy od infrastruktury i usług cyfrowych, które są dostarczane i zarządzane poza granicami Wspólnoty. Potrzebujemy nowej spójnej strategii, która znacząco wzmocni naszą autonomię cyfrową, przede wszystkim w kontekście zdolności obronnych. 

Konieczna jest także zmiana sposobu integracji domeny cyber w szeroko rozumianą architekturę obrony. Mimo, że cyberprzestrzeń została formalnie uznana za kluczowy wymiar gospodarki, społeczeństwa i obszaru militarnego, nadal nie jest traktowana jako centralny filar strategii i architektury obronnej Europy. 

Cyberprzestrzeń, wcześniej postrzegana jako jedna z domen prowadzenia konfliktu podobnie jak ląd, morze czy kosmos, nie jest tylko teatrem działań. W obecnych realiach stała się kluczowym elementem umożliwiającym funkcjonowanie we wszystkich domenach. Ponadto, jej architektura technologiczna pełni jednocześnie wiele funkcji nie tylko militarnych, ale przede wszystkim fundamentalnych dla działania gospodarki oraz całego społeczeństwa. 

Dlatego ten obszar wymaga dedykowanego podejścia zarówno w kontekście militarnym, jak i cywilnym. Niestety wciąż brakuje nam połączenia sfer militarnej i cywilnej z uwzględnieniem sektora prywatnego poprzez polityki, doktryny i mechanizmy instytucjonalne, które włączałyby obszar cyber w planowanie i realizację funkcji obronnych. Wielowymiarowa zależność wojska i administracji publicznej od infrastruktury cyfrowej i podmiotów prywatnych wymaga radykalnie nowego podejścia do integracji, koordynacji i odporności w cyberprzestrzeni.

Artur Józefiak, wiceprezes, szef Centrum Usług Cyberbezpieczeństwa dla Europy, Accenture: Pamiętajmy, że sektor prywatny odgrywa w cyberprzestrzeni kluczową rolę – nie tylko jako operator strategicznych usług publicznych, ale także jako dostawca innowacji cyfrowych. Wiele z nich, takich jak AI czy komputery kwantowe, wymagają wysokich nakładów kapitału, porównywalnych z rocznymi budżetami armii niektórych państw. Dlatego adaptacja przez wojsko i administrację państwową takich technologii we współpracy i z wykorzystaniem biznesu staję się koniecznością w celu ich bezpiecznego funkcjonowania w cyberprzestrzeni.

Czy te wyzwania dotyczą też Polski?

Artur Józefiak: Zdecydowanie tak, w niektórych aspektach mamy do nadrobienia więcej niż pozostałe kraje w UE.  

Po pierwsze, mamy kilka zaległości w odniesieniu do regulacji UE. UKSC nie zostało dostosowane do NIS2 od ponad 2 lat. Termin wprowadzenia odpowiednich zmian w zakresie odporności infrastruktury krytycznej, zgodnie z dyrektywą CER, minął w ubiegłym roku. Są obszary, które od lat podlegają sektorowym regulacjom i w związku z tym cechują się wysokim poziomem dojrzałości cyberbezpieczeństwa, jak np. bankowość, telekomunikacja czy energetyka. Ale wiele innych sektorów dostarczających kluczowe usługi pozostaje niewystarczająco uregulowanych i nadzorowanych, co przekłada się na niski poziom cyberodporności.

Po drugie, obecna strategia rozwoju przemysłowego i technologicznego Polski nie uwzględnia problemu ryzyka związanego z powiązaniami międzysektorowymi i rozwojem nowych technologii. Jak wynika z ankiety połączonych sektorów obronności i odporności, zrealizowanej przez Fundację im. Kazimierza Pułaskiego w ramach Klubu Przemysłowego Bezpieczeństwa Państwa, zaledwie 17% ankietowanych przedstawicieli przedsiębiorstw pozytywnie ocenia wpływ państwa w zakresie realizacji tej strategii na ich firmę. W konsekwencji transformacja cyfrowa w wielu organizacjach dokonywała się silosowo, bez jasnych wskazówek i wymagań. To rodzi uzasadnione obawy, że przeoczone zostały istotne ryzyka w obszarze cyfrowym, szczególnie w sektorach o niskim poziomie regulacji i dojrzałości cyfrowej.

Po trzecie, pomimo że sektor prywatny jest kluczowy dla budowania cyberodporności państwa, w szczególności w kontekście scenariuszy militarnych, to współpraca pomiędzy administracją oraz wojskiem a biznesem w obszarze cyberbezpieczeństwa pozostaje ograniczona. Brakuje jej systemowego podejścia. Wystarczy spojrzeć na liczbę wspólnych ćwiczeń pomiotów z tych trzech obszarów, w szczególności w kontekście scenariuszy konfliktu militarnego. Inną miarą mogą być integracje na poziomie systemów środowisk IT oraz zespołów pomiędzy administracją, wojskiem i biznesem.

Andrea Rigoni: Warto zwrócić uwagę na skalę wykorzystywania usług podmiotów sektora prywatnego w obszarze nowych technologii przez administrację i wojsko, co jest konieczne ze względu na tempo rozwoju technologii cyfrowych i fakt, że to biznes adaptuje je jako pierwszy. 

Aby ją określić, porównajmy wydatki polskiej administracji publicznej czy wojska na nabywanie usług związanych z cyberbezpieczeństwem lub adopcją nowoczesnych technologii, z wydatkami w innych państwach, które są wzorcami w cyberobronności. Należy wykorzystywać potencjał partnerstw publiczno-prywatnych, do których zachęca NIS2. W przeciwnym wypadku może okazać się, że inwestycje w polską cyberodporność zawężają się tylko do zakupów infrastruktury i oprogramowania oraz równoległego budowania kompetencji dostępnych już na rynku, bez wykorzystania know-how i potencjału biznesu.

Jakie kroki powinniśmy podjąć wobec powyższych wyzwań i nowych zagrożeń geopolitycznych, żeby zwiększyć bezpieczeństwo naszej cyberprzestrzeni?

Andrea Rigoni: Kluczowym krokiem jest zintegrowanie obrony cybernetycznej z szerszą strategią obrony narodowej. Władze krajowe muszą stworzyć mechanizmy współpracy między sektorem wojskowym a cywilnym, aby zapewnić kompleksową ochronę naszych zasobów cyfrowych. 

Kolejnym krokiem jest rozwój Krajowych Centrów Koordynacji Cyberbezpieczeństwa. Powinny stać się centrami operacyjnymi działającymi w czasie rzeczywistym, w których będą współdziałać przedstawiciele sektora militarnego i cywilnego, w tym infrastruktury krytycznej. Centra te mogą monitorować sytuację, łączyć analitykę wojskową i cywilną, zapewniając dane niezbędne do podejmowania decyzji i działań w poszczególnych sektorach i organizacjach. Niektóre kraje jak Wielka Brytania, Francja czy Izrael tworzą już takie podmioty, których celem jest zwiększenia dynamiki współpracy i proaktywne wypracowywanie scenariuszy obrony.

Warto również zwrócić uwagę na potrzebę stworzenia Rozszerzonej Stałej Siły Cyberobrony (Extended Permanent Cyber Defence Force), która będzie w stanie zniwelować strukturalne braki kadr i kompetencji w sytuacjach kryzysowych. Jednostka ta składałaby się z ekspertów w zakresie cyberbezpieczeństwa, którzy na co dzień pełnią swoje zawodowe role, ale aktywnie i na stałe uczestniczyliby w działaniach na rzecz cyberbezpieczeństwa pod koordynacją wojskową. Taki model pozwoliłby na szybsze i bardziej elastyczne reagowanie na cyberzagrożenia, na różnych poziomach, zarówno w czasie pokoju, jak i kryzysu.

Artur Józefiak: Dodałbym, że trzeba dokończyć te działania, które są już w toku, czyli wdrażanie regulacji unijnych oraz budowanie zespołów i architektury cyberbezpieczeństwa w armii, jednostkach administracji oraz podmiotach sektora prywatnego równolegle. 

Wdrożenie tych rozwiązań zainicjuje funkcjonowanie zintegrowanego systemu obrony, który połączy wszystkie sektory - wojskowy, cywilny i prywatny - w celu skuteczniejszej ochrony przed rosnącymi zagrożeniami cybernetycznymi. Najpilniejsze jest jednak przyspieszenie procesu tworzenia nowych ram i doktryn, które umożliwią sprawną współpracę między wszystkimi podmiotami, zwłaszcza tymi z sektora prywatnego, wykorzystując w pełni ich potencjał.

Jakie są główne przeszkody dla biznesu w kontekście obrony cyberprzestrzeni?

Artur Józefiak: Jedną z największych barier jest brak świadomości skali problemu. Jak wynika z raportu Accenture, zaledwie 33% prezesów firm na świecie deklaruje, że ma wystarczającą wiedzę na temat zagrożeń w cyberprzestrzeni i jest świadoma potencjalnych kosztów, jakie ich firma może ponieść w wyniku braku działań w kierunku mitygowania nowych zagrożeń. 

Według badania przeprowadzonego w ramach Klubu Przemysłowego Bezpieczeństwa Państwa, jedynie 26% przedstawicieli sektora obronnego i odpornościowego uważa, iż inwestycje w cyberbezpieczeństwo są kluczowe dla dalszego rozwoju firm w tym sektorze. Wynik ten wskazuje na brak świadomości zagrożeń związanych z zaniedbaniem kwestii ochrony cybernetycznej, co wpływa na ograniczony poziom inwestycji. 

Niska świadomość kadry zarządczej skutkuje również ograniczonymi wydatkami na cyberbezpieczeństwo, przez co niektóre instytucje i organizacje, także te pozostające pod kontrolą państwa, są istotnie niedofinansowane w tym zakresie. 

W dużych organizacjach wydatki utrzymania odpowiedniego poziomu cyberbezpieczeństwa powinny wynosić od 5 do 20% kosztów IT. Niestety wiele rodzimych podmiotów wydawało znacznie mniej, a teraz będą musiały ponieść istotnie wyższe koszty związane z dostosowaniem swoich organizacji. Dla wielu podmiotów to jedno z głównych wyzwań wynikających z NIS2.  

A rozwiązania?

Artur Józefiak: Rozwiązaniem często stosowanym przez firmy w krajach zachodnich jest korzystanie z zewnętrznych usług cyberbezpieczeństwa. Dzięki temu mogą sprawnie uzupełniać braki oraz utrzymywać wysoki poziomu bezpieczeństwa bez konieczności dużych inwestycji w zaawansowane funkcje cyber, które mogą być współdzielone. Instytucje publiczne w Polsce również mogłyby skorzystać z takiego rozwiązania, tak jak dzieje się to w innych krajach UE czy NATO. 

Dodatkowo aspektem, który wymaga uwagi jest dążenie do zwiększenia odporności całego łańcucha wartości, czyli wszystkich podmiotów, które są niezbędne do dostarczenia produktu lub usługi dla użytkownika końcowego. Przykładowo dostępność pasażerskich przewozów kolejowych wymaga cyberodporności nie tylko systemów dedykowanych kolei, ale również cyberodporności energetyki, systemów komunikacji elektronicznej i płatności umożliwiających pasażerom zakup biletów. W kontekście zagrożeń militarnych, których celem jest zaburzenie funkcjonowania infrastruktury krytycznej, takie podejście jest nawet istotniejsze niż współpraca sektorowa. Bankowość, pod wpływem regulacji DORA, zainicjowała działania budujące ten wymiar cyberodporności. Można zatem liczyć, że kolejne sektory pójdą tą drogą – a w szczególności podmioty dostarczające usługi kluczowe dla obronności Polski i Europy.