Budowanie narodowych cyberzdolności i suwerenności państw, wzmacnianie polityki cyberbezpieczeństwa NATO, kształtowanie efektywnej współpracy publiczno-prywatnej, a także zwiększona cyberochrona infrastruktury krytycznej – Instytut Kościuszki publikuje rekomendacje wypracowane podczas I edycji Europejskiego Forum Cyberbezpieczeństwa (CYBERSEC). Wnioski z dyskusji przekazane zostaną decydentom politycznym i przedstawicielom sektora prywatnego, a dokument może stać się istotnym głosem w dyskusji przed lipcowym szczytem NATO w Warszawie. Według zestawienia firmy Concise Courses, CYBERSEC to jedna z pięciu najbardziej znaczących konferencji cyberbezpieczeństwa w Europie.
Rosnąca zależność państw i społeczeństw od systemów teleinformatycznych oznacza coraz większe zagrożenie cyberatakami. Choć ich potencjalne skutki mogą być katastrofalne to, jak pokazują badania, zarówno państwa, jak i firmy wciąż nie są na nie wystarczająco przygotowane. Aby zwrócić uwagę na problem i zadbać o realne wzmocnienie poziomu cyberbezpieczeństwa w Europie, Instytut Kościuszki zainicjował Europejskie Forum Cyberbezpieczeństwa, którego pierwsza edycja odbyła się we wrześniu 2015 r. w Krakowie. Poniżej przedstawiamy wybrane najważniejsze postulaty i konkluzje z konferencji.
STRATEGICZNA ROLA CYBERBEZPIECZEŃSTWA
Pierwszym krokiem w budowaniu zdolności do działania w cyberprzestrzeni jest przekonanie o strategicznym znaczeniu i roli działań związanych z cyberbezpieczeństwem. Niezależnie od tego czy chodzi o cyberbezpieczeństwo pojedynczej firmy, czy całego państwa, kluczowe jest aby było to wyzwanie wbudowane w strategię funkcjonowania całego organizmu. Takie podejście umożliwia należyte potraktowanie problemu, nadanie mu wysokiego priorytetu, właściwe określenie ról i odpowiedzialności oraz przeznaczenie niezbędnych zasobów (także finansowych).
Po drugie, zapewnienie odpowiedniego poziomu cyberbezpieczeństwa jest bezpośrednim zadaniem i odpowiedzialnością państw (w skali makro) i poszczególnych przedsiębiorstw (w skali mikro).
- Niezależnie od ważnej roli wspomagającej, jaką pełnić mogą organizacje ponadnarodowe takie, jak NATO czy UE, to właśnie państwa muszą budować swoje własne zdolności i rozwiązania zapewniające im bezpieczne funkcjonowanie w cyberprzestrzeni. Struktury ponadnarodowe mogą harmonizować podejście, wskazywać zależności, pomagać, jednak to państwa muszą wziąć na siebie odpowiedzialność należytego przygotowania do stawiania czoła cyberzagrożeniom – ocenia Joanna Świątkowska, ekspert Instytutu Kościuszki, dyrektor programowy CYBERSEC. W Polsce mieliśmy przykład zbyt dużego polegania na działaniach europejskich. Od lat czekamy na Dyrektywę NIS, która miała być katalizatorem zmian w Polsce. Przez bierne oczekiwanie straciliśmy mnóstwo cennego czasu, a opóźnienia są ogromne – dodaje Świątkowska.
W kwestii odpowiedniego zabezpieczenia państw przed zagrożeniami płynącymi z cybeprzestrzeni, to właśnie zwiększenie finansowania w zakresie cyberbezpieczeństwa i właściwa priorytetyzacja wydatków wymieniane są wśród najważniejszych zaleceń dla rządzących. Coraz więcej państw decyduje się zwiększać poziom wydatków na obronę wprowadzając na przykład zasadę przeznaczenia 2% PKB na ten cel. Jak zgodnie przyznają eksperci, analogicznie, w ramach długofalowych strategii państwa powinny również jasno określać wartość środków przeznaczanych na cyberbezpieczeństwo.
Jak podkreśla Helena Raud, ekspert European Cybersecurity Initiative w Estonii: Cyberbezpieczeństwo nie może być dłużej traktowane jako niepotrzebna inwestycja, ale jako element zapewniający bezpieczne funkcjonowanie państw i obywateli.
Zwiększenie nakładów pieniężnych, a także wdrożenie pozafinansowych mechanizmów wsparcia powinno obejmować także sektor małych i średnich przedsiębiorstw oraz start-upy. Takie działania umożliwią budowanie europejskiego potencjału w zakresie cyberbezpieczeństwa i wstrzymają odpływ innowacyjnych firm poza Europę.
BEZPIECZEŃSTWO INFRASTRUKTURY KRYTYCZNEJ
Jednym z kluczowych tematów poruszanych na CYBERSEC było bezpieczeństwo infrastruktury krytycznej – obszarów, obiektów i usług strategicznych z punktu widzenia funkcjonowania i bezpieczeństwa państw i społeczeństw, takich jak na przykład lotniska, szpitale, elektrownie. Zdaniem ekspertów, cyberataków na te strategiczne podmioty będzie coraz więcej.
Jednym z najważniejszych działań zapewniających cyberbezpieczeństwo najbardziej newralgicznych infrastruktur kraju jest skuteczna wymiana informacji - dokument z rekomendacjami szerzej opisuje również zasady, na których powinna się ona opierać. Eksperci podkreślają także konieczność stworzenia mechanizmów efektywnej współpracy prywatno-publicznej, szczególnie że coraz większa liczba infrastruktur krytycznych znajduje się w rękach prywatnych. Drugim istotnym działaniem, które należy podjąć w tym obszarze jest również stosowanie odpowiednich standardów cyberbezpieczeństwa, które powinny być wypracowywane sektorowo i bezwzględnie wdrażane.
BUDOWANIE NARODOWYCH ZDOLNOŚCI PAŃSTW CZŁONKOWSKICH NATO
Cyberprzestrzeń to wyzwanie również dla wojska, które realizując swoje działania powinno być odpowiednio przygotowane na potencjalne zagrożenia płynące z sieci. Konieczne jest określenie stałych procedur postępowania, również w sytuacjach kryzysowych. Państwa powinny dążyć do rozbudowy ofensywnych zdolności armii do działania w cyberprzestrzeni. Element ten stanowi ważny czynnik z punktu widzenia odstraszania i obrony. Jak powiedział jeden z uczestników dyskusji na CYBERSEC – brak odpowiedniego przygotowania za zagrożenia płynące z cyberprzestrzeni może doprowadzić do tego, że w ramach odpowiedzi na atak będziemy zmuszeni uruchomić środki konwencjonalne.
Budowanie narodowych zdolności na poziomie państw jest istotnym czynnikiem również z punktu widzenia bezpiecznego funkcjonowania NATO. Silni członkowie Sojuszu to silna sama organizacja, dlatego każdy kraj powinien wzmacniać suwerenne rozwiązania. Jednocześnie należy pamiętać, że obecnie NATO nie zezwala na prowadzenie ofensywnych operacji w cyberprzestrzeni w ramach Sojuszu, zatem decyzja o rozbudowie tego typu zdolności powinna spoczywać na barkach państw członkowskich.
Aprobatę uczestników zyskał postulat intensywnego wdrażania ćwiczeń doskonalących działania w zakresie cyberbezpieczeństwa, zarówno na poziomie narodowym, jak i międzynarodowym. Konieczna jest organizacja wspólnych ćwiczeń NATO oraz UE, które w obliczu rosnącego napięcia geopolitycznego mogą wydawać się szczególnie istotne. Eksperci wsparli również pomysł utworzenia i przeszkolenia Sił Obrony Cybernetycznej NATO, specjalnych jednostek do działania w cyberprzestrzeni, podobnych sposobem funkcjonowania do Sił Reagowania NATO. Co więcej, oprócz Lądowych, Morskich i Specjalnych Dowództw Komponentu NATO powinno rozważyć się również stworzenie ich Cybernetycznego odpowiednika.
Jak podkreśla Instytut Kościuszki, Polska, jako kraj o dużym potencjale może stać się istotnym partnerem międzynarodowych rozmów o cyberbezpieczeństwie. Szansą może być lipcowy szczyt NATO w Warszawie, podczas którego cyberbezpieczeństwo będzie dyskutowane w ramach trzeciego „koszyka” tematów obejmującego nowe hybrydowe zagrożenia dla bezpieczeństwa. Krajowy potencjał państw członkowskich NATO to jeden z najistotniejszych obszarów rekomendacji wypracowanych podczas CYBERSEC. Organizatorzy konferencji liczą, że konkluzje ekspertów okażą się pomocne przy tworzeniu polskiego stanowiska, które zostanie zaprezentowane na szczycie Sojuszu w Warszawie.
CYBERDYPLOMACJA
Ważnym elementem dyskusji było także wskazanie, że działania w cyberprzestrzeni prowadzone przez państwa (lub z ich inspiracji) są prawie zawsze powiązane z działaniami konwencjonalnymi i stanowią cześć działań służących realizacji konkretnych celów politycznych. Dlatego skuteczna obrona przed nimi wymaga analizowania aktualnej sytuacji geopolitycznej i stosowania działań także z asortymentu klasycznej polityki. W tym kontekście, bardzo ważną rekomendacją była konieczność budowania przez poszczególne kraje cyberdyplomacji. Korpus dyplomatyczny powinien posiadać umiejętności stosowania różnorodnych narzędzi w odniesieniu do wszystkich najważniejszych kwestii związanych z cyberprzestrzenią, także tych związanych z potencjalnymi konfliktami. Ponadto, jak wskazują eksperci, państwa powinny prowadzić polityki rozwojowe zintegrowane z politykami bezpieczeństwa, co pozwoli zwiększyć ogólny poziom cyberbezpieczeństwa.
POTRZEBNE CYBERTALENTY
Kompleksowe podejście do problemu cyberbezpieczeństwa powinno wychodzić naprzeciw również takim problemom, jak diametralnie rosnąca luka zatrudnienia specjalistów w tym obszarze. Wzrastają potrzeby tak na poziomie sektora prywatnego, jak i publicznego w zakresie wykwalifikowanych profesjonalistów w zakresie cyberbezpieczeństwa, dlatego tak ważna jest współpraca obu tych sfer na wielu poziomach. Jak pokazują badania, do roku 2020 aż 1,5 mln miejsc pracy w cyberbezpieczeństwie pozostanie nieobsadzonych. Należy zatem budować strategie kształcenia profesjonalnej siły już na poziomie narodowym, na co szczególny nacisk kładzie Instytut Kościuszki. Podaż powinna wynikać z potrzeb rynku, a uczelnie w porozumieniu z m.in. sektorem prywatnym powinny dostosowywać do tego strategię edukacji.
Wspólnym mianownikiem wszystkich niemal sesji była konieczność podnoszenia świadomości i edukacja w zakresie cyberbezpieczeństwa. Celem powinno być uświadomienie każdemu obywatelowi tego, jak ważne jest „higieniczne” i bezpieczne korzystanie z sieci oraz wyposażenie go w podstawową wiedzę z tego obszaru. Jak rekomendują eksperci, cyberbezpieczeństwo powinno zostać inkorporowane w cały cykl edukacyjny od najmłodszych lat. Jest to kwestia, którą powinny zająć się ministerstwa edukacji wszystkich państw UE.
Europejskie Forum Cyberbezpieczeństwa zorganizowane zostało we wrześniu 2015 r. w Krakowie przez Instytut Kościuszki we współpracy z Urzędem Miasta Krakowa, Kraków Convention Bureau i Fundacją Bezpieczna Cyberprzestrzeń. Rekomendacje wypracowane przez ekspertów biorących udział w CYBERSEC zostaną przekazane europejskim decydentom politycznym i przedstawicielom sektora biznesu. Następnie, proces wdrażania najważniejszych postulatów będzie monitorowany i zostanie omówiony podczas II edycji Forum, która odbędzie się w dn. 26-27 września 2016 w Krakowie. Na początku kwietnia br. w Warszawie, Instytut Kościuszki zorganizuje również Polskie Forum Cyberbezpieczeństwa (CYBERSEC.PL). Misją konferencji jest budowanie narodowych zdolności służących wzmacnianiu krajowego systemu cyberbezpieczeństwa, pozwalających na prowadzenie skutecznych i suwerennych działań w cyberprzestrzeni. Wydarzenie zgromadzi kluczowych polskich decydentów politycznych, przedstawicieli krajowego sektora prywatnego i świata nauki.