Polityka i prawo
Estonia: Lider na polu cyberbezpieczeństwa [ANALIZA]
Niewielki rozmiar Estonii i związane z nim ograniczone zasoby ludzkie sprawiły, że aparat państwowy oparto na nowoczesnych technologiach. Większość usług publicznych dostępnych jest przez internet. Rozwinięte e-usługi państwowe choć wygodne dla obywateli, rodzą zagrożenie dla cyberbezpieczeństwa kraju. Władze w Tallinnie są tego w pełni świadome i podejmują stosowne działania celem zabezpieczenia przestrzeni informacyjnej państwa.
Po odzyskaniu niepodległości przez Estonię, władze tego kraju podjęły decyzję o priorytetowym traktowaniu nowych technologii. Wobec braków surowców naturalnych i przemysłu ciężkiego uznano, że tylko w ten sposób będzie można doprowadzić do szybkiego wzrostu gospodarczego państwa. Z czasem zauważono również oszczędności wynikające z wdrażania cyfrowych rozwiązań w funkcjonowaniu państwa.
Zintegrowanie wszystkich platform administracji publicznej w jeden system X-Road okazało się wielokrotnie tańsze od stworzenia jednego serwera centralnego. Dzięki temu rozwiązaniu oraz wprowadzeniu elektronicznych dowodów osobistych, każdy obywatel Estonii może bez wychodzenia z domu wziąć udział w wyborach, zarejestrować samochód, rozpocząć działalność gospodarczą. Obecnie, ponad 95 procent usług publicznych jest dostępnych przez internet.
Oparcie administracji o najnowsze technologie ma z punktu widzenia bezpieczeństwa państwa zarówno zalety jak i wady. Zaletą jest możliwość wprowadzenia danych z systemu państwowego do chmury obliczeniowej, co może się okazać przydatne w razie konieczności zarządzania państwem spoza jego granic. Jednak zcyfryzowane państwo bez odpowiedniej ochrony może za sprawą celnie wymierzonych ataków cyfrowych zostać sparaliżowane. W takiej sytuacji konieczna jest świadomie prowadzona polityka w zakresie cyberbezpieczeństwa. Potrzebę tę potwierdzają wydarzenia z 2007 roku, kiedy to strony estońskich banków i władz centralnych padły ofiarą ataków hakerskich, prawdopodobnie inspirowanych przez Rosję. Tallin szybko wyciągnął wnioski z tych doświadczeń i podjął stosowne kroki w celu wzmocnienia cyberobrony.
Już rok po atakach, Ministerstwo Obrony Estonii opracowało Narodową Strategię Cyberbezpieczeństwa. Był to jeden z pierwszych tego typu dokumentów na świecie i dotyczył działań w latach 2008-2013. Towarzyszyły mu również plany wdrożeniowe. Strategia zawierała obszerny obraz bezpieczeństwa cybernetycznego i nakreśliła jego główne obszary: wprowadzenie uregulowanego systemu zabezpieczeń, rozwój wiedzy i świadomości bezpieczeństwa informacji, opracowanie odpowiednich regulacji i ram prawnych służących wspieraniu bezpiecznej i bezproblemowej funkcjonalności systemów informatycznych, promowanie międzynarodowej współpracy mającej na celu wzmocnienie globalnego cyberbezpieczeństwa.
W 2014 roku Ministerstwo Spraw Gospodarczych i Łączności opublikowało nową strategię cyberbezpieczeństwa na lata 2014-2017. W tworzenie dokumentu, poza resortem, zaangażowanych było ponad 30 instytucji publicznych i prywatnych, a także środowiska akademickie. Jednocześnie opracowano dodatkową strategię – Agendę Cyfrową 2020 – mającą na celu rozwój rozwiązań cyfrowych w Estonii. Przewiduje ona tworzenie centrów danych w krajach trzecich, co zapewni ochronę informacji w przypadku zagrożenia państwa – katastrof naturalnych czy okupacji. Ponadto, agenda zaproponowała funkcjonującą już e-rezydencję, czyli bezpieczną tożsamość cyfrową dla osób niebędących obywatelami ani mieszkańcami kraju, które chcą korzystać z estońskich usług cyfrowych.
Czytaj też: Polska tworzy cyberwojsko
Ogólnym celem Narodowej Strategii Cyberbezpieczeństwa Estonii jest zwiększenie bezpieczeństwa cybernetycznego i zwiększenie wśród ludności świadomości zagrożeń, zapewniając tym samym nieprzerwane zaufanie do cyberprzestrzeni. Kontynuuje ona główne kierunki swojej poprzedniczki z lat 2008-2014. Cele szczegółowe obejmują: zapewnienie ochrony systemów informacyjnych z określeniem metod nieprzerwanego działania i odporności kluczowych usług oraz ochronę informacyjnej infrastruktury krytycznej przed zagrożeniami cybernetycznymi; wzmocnienie walki z cyberprzestępczością poprzez poprawę jej wykrywalności i współpracy międzynarodowej, a także promowanie edukacji i podnoszenie świadomości społecznej; dalszy rozwój krajowych zdolności do obrony cyberprzestrzeni poprzez podjęcie różnych poziomów kompetencji cywilnych i wojskowych oraz współpracę międzynarodową; zarządzanie rozwijającymi się zagrożeniami dla bezpieczeństwa sieci poprzez przyjęcie niezależnych rozwiązań, wspieranych przez szkolenia i możliwości w zakresie szkoleń z cyberbezpieczeństwa, badania naukowe, rozwój i współpracę z sektorem prywatnym; Skoncentrowanie na działaniach międzysektorowych, takich jak dostosowanie ram prawnych i rozwój cybernetycznej polityki zagranicznej. Strategii tej również towarzyszy plan wdrożenia na lata 2014-2017, jednak nie jest on dokumentem jawnym.
Za cyberbezpieczeństwo Estonii odpowiada Ministerstwo Spraw Gospodarczych i Łączności, które w 2011 roku przejęło kompetencje w tej materii od Ministerstwa Obrony. Organem bezpośrednio koordynującym działania na rzecz bezpieczeństwa cybernetycznego kraju początkowo była międzyresortowa, rządowa Rada Bezpieczeństwa Cybernetycznego Komitetu Bezpieczeństwa. Miała ona monitorować postęp realizacji strategii cyberbezpieczeństwa, składając rządowi coroczne sprawozdania. Od powstania w 2009 roku do 2013 roku Rada de facto nie spełniała swojej roli. Nie kontrolowała w pełni działań związanych z cyberobroną, co wynikało w dużej mierze z przyczyn finansowych oraz w mniejszym stopniu politycznych.
Od 2011 roku koordynacją działań z zakresu cyberbezpieczeństwa Estonii bezpośrednio zajmuje się Urząd ds. Systemów Informacyjnych. Odpowiada za opracowywanie i administrowanie państwowymi systemami informacyjnymi, a także organizowanie i obsługę działań związanych z bezpieczeństwem internetowym. Głównym obszarem odpowiedzialności Urzędu jest ciągły nadzór nad stosowaniem środków bezpieczeństwa w systemach informatycznych wspierających usługi państwowe. W przypadku wykrycia naruszenia wymogów bezpieczeństwa przy świadczeniu e-usług, może nakładać grzywny w postępowaniu pozasądowym. Komórką Urzędu ds. Systemów Informacyjnych, zajmującą się zapobieganiem incydentom zagrażającym cyberbezpieczeństwu kraju, zwiększaniem świadomości użytkowników oraz zarządzaniem systemem X-Road jest Zespół ds. Reagowania na Awarie Komputerowe. Wsparcie przez niego udzielane zależy od wagi i rodzaju zdarzenia, a także liczby potencjalnie poszkodowanych użytkowników. Wszystkie instytucje publiczne są zobowiązane do niezwłocznego zgłaszania mu wszystkich znaczących zdarzeń oraz kwartalnego raportowania swojego stanu cyberbezpieczeństwa.
Aspekt wojskowy cyberbezpieczeństwa dalej pozostaje w kompetencjach Ministerstwa Obrony, w którego strukturze znajduje się stosowny departament. Koordynuje on ogół systemów informatycznych resortu, organizuje również liczne ćwiczenia i szkolenia. Ministerstwo w oficjalnych komunikatach traktuje bezpieczeństwo cybernetyczne priorytetowo. W armii estońskiej funkcjonują specjalistyczne jednostki zajmujące się tym rodzajem działań. Również Liga Obrony, będąca organizacja paramilitarną o charakterze obrony terytorialnej, ma w swoich strukturach takie oddziały, złożone z ochotników-informatyków.
Estonia postrzega swoją rolę aktywnego adwokata cyberbezpieczeństwa na arenie międzynarodowej jako bardzo ważną. Była jednym z wiodących krajów w promowaniu tej problematyki na arenie Paktu Północnoatlantyckiego, UE, ONZ, Rady Europy oraz OBWE. Staraniem władz Estonii, w 2008 roku w Tallinnie powstało Centrum Doskonalenia Cyberobrony NATO, które zajmuje się szkoleniem kadr i ujednolicaniem standardów bezpieczeństwa elektronicznego w ramach sojuszu. W oparciu o nie realizowanych w Estonii jest wiele ćwiczeń i szkoleń z tego zakresu, a doświadczenia z ataków z 2007 roku służą sojusznikom.
Obecnie obowiązująca Narodowa Strategia Cyberbezpieczeństwa Estonii przestanie niebawem obowiązywać. W przyszłym roku należy spodziewać się nowego, uaktualnionego dokumentu. Nie powinien być on jednak rewolucyjny. Nowa strategia będzie powielać dotychczasowe rozwiązania, dostosowując je do nowych realiów. Nasilenie się agresywnych działań ze strony Federacji Rosyjskiej po aneksji Krymu w 2014 roku, również w sferze informacyjnej i cybernetycznej rodzi pewne obawy. Zagrożenie atakami na strony i systemy informacyjne Estonii jest wciąż bardzo wysokie. Nowa strategia będzie musiała stanowić wyraźną odpowiedź na nowe wyzwania.
Grzegorz Kędzia