Pułkownik Małecki: System cyberbezpieczeństwa Izraela to dobry wzór do naśladowania

Dr Andrzej Kozłowski:  Panie Pułkowniku, mówił Pan na Warsaw Security Forum, że izraelski system cyberbezpieczeństwa charakteryzuje się umieszczeniem głównej jednostki koordynującej bezpośrednio pod premierem. Kiedy i jak system ten zaczął się kształtować?

Pułkownik Grzegorz Małecki: Tak to wygląda obecnie. Izrael podjął decyzję o budowie systemu bezpieczeństwa w cyberprzestrzeni na początku 2000 roku. Uświadomiono sobie wtedy, że rozwój technologii cyfrowych będzie w bezpośredni sposób wiązał się z bezpieczeństwem państwa. Musimy pamiętać, że cała infrastruktura, nie tylko krytyczna, jest połączona za pośrednictwem sieci komputerowej. Izrael jest bardzo zaawansowany technologicznie, dużo bardziej niż wszystkie kraje otaczające. Wtedy zapadła decyzja, żeby powołać  strukturę zajmującą się bezpieczeństwem infrastruktury krytycznej w ramach Shin Betu czyli izraelskiej agencji bezpieczeństwa wewnętrznego. Ich zadaniem było zapewnienie bezpiecznego funkcjonowania podstawowych funkcji państwa powiązanych ze sobą sieciami komputerowymi.

Następnym krokiem był rok 2010, kiedy w następstwie ataku na ośrodek wzbogacania uranu w irańskim Natanz, została sparaliżowana jego działalność. Świat powiązał te działania z wywiadem izraelskim i amerykańskim. Wtedy premier Netanjahu uznał, że konsekwencją tej operacji może być zmasowany kontratak przez państwa arabskie na Izrael i zarekomendował budowę ogólnopaństwowego systemu, który zapewni ochronę tych coraz bardziej rozwijających się sieci w państwie. W efekcie prac, które zostały przeprowadzone przez zespół profesora Ben Izraela w 2012 roku podjęto decyzję o powołaniu pod auspicjami premiera, Biura Bezpieczeństwa Cybernetycznego - NCB (National Cyber Bureu) jako instytucji, która będzie odpowiedzialna za budowę ekosystemu cyberbezpieczeństwa w państwie. Jego celem będzie zapewnienie bezpieczeństwa funkcjonowania państwa w cyberprzestrzeni w sferze niemilitarnej na poziomie krajowym. Dla Izraela rzeczą oczywistą jest, że rolą wojska i służb jest przede wszystkim zapewnienie bezpieczeństwa aparatu państwa i służb oraz prowadzenie działań ofensywnych poza granicami kraju. Wszystkie inny działania mają być zorganizowane w ramach niemilitarnych struktur. W pierwszych latach skoncentrowano się na sformułowaniu narodowej strategii cyberbezpieczeństwa.

Co zostało zrobione poza stworzeniem strategii?

Pierwsze trzy lata poświęcono na budowę fundamentów całego systemu. Uruchomiono szereg działań w ramach R&D. Ponadto ustanowiono platformy bezpieczeństwa oraz rozpoczęto budową ekosystemu składającego się z trzech elementów: czynnika ludzkiego, akademickiego oraz przemysłowego. To wszystko ma być zintegrowane i tworzy w rozumieniu Izraela cyberekosystem. W kolejnych trzech latach, począwszy od 2015 roku, uruchomiono szereg działań o charakterze operacyjnym skoncentrowanych na doskonaleniu struktur i mechanizmów ich funkcjonowania. Uruchomiono również 6 akademickich centrów doskonałości oraz podjęto się stworzenia standardów w zakresie zarządzania cyberbezpieczeństwem w organizacjach. 

Co oznaczają te uniwersalne standardy?

Jest to zbiór pewnych zasad organizacyjnych i proceduralnych, jak w ramach kolejnych kroków budować system zarządzania cyberbezpieczeństwem w różnego rodzaju instytucjach czy przedsiębiorstwach. 

Publicznie dostępny, który można skopiować i wykorzystać w Polsce?

Można to skopiować i wykorzystać w Polsce. 

Jakie następne kroki zostały podjęte?

Izrael nie stawia sobie za cel budowy sztywnej struktury, mającej charakter docelowy i ostateczny. Po analizie pierwszych 3 lat funkcjonowania cyberbiura i jego dokonań, w 2015 roku, podjęto decyzję o uzupełnieniu modelu o budowę Narodowej Władzy Cyberbezpieczeństwa NCSA (National Cyber Security Authority), odrębnej od NCB struktury o charakterze operacyjnym, również podległej bezpośrednio premierowi.

Czyli struktura podobna do polskiego NC Cyber?

Jeśli chodzi o samą ideę tak, jednak w sferze wykonania, tzn. usytuowania organizacyjnego, potencjału i praktycznego funkcjonowania to są rozwiązania bardzo od siebie odległe.

To jak to wygląda w przypadku izraelskim?

To jest Narodowa Władza Cyberbezpieczeństwa, która podlega bezpośrednio premierowi. Jest więc usytuowana na szczycie struktury zarządzania państwem, z bardzo rozległymi uprawnieniami i zadaniami, a także narzędziami do ich sprawnego realizowania. Jednym z nich jest istniejący w jej strukturach CERT Narodowy (CERT-IL), mający swoją siedzibę w samym sercu tzw. Izraelskiej Areny Cyber Innowacji w Ber Szewie tzw. CyberSpark. W tym samym miejscu znajduje się również uniwersytet Ben Guriona, jednostka 8200 czy siedziby globalnych korporacji technologicznych i start-upów. 

Czyli wszystko w jednym miejscu?

W jednym miejscu, aby wzajemnie stymulować swój rozwój i zapewnić płynny transfer wiedzy, technologii, ludzi.

Izraelska dolina krzemowa.

Dokładnie. Zadaniem Narodowej Władza Cyberbezpieczeństwa było monitorowanie cyberprzestrzeni i identyfikowanie pojawiających się tam zagrożeń i ich neutralizowanie. Rewolucyjnym rozwiązaniem było to, że Izrael od samego początku zrozumiał, że skuteczność działania tego rodzaju przedsięwzięcia będzie zapewniona tylko wtedy kiedy będzie istniało zaufanie między działaniami rządu a firmami, które tę cyberprzestrzeń tworzą. Ta konstatacja legła u podstaw strategii cyberbezpieczeństwa oraz filozofii budowy odpowiedzialnych za jej stosowanie instytucji.

Mówimy tutaj o kwestii cywilnej. Równie interesują jest kwestia wojskowa. Jednostka 8200 znana z wielu operacji jest podporządkowana?

Izraelskiej armii (IDF), a dokładnie mówiąc AMAN-owi, czyli wywiadowi wojskowemu.

Jak w Izraelu wygląda współpraca armii izraelskiej z wywiadem cywilnym?

W Izraelu praktycznie wszyscy obywatele są żołnierzami. Po zakończeniu obowiązkowej służby zasadniczej, do ukończenia pewnego wieku pozostają w rezerwie, co wiąże się z obowiązkiem corocznego miesięcznego odbywania ćwiczeń w macierzystej jednostce. Wszyscy znają i rozumieją zadania i cele armii oraz filozofię jej działania. Pozycja armii w trakcie ciągłego konfliktu militarnego jest zupełnie inna. Istotny jest podział zadań. Rolą armii jest prowadzenie ofensywnych działań poza granicami kraju. Istotą wywiadu, niezależnie czy mówimy tutaj o SIGINT czy HUMINT jest dostarczanie wiedzy, która pozwala państwu prowadzić bezpieczną politykę a armii działania militarnej. W izraelskiej filozofii, zarówno jeśli chodzi o tradycyjnych obszar bezpieczeństwa jak i cyberprzestrzeń kluczowymi elementami są odstraszanie i prewencja. To są główne założenia ich strategii w cyberprzestrzeni czyli budowanie infrastruktury zapobiegającej zaistnieniu ataków. Działanie na przedpolu. Niedopuszczenie do tego, żeby elementy cyberprzestrzeni izraelskiej zostały zaatakowane, czyli m.in. atakowanie wyprzedzające, zanim zagrożenie pojawi w przestrzeni izraelskiej. To samo dotyczy działań militarnych. Filozofia działania Izraela w cyberprzestrzeni jest identyczna jeśli chodzi o wojsko i służby, jak w sferze cywilnej.

Czyli uderzenie wyprzedzające?

Dokładnie. Dlatego pole konfliktu między instytucjami jest znacznie ograniczone.

Czyli system, który funkcjonował odnośnie zwalczania zagrożeń tradycyjnych został przeniesiony do cyberprzestrzeni?

Dokładnie tak.

Na początku rozmowy powiedział Pan, że system poddawany jest ciągłej ewolucji. Co obecnie jest zmieniane?

Zgodnie z koncepcją jego twórców Biuro Cyberbezpieczeństwa miało tworzyć właściwe standardy, regulacje i ekosystem, m.in. finansując badania i rozwój oraz szkolenia. Np. od wielu lat jednym z przedmiotów do wyborze na maturze jest w Izraelu cyberbezpieczeństwo. W szkole średniej jest prowadzony taki przedmiot. To jest zupełnie inna filozofia. Cyberbezpieczeństwo nie jest przecież tym samym co informatyka. Już w szkole podstawowej wprowadzane są w tym obszarze fundamenty. To jest ten element budowy świadomości. Ekosystem to nie tylko instytucje czy przedsiębiorstwa, ale to przede wszystkim kapitał ludzki. To jest fundament w rozumieniu Izraelczyków.

Należy też pamiętać o tym, że kiedy w 2010 roku premier Netanjahu podjął decyzję o stworzeniu ekosystemu cyberbezpieczeństwa, wsród celów jakie przed nim postawił było znalezienie się Izraela w ciągu kolejnych pięciu lat w globalnej lidze graczy jeśli chodzi o cyberbezpieczeństwo. Ten cel został osiągnięty i dzisiaj  Izrael uznawany jest za drugie państwo, po Stanach Zjednoczonych jeśli chodzi o rozwój zdolności w środowisku wirtualnym.

Również jeśli chodzi o bezwzględne liczby dochodów z tego przemysłu. Izrael uznał, że to będzie koło zamachowe dla jego gospodarki i tak się stało. Państwo w ten sposób może się rozwijać gospodarczo i zapewniać sobie jednocześnie bezpieczeństwo. 

Czyli przeczy to popularnemu poglądowi, że wydatki na bezpieczeństwo to zmarnowane pieniądze?

Rzeczywiście, jest to doskonały przykład na obalenie tego pokutującego np. wśród polskich przedsiębiorców, błędnego poglądu. Dzięki osiągnięciom w zapewnieniu  bezpieczeństwa Izraelczycy zarabiają na inne dziedziny państwa i gospodarki. W 2015 roku premier Netaniahu podjął decyzje o przeniesieniu struktur zarządzania bezpieczeństwem infrastruktury krytycznej z Shin Betu do utworzonej wówczas Narodowej Władzy Cyberbezpieczeństwa - NCSA). Dzięki temu wyeliminowano kolejne pole konfliktu między strukturami bezpieczeństwa, centralizując zdolnosci operacyjne w jednym ręku. 1 stycznia 2018 roku wykonano kolejny krok, scalono  dwie podległe premierowi struktury w jedną. Połączone CyberBiuro (ICB) i Narodowa Władza Cyberbezpieczeństwa (NCSA) utworzyły Narodowy Dyrektoriat Cyberbezpieczeństwa - NCD (National Cyber Directoriate) na czele którego stanął jako dyrektor generalny Yigal Unna (nazywany przez media Cyber Guru). W ten sposób powstała jednolita, scentralizowana struktura, odpowiedzialna za całościowe, zintegrowane i scentralizowane działania struktur państwa na rzecz bezpieczeństwa i obrony w cyberprzestrzeni. Zmiana ta jest pomyślana jako kolejny ewolucyjny krok w ramach konsekwentnie realizowanego procesu rozwoju ekosystemu. Jego istotą jest konsolidacja wysiłków wszystkich uczestników systemu w ramach holistycznego modelu, z fundamentalną rolę nowego Dyrektoriatu. Zgodnie z założeniami jego kierownictwa działania będą szły w najbliższym czasie w kierunku zapewnienia techno-operacyjnej dominacji w cyberprzestrzeni.

Tylko jeśli chodzi o obszar cywilny?

Myślę, że będzie to miało duży wpływ na działalność struktur podległych siłom bezpieczeństwa, a być może także armii.

Jak dzisiaj wygląda ta współpraca między obszarem wojskowym a cywilnym?

Oczywiście ta współpraca istnieje, ale jak wynika ze słów samego Cyber Guru nie jest wystarczająco sformalizowana i usystematyzowana. W przeszłosci miały nawet miejsce ostre konflikty między siłami zbrojnymi i bezpieczeństwa a resortami cywilnymi. W zeszłym roku doszło do swego rodzaju bunt armii i sił bezpieczeństwa, w tym Mossadu. Szefowie tych formacji wystosowali do premiera Netanjahu pismo, w którym protestowali przed ekspansją ówczesnego dyrektora ICB Eviatara Matanię, na podległe im obszary działalności. W ostrym tonie ostrzegli premiera, że działania te mogą zagrozić bezpieczeństwu Izraela. W tym kontekście warto zwrócić uwagę, że nowy szef Dyrektoriatu Yigal Unna jest człowiekiem służb. Spędził on ostatnie trzydzieści lat na różnych, w tym kierowniczych stanowiskach, w Shin Becie. Był m.in. szefem pionu SIGINT-Cyber, co pozwoli mu lepiej ułożyć relacje zsektorem bezpieczeństwa i obrony  niż Matania, który jakby na to nie patrzeć był cywilnym ekspertem w dziedzinie cyberbezpieczeństwa.

Celem Izraela jest obecnie zbudowanie silnego scentralizowanego ośrodka odpowiedzialnego za strategię i zarządzanie sferą cywilną we współpracy z siłami bezpieczeństwa państwa. Myślę, że to idzie w tym kierunku żeby INCD był głównym aktorem, który we współpracy z siłami bezpieczeństwa zapewnia ochronę całej cyberprzestrzeni. Pamiętajmy, że siły bezpieczeństwa i armia mają inne zadania jeśli chodzi o cyberbezpieczeństwo. W związku z tym jest to jeden ze środków. Izraelscy ekspercki każdorazowo podkreślają, że rolą sił bezpieczeństwa i armii w cyberprzestrzeni jest przede wszystkim zapewnienie bezpieczeństwa sobie oraz na prowadzenie stanowczych, zdecydowanych zaczepnych działań poza terytorium państwa. 

Czyli sektor cywilny odpowiada np. za infrastrukturę krytyczną, a wojsko zajmuje się bezpieczeństwem własnych systemów i ofensywną?

Dokładnie tak jest.

Jakie w takim razie elementy można byłoby przenieść na grunt Polski? Mówimy o centralizacji, ale musimy jednak pamiętać, że Izrael to zdecydowanie mniejsze państwo. Przykładowo w Stanach Zjednoczonych kwestia centralizacji nie przyniosła pożądanych skutków.

Musimy pamiętać, że Stany Zjednoczone są z natury zdecentralizowane. Proszę jednak zwrócić uwagę na przypadek Wielkiej Brytanii. W swoich działaniach naśladuje model izraelski. Powołanie w 2016 roku National Cybersecurity Center jako struktury podległej bezpośrednio GCQH, ale mającej charakter samodzielny. 

I cywilny?

Zgadza się, choć raczej użyłbym określenia  narodowy, czy państwowy. Moim zdaniem zwyczaj  stosowania  podziału instytucji na cywilne i wojskowe, jak u nas się odbywa, prowadzi do nieporozumień. W szczególności w cyberprzestrzeni. Uważam, jednak że powinniśmy przyjąć inny podział struktur na: państwowe (narodowe) i sektorowe (np. wojskowe). To co jest państwowe może również być wojskowe. Natomiast istotne jest to, nie kto tworzy daną formację czy instytucję (czy są to cywile czy wojskowi), ale jakie zadania i na rzecz kogo realizuje. To jest kluczowe.

W państwach skandynawskich np. nie istnieje cywilny wywiad według naszego rozumienia. Wywiad państwowy, czyli wykonujący zadania na rzecz rządu, ulokowany jest w strukturach podległych ministerstwu obrony. Podobnie sytuacja wygląda we Francji, DGSE jest strukturą wywiadu państwowego realizującego zadania na rzecz rządu, ale jest podległe Ministrowi Obrony. Natomiast wywiad wojskowy w tym ujęciu to służba realizująca zadania na rzecz sił zbrojnych, usytuowana w strukturach armii, ale nie koniecznie tworzona wyłącznie przez wojskowych, także przez cywilów. Tu kryterium jest sfera działalności oraz charakter zadań.. 

Pamiętajmy, że National Cybersecurity Center jest to struktura formalnie podległa GCQH, jednak de facto jest autonomiczna, odpowiadając za realizację własnych zadań. NCC ma swoją siedzibę w Londynie, zaś kwatera główna GCQH - słynny  "Doughnut" (czyli "Pączek" od charakterystycznego kształtu) na przedmieściach. Te dwa podmioty, dzięki instytucjonalnej więzi, zapewniają koordynację własnych działań w cyberprzestrzeni. Ekosystem to kapitał ludzki, nauka i przemysł. Wszystkie te elementy są ze sobą połączone. Ekosystem państwa izraelskiego jest na ustach wszystkich ekspertów na świecie. Uważają, że jest to modelowe rozwiązanie.

Ekosystem, który podlega ciągłej ewolucji?

To jest właśnie charakterystyczna cecha, którą powinniśmy mieć na uwadze. Nie myśleć o rozwiązaniach ostatecznych, docelowych, tylko postępować krok po kroku elastycznie reagując na postępujące zmiany w otoczeniu, ponieważ zwłaszcza w świecie najnowszych technologii nie jesteśmy w stanie przewidzieć na dłuższą metę jak będą ewoluowały. Myśląc o przyszłosci należy zapewnić środki na finansowanie badań i rozwoju, szkolić profesjonalne kadry. Nie ma potrzeby skakać od razy na głęboką wodę. Mamy do dyspozycji pewne rozwiązania, już zweryfikowane przez ostatnie lata funkcjonowania. Warto z nich skorzystać. Stwórzmy zatem na początek strukturę na wzór izraelskiego Biura ds. Cyberbezpieczeństwa, które powstało w 2012 roku, kogoś kto będzie gospodarzem i inicjatorem działań państwa w kolejnych latach. Taka instytucja powinna wziąć na siebie stworzenie ram, fundamentów. Być może dobrym pomysłem byłoby zrobienie tego w oparciu o dotychczasowy dorobek  NC Cyber.

NC Cyber jest pod NASK.

NASK jest podmiotem usytuowanym de facto poza strukturami państwa, realizując własne cele statutowe. Ma charakter ośrodka naukowo-badawczego. Ma swój dorobek i ważną rolę do spełnienia. Jednak z racji swego usytuowania oraz statusu, nie posiada uprawnień, autorytetu, pozycji, ani narzędzi, które pozwoliłyby mu odegrać rolę choćby zbliżoną do roli izraelskiego NCB. Podmiot taki, na co na co zwracają za każdym razem Izraelczycy musi posiadać potencjał do sprawowania przywództwa z najwyższego szczebla systemu: Leadership from the top. Nie może być inaczej. Zarówno w państwie jak i w przedsiębiorstwach. To musi być jednolite, silne przywództwo z najwyższego szczebla instytucjonalnego państwa. Dopóki nie zbudujemy takiego model, opartego na holistycznym podejściu do systemu cyberbezpieczeństwa, to żadne działania nie będą efektywne. Będzie to możliwe tylko w przypadku kiedy przywództwo nad budową systemu obejmie bezpośrednio premier, działający za pośrednictwem podległego mu organu, takiego polskiego NCB.

Taka struktura powinna podlegać premierowi, ale być niezależna od kancelarii premiera. To musi być struktura podporządkowana bezpośrednio premierowi, korzystająca z jego autorytetu i jego wsparcia. W Izraelu od kilku lat co roku w czerwcu odbywa sie wielka międzynarodowa konferencja CyberWeek organizowana przez uniwersytet w TEL Awiwie. Każdorazowo otwiera ją premier Izraela Benjamin Netanjahu. Jest to jednoznaczny przekaz dla państwa i jego urzędników, a także biznesu krajowego i zagranicznego, że cyberbezpieczeństwo jest priorytetem premiera, czyli państwa jako całości. 

Izraelczycy od początku twierdzili, że zagadnienie to nie może być przyporządkowane żadnemu resortowi, ponieważ potrzebne jest holistyczne, kompleksowe spojrzenie, którego nie jest w stanie zapewnić żaden resort samodzielnie. Historia ostatnich 6 lat dowodzi, że mieli racje. Wszyscy eksperci, którzy przyjeżdżają do Izrael są pod ogromnym wrażeniem efektywności ekosystemu cyber. 

Jednym z wydarzeń towarzyszących innej konferencji CyberTech, w styczniu tego roku, było forum Izrael-Rumunia. Jest to przykład budowanie na najniższym poziomie więzi, relacji, wymiany wiedzy, współpracy. Izrael cały czas podkreśla, że nie czuje się prymusem, jest otwarty na dzielenie się swoim dorobkiem ale także uczenie się od innych. Bardzo ważnym elementem w ich przekonaniu jest współpraca międzynarodowa w dziedzinie cyberbezpieczeństwa.

Mają w końcu oddzielną komórkę w MSZ, poświęconą tym kwestiom.

Zgadza się, kieruje nią Iddo Moed. Jest gorącym orędownikiem i animatorem współpracy międzynarodowej, wykazując dużą otwartość. Jego zdaniem współpraca międzynarodowa w tej dziedzinie jest fundamentalna, ponieważ nie ma nic bardziej międzynarodowego niż cyberprzestrzeń. Oni nie grzeszą zbyt dużą pewnością siebie czy samozadowoleniem. Zamiast tego mówią: musimy współpracować, wymieniać się doświadczeniami i budować koalicje w zakresie cyberprzestrzeni. To, co jest najważniejsze, to budowa bardzo szerokiej sieci sensorów zapewniających wczesne ostrzeganie o wydarzeniach w sieci. Jeśli chodzi o filozofię działania Narodowego Centrum Cyberbezpieczeństwa. Oni zwracali uwagę, że to zaufanie jest im potrzebne do tego, żeby efektywniej zapobiegać działaniom. Instytucje i przedsiębiorstwa muszą chętniej dzielić się informacjami.

Izraelczycy budują to zaufanie, w ten sposób, że przede wszystkim ta instytucja nie ma żadnych uprawnień represyjnych, ponieważ jej rolą jest ścisłe rozdzielenie funkcji pełnej władzy cyberbezpieczeństwa od funkcji  wywiadowczych i represyjnych aparatu bezpieczeństwa. Jego zadaniem w cyberprzestrzeni jest zdobywanie wiedzy o zagrożeniach oraz żeby ścigać w razie potrzeby, zgodnie z procedurami sprawców przestępstw.

Narodowa Władza Cyberbezpieczeństwa nie ma żadnych uprawnień w tym zakresie. Jej rolą jest identyfikowanie i neutralizowanie złośliwego oprogramowania. Nie zajmuje się ona poszukiwaniem, neutralizowaniem czy zwalczaniem sprawców. To powoduje, że ludzie są bardziej otwarci w dzieleniu się wiedzą, bo nie mają obaw, że to się obróci przeciwko nim.

Dziękuję za rozmowę.