Polityka i prawo
"Represyjność nie jest metodą rozwiązywania problemów", czyli o budowie zaufania na SecureTech Congress 2018
Sankcje na dłuższą metę są nieskuteczne, zniechęcają do zgłaszania incydentów komputerowych, sektorowi prywatnemu brakuje zaufania do instytucji państwowych, wyjątkiem może być NASK, który ma status instytutu badawczego – zwracali uwagę eksperci, którzy wzięli udział w dyskusji na SecureTech Congress 2018.
Spostrzeżenia te padły w debacie dotyczącej m.in. styku działań organów publicznych i prywatnych w kontekście bezpieczeństwa informacji. W trakcie dyskusji pojawił się wątek odpowiedzialności państwa za cyberbezpieczeństwo.
Były szef Agencji Wywiadu i dyrektor programu cyberbezpieczeństwa w Fundacji im. Kazimierza Pułaskiego płk Grzegorz Małacki podkreślił, że zapewnienie cyberbezpieczeństwa jest wspólnym zadaniem podmiotów państwowych i prywatnych a ich współpraca powinna być partnerska. – Jakość działania takiego systemu opera się na zaufaniu wszystkich uczestników wzajemnie do siebie – powiedział.
Z całą pewnością metodą rozwiązywania problemów, dobrej współpracy czy otwartości nie jest represyjność. Sankcje, nakazy, zakazy, represje nie prowadzą do niczego, na dłuższą metę są po prostu przeciwskuteczne. Otwarcie uczestników takiego systemu musi być zbudowane na ich przekonaniu, że podzielenie się informacją, która w jakimś sensie ich kompromituje, nie spotka się z sankcja, represjami. W innym przypadku następuje blokada.
Również dyrektor Bankowego Centrum Cyberbezpieczeństwa w Związku Banków Polskich wyraził nadzieję, że projektowana właśnie ustawa o krajowym systemie cyberbezpieczeństwa będzie wspierała działania sektora, a nie przynosiła kolejne obostrzenia. – Proszę zobaczyć, że te kary mają być źródłem przychodu dla państwa w obszarze cyberbezpieczeństwa. Czy to oznacza, że jeżeli nie będzie nam się budżet domykał, to inspektorzy różnych instytucji będą szli w Polskę i na siłę będą szukali, aby domknąć budżet? – pytał Balcerzak.
Podkreślił, że banki świadczą już pewne usługi w imieniu państwa, a nie mają odpowiednich instrumentów prawnych. Jeśli w ramach działań z zakresu fraud intelligence zdarza się znaleźć w darknecie dane klientów zawierające także ich numery telefonów, banki nie mogą przekazać tych informacji operatorom telekomunikacyjnym, bo ci w takiej sytuacji są zobligowani złożyć zawiadomienie o popełnieniu przestępstwa polegającego na wejściu w posiadanie informacji objętych tajemnicą telekomunikacyjną – zauważył Balcerzak.
Czytaj też: Ministerstwo Cyfryzacji : Cyfryzacja to ogromna szansa dla Polski [SecureTech Congress 2018]
Także prowadząca debatę adwokat Anna Kobylańska z kancelarii Kobylańska & Lewoszewski zauważyła, że zdarzały się już sytuacje, gdy o wycieku danych dowiadywaliśmy się po dwóch latach, bo firma zataiła tę informację.
Patrząc na statystyki w obszarze usług telekomunikacyjnych, wygląda na to, że incydentów identyfikowanych przez służby, przez osoby wewnątrz firm jest bardzo dużo, natomiast liczba incydentów zgłaszanych jest de facto znacząco mniejsza. Oczywiście można się zastanawiać dlaczego, ale myślę, że chodzi o brak zaufania sektora prywatnego do sektora publicznego, że to zgłoszenie to nie jest donos na siebie samego, tylko jest to jakaś forma współpracy.
– Moje doświadczenie ze współpracy z sektorem prywatnym wskazuje, że organy publiczne nie są postrzegane jak partner do rozmowy, raczej zawsze jako podmiot, który będzie nadzorował – dodała Kobylańska.
Czytaj też: Robert Kroplewski: Wirtualne składnice danych szansą rozwoju nowych technologii [SecureTech Congress 2018]
– Mam nadzieję, że instytut badawczy nie jest postrzegany jak administracja i że udaje nam się budować zaufanie – zareagował na tę uwagę dyrektor NC Cyber w instytucie badawczym NASK Juliusz Brzostek.
Podkreślił, że zgłoszenia użytkowników są najważniejszym dla NASK-u źródłem informacji o nowych zagrożeniach.
Najbardziej wartościowa informacja jest zgłaszana przez użytkowników i niestety, mimo usilnych prób budowania świadomości nadal tych zgłoszeń mamy mało, aczkolwiek z roku na rok ta liczba rośnie, z czego się bardzo cieszymy. Zachęcam do zgłaszania incydentów, bo na tej bazie możemy szacować obraz. Na tej bazie wychwytujemy perełki, które są zaczątkami nowych kampanii, propagacji nowych zagrożeń.
Prezes Fundacji Bezpieczna Cyberprzestrzeń Mirosław Maj zwrócił uwagę na brak odpowiedzi ze strony instytucji, do których należy raportować incydenty komputerowe.
W 2015 r. odbyły się organizowane przez naszą fundację ćwiczenia w sektorze telekomunikacyjnym. Operatorzy, którzy uczestniczyli w tym ćwiczeniu, musieli swój incydent zaraportować do Agencji Bezpieczeństwa Wewnętrznego, Urzędu Komunikacji Elektronicznej, policji, GIODO i Ministerstwa Cyfryzacji. W praktyce w skromnych zespołach musieli dedykować osoby, które przez całe ćwiczenia zajmowały się tylko raportowaniem, w dodatku na bazie różnych regulacji. (...) Natomiast z tych wszystkich instytucji feedback był w dwóch przypadku, z czego jedna weszła w profesjonalną interakcję.
Natomiast menadżer firmy Symantec na Polskę, Czechy i Słowację Tomasz Wandel mówił m.in., że zespół reagowania na incydenty powinien być interdyscyplinarny. Prócz specjalistów od bezpieczeństwa i IT powinien obejmować także prawników i PR-owców, a nawet marketingowców. Rekomendował też zautomatyzowanie pewnych procesów tak, by nie zaangażować skromnych zasobów ludzkich.
Czytaj też: Norbert Biedrzycki: Sztuczna inteligencja zmieni świat, w którym żyjemy [SecureTech Congress 2018]
Z dyskusją korespondował materiał filmowy z wystąpieniem zastępcy europejskiego inspektora ochrony danych dr. Wojciecha Wiewiórowskiego. Zwracał on uwagę, że bezpieczeństwo informacyjne często jest stawiane w opozycji do ochrony danych osobowych. – To oczywiście dwa różne podejścia, ale dwa różne podejścia do tego samego zagadnienia. Za każdym razem mówimy o bezpieczeństwie komunikacji i o tym, aby komunikacja służyła dokładnie temu, czego spodziewają się jej uczestnicy. Nie ma bezpieczeństwa informacyjnego bez ochrony danych osobowych. Nie ma ochrony danych osobowych bez bezpieczeństwa informacyjnego w szerokim tego słowa znaczeniu – zaznaczył Wiewiórowski.
Uwzględnienie ochrony danych już od fazy projektowania danego systemu (ang. data protection by design and by default) to – zdaniem Wiewiórowskiego – clou rozwiązań dotyczących technicznego podejścia do ochrony danych osobowych.