Polityka i prawo
Wielka Brytania: Nowa strategia cyberbezpieczeństwa — zmiana czy kontynuacja?
Rząd Wielkiej Brytanii opublikował liczącą ponad 80 stron nową strategię cyberbezpieczeństwa. Dokument jest o tyle innowacyjny, że zakłada większą rolę rządu oraz przewiduje wprowadzenie obowiązkowych standardów bezpieczeństwa, co nigdy wcześniej nie miało miejsca.
Strategia cyberbezpieczeństwa jest częścią Narodowej Strategii Bezpieczeństwa z 2015 roku. Na realizację jej postanowień przeznaczono prawie 2 miliardy funtów.
Przedstawia się w niej kluczowe zagrożenia takie jak: cyberprzestępczość, aktywność innych państw, terrorystów, haktywistów i tzw. script kiddies, czyli osób posiadających niewielką wiedzę i głównie korzystających z gotowych rozwiązań oraz przygotowanych programów do przeprowadzania ataków. W strategii przytoczono kilka przykładów ilustrujących te zagrożenia.
Wymieniono również szereg trendów i zjawisk, które powodują, że wyzwania w świecie wirtualnym będą narastać. Wskazano na zwiększoną liczbę urządzeń połączonych z globalną siecią, czyli popularyzację internetu rzeczy, brak wystarczającej liczby osób oraz wzrastającą dostępność narzędzi do hakowania.
Strategia zwraca uwagę na zacieranie się różnic pomiędzy tymi podmiotami. Indywidualni hakerzy angażują się w działalność charakterystyczną dla grup haktywistycznych, a aktorzy państwowi w operacje charakterystyczne dla cyberprzestępców. Stanowi to problem dla organów państwowych, które muszą rozpoznać, czy jest to wyzwanie dla bezpieczeństwa narodowego, czy organów ścigania.
Nowy dokument opiera się na założeniach: obrony, odstraszania i rozwoju, które mają być komplementarne względem siebie. Wielka Brytania musi wyszkolić lub pozyskać światowej klasy ekspertów od bezpieczeństwa, którzy będą w stanie zapewnić wysokiej jakości cyberobronę. Będą oni mieli za zadanie odstraszać potencjalnych napastników od ataków.
W ramach efektywnej obrony podkreśla się, że Wielka Brytania musi dysponować środkami do obrony przed zagrożeniami ze środowiska wirtualnego. Ponadto strategia będzie chronić brytyjskie sieci, bazy danych oraz systemy. Obywatele, biznes i sektor publiczny będą posiadali wiedzę i umiejętności, które będzie można wykorzystać do obrony.
W ramach skutecznego odstraszania zakłada się, że Wielka Brytania będzie trudnym celem dla wszystkich form agresji z cyberprzestrzeni. Rząd zamierza wykrywać zagrożenia, przeprowadzać śledztwo oraz zakłócać wrogie akcje, a także ścigać i sądzić podmioty dokonujące ataków. Rząd brytyjski przyznaje również, że posiada ofensywne zdolności w świecie wirtualnym i zamierza ich użyć, jeżeli będzie to niezbędne.
Ostatni filar strategii opiera się na innowacyjnym, rosnącym sektorze cyberbezpieczeństwa. Jest to możliwe dzięki placówkom badawczym i naukowcom na najwyższym światowym poziomie. Podkreśla się, że w Wielkiej Brytanii znajduje się wiele utalentowanych osób, które mogą pomóc sprostać wymaganiom i potrzebom zarówno sektora publicznego, jak i prywatnego. Dodatkowo analizy oraz ekspertyzy mają pomóc Wielkiej Brytanii przezwyciężyć przyszłe wyzwania czy zagrożenia.
Podkreśla się też znaczenie międzynarodowej współpracy, chociaż brakuje tutaj konkretów. Nie może tego tłumaczyć niepewna przyszłość Wielkiej Brytanii w Unii Europejskiej, ponieważ cele wszystkich członków w odniesieniu do cyberprzestrzeni są bardzo podobne. Ponadto polityka zagraniczna i bezpieczeństwa należą do kompetencji państw.
Strategia określa konkretną datę do sprawdzenia, czy zakładane cele zostaną osiągnięte — jest to rok 2021. Podobny zabieg zastosowano w poprzednim dokumencie. Do tego czasu Wielka Brytania ma być zabezpieczona i odporna na zagrożenia pochodzące z cyberprzestrzeni, co ma umożliwić maksymalizację zysków komercyjnych z wykorzystania ze środowiska wirtualnego.
Pojawiło się stwierdzenie, że model oparcia cyberbezpieczeństwa na siłach rynkowych nie sprawdza się, a rząd musi wziąć ten obowiązek na własne barki i zdynamizować prace w tym obszarze. Jest to zupełnie inna koncepcja od amerykańskiej, w której podkreśla się znaczenie roli sektora prywatnego i uważa, że to od niego główne zależy wzmocnienie cyberbezpieczeństwa. Wydaje się jednak, że Brytyjczycy mają dużo racji, ponieważ wielokrotnie firmy komercyjne traktowały wydatki na cyberbezpieczeństwo jako zbędne koszty.
Autorzy strategii idą jednak jeszcze dalej, obwiniając sektor prywatny o niski poziom cyberhigeny wśród społeczeństwa. Twierdzą też, że jeżeli firmy komercyjne nie zaczną poważnie traktować cyberbezpieczeństwa, zostaną do tego zmuszone odpowiednim ustawodawstwem.
Dużą rolę do odegrania ma niedawno powstałe Narodowe Centrum Cyberbezpieczeństwa. Wprawdzie dopiero kształtują się kompetencje tej instytucji oraz zakres zadań, ale strategia zakłada, że to ten ośrodek będzie koordynował politykę wszystkich organów odpowiedzialnych za cyberbezpieczeństwo. Biorąc pod uwagę transsektorowy charakter tego zagrożenia, rola tej instytucji jest olbrzymia.
Podsumowując, nowa brytyjska strategia jest dobrze skonstruowanym dokumentem, w którym przedstawiono główne zagrożenie, problemy oraz ciekawe koncepcje. Godnym zauważenia jest zdecydowana zmiana w podejściu do współpracy prywatno-publicznej, gdzie wyraźnie podkreślono nastawienie interwencjonistyczne, odchodząc od koncepcji wolnorynkowej, w której sektor prywatny ma rozwiązać problem cyberzagrożeń. Warto obserwować strategie innych państw, czy zaakceptują one brytyjską koncepcję.
Ważnym elementem jest też przeznaczenie konkretnej sumy pieniędzy na finansowanie strategii, co pozwoli uniknąć sytuacji, jaka ma miejsce w Polsce: braku środków na wdrożenie proponowanych rozwiązań. Określenie dokładnej daty realizacji ułatwia również ocenę wdrożenia strategii.
Czytaj też: Wielka Brytania: szef MI5 ostrzega przed zagrożeniem ze strony Rosji
Haertle: Każdego da się zhakować
Materiał sponsorowany