Często zapominamy, że nie ma walki w powietrzu, na lądzie i na morzu bez komponentu „cyber”. Zapewnienie bezpieczeństwa w cyberprzestrzeni ma kluczowe znaczenie z punktu widzenia obrony państwa – mówi dr Paulina Piasecka, zastępca dyrektora Centrum Badań nad Terroryzmem Collegium Civitas w Warszawie i zastępca kierownika Instytutu Analizy Informacji Collegium Civitas
dr Paulina Piasecka, zastępca dyrektora Centrum Badań nad Terroryzmem Collegium Civitas w Warszawie
Paulina Piasecka – Kryzysy w obszarze bezpieczeństwa obecne są dziś niemal w każdym zakątku globu, region Europy Środkowo-Wschodniej nie jest wyjątkiem. Nawet gdybyśmy chcieli zapomnieć o konflikcie trwającym na terytorium Ukrainy, to starcia toczące się w przestrzeni informacyjnej, także związane z Polską, jej polityką wewnętrzną i otoczeniem międzynarodowym, są faktem. Dowodem na to może być choćby działalność East StratCom Task Force przy Europejskiej Służbie Działań Zewnętrznych, która prowadzi kampanię „EU versus Disinformation”, aktywnie wspierając państwa regionu, których społeczeństwa są zagrożone wrogimi działaniami informacyjnymi.
Czy możemy czuć się bezpiecznie? Odpowiedź na to pytanie wymaga zakreślenia horyzontu czasowego oraz określenia, o jakim rodzaju bezpieczeństwa mówimy. Jeśli chodzi o prawdopodobieństwo wystąpienia wrogich działań konwencjonalnych – myślę, że możemy się go nie obawiać w przewidywalnej perspektywie. Jeśli chodzi o inne „fronty” współczesnych konfliktów – już jesteśmy na nich obecni.
Paulina Piasecka – Człowiek jest gatunkiem bardzo twórczym, jeśli chodzi o produkowanie narzędzi masowej destrukcji. Trudno byłoby zatem znaleźć poparcie dla poglądu, że cyberterroryzm i walka informacyjna mogą równać się z zaawansowanymi systemami uzbrojenia wykorzystywanymi na współczesnych polach walki. Z drugiej strony w dobie konfliktów określanych mianem „konfliktów poniżej progu wojny”, nieosiągających skali pełnych działań wojennych, a jednak niezmiernie destrukcyjnych – których elementem może być zarówno cyberterroryzm, jak i walka informacyjna – można się zastanawiać, czy te drugie nie są dla nas groźniejsze. „Poniżej progu wojny” oznacza przecież, że wobec braku jednoznacznych oznak agresji trudno zwrócić się o pomoc do sojuszników. Takie zagrożenia są trudno wykrywalne, słabo uregulowane w prawie międzynarodowym – dopiero uczymy się radzić sobie z nimi. Choć nie są może równe wojnie, to powiedziałabym, że wymagają równej czujności i przygotowania, jeśli chodzi o gotowość do reagowania w całym systemie bezpieczeństwa narodowego.
Paulina Piasecka – Zagrożenia hybrydowe i asymetryczne – od „zielonych ludzików”, przez walkę informacyjną i terroryzm, aż po zagrożenia w cyberprzestrzeni czy działania dywersyjno-sabotażowe – podejmowane na całej głębokości terytorium przeciwnika. Systemy obronne i ochronne w państwach dopiero się przystosowują do wykrywania takich zagrożeń i reagowania na nie. Tradycyjne, hierarchiczne modele realizowania zadań w obszarze bezpieczeństwa nagle muszą się mierzyć z działającymi sieciowo organizacjami terrorystycznymi i międzynarodowymi grupami przestępczymi. Będziemy w tym coraz lepsi, ale potrzebujemy czasu na zbudowanie struktur organizacyjnych oraz form i metod działania dostosowanych do nowych wyzwań.
Paulina Piasecka – W 2016 r. podczas szczytu NATO w Warszawie cyberprzestrzeń uznano za obszar działań, w którym NATO musi bronić się tak samo skutecznie jak w powietrzu, na lądzie i na morzu. To, o czym często zapominamy, to fakt, że nie ma walki w powietrzu, na lądzie i na morzu bez komponentu „cyber” – nowoczesne systemy wykrywania przeciwnika, sterowania systemami uzbrojenia, wreszcie najbardziej elementarne systemy „komunikacji – kontroli – dowodzenia” uzależnione są od sieci komputerowych. Zapewnienie bezpieczeństwa w cyberprzestrzeni ma zatem kluczowe znaczenie z punktu widzenia obrony państwa. A przecież to nie wszystko. Krajowe systemy zapewniające skuteczną realizację najważniejszych potrzeb obywateli: transportu, finansów, dostaw wody, żywności i dostępu do usług z obszaru ochrony zdrowia zależą od systemów komputerowych, komunikacji między nimi i przechowywanych w nich danych. Cyberbezpieczeństwo to jeden z głównych priorytetów w obszarze bezpieczeństwa narodowego i międzynarodowego w XXI w.
Paulina Piasecka – Sieci komputerowe i połączenia między nimi to system nerwowy państwa, krytyczny element zarządzania jego najważniejszymi funkcjami. Uchwalenie Ustawy implementującej do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE pozwoliło przede wszystkim na kompleksowe odniesienie się do kwestii cyberbezpieczeństwa państwa. Już samo wskazanie podmiotów odpowiedzialnych za zbieranie oraz udostępnianie informacji o incydentach w polskiej cyberprzestrzeni stanowi remedium na istniejący wcześniej poważny problem braku efektywnych, kompleksowych rozwiązań w zakresie wymiany informacji o zagrożeniach w cyberprzestrzeni. Wskazanie podmiotów właściwych do działania, zakreślenie zakresów odpowiedzialności – to niezmiernie istotne kroki do stworzenia skutecznych rozwiązań adekwatnych do zagrożeń. Choć trudno mówić o rozwiązaniu idealnym – nie tylko w Polsce, ale i w skali międzynarodowej – to bardzo dobrze, że powstała rama do dalszych działań i doskonalenia już wykorzystywanych rozwiązań.
Paulina Piasecka – Trudno mi odpowiedzieć na pytanie dotyczące tej konkretnej podgrupy specjalistów ds. bezpieczeństwa. Uważam, że Polska posiada cenne zasoby ludzkie w obszarze IT, co potwierdza wiele przykładów, jak choćby zespół Dragon Sector, który w 2014 r. wygrał klasyfikację generalną międzynarodowych zawodów z zakresu bezpieczeństwa teleinformatycznego Capture the Flag, czy Drużyna Need for C, która w 2014 r. zwyciężyła w mistrzostwach świata w kodowaniu Hello World Open w Helsinkach. W zestawieniu opublikowanym w 2016 r. przez organizację zrzeszającą wykwalifikowanych programistów – HackerRank – Polacy znaleźli się na 3. pozycji, za Chińczykami i Rosjanami. W tym samym zestawieniu USA zajęło 28. miejsce, a Izrael 35. Mamy znacznie więcej niż tylko szansę na skuteczne realizowanie zadań na różnych płaszczyznach budowania cyberodporności.
Moim zdaniem powinniśmy jednak zadawać pytania o naszą skuteczność w tym obszarze. Analiza ryzyka i prognozowanie zagrożeń ma sens tylko wtedy, jeśli pozostaje częścią strategicznego procesu zarządzania ryzykiem i jest włączona we wszystkie najważniejsze obszary działania organizacji – od wyznaczania zadań i budżetowania, przez uwzględnianie efektów analiz ryzyka w codziennych operacjach, po podtrzymywanie cyklu analitycznego w celu monitorowania zmian w środowisku wewnętrznym i zewnętrznym organizacji. Pytania o skuteczność analizy ryzyka nie są zatem związane z kompetencjami specjalistów w tym obszarze, lecz ze świadomością kadry zarządzającej wysokiego szczebla, która powinna tworzyć środowisko sprzyjające prowadzeniu i implementowaniu efektów analizy ryzyka.
Paulina Piasecka – W Polsce nie brakuje teleinformatycznych talentów. Pytanie brzmi, na ile te talenty można wykorzystać w administracji, w państwowym sektorze bezpieczeństwa. Na ile płacowe widełki i droga awansu zawodowego są atrakcyjne dla osób, które bez najmniejszych problemów wchłonie, na świetnych warunkach, sektor prywatny? Potrzebujemy konkretnych, systemowych rozwiązań, które pozwolą na przygotowanie zasobów ludzkich na potrzeby bezpieczeństwa aparatu państwowego oraz systemu obrony cyberprzestrzeni. Cyberarmia będzie działać tylko wtedy, jeśli zapewnimy dopływ przygotowanych i dobrze zmotywowanych cyberżołnierzy.
Paulina Piasecka – Kształtowanie świadomości zagrożeń w obszarze cyberbezpieczeństwa to wyjątkowo trudne zadanie. Postęp technologiczny jest tak szybki, że często można odnieść wrażenie, iż luka między naszymi kompetencjami a nowymi rozwiązaniami technicznymi jest nie do przeskoczenia – rośnie zamiast się zmniejszać. Tego braku wiedzy powinniśmy obawiać się najbardziej. To wiedza i świadomość są naszymi najważniejszymi narzędziami w ochronie własnego bezpieczeństwa – tak w życiu osobistym, jak zawodowym. Musimy zdawać sobie sprawę z tego, że jesteśmy elementem systemu cyberbezpieczeństwa, że bez nas ten system zawsze będzie ułomny. Wymaga to od nas świadomej decyzji, że będziemy swoją wiedzę i umiejętności dostosowywać do wyzwań istniejących w cyberprzestrzeni – od malware’u po manipulację i dezinformację.
Rozmawiała Małgorzata Szerfer-Niechaj
Dodaj komentarz