Aleksandra SOWA: "Cyberbezpieczeństwo — „wiedza z kolektywu"

"Cyberbezpieczeństwo — „wiedza z kolektywu"

Photo of Aleksandra SOWA

Aleksandra SOWA

Badacz nowych mediów. Z kryptologiem Hansem Dobbertinem w Horst Görtz Institute for Information Security prowadziła jedne z najważniejszych europejskich badań dotyczących kryptologii oraz bezpieczeństwa w dziedzinie technologii informatycznych. Autorka licznych publikacji fachowych. Zajmowała się także m.in. redakcją internetową w ramach „Wahlkampftour” w kampanii wyborczej Gerharda Schroedera.

Ryc.: Fabien Clairefond

zobacz inne teksty Autorki

Jan i Marek biegną przez las. Jan wyprzedza nieco Marka. Nagle odzywa się Marek: „Goni nas niedźwiedź! Musimy biec szybciej, inaczej nas dopadnie!”. „Nie”, odpowiada Jan, „teraz to ja muszę biec szybciej”[1].

Czy ta historyjka może mieć coś wspólnego z cyberbezpieczeństwem? Owszem, Jan, uświadomiwszy sobie niebezpieczeństwo, natychmiast obmyślił plan. Marek natomiast w tym planie nie został ujęty.

Przez lata firmy i organizacje kierowały się właśnie taką strategią w kwestii walki z cyberprzestępczością. Poprzez zazwyczaj bolesne i wyczerpujące autopsje zgłębiano przeprowadzone ataki, analizowano atakujących, aby w przyszłości lepiej przygotować się do potencjalnego zagrożenia. Wiedzę tę jednak zachowywano w tajemnicy — częściowo z obawy przed napiętnowaniem przez opinię publiczną, utratą klientów czy reputacji, a częściowo w wyniku fałszywego mniemania, że wiedza o tym, jak uchronić się przed atakiem, pozwoli uzyskiwać przewagę nad konkurencją.

.Dziś cyberataki to globalny problem — ogromny i realny. Ewoluował on, począwszy od zwykłego wandalizmu, przez haktywizm (hakerstwo i polityczny/spoleczny „aktywizm”), aż po zinstytucjonalizowany sabotaż, szpiegostwo czy cyberprzestępczość. Takie są fakty.

Codzienne ataki czy choćby ich próby powoli stają się tradycją, niczym poranna kawa — wystarczy prześledzić media, ciągle donoszące o nowych zdarzeniach tego rodzaju. Zdaje się jednak, że w Niemczech strach przed publicznym napiętnowaniem nie jest zbyt silny. Umożliwiły to: europejska strategia cyberbezpieczeństwa[2] czy niemiecka ustawa o bezpieczeństwie IT (tzw. IT-Sicherheitsgesetz[3]), które zwolniły niektóre przedsiębiorstwa z obowiązku meldunku (sprawozdań), a niektórym zapewniły anonimowość w tej kwestii.

Wiedza o tym, jak uniknąć ataku, nie jest już tajemnicą. Wręcz przeciwnie — opłaca się dzielić tą wiedzą z innymi i przez powstałe w ten sposób kolektywy cały czas ją powiększać. Coraz więcej przedsiębiorstw i organizacji idzie tym tropem, pracując wspólnie nad projektami mającymi na celu maksymalne podwyższenie poziomu bezpieczeństwa i ochrony danych.

Inicjatywy tego typu pojawiają się jak grzyby po deszczu. Trend, który w USA kwitnie od dawna powoli zaznacza się w Europie. Wygląda na to, że i Niemcy pokonali w końcu swój przysłowiowy „German Angst”. Cyberbezpieczeństwo stało się jednym ze strategicznych elementów polityki i gospodarki, bardzo intensywnie pracuje się nad nowymi modelami wzmacniania go. Jednym z tych modeli jest właśnie kolaboracja.

W raporcie na temat cyberbezpieczeństwa (4. Cyber Security Report), wydanym przed paroma tygodniami przez Institut für Demoskopie Allensbach, zadano niemieckim decydentom politycznym i gospodarczym kilka pytań związanych z cyberbezpieczeństwem. Ich odpowiedzi ukazały nowe i zaskakujące fakty. Znaczna większość managerów i decydentów politycznych opowiada się za zwiększeniem wymiany informacji w celu zapobiegania atakom IT.

.Specjalnie nie dziwi to, że w świetle obecnej sytuacji politycznej i legislacyjnej czy w kontekście tzw. „roku Snowdena” chęć współpracy rysuje się silniej w polityce niż w gospodarce. Poparcie dla takiego rozwiązania wzrosło aż dwukrotnie w ciągu roku — obecnie aż 63% członków parlamentu wyraża aprobatę dla wspólnoty przeciw cyberagresji. Wolę zwiększenia przepływu informacji wzmacnia również fakt, że w niemieckiej gospodarce powstają poważne straty wywoływane każdego roku przez ataki IT.

Choć decydenci w sektorze prywatnym  – poza paroma wyjątkami – deklarują chęć współpracy, to niestety do tej pory tylko kilka niemieckich przedsiębiorstw podjęło się wspólnie realizacji takiej inicjatywy.

Dobrym przykładem nowoczesnej inicjatywy współpracy jest projekt Data Driven Security, zainicjowany przez związek zawodowy audytorów IT, ISACA Germany Chapter e.V.

Biznes i instytucje naukowe współpracują w ramach tego projektu w celu stworzenia modelu Privacy and Security Maturity Model[4], czyli modelu, dzięki któremu jakość oraz poziom bezpieczeństwa i ochrony danych w organizacjach czy przedsiębiorstwach mogłyby być sprawdzone, porównane i ocenione. Zestaw dynamicznych wskaźników i metryk w zakresie bezpieczeństwa i prywatności ma umożliwić ocenę status quo bezpieczeństwa korporacyjnego. Wyniki mają nie tylko ułatwić poodejmowanie decyzji, implementację innowacji czy inwestowanie w bezpieczeństwo, ale również dostarczyć istotnych wytycznych dla systemów meldunkowych.

ISACA ze swoją inicjatywą nie jest jednak sama w tym boju. Profesor Michael Goldsmith, pracujący na uniwersytecie oksfordzkim, werbuje aktualnie do skierowanego do międzynarodowej publiki Cybersecurity Capacity Capability Maturity Model[5], czyli modelu, który umożliwi organizacjom ulepszenie swojego statusu quo bezpieczeństwa, głównie poprzez analizę i samoocenę. Model ten, znajdujący się w fazie pilotażowej, ma pomóc w uzyskaniu lepszego rozeznania, na ile sprawne są międzynarodowe systemy cyberbezpieczeństwa, a co za tym idzie, umożliwić instytucjom badawczym i naukowym szybką reakcję na stale zmieniające się potrzeby sektora prywatnego.

W Europie przedsiębiorstwa zrzeszyły się pod patronatem ENISA (European Network and Information Security Agency)[6] w tzw. Electronic Communications Reference Group. Pracują one nad wielobranżowym systemem sprawozdawczym dla infrastruktury krytycznej.

Co prawda obecnie na szczeblach krajowych istnieją już takie systemy, ale zazwyczaj są one oddzielne dla różnych branż. Zapotrzebowanie na wielobranżowy system meldowania cyberincydentów, który umożliwi optymalne uporanie się z sytuacjami kryzysowymi, podkreślił jeden z członków grupy, podając za przykład sytuację, która miała miejsce na lotnisku w Rzymie.

Pewnego lata doszło tam do awarii sieci elektrycznej. Z początku był to problem tylko i wyłącznie energetyczny. Z czasem jednak z powodu upałów zabrakło na lotnisku wody — system zaopatrywania w wodę przestał działać, a zapasy wody butelkowanej szybko się skończyły. Tak oto awaria sieci elektrycznej stała się na lotnisku problemem zaopatrzenia w żywność i logistyki. Doprowadziło to do wniosków, że niezależne systemy meldunkowe dla infrastruktury krytycznej są nieefektywne.

.Niemiecki sektor prywatny również docenił zalety współpracy. Całkiem niedawno 7 dużych niemieckich firm zjednoczyło się, z inicjatywy Deutsche Bank, Allianz oraz Deutsche Telekom, w stowarzyszenie Cyber Security Sharing and Analytics (CSSA e.V.), które oferuje niemieckim firmom wspólną platformę współpracy. Firmy mogą anonimowo wymieniać się informacjami na temat cyberataków i pracować nad cyberbronią, tak aby coraz szybciej i efektywniej sprostać obecnym wyzwaniom bezpieczeństwa cybernetycznego.

To tylko nieliczne przykłady inicjatyw, które koncentrują się na współpracy oraz wspólnej wiedzy w zakresie cyberbezpieczeństwa. Tendencja ta wzrasta. Zarówno organizacje nastawione na zysk, jak i te non profit pracują ramię w ramię na rzecz poprawy ochrony danych przed szpiegostwem, kradzieżą, nadużyciem czy zniszczeniem. W konsekwencji lepiej chronione też są aktywa organizacji, przedsiębiorstw, ich klientów, obywateli, a także infrastruktura krytyczna.

Stanisław Lem w swoim dziele Summa Technologiae pisze, że nikt w nowoczesnym społeczeństwie przemysłowym nie zna budowy wszystkich urządzeń, którymi dysponuje cywilizacja (przed industrialną rewolucją każdy znał budowę swoich narzędzi — dzidy, młotka czy łuku). To społeczeństwo jako kolektyw dysponuje dziś taką wiedzą: „Poszczególne części indywidualnej wiedzy tylko wtedy staną się całością, gdy pod uwagę wzięci zostaną wszyscy członkowie danego społeczeństwa”[7].

„Wiedza z kolektywu” to być może strategia, która okaże się skuteczna w dobie technologii informacyjnej i cyberbezpieczeństwa.

Aleksandra Sowa
współpraca: Natalia Marszałek

[1] Vgl. Ross, S. J. 2014, „Bear Acceptance”, ISACA Journal Vol. 4/2014, s. 4 – 5.
[2] Por.: Digital Agenda for Europe – Cybersecurity oraz Proposal for a Directive on Network and Information SecurityKomisji Europejskiej.
[3]Pełna nazwa: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).
[4]http://www.isaca.de/index.php/fg-start/datenschutz (24.11.2014).
[5] 4. Handelsblatt Jahrestagung Cybersecurity Strategie 2014, 17 – 19.11.2014, Berlin.
[6]http://www.enisa.europa.eu(24.11.2014).
[7] S. Lem, Summa Technologiae, Suhrkamp: Frankfurt 1981, s. 164.

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 5 grudnia 2014
Fot.: Shutterstock