Grupa Wyszehradzka – czy jest gotowa na cyberatak?

źródło: https://ghanatalksbusiness.com/internal-controls-5-reasons-why-you-need-them/

Era armii, czołgów oraz ciężkiego sprzętu wojskowego zdaje się przechodzić do przeszłości, przynajmniej w Europie. Wojna przeniosła się do cyberprzestrzeni, toteż państwa zaczynają dostosowywać się do nowego typu zagrożeń.

Państwa Grupy Wyszehradzkiej (V4) wypadają pod tym względem całkiem dobrze. Region nie musiał się do tej pory zmierzyć z cyberatakiem o rozmiarach porównywalnych do tego w Estonii w 2007 r., kiedy to zainfekowane zostały setki stron internetowych – należących do instytucji rządowych, gazet i banków. Jednak doszło w naszym regionie do kilku mniejszych incydentów.

„Firmy i instytucje w Czechach stały się celem ataku polegającego na blokadzie usług (distributed denial-of-service attack), co spowodowało ograniczone szkody w działalności niektórych witryn oraz penetrację niektórych systemów administracji publicznej”, powiedział EURACTIV Tomáš Rezek, ekspert od cyberbezpieczeństwa ze Stowarzyszenia Spraw Międzynarodowych (Association for International Affairs) w Pradze. Miało to miejsce w czasie wyborów parlamentarnych w październiku 2017 r., kiedy to atak doprowadził do zawieszenia dwóch stron www informujących o wynikach wyborczych.

Słowacja spotkała się z podobnym problemem rok wcześniej, w 2016 r. Strona Biura Statystycznego przestała funkcjonować podczas wieczoru wyborczego. Także słowackie media stały się celem ataku –w tym kilka stron należących do państwowej telewizji i radia.

Cyberataki a biznes

Ataki na prywatne przedsiębiorstwa zdążają się stosunkowo często, jednak zazwyczaj nie są przedmiotem debaty publicznej. Aż 65 proc. polskich firm padło ofiarami cyberataków – głównie typu ransomware. Niemal połowa odniosła w ich wyniku straty finansowe. Niemniej jednak, przedsiębiorstwa przeznaczają zaledwie 3 proc. swoich budżetów IT na cyberbezpieczeństwo, jak wskazuje raport PWC. Co trzeci atak na firmę w Polsce przeprowadzony był przez byłych lub obecnych pracowników firmy, nie zaś przed niezwiązanych z nimi hakerów.

Duża większość słowackich firm używa tylko standardowych zabezpieczeń takich jak programy antywirusowe czy zapory sieciowe. Niewiele z nich stosuje narzędzia, które mogą zabezpieczyć przed nowymi formami zagrożeń, takich jak oprogramowania szantażujące (ransomware) czy ataki uszkadzające strony i funkcjonowanie usług.

Na Węgrzech tylko około 50 proc.  dużych firm i mniej niż 10 proc. małych i średnich przedsiębiorstw podjęło środki w celu ochrony przed cyberatakami. Niski poziom świadomości w sferze cyberbezpieczeństwa unaocznia to, że według badania Komisji Europejskiej tylko 33 proc. Węgrów obawia się, że ich dane osobowe mogą zostać wykorzystane, np. do przeprowadzenia transakcji finansowych. Jest to jeden z trzech najniższych wyników w Unii Europejskiej, obok Malty i Rumunii. Wskazuje to także wyraźnie na potrzebę poprawy sytuacji na Węgrzech w tym wymiarze.

„Najbardziej poważnym wyzwaniem dla cyberbezpieczeństwa jest czynnik ludzki – zaniedbanie, nieodpowiedzialność, czy też celowe działanie” – twierdzi Karel Macek ze stowarzyszenia Armed Forces Communication & Electronics Association.

Wojna hybrydowa czy też niezamierzona manipulacja?

Karel Macek wskazuje również na związek polityki zagranicznej z cyberatakami. „Czechy poprzez bardzo określone działania zadeklarowały, że należą do świata demokracji zachodnich, co może mieć wpływ na zwiększone ryzyko ataków w ramach toczącej się obecnie wojny hybrydowej o wpływy w Europie Środkowej”.

Obecnie termin „wojna hybrydowa” jest często zestawiany przez ekspertów i media z kampaniami dezinformacyjnymi przeprowadzanymi przez Rosję. Jednakże, żadne z państw V4 nie wymienia Rosji wprost we własnych strategiach cyberbezpieczeństwa.

Dezinformacja nie powinna być mylona z niezamierzoną manipulacją. Manipulacja „może mieć miejsce poprzez automatyzowane dostosowywanie (customization) treści do preferencji użytkownika i jest ona również bardzo niebezpieczna” – wyjaśnia Miroslav Nečas z TOVEK, prywatnej firmy czeskiej specjalizującej się w przetwarzaniu danych. Nie wspomina on o skandalu Cambridge Analytica, jednak podejście jakie się stosuje podczas filtrowania treści w mediach społecznościowych prowadzi do sytuacji, w których ludzie zamykają się we własnych wirtualnych bańkach.

„Indywidualne wirtualne bańki mogą nie tylko rozbiegać się z rzeczywistością, ale też z innymi bańkami, w których funkcjonują ludzie. Moim zdaniem, to jeden z czynników (choć nie jedyny), które rzeczywiście przyczyniają się do podziałów społecznych” – powiedział Nečas.

Cyberbezpieczeństwo, rządy i UE

Wszystkie państwa UE adoptują europejskie standardy w dziedzinie cyberbezpieczeństwa. Niektóre z nich stały się wręcz wzorem do naśladowania w tym zakresie.

Dla przykładu, Czechy rozpoczęły pracę nad ulepszeniem swojego prawa dotyczącego bezpieczeństwa już kilka lat temu. Nowy Akt Cyberbezpieczeństwa obowiązuje od 2014 r. i na jego podstawie w sierpniu 2017 r. zaczęła działać Narodowa Agencja ds. Cyberbezpieczeństwa i Informacji. Jej rzecznik prasowy Radek Holý planuje, że jeszcze w maju 2018 Czechy powinny się w pełni dostosować do wymogów dyrektywy w sprawie bezpieczeństwa sieci i systemów informacyjnych.

Wspomniana dyrektywa (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) weszła w życie 10 maja 2018 r. Jej celem jest nakazanie państwom członkowskim stworzenia narodowych strategii w sprawie bezpieczeństwa sieci i systemów informacyjnych lub powołanie odpowiednich jednostek monitorujących i odpowiadających na zagrożenia.

Polska niedługo spełni wszystkie wymogi stawiane przez dyrektywę. Nowa Regulacja w sprawie Systemu Cyberbezpieczeństwa została zaakceptowana przez rząd i wysłana do dalszych prac w Sejmie. Niemniej jednak, obecnie w Polsce brakuje spójnego systemu cyberbezpieczeństwa. Nowa strategia oraz wspomniana regulacja były stworzone przy rywalizacji Ministerstwa Obrony i Ministerstwa Cyfryzacji o wiodącą rolę w całym procesie. Po dymisji poprzedniej minister cyfryzacji Anny Streżyńskiej w styczniu wielu spodziewało się, że ministerstwo zostanie zlikwidowane. Tak się nie stało, jednak w międzyczasie utworzono stanowisko Pełnomocnika Ministra Obrony Narodowej do spraw Bezpieczeństwa Cyberprzestrzeni. A po trzymiesięcznej przerwie Ministerstwo Cyfryzacji zyskało nowego szefa. Nie wiadomo jednak, który resort ponosi główną odpowiedzialność za kwestie cyberbezpieczeństwa.

Jednocześnie Ministerstwo Finansów zdaje się niechętne do zwiększenia budżetu na cyberbezpieczeństwo i to pomimo nowej strategii, która musi zostać wdrożona, aby sprostać wymogom wyżej wymienionej dyrektywy NIS. Problem finansów może jednak rozwiązać dołączenie cyberbezpieczeństwa do kompetencji MON, ponieważ resort ten dysponuje sporymi środkami – może tu też leży przyczyna powołania konkurencyjnego ministra poza resortem cyfryzacji.

Węgry transponowały dyrektywę NIS w 2017 r. Botond Feledy z Centrum dla Integracji Euro-Atlantyckiej i Demokracji podkreśla jednak, że struktura instytucjonalna została utworzona tylko „na papierze”. I choć funkcjonują Narodowy Instytut Cyberobrony oraz zespół reagowania kryzysowego govCERT (Computer Emergency Response Team), niemniej to, czy dzięki nowej dyrektywie zwiększy się powszechna świadomość problemów cyberbezpieczeństwa jest wątpliwe, gdyż do tej pory niewiele uwagi poświęcono temu zagadnieniu w przestrzeni publicznej.

Można nawet stwierdzić, że większe postępy w zakresie cyberbezpieczeństwa dokonały się we wcześniejszych latach. Raport z 2015 r. dotyczący zdolności cyberobrony członków NATO wskazuje, że Węgry znajdowały się w czołówce krajów Sojuszu. Do kwietnia 2015 r. Węgry w ramach NATO przewodniczyły grupie roboczej ds. cyberbezpieczeństwa, były członkiem komisji ds. cyberbezpieczeństwa wewnątrz UE oraz posiadały sprawnie działające centrum cyberbezpieczeństwa funkcjonujące pod nadzorem Narodowego Biura Nadzoru Bezpieczeństwa.

Jednak rząd Viktora Orbana całkowicie zreorganizował system w kwietniu 2015 r. Poprawka do ustawy na temat bezpieczeństwa informacji wprowadziła zupełnie nową strukturę instytucjonalną – cyberbezpieczeństwo zostało przeniesione do kompetencji służb specjalnych, co w konsekwencji uczyniło sektor mniej przejrzystym.

Na Słowacji problem cyberbezpieczeństwa zaczął być częściej dyskutowany w ostatnich miesiącach, gdyż rząd zajął się procedowaniem nowej ustawy. Słowacki parlament przyjął legislację w styczniu 2018 r. i była to pierwsza regulacja kształtująca działania w cyberprzestrzeni. Proces jej tworzenia był dość złożony, jako że wymagał zaangażowania zarówno strony rządowej, ekspertów administracji, jak i przedstawicieli akademii, sektora pozarządowego i analityków. Nowy akt transponujący unijną dyrektywę wszedł w życie pierwszego kwietnia. Jego wczesne przyjęcie uważane jest jako sukces.  Według niedawnego badania estońskiej organizacji pozarządowej e-Governance Academy Foundation, Słowacja wiedzie prym w Narodowym Indeksie Cyberbezpieczeństwa (National Security Index, co ciekawe w rankingu jest tylko siedem krajów i nie ma wśród nich pozostałych trzech państw V4). Ranking bierze pod uwagę wolę państw, aby zapobiegać poważnym zagrożeniom cybernetycznym i być przygotowanym na różnego rodzaju incydenty, przestępstwa i kryzysy w cyberprzestrzeni.

Słowacja posiada narodową strategię cyberbezpieczeństwa już od 2008 r. Istnieje również Koncepcja Cyberbezpieczeństwa wprowadzona przez kancelarię rządu, Narodowa Agencja ds. Sieci i Systemów Elektronicznych oraz Narodowe Biuro Bezpieczeństwa utworzone przez rząd w czerwcu 2015 r. Jednostce tej została powierzona rola głównego ciała ds. cyberbezpieczeństwa, przejmując tę kompetencję od ministerstwa finansów, które zarządzało poprzednio tą dziedziną. Jednakże krytycy Biura wskazują na jednostronny styl komunikacji tej agencji z opinią publiczną, biznesem i ekspertami. Innym problemem jest brak wizji, gdyż unijne prawo zostało przyjęte przez Słowację w sposób bardzo odtwórczy, nie uwzględniający specyfiki krajowej.

Razem przeciwko hakerom

Mimo że każde z państw wyszehradzkich ma własną narodową strategię i wyspecjalizowane instytucje, współpracują też między sobą w ramach szerszych forów, tj. unijnego czy natowskiego, celem wymiany dobrych praktyk, wspólnych ćwiczeń, czy przygotowywania szerszych strategii cyberbezpieczeństwa.

Polskie Ministerstwo Cyfryzacji podkreśla, że państwa V4 głównie współpracują w sferze cyberbezpieczeństwa w ramach współpracy unijnej. „Innym przykładem może być Środkowoeuropejska Platforma ds. Cyberbezpieczeństwa, której członkowie spotykają się dwa razy do roku na poziomie strategicznym, podczas gdy jej przedstawiciele na stałe współpracują w Brukseli organizując spotkania i wymianę informacji. Do Platformy należy Austria, Czechy, Polska, Słowacja i Węgry” – poinformował nas rzecznik ministerstwa.

Węgierski ekspert Botond Feledy uważa, że zarówno państwa V4, jak i cała UE są bardziej zaawansowane w walce przeciwko zbrodniom cybernetycznym niż we współpracy w szerszej dziedzinie cyberbezpieczeństwa. „Wspólne ćwiczenia są głównie organizowane w ramach NATO. Jednak warto je wprowadzić również po stronie cywilnej i skoncentrować na ochronie infrastruktury krytycznej, np. elektrowni”.

 

>Tekst powstał dzięki wsparciu Międzynarodowego Funduszu Wyszehradzkiego<