Ochrona Cyberprzestrzeni

Beata Marek Bezpieczeństwo teleinformatyczne, Cyberzagrożenia i cyberprzestępczość Leave a Comment

Temat jakże ważny i od dawna dyskutowany. Dzisiaj postanowiłam podzielić się z Tobą krótką refleksją na temat konwersatorium “Polityka Ochrony Cyberprzestrzeni”, w którym miałam przyjemność dzisiaj uczestniczyć.

Na wstępie powiem, że jestem zwolennikiem szeroko pojętej współpracy pomiędzy różnymi podmiotami i staram się stwarzać pola do kooperacji. Takim ciekawym, pierwszym o charakterze ogólnopolskim przedsięwzięciem naukowym, które miałam przyjemność koordynować była konferencja Ataki sieciowe 2011, która połączyła środowisko prawników, specjalistów ds. bezpieczeństwa i biegłych sądowych. Widać było wyraźnie, że wszystkie strony chętne są do współdziałania. Jednak do dzisiaj współpraca na linii biznes-organa ścigania jest trudna. Potrzebne są odpowiednie instrumenty prawne, współpraca międzynarodowa wypracowana w ramach grup roboczych i projektów oraz odpowiedniej wielkości budżety przeznaczone na potrzeby efektywnej kooperacji. Ostatnio dużo się mówi o ochronie cyberprzestrzeni i tzw. infrastrukturze krytycznej. Trudno nie myśleć w tym przypadku o organach administracji publicznej, telekomach czy energetyce oraz oczywiście organach ścigania, które mają wspólnie skonsolidowane cele. Co jednak z usługodawcami gospodarki elektronicznej?

Jeśli spojrzymy na realia biznesowe (zarówno e-usługodawców jak i telekomów) to współpraca z organami ścigania ma charakter incydentalny (i niekoniecznie jest dobrze wspominana). Tak naprawdę liczy się kooperacja na poziomie zarząd – osoby odpowiedzialne za bezpieczeństwo (prawnik, specjaliści ds. bezpieczeństwa) – regulator. Liczy się prewencja, odpowiednio szybko wdrożone postępowanie poincydentalne w celu zminimalizowania strat zarówno w trakcie wystąpienia incydentu jak i na przyszłość. Dochodzenie odpowiedzialności karnej to temat drugorzędny i wciąż bardzo problematyczny dla przedsiębiorców. Co ciekawe dla samych organów ścigania także.

Osobiście mnie to nie dziwi z dwóch powodów. Co więcej od kilku lat obserwuję stagnację w zakresie współpracy z organami ścigania. Po pierwsze organa ścigania (policja, prokuratorzy) – już nie wspominam o wymiarze sprawiedliwości – są nieefektywne (zbyt duży stopień sformalizowania, który przy cyberprzestępstwach jest determinantem niepowodzenia postępowania / brak edukacji na odpowiednim poziomie w zakresie prowadzenia postępowań – słynne spory kompetencyjne zdają się nie mieć końca / brak odpowiednich narzędzi do prowadzenia postępowań / brak współpracy na poziomie międzynarodowym). Po drugie współpraca z organami ścigania jest na chwilę obecną nieopłacalna (większe ryzyko, że prasa dowie się o prowadzonym postępowaniu w stosunku do realnych możliwości pociągnięcia do odpowiedzialności karnej sprawcy/ dla przedsiębiorcy nieefektywne postępowania to strata czasu i pieniędzy).

Ta sytuacja może jednak ulec zmianie jeśli zostaną wypracowane odpowiednie instrumenty prawne (oczywiście, które nie są oderwane od realiów biznesowych). Na chwilę obecną brak jest w dalszym ciągu stosownych regulacji, które wzmacniałyby pozycję organów ścigania i wspierałyby współpracę międzynarodową. Zobaczymy jakie efekty osiągnie EC3, działające w ramach Europolu. Niemniej Europa to zaledwie wierzchołek góry lodowej. Jest jeszcze Rosja, Chiny, USA, Brazylia, etc.

ochrona-cyberprzestrzeni

Najważniejsza jest i zawsze będzie jednak prewencja. Jeśli jej nie będzie to nigdy nie będzie można mówić o skutecznej walce z cyberprzestępczością. Walka ta nigdy nie będzie efektywna jeżeli firmy nie będą na odpowiednim poziomie dbały o zapewnienie bezpieczeństwa, nie będą wspierane przez organa administracji publicznej/rządowej oraz media, które promują akcje społeczne, kampanie edukacyjne podnoszące świadomość użytkowników Internetu. Moim zdaniem od tego właśnie należy zacząć rozmowy o tym jak skutecznie dochodzić odpowiedzialności w cyberprzestrzeni w przypadku wystąpienia incydentów bezpieczeństwa. Prewencja znajduje zastosowanie zarówno do e-usługodawców jak i do przedsiębiorców tzw. sektorów strategicznych oraz administracji publicznej.

Zobacz. Inwestujesz w okna/rolety/kraty/drzwi/systemy antywłamaniowe albo dobrze zabezpieczone pomieszczenie/budynek. Następnie Ty jeśli jesteś właścicielem małej organizacji albo odpowiedni pracownik zamyka je i otwiera, systematycznie sprawdza (czasem wystarczą proste oględziny robione mimochodem) czy te zabezpieczenia fizyczne są funkcjonalne. Dlaczego tak się dzieje? Nie chcesz, żeby ktoś – a już szczególnie konkurencja – włamał się do Twojej firmy, wyniósł z niej informacje, poznał jej sekrety, sparaliżował działanie organizacji na jakiś czas albo wręcz doprowadził ją do upadku. A co z ochroną infrastruktury IT? – sam program zabezpieczający i firewall nie wystarczy!. Firma powinna mieć wdrożony System Zarządzania Bezpieczeństwem Informacji. Wdrożenie procedur, a następnie ich monitorowanie to proces, który jest inwestycją w Twój biznes. Tak samo jak inwestujesz w okna/rolety/kraty/drzwi/systemy antywłamaniowe albo dobrze zabezpieczone pomieszczenie/budynek i zarządzasz bezpieczeństwem fizycznym tak samo musisz pamiętać o SZBI.

Tak naprawdę to dzięki niemu możesz nie odnotować straty z tytułu niedziałania usług/ nieprawidłowego ich działania albo wręcz nie splajtować. Pamiętaj o tym w pierwszej kolejności.

Autor grafiki promującej wpis: Indian