Cyberbezpieczeństwo
koncepcja kompleksowej formy reakcji podejmowanych przy użyciu środków technicznych i nietechnicznych w celu ochrony przed cyberzagrożeniami. Wykształciła się ona na poziomie strategicznym państw i organizacji rządowych, a także przy projektowaniu systemów IT w sektorze prywatnym. Z racji specyfiki cyberprzestrzeni i dynamicznego rozwoju branży IT cyberbezpieczeństwo w tego typu strategiach oraz dokumentach bezpieczeństwa jest ujmowane z perspektywy stanu końcowego, który dana instytucja planuje osiągnąć.
W literaturze wskazuje się trzy podstawowe cele związane z zagwarantowaniem bezpieczeństwa w cyberprzestrzeni: zapewnienie poufności, integralności oraz dostępności. Poufność rozumiana jest jako zachowanie prywatności, objęcie tajemnicą poprzez narzucenie kontroli i limitowanie dostępu do danych przy zastosowaniu odpowiednich rozwiązań technicznych i prawnych. Integralność pojmowana jest jako ochrona przed dokonywaniem zmian przez nieuprawnione podmioty lub bez koniecznej autoryzacji. Dostępność oznacza natomiast możliwość korzystania z zasobów zgodnie z oczekiwaniami i potrzebami. Do tej triady celów dodaje się także odporność. Przyjmując za nieuchronne i niemożliwe do wyeliminowania istnienie zagrożeń w cyberprzestrzeni, za wartość należy uznać takie przygotowanie systemów, aby były one w stanie przetrwać cyberatak i podjąć normalne funkcjonowanie.
Same zagrożenia cyberbezpieczeństwa bywają natomiast klasyfikowane w literaturze jako „awarie”, „wypadki” i „ataki”. Można przyjąć, że wypadki i awarie zależą od czynników technicznych, mają więc charakter losowy, nie są wynikiem celowego działania osoby lub grupy osób. Różnią się tylko pochodzeniem przyczyny: zewnętrznej (wypadki) albo wewnętrznej (awarie systemu). Natomiast ataki to wszystkie zdarzenia, których zaistnienie jest powiązane z działaniem człowieka.
Zagrożenia dla cyberbezpieczeństwa można podzielić także w inny sposób. Linie podziału będą wówczas przebiegać na następujących płaszczyznach: podmiotowej (przestępcy, terroryści, podmioty państwowe), motywacyjnej (chęć zysku, chęć wywarcia nacisku politycznego, chęć uzyskania informacji, chęć osiągnięcia przewagi militarnej, forma żartu, chęć zaistnienia w określonym środowisku, zdobycia popularności czy rozgłosu), modus operandi (działanie doraźne lub długofalowe, działanie z rozgłosem lub ukryte). Opierając się na powyższych determinantach, w literaturze w różnych konfiguracjach wymienia się jako zagrożenia: haktywizm, cyberterroryzm, cyberprzestępczość, cyberszpiegostwo (wojskowe, polityczne, ekonomiczne) oraz cyberwojnę. M. Lakomy wyróżnia zagrożenia nieustruktualizowane: haking, haktywizm, haktywizm patriotyczny i cyberprzestępczość, oraz ustrukturalizowane: cyberterroryzm, cyberszpiegostwo i operacje zbrojne w cyberprzestrzeni.
Etap początkowy rozwoju branży IT nie obejmował równoległych prac nad cyberbezpieczeństwem – informatyka miała być w założeniach domeną elitarnych grup naukowców. Zakładano transparentość: normą były wzajemne zaufanie wszystkich użytkowników oraz niewielka liczba punktów końcowych, co ułatwiało weryfikację. Dynamiczny rozwój technologii oraz rosnący poziom funkcjonalności komputerów doprowadziły do informatyzacji społeczeństw na skalę globalną, bez ujmowania czynników ryzyka.
Pierwsze kroki w celu określenia tego ostatniego zostały podjęte w USA dopiero na zlecenie prezydenta R. Reagana. Została do celu oddelegowana Narodowa Rada Bezpieczeństwa, a efektem jej prac była dyrektywa 145 NSA – pierwszy dokument podejmujący temat stounku polityki państwa do komputerów i systemów informatycznych. Rząd USA przekazał następnie odpowiedzialność za zatwierdzanie norm i urządzeń wykorzystywanych w telekomunikacji i zautomatyzowanych systemach bezpieczeństwa, wraz z uprawnieniami do oceny podatności sieci rządowych, Narodowej Agencji Bezpieczeństwa (NSA). Dopiero w 1987 r. Kongres zatwierdził ustawę o bezpieczeństwie komputerów, która ustanowiła Narodowy Instytut Standardów i Technologii (NIST), i przejęcie przez nią wcześniejszych zadań NSA. Ostatecznie jeszcze przed 1987 r. działania przeprowadzane przez środowiska hakerskie naruszyły bezpieczeństwo narodowe USA.
Przyjęte założenia okazały się niewystarczające. W latach 90. oraz na początku XXI w. doszło do wielu cyberataków, które w sposób znaczny spenetrowały systemy informatyczne państwa. Do większych operacji można zaliczyć „Moonlight Maze”, który był cyberatakiem wymierzonym w NASA i Departament Energii USA, oraz „Titan”, który był aktem cyberszpiegostwa biorącym za cel Departament Obrony USA. Zdecydowane kroki zostały podjęte dopiero za prezydentury G. Busha. Opracowano wtedy dwa dokumenty bezpośrednio odnoszące się do cyberbezpieczeństwa USA: National Security Presidential Directive 38 oraz National Strategy to Secure Cyberspace. Było to pierwsze ujęcie koncepcji cyberbezpieczeństwa, które wyznaczało priorytety dla rządu federalnego i przemysłu.
Jednym z kluczowych założeń będących do dziś elementem wielu strategii cyberbezpieczeństwa na poziomie krajowym i międzynarodowym jest zależność poziomu cyberbezpieczeństwa sektora publicznego od sektora prywatnego, który zarządza stosunkowo dużą ilością dostępnej cyberprzestrzeni i infrastruktury krytycznej. Nacisk rynku spowodowany wzrostem cyberprzestępczości oraz działania legislacyjne rządu USA zmusiły twórców oprogramowania (m.in. antywirusowego), sprzętów i inżynierów sieci do zwiększenia standardów dotyczących bezpieczeństwa już w fazie planowania projektów oraz do wdrożenia do istniejących produktów systemu aktualizacji.
Ogólnoświatowy przełom w podejściu do cyberbezpieczeństwa datuj się na lata 2007 oraz 2008. Doszło wówczas do poważnych incydentów w dziedzinie cyberbezpieczeństwa w Estonii i w armii USA (cyberincydent „Buckshoot Yankee”). Obydwa wydarzenia były wstrząsem dla kadr zarządzających nie tylko w Stanach Zjednoczonych i w Europie. W konsekwencji także w innych częściach świata rozpoczęto wdrażanie nowych polityk i strategii na rzecz cyberbezpieczeństwa oraz utworzono wiele agencji lub wyspecjalizowanych jednostek cywilnych i wojskowych, mających charakter zarówno ofensywny, jak i defensywny, zajmujących się zwalczaniem zagrożeń w cyberprzestrzeni. Jako przykłady wymienić należy Centrum Eksperckie NATO ds. Komunikacji Strategicznej, Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA), Europejskie Centrum ds. Walki z Cyberprzestępczością będące agencją Europolu oraz rządowe zespoły reagowania na incydenty komputerowe w poszczególnych państwach (CERT).
Problematyka cyberbezpieczeństwa jest też przedmiotem niesłabnącego zainteresowania nie tylko ze strony państw, ale także organizacji międzynarodowych. Pod patronatem Rady Europy już w 2001 r. opracowana została konwencja o cyberprzestępczości, ratyfikowana przez Polskę dopiero w 2015 r. Wskazuje ona przede wszystkim, jakie środki powinny przyjąć związane nią państwa w ramach prawa wewnętrznego – zarówno materialnego, jak i procesowego – aby zapewnić ściganie i karanie przestępstw przeciwko poufności informacji, integralności i dostępności danych informatycznych, przestępstw komputerowych, przestępstw związanych z pornografią dziecięcą w cyberprzestrzeni oraz przestępstw związanych z naruszeniem praw autorskich i pokrewnych.
W komunikacie z 2007 r. adresowanym do Parlamentu Europejskiego, Rady Europejskiej i Komitetu Regionów Komisja Europejska odnotowała potrzebę podjęcia na szczeblu unijnym współpracy ukierunkowanej na szeroko rozumiane zwalczanie przestępstw w cyberprzestrzeni. Wskazano na problemy związane z określeniem jurysdykcji krajowej i prawa właściwego, transgranicznym ściganiem przestępstw oraz uznawaniem i stosowaniem dowodów elektronicznych, a także na konieczność usprawnienia koordynacji zwalczania cyberprzestępczości na szczeblu europejskim i międzynarodowym. Komisja postawiła sobie za cel opracowanie unijnej strategii w sprawie zwalczania i ścigania cyberprzestępczości.
Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń przyjęta została w 2013 r. jako rezolucja Parlamentu Europejskiego. Przedstawiono w niej program działań na rzecz realizacji pięciu strategicznych priorytetów: osiągnięcia odporności na zagrożenia cybernetyczne, ograniczenia cyberprzestępczości, opracowania polityki obronnej i rozbudowy zdolności w dziedzinie bezpieczeństwa cybernetycznego w powiązaniu ze wspólną polityką bezpieczeństwa i obrony, rozbudowy zasobów przemysłowych i technologicznych na potrzeby cyberbezpieczeństwa oraz ustanowienia spójnej międzynarodowej polityki w zakresie cyberprzestrzeni dla Unii Europejskiej. Co istotne, w dokumencie zawarto nawiązanie do art. 222 Traktatu o funkcjonowaniu Unii Europejskiej zawierającego tzw. klauzulę solidarności. Już we wspólnym komunikacie w sprawie przyjęcia strategii cyberbezpieczeństwa, opracowanym uprzednio przez Komisję Europejską i Wysokiego Przedstawiciela Unii d.. Zagranicznych i Polityki Bezpieczeństwa, zaznaczono, że w wypadku „szczególnie poważnego incydentu lub ataku” cybernetycznego państwo członkowskie może powoływać się na klauzulę solidarności Unii Europejskiej. W żadnym z tych dokumentów nie wspomina się natomiast o art. 42 ust. 7 Traktatu o funkcjonowaniu Unii Europejskiej, który zawiera zapis o obowiązku udzielenia pomocy i pomocy wszelkimi dostępnymi środkami, zgodnie z art. 51 Karty Narodów Zjednoczonych w razie agresji zbrojnej.
Wspomnieć należy także o dyrektywie dotyczącej ataków na systemy informatyczne, mającej na celu ujednolicenie prawa wewnętrznego państw członkowskich poprzez wyznaczenie minimalnych standardów w zakresie definiowania przestępstw popełnianych w cyberprzestrzeni oraz sposobu ich karania, a także ustalenie zasad współpracy w zakresie ich ścigania.
W dokumentach Sojuszu Północnoatlantyckiego kwestie cyberbezpieczeństwa ujmowane były wielokrotnie, choć w sposób ogólny. W koncepcji strategicznej NATO z 2010 r. wskazano cyberataki jako coraz częściej występujące źródło zagrożeń dla narodowego i euroatlantyckiego dobrobytu, bezpieczeństwa i stabilności. Kolejna strategia przyjęta została w 2014 r. podczas szczytu w Newport pod nazwą Wzmocnionej Polityki Cyberobrony (Enhanced Cyber Defence Policy). W deklaracji końcowej szczytu zawarto stwierdzenie: „obrona cybernetyczna należy do podstawowych zadań kolektywnej obrony NATO”. Do problematyki tej nawiązano ponownie w końcowym komunikacie podsumowującym prace szczytu NATO w Warszawie w 2016 r. Uznano w nim cyberprzestrzeń za„obszar działań, w którym NATO musi bronić się tak samo skutecznie jak w powietrzu, na lądzie i na morzu”. W czasie szczytu przyjęto także zobowiązanie do wzmacniania i rozwijania systemów cyberobrony poszczególnych państw, przedstawiciele NATO i Unii Europejskiej zaś wydali wspólną deklarację dotyczącą przyszłej współpracy, m.in. właśnie w zakresie cyberbezpieczeństwa.
Spośród istotnych polskich dokumentów dotyczących cyberbezpieczeństwa, obok doktryny cyberbezpieczeństwa Rzeczypospolitej z 2015 r., wymienić należy Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej z 2013 r. oraz rządowy program ochrony cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011–2016. W doktrynie cyberbezpieczeństwa wyróżniono jako cyberzagrożenia w wymiarze wewnętrznym cyberprzestępczość, cyberprzemoc, cyberprotesty oraz cyberdemonstracje, do zagrożeń w wymiarze zewnętrznym zaliczono natomiast: cyberkonflikty, cyberkryzysy, cyberwojnę oraz cyberszpiegostwo. Jako źródła zagrożeń w cyberprzestrzeni podano organizacje ekstremistyczne, terrorystyczne oraz zorganizowane transnarodowe grupy przestępcze, których ataki w cyberprzestrzeni mogą mieć podłoże ideologiczne, polityczne, religijne, biznesowe i kryminalne.
Rządowy program ochrony cyberprzestrzeni zakłada osiągnięcie celu strategicznego, czyli zapewnienie ciągłego bezpieczeństwa cyberprzestrzeni państwa poprzez stworzenie ram organizacyjno-prawnych oraz systemu skutecznej koordynacji i wymiany informacji pomiędzy administracją publiczną oraz innymi podmiotami i użytkownikami cyberprzestrzeni RP, w tym przedsiębiorcami. Program zakłada podział kompetencji w zakresie ochrony cyberbezpieczeństwa pomiędzy poszczególne organy, instytucje i przedsiębiorstwa, a także zasady nadzorowania i koordynowania ich prac. Wiele miejsca poświęcono w nim szeroko rozumianej edukacji wielu różnych grup, od młodzieży szkolnej po kadry urzędnicze.
W ramach działań zmierzających do zapewnienia cyberbezpieczeństwa prowadzone są ćwiczenia obejmujące symulację cyberataków i obrony oraz odpowiedzi na nie. Unia Europejska organizuje tego rodzaju ćwiczenia od 2010 r., NATO – od 2008 r., Stany Zjednoczone zaś – od 1997 r.
Deklaracja szczytu walijskiego złożona przez Szefów Państw i Rządów uczestniczących w posiedzeniu Rady Północnoatlantyckiej w Walii 5 września 2014 r.; Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW, Dz.Urz.UE z 14.08.2013 r., L.2013.218.8; M. Dunn Cavelty, Cyber-Security, The Routledge Handbook of New Security Studies, J.P. Burgess (ed.), Routledge, London–New York 2010; Komunikat ze szczytu NATO w Warszawie Wydany przez Szefów Państw i Rządów uczestniczących w posiedzeniu Rady Północnoatlantyckiej w Warszawie w dniach 8 i 9 lipca 2016 r.; Koncepcja strategiczna obrony i bezpieczeństwa członków Organizacji Traktatu Północnoatlantyckiego, przyjęta przez szefów państw i rządów w Lizbonie, tłum. A. Juszczak, „Bezpieczeństwo Narodowe” 2014, nr 1; Konwencja Rady Europy o cyberprzestępczości, sporządzona w Budapeszcie dnia 23 listopada 2001 r., Dz.U. z 2015 r. poz. 728; Rezolucja Parlamentu Europejskiego z dnia 12 września 2013 r. w sprawie strategii bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń, Dz.Urz.UE z 9.03.2016, C 93/112; M. Roscini, Cyber Operations and the Use of Force in International Law, Oxford University Press, Oxford 2014; Rządowy program ochrony cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016 r.; P.W. Singer, A. Friedman, Cybersecurity and Cyberwar: What Everyone Needs to Know, Oxford University Press, New York 2014.