Cyfrowa Konwencja Genewska
porozumienie podpisane przez 34 korporacje związane z technologiami informacyjnymi (IT). Konwencja ta ma stanowić odpowiednik konwencji genewskiej dla cyberbezpieczeństwa. Sygnatariuszami konwencji stanowiącej porozumienie Cybersecurity Tech Accord są m.in. takie czołowe korporacje w zakresie IT, jak Dell, Microsoft, Facebook, F-Secure, GitHub, Nokia, Oracle czy Symantec.
Od 20 lat na podstawie decyzji sekretarza generalnego ONZ działa grupa ekspertów rządowych (Group of Governmental Experts, GGE) zajmująca się zmianami w obszarze informatycznym i telekomunikacyjnym w aspekcie bezpieczeństwa międzynarodowego (ang. Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security). Efektem pracy tego zespołu było zaproponowanie w 2015 r. nowych regulacji określających reguły odpowiedzialnych zachowań państw w cyberprzestrzeni. Ich przestrzeganie ma na razie charakter fakultatywny, ale legislacja międzynarodowa zmierza w kierunku ich pełnej implementacji w krajowych systemach prawnych. W swoim raporcie eksperci wskazali, że regulacje międzynarodowe muszą odnosić się także do cyberprzestrzeni, co zaakceptowało 20 państw uczestniczących w badaniach, w tym te o pozycji mocarstwowej: USA, Rosja i Chiny.
W 2017 r. została utworzona Światowa Komisja ds. Stabilności w Cyberprzestrzeni (Global Commission for the Stability of Cyberspace). Pracuje ona nad opracowaniem pakietu propozycji norm i zaleceń zmierzających do zapewnienia międzynarodowego bezpieczeństwa, stabilności i przewidywalnych działań w cyberprzestrzeni zarówno ze strony państw, jak i podmiotów komercyjnych. Szczególna rola przypadła firmie Microsoft, która uznała, że konieczna jest poprawa transparentności przy jednoczesnym egzekwowaniu odpowiedzialności za realizowane w cyberprzestrzeni przedsięwzięcia. 9 listopada 2017 r. na forum Organizacji Narodów Zjednoczonych B. Smith – prezes, a zarazem główny prawnik Microsoftu – zgłosił pilną potrzebę wspólnego działania celem sprostania stale rosnącej liczbie cyberzamachów sponsorowanych przez poszczególne państwa. Zwrócił on uwagę na konieczność stworzenia międzynarodowej organizacji, którą określił mianem Cyfrowej Konwencji Genewskiej. Według Smitha winno to być porozumienie firm działających w obszarze nowoczesnych technologii z całego świata, które podejmą współpracę w obronie swoich klientów. Pierwszy krok należałby jednak do państw, które muszą zobowiązać się do zaniechania cyberataków na cywilną infrastrukturę. Natomiast firmy informatyczne, pozostając neutralne, powinny przyjąć przy tworzeniu nowych technologii zakres standardów mających na celu ochronę osób. Takie porozumienie na światową skalę miałoby szansę skutecznie przeciwdziałać cyberprzestępczości. Poglądy te podziela wiele organizacji międzynarodowych, które uważają, że infrastruktura cyfrowa winna być neutralna, przy jednoczesnym zakazie proliferacji cyberbroni oraz ograniczeniu zdolności ofensywnych państw w przestrzeni cyfrowej.
Ważna misja przypada tu do spełnienia Międzynarodowej Organizacji Atrybucji Cyberataków. Ma to być nowy element cyberobrony, gromadzący i analizujący dane oraz identyfikujący sprawców zamachów, a także narzędzie służące poprawie transparentności działań w sieci, ułatwiające społeczności międzynarodowej podejmowanie właściwych działań w stosunku do nieprzestrzegających zasad i prawa. Organizacja ma identyfikować pośredników, którzy są angażowani przez zainteresowane państwa do ataku na inne kraje. Kolejnym ważnym elementem jest porozumienie technologiczne (Cybersecurity Tech Accord). Ma ono zapewniać ochronę prywatnych użytkowników w cyberprzestrzeni. Inicjatorzy tego rozwiązania uważają, że konieczna jest budowa zaufania rynku cywilnego do producentów nowych technologii oraz samych urządzeń. To z kolei będzie implikowało pożądane zachowania konsumentów, przyczyniając się do szybszego rozwoju handlu i usług.
Najważniejszy dla zainteresowanych firm i najciekawszy punkt stanowi deklaracja, że sygnatariusze nie będą wspierać rządowych cyberataków. Za przestrzeganie zapisów Cyfrowej Konwencji Genewskiej odpowiadałaby niezależna organizacja, której zadaniem byłoby badanie wszelkich przypadków wspieranych przez rządy ataków cybernetycznych na inne kraje. Zdaniem pomysłodawcy w skład takiej instytucji mieliby wejść eksperci z sektora publicznego i prywatnego, a także organizacji międzynarodowych, takich jak Międzynarodowa Agencja Energii Atomowej (MAEA).
W razie konfliktu cybernetycznego firmy technologiczne powinny zachować neutralność, dzięki czemu będą mogły być gwarantem zaufania i stabilności online. Podmioty prywatne powinny też zadeklarować, że nie będą wspierać rządów w ich działaniach ofensywnych.
W ramach porozumienia ustalono zasady postępowania firm, które zobowiązały się je podpisać:
- zagwarantowanie wsparcia i ochrony użytkownikom, którzy mogą być w przyszłości ofiarami cyberataków;
- zapewnienie dodatkowego wsparcia twórcom, by mogli lepiej wykorzystywać technologię do ochrony. Polega to na łączeniu sił podczas opracowywania nowych metod walki z zagrożeniami, które później każdy będzie mógł wykorzystywać również jako własne produkty z dziedziny bezpieczeństwa;
- brak wsparcia dla rządów, które chciałyby przeprowadzić cyberataki:
Firmy nie będą pomagać rządom w przeprowadzaniu cyberataków przeciwko niewinnym obywatelom i przedsiębiorstwom oraz będą chronić przed naruszaniem lub wykorzystywaniem ich produktów i usług na każdym etapie rozwoju, projektowania i dystrybucji technologii;
- zobowiązanie do zacieśnionej współpracy, co ma bazować m.in. na wymianie informacji o nowo rozpoznawanych zagrożeniach.
Podpisanie porozumienia Cybersecurity Tech Accord to krok do przodu, który może pomóc uczynić internet miejscem bezpieczniejszym i być może zmniejszyć liczbę cyberataków. Nie oznacza to jednak oczywiście, że te ostatnie zostaną od razu wyeliminowane, a problemem mogą być firmy, które porozumienia nie podpisały.
Na liście sygnatariuszy zabrakło w tym kontekście ważnych firm, takich jak Apple, Google czy Amazon. Przedsięwzięcie pozostaje otwarte na nowe organizacje, które spełniają odpowiednie standardy bezpieczeństwa i chciałyby do niego dołączyć.
Fundamenty porządku cyfrowego są stale naruszane przez prace państw nad cyberbronią i cyberatakami. Współcześnie cyberprzestrzeń jest ściśle powiązana ze sferą informacyjną, której towarzyszy dynamiczny wzrost znaczenia mediów społecznościowych oraz alternatywnych. Stąd według analityków nie wszystkie cyberataki będą skierowane jedynie na tzw. sferę twardego cyberbezpieczeństwa. Celem może być – poza spowodowaniem strat fizycznych czy ekonomicznych – także wrogie i manipulacyjne oddziaływanie psychologiczne na społeczeństwo (element wojny psychologicznej). Takie działania są obecnie z powodzeniem stosowane przez Rosję wobec Ukrainy oraz społeczności międzynarodowej.
6 lutego 2018 r. w Warszawie odbyła się międzynarodowa konferencja „Kształtowanie odpowiedzialnego zachowania państw w cyberprzestrzeni”, której organizatorami były German Marshall Fund of the United States oraz Microsoft. Obrady stały się istotnym krokiem do wypracowania Cyfrowej Konwencji Genewskiej dla ochrony cyberprzestrzeni w czasie pokoju. Będąca w procesie tworzenia i konsultacji Cyfrowa Konwencja Genewska przyjęła następujące założenia dotyczące powstrzymywania się państw od:
- zamachów na systemy, których zniszczenie wpłynęłoby na bezpieczeństwo obywateli (obiekty infrastruktury krytycznej);
- atakowania systemów, których destrukcja godziłaby w globalną gospodarkę (integralność systemów finansowych) lub mogłaby skutkować poważnymi zakłóceniami (atak na usługi oparte na chmurach);
- atakowania prywatnych kont lub danych, będących w posiadaniu dziennikarzy oraz osób prywatnych, zwłaszcza związanych z procesami wyborczymi;
- wykorzystania informacji i technologii komunikacyjnych do przywłaszczania własności intelektualnej podmiotów komercyjnych, w tym tajemnic handlowych;
- instalowania lub wymagania backdoorów w komercyjnych wytworach masowej produkcji;
- budowa polityki związanej z aspektami zapobiegania, zabezpieczania, wykorzystywania czy raportowania podatności, zwłaszcza w obszarze produktów masowej produkcji i usług komercyjnych.
Jednocześnie Konwencja ma powstrzymywać rozwój cyberbroni oraz wprowadzać limity m.in. rozwoju, a także zapewniać utrzymanie nad nią kontroli w bezpiecznym środowisku. Ma służyć ograniczeniu proliferacji cyberbroni oraz zaangażowania w cybernetyczne operacje ofensywne, tak by zredukować masowe uszkodzenia cywilnej infrastruktury krytycznej. Przepisy konwencji mają wspierać prywatny sektor w przedsięwzięciach służących wykrywaniu, ograniczaniu i odpowiadaniu na cyberataki oraz w prowadzeniu działań naprawczych. Ma temu pomagać wspieranie zdolności i mechanizmów odpowiedzialnych za odpowiedź oraz regenerację, szczególnie CERT (computer emergency response teams), przy założeniu, że zamach na instytucje wsparcia traktowany byłby jako równoznaczny z atakowaniem personelu medycznego w szpitalach wojskowych.
E. Andruszkiewicz, Audyt bezpieczeństwa w aplikacjach obsługujących transakcje elektroniczne, [w:] Globalne cyberbezpieczeństwo, Y. Utsumi (red.), Warszawa 2006; CyberStability.org (dostęp 28.01.2019); A. Klimczuk, #MicrosoftMówi: #Trendy2018 – co będzie zajmowało polski biznes w 2018 roku, 30.01.2018, News.Microsoft.com.pl (dostęp 12.02.2019); A. Kozłowski, Cyfrowa Konwencja Genewska to idea, a nie nowy traktat, 15.06.2018, CyberDefence24.pl (dostęp 20.04.2019); A. Lelonek, Konsultacje dotyczące Cyfrowej Konwencji Genewskiej w Warszawie, 8.02.2018, CyberDefence24.pl (dostęp 20.04.2019); T. Rid, B. Buchanan, Attributing Cyber Attacks, „The Journal of Strategic Studies” 2015, vol. 38, no. 1–2; H. Sommer, G. Zakrzewski, Problem zaufania klienta w relacji z pracownikiem korzystającym z nowych technologii, [w:] Cyberprzestrzeń. Zagrożenia w sieci, M. Koziński, S. Kosznik-Biernacka, J. Grubicka, (red.), Fundacja Pro Pomerania, Słupsk 2017; G. Świszcz, Cybernetyczna osłona kluczowych procesów państwa. Wyzwania dla infrastruktury krytycznej, [w:] Cyberterroryzm i systemy informacyjne w bezpieczeństwie, B. Szczypta-Kłak, K. Pobuta (red.), Wydawnictwo Państwowej Wyższej Szkoły Techniczno-Ekonomicznej im. ks. B. Markiewicza, Jarosław 2017; H. Tworek, Microsoft Is Right: We Need a Digital Geneva Convention, 5.09.17, Wired.com (dostęp 20.01.2019); O. Wasiuta, S. Wasiuta, Wojna hybrydowa Rosji przeciwko Ukrainie, Wydawnictwo Arcana, Kraków 2017.