Cyberprzestępczość, czyli wolnoamerykanka

George Tenet, pełniący 30 lat temu funkcję dyrektora CIA, odnosząc się do dynamicznie rozwijających się wówczas technologii informatycznych oraz rosnącej bańki internetowej, powiedział, że zdecydowaliśmy się oprzeć naszą przyszłość na zasobach, których nie nauczyliśmy się jeszcze chronić. Jeżeli wtedy zbliżaliśmy się dopiero do przepaści określanej dzisiaj mianem cyberzagrożenia, to przez te trzy dekady zrobiliśmy ogromny krok do przodu.

Ciszej nad porażkami

Dzisiaj cyberprzestępczość to straty liczone w setkach miliardów dolarów (specjaliści z McAffe, firmy specjalizującej się w oprogramowaniu antywirusowym oraz w ochronie w internecie, mówią o kwotach rzędu 445 do 600 mln dol.) i zbliżające się w szybkim tempie do poziomu 1 proc. światowego PKB. Rzeczywiste szkody mogą być jeszcze większe, bo przedsiębiorstwa niechętnie ujawniają informacje o swoich porażkach w tym obszarze, a to z uwagi na spodziewane problemy wizerunkowe oraz ewentualną odpowiedzialność wobec osób i podmiotów, których dane zostały ujawnione. Ocenia się, że na przykład w Wielkiej Brytanii jedynie 13 proc. incydentów jest zgłaszanych przez pokrzywdzone firmy.

Cyberprzestępczość dotyka zarówno osób fizycznych, jak i firm oraz instytucji państwowych. W oficjalnych dokumentach dotyczących polityki obronnej Unii Europejskiej mówi się wręcz o nowej linii frontu wyznaczanej w XXI wieku przez cyberzagrożenia.

Nic zresztą dziwnego, biorąc pod uwagę niedawne sankcje USA, uzasadniane między innymi próbą wpływania na wybory prezydenckie przy wykorzystaniu skoordynowanych i zorganizowanych działań hakerskich, czy też skuteczne spowolnienie programu jądrowego Iranu wywołanego przez wirus Stuxnet.

Co więcej, cyberprzestępcy nie stoją w miejscu. Lawinowy wzrost technik mobilnych znalazł natychmiast swoje odbicie w ilości złośliwego oprogramowania przeznaczonego na smartfony (tylko w roku 2017 wzrost ten wyniósł 54 proc.). W odniesieniu do systemów IoT (internet rzeczy) wzrost ten to aż 600 proc.

Ale zupełnym hitem okazało się wykorzystywanie cudzych komputerów (oczywiście bez zgody ich właścicieli) do wykopywania kryptowalut. To nielegalne cyfrowe „górnictwo" zanotowało w ubiegłym roku wzrost rzędu 8500 proc.

Nadzieja w ustawie

Czy zatem walka z cyberprzestępczością jest skazana na porażkę? Oczywiście, że nie, pod warunkiem że nikt nie będzie starał się ścigać przestępców uciekających nowym modelem Lamborghini za pomocą furmanki z sianem. Raport Najwyższej Izby Kontroli (NIK) z połowy 2015 roku był pod tym kątem jednoznaczny. Brak wizji systemowej, doraźne działania oraz oczekiwania na rozwiązania unijne.

Po niemal trzech latach jesteśmy bogatsi o wywalczony w ciężkich bojach kompetencyjnych dokument określający strategię cyberbezpieczeństwa Polski na lata 2017–2020 oraz projekt ustawy wprowadzającej na grunt polskiego prawa dyrektywę z roku 2016 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Wdrożenie powinno nastąpić najpóźniej w maju, ale patrząc na tempo dotychczasowych prac legislacyjnych, nie wydaje się, aby data ta została dochowana.

Dlaczego ta ustawa ma znaczenie podstawowe dla wzrostu gospodarki cyfrowej w Polsce? Bo przy właściwej implementacji włączy nas do unijnego systemu definiującego podstawowe wymagania w zakresie bezpieczeństwa teleinformatycznego dla szeregu podmiotów (m.in. operatorów tzw. usług kluczowych, dostawców usług cyfrowych czy organów administracji), stworzy system certyfikacji, bez której trudno o systemową ochronę cyberprzestrzeni unijnej (Unia jest importerem netto technologii związanych z ochroną cyberprzestrzeni), a co najważniejsze – wdroży system bieżącego raportowania i wymiany informacji o incydentach. Pobudzi też polski rynek produktów i usług świadczonych w tym zakresie.

Implementacja ta nie rozwiąże jednak dwóch problemów.

Pierwszy to zrozumienie po stronie decydentów (i to zarówno tych z domeny administracji państwowej, jak i tych zarządzających firmami), że transformacja cyfrowa wymaga przeniesienia kwestii cyberbezpieczeństwa z budki stróża pilnującego szlabanu wprost na piętro ministerialne – czy odpowiednio zarządowe.

Drugi, że nie da się zbudować zaufania do cyfrowego świata, nie wydając na to złotówki. Wspomniany raport NIK wskazywał, że do końca 2014 nie opracowano założeń systemu finansowania działań związanych z ochroną cyberprzestrzeni i wydaje się, że w tym aspekcie niewiele się zmieniło.