Zapewnienie bezpieczeństwa, niezależnie od obszaru, to proces – długodystansowy bieg bez linii mety. Tutaj nie ma złotych medali, tylko mozolny wysiłek wymagający dobrej kondycji i systematyczności. W obszarze bezpieczeństwa jest tak, że skończone projekty to tylko kolejne etapy tego biegu, w którym nieustannie gonimy odjeżdżającą nam rzeczywistość. Nawet najświeższy news niemal od razu staje się faktem z niedalekiej – ale jednak – przeszłości.
Prawdopodobnie nikt nie wie o tym tak dobrze, jak osoby pełniące decyzyjne role w zarządzaniu cyberbezpieczeństwem. Dla nich powinno być jasne, że liczy się to, co przed nami.
Zmieniającym się warunkom geopolitycznym i biznesowym towarzyszy rosnące tempo rozwoju technologii. Inwestują w nią firmy, ale i cyberprzestępcy, którzy profesjonalizują się wykorzystując zaawansowane narzędzia i możliwości sztucznej inteligencji czy uczenia maszynowego. Gdy rośnie poziom ryzyka, w naturalny sposób nasuwa się pytanie: czy patrzymy wystarczająco daleko w przyszłość, aby ochronić się przed potencjalnymi zagrożeniami? Czy pomyśleliśmy na przykład o tym, jak przy pomocy technologii zabezpieczyć dane, które są krytyczne z punktu widzenia państwa?
E-ambasada
Jak zabezpieczyć krytyczne dane, takie jak rejestry państwowe, w sytuacji, kiedy na serwerownie spadają rakiety i żadne miejsce w kraju nie jest wystarczająco bezpieczne? Odpowiedź wydaje się prosta: przenieść dane tam, gdzie żadna rakieta, klęska żywiołowa czy akt sabotażu ich nie dosięgnie. Ucieczka przed fizycznymi zagrożeniami jest możliwa dzięki uwolnieniu danych od ich fizycznej lokalizacji i przeniesieniu do chmury obliczeniowej.
Scenariusz ten zrealizowała Estonia, w 2017 roku lokując 10 krytycznych rejestrów w pierwszej na świecie ambasadzie danych w Luksemburgu. Tą samą drogą podążyła Ukraina, która niedługo po wybuchu wojny rozpoczęła ewakuację krytycznych danych do chmury, ze wsparciem cyfrowej technologii Microsoft. Analogiczne decyzje podjęła niedawno Litwa, a i w Polsce temat e-ambasady powoli przebija się do debaty na temat budowania odporności państwa na współczesne zagrożenia. Należy jednak pamiętać, że – tak samo jak w innych obszarach – budowanie odporności jest procesem długotrwałym. Realizacja idei ambasady cyfrowej wymaga przede wszystkim uporządkowania źródeł prawa, przygotowania danych do przeniesienia bądź reduplikacji w nowym środowisku, wymaga wreszcie niełatwej decyzji o zakresie ewentualnej współpracy z dostawcą technologii, która w dzisiejszych czasach może zapewnić wyższy poziom bezpieczeństwa danych niż zasoby administracji publicznej.
Zero trust
Opisane powyżej przykłady wskazują, że na cyberbezpieczeństwo (i w ogóle na bezpieczeństwo) trzeba patrzeć w szerokim kontekście. Dlatego sprowadzanie cyberbezpeczeństwa do kwestii czysto technicznych nie jest właściwe. Koncentrowanie się na wybranych aspektach bezpieczeństwa prowadzi do zaniedbywania pozostałych obszarów czy wręcz do powstawania groźnych luk w zabezpieczeniach. I wszystko jedno w jakim obszarze te luki powstaną – czy będzie to obszar organizacyjny, techniczny, czy związany z czynnikiem ludzkim. Ważne, że podatność taką można wykorzystać do ataku.
Architektura systemów IT jest zazwyczaj rozległa i złożona. Koncentrowanie zabezpieczeń w jednym punkcie nie sprawdza się. Klasyczny antywirus nie wystarczy, bo zapewnia określony poziom ochrony tylko w jednym miejscu. Zgodnie z modelem zero trust ochronie powinna podlegać całość środowiska IT: tożsamość, urządzenia końcowe, sieć, dane, aplikacja i infrastruktura.
Elementy, których ochrona nabiera dziś nowego znaczenia, to tożsamość i dane. Dane są bardziej zagrożone niż dotychczas, ponieważ w reakcji na pandemię Covid-19 użytkownicy opuścili kontrolowane środowiska IT i w trybie pracy zdalnej przenieśli się do domów, gdzie poziom ochrony ich danych jest zazwyczaj słabszy niż w korporacyjnej sieci. Z kolei nasilająca się działalność obcych służb, po agresji na Ukrainę uporczywie próbujących uzyskać dostęp do zasobów polskiej administracji, objawia się wzmożonymi kampaniami phishingowymi, kampaniami APT i wieloma innymi metodami na wyłudzenie tożsamości i uzyskanie dostępu do danych. Dlatego ochrona tożsamości jest elementem krytycznym.
Sześciopak
Polski system ochrony infrastruktury krytycznej opiera się na zasadach z założenia podobnych do modelu zero trust. Zakładając, że proces ochrony powinien odnosić się do wszystkich typów zidentyfikowanych zagrożeń, wyróżnia on sześć obszarów, w których należy podjąć działania zapewniające jej bezpieczeństwo. Jest to bezpieczeństwo fizyczne, osobowe, prawne, techniczne, teleinformatyczne oraz plany ciągłości działania. Mówiąc inaczej – w procesie zarządzania ryzykiem należy uwzględnić zagrożenia ze strony intruza, pracownika, konkurencji, technologii, informatyki oraz mieć wdrożony plan ciągłości działania.
Ten tzw. „sześciopak” – nowatorskie polskie podejście do ochrony infrastruktury krytycznej – pozostaje aktualny jako metodologia. Wojna u naszych granic niesie ze sobą natomiast dodatkowe zagrożenia, które można zidentyfikować w każdym z obszarów. Technologia cyfrowa pomaga w obniżaniu poziomu ryzyka w każdym obszarze bezpieczeństwa, nie tylko w teleinformatyce, o której mówi się najczęściej. Dodatkowo, każdy z tych obszarów uległ daleko posuniętej cyfryzacji.
Na przykład – bezpieczeństwo fizyczne może być wspierane przez sztuczną inteligencję Azure analizującą w chmurze zapis z systemu dozoru wizyjnego. Bezpieczeństwo prawne (związane z działalnością innych podmiotów gospodarczych) można wesprzeć sztuczną inteligencją (łatwo i tanio dostępną w chmurze) do wyłapywania niekorzystnych klauzul umownych. Bezpieczeństwo techniczne to optymalizacja procesów technologicznych w oparciu o dane przetwarzane w czasie rzeczywistym na brzegu sieci (edge computing).
Wspólna sztafeta
Budowanie odporności cyberprzestrzeni jest długotrwałym procesem, który powinien angażować – na zasadzie partnerstwa – administrację publiczną, sektor prywatny (szczególnie globalnych dostawców technologii) oraz społeczeństwo. Z uwagi na wieloletni charakter realizowanych projektów, państwo powinno współpracować z ograniczoną grupą zaufanych dostawców technologii. Jednym z pierwszych tematów takiego dialogu powinna być kwestia ochrony krytycznych zasobów cyfrowych poprzez utworzenie cyfrowej ambasady RP ulokowanej na terytorium sojuszniczego państwa NATO, ale pozostającej w polskiej jurysdykcji.
Bezpieczeństwo – teleinformatyczne i każde inne – to gra zespołowa. Współdziałanie technologii, ludzi i organizacji to np. cyberhigiena (użytkownicy) wspierana przez technikę (firewalle, SIEM itp.) pozwalająca na skuteczną realizację rozwiązań organizacyjnych opisanych zgodnie z modelem zero trust w polityce bezpieczeństwa. Wszystkie te trzy aspekty uzupełniają się wzajemnie i są jednakowo istotne. Nota bene – zgodnie z ostatnim raportem Microsoft Digital Defense Report – cyberhigiena pozwala uniknąć 98% zagrożeń.
W krótszej perspektywie planistycznej warto dokonać gruntownego przeglądu posiadanych rejestrów ryzyka lub sporządzić je na nowo i uzupełnić o nowe czynniki towarzyszące wojnie – zgodnie z zasadą zero trust. Pomocne tu okażą się ogólnodostępne wytyczne dla operatorów infrastruktury krytycznej i dostawców usług cyfrowych – nawet w organizacjach, które nie zostały ujęte w wykazach.
Po zidentyfikowaniu nowych obszarów ryzyka, w ramach jego analizy, wskazane jest rozważenie szerszego niż dotychczas wykorzystania technologii cyfrowej jako środka mitygującego ryzyko. Niektóre z rozwiązań, które jeszcze pięć lat temu pozostawały w sferze science-fiction, są już dostępne, tanio i na wyciągnięcie ręki. Korzystajmy z tego, że przyszłość dzieje się już dziś i budujmy odporność, póki mamy na to czas.