1. Podstawowe informacje

1.1. Cyberbezpieczeństwo

"W ciągu ostatniej dekady bezpieczeństwo cybernetyczne zyskało na znaczeniu i stało się jednym z głównych priorytetów wielu polityk krajowych. Dzieje się tak głównie ze względu na przenoszenie się na inne dziedziny bezpieczeństwa, a także z powodu incydentów, które rozsławiły to pojęcie i sprawiły, że opinia publiczna zaczęła zastanawiać się nad potrzebą zapewnienia bezpieczeństwa w cyberprzestrzeni. Wiąże się to z koniecznością ochrony cyberprzestrzeni w taki sposób, aby w jak największym stopniu zachować wszechstronne bezpieczeństwo Republiki Czeskiej, a także prawa jednostek do informacyjnego samostanowienia."[1]

Definicja bezpieczeństwa cybernetycznego może być nieco problematyczna. Dla wielu osób bezpieczeństwo cybernetyczne to obszar, którym de facto zajmują się wyłącznie działy teleinformatyczne.

Założenie to jest błędne od samego początku, ponieważ bezpieczeństwo cybernetyczne dotyczy każdego, kto w życiu codziennym korzysta z jakichkolwiek elementów TIK. Jeśli sami nie zdajemy sobie sprawy z tego, że jesteśmy kluczowym, a w wielu przypadkach wręcz podstawowym elementem bezpieczeństwa cybernetycznego (zarówno w życiu prywatnym, jak i w pracy), to w rzeczywistości zwiększamy prawdopodobieństwo powodzenia cyberataków.

Bezpieczeństwa cybernetycznego nie można dziś ani nie doceniać, ani lekceważyć. Jest to obszar, który ma kluczowe znaczenie dla wielu organizacji, ale także dla samych jednostek, dlatego należy się nim zająć w sposób długofalowy i systematyczny.

"Kierownictwo organizacji powinno zrozumieć i zaakceptować fakt, że zarządzanie bezpieczeństwem cybernetycznym jest znacznie bardziej zbliżone do innych obszarów bezpieczeństwa i zarządzania kryzysowego. W końcu nawet dzisiejsze wyrafinowane ataki mają często charakter multidyscyplinarny, łącząc obszary ICT, inżynierii społecznej, bezpieczeństwa personelu i obiektów."[2]

Wracając do samego terminu "bezpieczeństwo cybernetyczne", warto zacząć od jego analizy. Słowo "cyber" oznacza współzależność z elementami technologii informacyjno-komunikacyjnych i cyberprzestrzeni jako takiej.

Bezpieczeństwo

Istnieje wiele definicji serwisu[3] , ale nie ma jednej, ogólnie przyjętej. Większość definicji bezpieczeństwa można znaleźć w literaturze, a nie w samych przepisach. [4]

Mareš definiuje bezpieczeństwo jako "stan, w którym zagrożenia dla obiektu (zwykle państwa narodowego, a nawet organizacji międzynarodowej) i jego interesów są ograniczone do najniższego możliwego stopnia, a obiekt jest skutecznie wyposażony i gotowy do współpracy w celu wyeliminowania istniejących i potencjalnych zagrożeń".[5]

Ogień definiuje "bezpieczeństwo jako cechę przedmiotu lub podmiotu, która określa stopień, stopień jego ochrony przed potencjalnymi szkodami i zagrożeniami".[6]

Definicja ta została następnie dopracowana w Słowniku interpretacyjnym bezpieczeństwa cybernetycznego:

Bezpieczeństwo (Security)

Właściwość elementu (np. systemu informatycznego), która jest na pewnym poziomie zabezpieczona przed utratą, lub stan zabezpieczenia (na pewnym poziomie) przed utratą. Bezpieczeństwo informatyczne obejmuje ochronę poufności, integralności i dostępności podczas przetwarzania, przechowywania, dystrybucji i prezentacji informacji. [7]

Należy zauważyć, że bezpieczeństwo to nie tylko kwestia państwa, które nadal odgrywa pierwszoplanową rolę w jego zapewnianiu, ale także proces realizowany przez inne podmioty (osoby prawne i fizyczne), które w ostatnim czasie są zmuszone w coraz większym stopniu zajmować się kwestią bezpieczeństwa lub zabezpieczenia swojej działalności przed atakami.

To poszerzenie kręgu bezpieczeństwa powoduje, że konieczne jest zajęcie się m.in. następującymi kwestiami:

  • Czyje bezpieczeństwo jest zagrożone (organizacji międzynarodowej, państwa, organizacji, jednostki itd.)?
  • Jakie wartości są chronione (organizacje, ludzie, dane itp.)?
  • Przed czym są (powinny być) chronione te wartości (atak fizyczny, cybernetyczny, ataki łączone itp.)?
  • Jakie zasoby są potrzebne do ochrony tych wartości? [8]

Idealnym celem bezpieczeństwa jest stworzenie stanu "absolutnego bezpieczeństwa". Stan ten jest jednak utopią, ponieważ nie da się go realistycznie osiągnąć,[9] , ponieważ zawsze będzie istniało zagrożenie lub ryzyko, które nie zostało uwzględnione w koncepcji projektowania bezpieczeństwa lub zostało celowo pominięte.

Celem bezpieczeństwa nie jest jednak objęcie wszystkich rzeczywistych, mniej rzeczywistych lub całkowicie nieprzewidywalnych i mało prawdopodobnych zagrożeń we wszystkich okolicznościach, ponieważ taka realizacja stworzyłaby całkowicie dysfunkcyjny moloch, który w zasadzie negowałby stosowanie i wdrażanie bezpieczeństwa, a nawet całkowicie je eliminował.

Przykład: w życiu codziennym zdarza Ci się zatrzasnąć klucze np. w mieszkaniu. Jeśli na to liczyłeś, prawdopodobnie masz zapasowe klucze u rodziny, przyjaciół lub w innym miejscu. Jeśli jednak nie masz zapasowych kluczy, prawdopodobnie wezwiesz ślusarza lub wyważysz drzwi.

Cyberbezpieczeństwo

Podobnie jak w przypadku pojęcia bezpieczeństwa, bezpieczeństwo cybernetyczne nie ma jednej powszechnie akceptowanej definicji. Bezpieczeństwo cybernetyczne jest podzbiorem samego bezpieczeństwa.

Definiując samo bezpieczeństwo cybernetyczne, warto oprzeć się na ustalonych definicjach. Wymienię kilka takich ustalonych definicji:

1.          Cyberbezpieczeństwo to zestaw środków podejmowanych w celu ochrony systemu komputerowego przed nieuprawnionym dostępem lub atakiem. [10]

2.          Słownik oksfordzki podaje, że cyberbezpieczeństwo to stan, w którym dane elektroniczne są chronione przed przestępczym lub nieuprawnionym użyciem. Bezpieczeństwo cybernetyczne obejmuje środki, które należy podjąć, aby osiągnąć ten stan.[11]

3.          Według Jiráska i in. cyberbezpieczeństwo to "zespół środków prawnych, organizacyjnych, technicznych i edukacyjnych mających na celu zapewnienie ochrony cyberprzestrzeni". "[12]

4.          Narodowa Strategia Cyberbezpieczeństwa Republiki Czeskiej na lata 2015-2020 definiuje cyberbezpieczeństwo w stosunkowo podobny sposób, stwierdzając, że "Cyberbezpieczeństwo stanowi zestaw organizacyjnych, politycznych, prawnych, technicznych i edukacyjnych środków i narzędzi mających na celu zapewnienie bezpiecznej, chronionej i odpornej cyberprzestrzeni w Republice Czeskiej, zarówno dla podmiotów sektora publicznego i prywatnego, jak i dla ogółu społeczeństwa czeskiego." [13]

Mimo że definicje te próbują zdefiniować pojęcie bezpieczeństwa cybernetycznego, są one nieco nieprecyzyjne.

Pierwsza definicja skupia się tylko na komputerze i systemie komputerowym oraz ich ochronie przed dwoma rodzajami cyberataków, podczas gdy spektrum zarówno celów ataków, jak i samych ataków jest znacznie bardziej zróżnicowane.[14]

Druga definicja chroni tylko dane elektroniczne, a nie systemy komputerowe jako takie.

Trzecia definicja skupia się na przyjęciu środków ochrony elementów TIK w cyberprzestrzeni. Definicja ta jest stosunkowo precyzyjna, ale jej ograniczenie wyłącznie do cyberprzestrzeni może być mylące, ponieważ bezpieczeństwo cybernetyczne można również stosować do elementów TIK, które nie są połączone z cyberprzestrzenią lub tworzą własną "cyberprzestrzeń off-line".[15]

Ostatnia definicja jest więc wyraźnie ograniczona tylko do cyberprzestrzeni w Republice Czeskiej, przy jednoczesnym całkowitym pominięciu możliwości ochrony interesów obywateli czeskich lub innych podmiotów, które nie mają siedziby w Republice Czeskiej. Uważamy, że zawężenie cyberbezpieczeństwa tylko do cyberprzestrzeni w Republice Czeskiej jest zrozumiałe z perspektywy wdrażania ustawy o cyberbezpieczeństwie, ale niewłaściwe z perspektywy wdrażania cyberbezpieczeństwa.

Inną definicję bezpieczeństwa cybernetycznego można znaleźć na przykład w dokumencie Definition of Cybersecurity - Gaps and overlaps in standardisation[16] Europejskiej Agencji ENISA[17] : "Bezpieczeństwo cybernetyczne odnosi się do bezpieczeństwa cyberprzestrzeni, gdzie sama cyberprzestrzeń odnosi się do zbioru powiązań i relacji pomiędzy obiektami, które są dostępne za pośrednictwem ogólnej sieci telekomunikacyjnej, oraz do rzeczywistego zbioru obiektów, których interfejsy umożliwiają ich zdalną kontrolę, zdalny dostęp do danych lub zaangażowanie w działania kontrolne w cyberprzestrzeni. Bezpieczeństwo cybernetyczne będzie obejmować paradygmat triady "CIA" w odniesieniu do relacji i obiektów w cyberprzestrzeni, przy jednoczesnym rozszerzeniu tego paradygmatu w celu zapewnienia ochrony prywatności podmiotów (osób i podmiotów) oraz odporności ["odbudowy" po ataku]".

Biorąc pod uwagę wysiłek włożony w zdefiniowanie pojęcia bezpieczeństwa cybernetycznego, należy oprzeć się na normach prawnych, które dotyczą bezpieczeństwa cybernetycznego.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz zapewnienia wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii[18] stanowi w art. 4 ust. 2, że "bezpieczeństwo sieci i systemów informatycznych oznacza zdolność tych sieci i systemów informatycznych do wytrzymania z pewnym stopniem niezawodności wszelkich zakłóceń, które zagrażają dostępności, autentyczności, integralności lub poufności przechowywanych, przesyłanych lub przetwarzanych danych lub usług powiązanych oferowanych lub dostępnych za pośrednictwem tych sieci i systemów informatycznych.".

  • PL - Definicja cyberbezpieczeństwa: odporność systemów informatycznych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy (ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa Dz. U. z 2018 r. poz. 1560)

W powyższych definicjach na różne sposoby próbuje się określić zakres relacji, interesów i podmiotów, wobec których stosuje się bezpieczeństwo cybernetyczne. Jednocześnie definiują one cyberprzestrzeń jako środowisko, w którym stosuje się bezpieczeństwo cybernetyczne.

Ze względu na pewną niespójność poglądów na temat tego, co jest, a co nie jest cyberbezpieczeństwem, należy przedstawić naszą własną definicję bezpieczeństwa cybernetycznego, która została opracowana zarówno na podstawie analizy wcześniejszych definicji, jak i na podstawie naszych własnych doświadczeń.

Bezpieczeństwo cybernetyczne można zdefiniować jako:

  • ogół środków prawnych, organizacyjnych, technicznych i edukacyjnych mających na celu zapewnienie ochrony systemów komputerowych i innych elementów TIK, aplikacji, danych oraz użytkowników,
  • zdolność systemów i usług komputerowych wykorzystywanych do reagowania na zagrożenia lub ataki cybernetyczne i ich skutki, a także planowanie przywracania funkcjonalności systemów komputerowych i powiązanych usług.

Bezpieczeństwo cybernetyczne jest realizowane zarówno w cyberprzestrzeni, jak i poza nią. Nie zaleca się ograniczania stosowania powyższych środków i zasad w jakiejkolwiek geolokalizacji (czy to na terytorium danego państwa, Unii czy samej cyberprzestrzeni).



[1] 2017 State of Cybersecurity Report [online]. Dostępne pod adresem: https://nukib.cz/download/Zpravy-KB-vCR/Zprava-stavu-KB-2017-fin.pdf

[2] Bezpieczeństwo cybernetyczne: co z tym zrobić? [online]. Dostępne pod adresem: http://www.businessinfo.cz/cs/clanky/kyberneticka-bezpecnost-co-s-tim-84467.html

[3] Jeśli chodzi o interpretację samego terminu, należy wspomnieć o względnej nieprecyzyjności języka czeskiego w porównaniu z językiem angielskim, w którym zazwyczaj używa się dwóch terminów na określenie bezpieczeństwa: security i safety. Termin bezpieczeństwo jest używany w znaczeniu aktywnej ochrony lub aktywnego zabezpieczenia, zabezpieczenia lub ochrony, a termin bezpieczeństwo jest zwykle używany do wyrażenia pasywnego bezpieczeństwa, bezpieczeństwa, cechy stanu lub własności pewnego obiektu.

[4] Zob. np. ustawa konstytucyjna nr 110/1998 Dz.U. o bezpieczeństwie Republiki Czeskiej; ustawa nr 240/2000 Dz.U. o zarządzaniu kryzysowym i o zmianach niektórych ustaw (ustawa kryzysowa); ustawa o cyberbezpieczeństwie itd.

[5] ZEMAN, Petr et al. Czeska terminologia dotycząca bezpieczeństwa: interpretacja podstawowych terminów [online]. Dostępne pod adresem: http://www.defenceandstrategy.eu/filemanager/files/file.php?file=16048 . s. 13

[6] POŽÁR, Josef. Bezpieczeństwo informacji. Pilzno: Aleš Čeněk, 2005, s. 37.

[7] JIRÁSEK, Petr, Luděk NOVÁK i Josef POŽÁR. Słownik interpretacyjny bezpieczeństwa cybernetycznego. [online]. Wydanie 3 zaktualizowane. Praga: AFCEA, 2015, s. 23 [online]. Dostępne pod adresem: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/vykladovy-slovnik-kyberneticke-bezpecnosti---druhe-vydani/

[8] Więcej informacji na ten temat można znaleźć np. w publikacji MAREŠ, Miroslav. Bezpieczeństwo. [online]. Dostępne pod adresem: https://is.mendelu.cz/eknihovna/opory/zobraz_cast.pl?cast=69511

WAISOVÁ, Šárka. Bezpieczeństwo: rozwój i zmiany koncepcji. Pilzno: Aleš Čeněk, s.r.o., 2005. ISBN 80-86898-21-0

FRANK, Libor. Studia nad bezpieczeństwem. [online]. Dostępne pod adresem: https://moodle.unob.cz/pluginfile.php/35788/mod_page/content/23/Bezpe%C4%8Dnostn%C3%AD%20studia.pdf

[9] Zob. WAISOVÁ, Šárka. Bezpieczeństwo: rozwój i transformacja koncepcji. Pilzno: Aleš Čeněk, 2005. 159 s. ISBN 80-86898-2-10

[10] Bezpieczeństwo cybernetyczne. [online]. Dostępne pod adresem: https://www.merriam-webster.com/dictionary/cybersecurity Tłumaczenie autora.

[11] Bezpieczeństwo cybernetyczne. [online]. Dostępne pod adresem: https://en.oxforddictionaries.com/definition/cybersecurity Tłumaczenie autora. 

[12] JIRÁSEK, Petr, Luděk NOVÁK i Josef POŽÁR. Słownik interpretacyjny bezpieczeństwa cybernetycznego. [online]. Wydanie 3 zaktualizowane. Praga: AFCEA, 2015, s. 69 [online]. [cytowany 2018-07-10]. Dostępny pod adresem: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/vykladovy-slovnik-kyberneticke-bezpecnosti---druhe-vydani/

[13] Narodowa Strategia Cyberbezpieczeństwa Republiki Czeskiej na lata 2015-2020 [online]. Dostępne pod adresem: https://www.govcert.cz/download/gov-cert/container-nodeid-998/nskb-150216-final.pdf s. 5

[14] Atakowane mogą być również aplikacje, konta użytkowników itp. Jeśli chodzi o faktyczne ataki, to poszczególne ataki zostały opisane m.in. w KOLOUCH, Jan. Cyberprzestępczość. Praga: CZ.NIC, 2016, s. 181 i nast.

[15] Więcej szczegółów można znaleźć np. w artykule Nadejście hakerów: historia Stuxnetu. [online]. [cyt. 1 lipca 2018]. Dostępne na stronie: https://www.root.cz/clanky/prichod-hackeru-pribeh-stuxnetu/ lub FRUHLINGER, Josh. Co to jest Stuxnet, kto go stworzył i jak działa? [online]. Dostępny pod adresem: https://www.csoonline.com/article/3218104/malware/what-is-stuxnet-who-created-it-and-how-does-it-work.html

[16] Definition of Cybersecurity - Gaps and overlaps in standardisation [online]. Dostępne pod adresem: https://www.enisa.europa.eu/publications/definition-of-cybersecurity s. 30

[17] Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji

[18] Zwana dalej "NIS" lub "dyrektywą NIS". [online]. Dostępne pod adresem: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016L1148&from=EN