Płać i płacz albo się chroń
Liczba zagrożeń i szybkość ich rozprzestrzeniania się rosną szybciej niż nakłady przeznaczane na ochronę informatyczną urzędów. Na ile więc trzeba cenić bezpieczeństwo, ten tylko się dowie, kto je straci.
Stare powiedzenie informatyków mówi, że użytkowników komputerów można podzielić na dwie grupy: na tych, co robią kopie zapasowe, i na tych co je robić będą. Zapewne to samo można powiedzieć o administratorach systemów, choć tu warto dodać jeszcze podział na tych, co sprawdzają możliwość odtwarzania danych, i na tych, co żyją w złudnym poczuciu bezpieczeństwa, że backup mają.
„Sukces” robaka WannaCry pokazał, że nikt nie zna dnia ani godziny, w której złośliwy kod dostanie się do naszej sieci i wyrządzi szkody. Dodatkowo liczba zagrożeń i szybkość ich rozprzestrzeniania się rosną szybciej niż nakłady przeznaczane na ochronę informatyczną urzędów. A bezpieczeństwo kosztuje i musi być wdrożone w sposób kompletny – obejmować m.in. systemy monitoringu budynków, kontroli dostępu do pomieszczeń, analizatory logów (SIEM), różnego rodzaju firewalle, antywirusy, backupy, ale przede wszystkim procedury, szkolenia personelu oraz audyty. Jednak nawet wdrożenie wszystkich tych elementów nie gwarantuje stuprocentowej ochrony. Minimalizuje natomiast ryzyko, o czym doskonale wiedzą organizacje je szacujące i zatrudniające ekspertów do badania podatności. Ci z kolei udowadniają, że każdy system ma słabe punkty i dobrze przygotowany atak ukierunkowany pozwala realizować stawiane im cele.
Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni źródło: Najwyższa Izba Kontroli
O bezpieczeństwie należy więc myśleć jak o procesie ciągłym. Szczególnie teraz, gdy transformacja cyfrowa obejmuje kolejne obszary gospodarki. Każde znaczące zakłócenie funkcjonowania cyberprzestrzeni, czy to o charakterze globalnym, czy lokalnym, będzie miało wpływ na bezpieczeństwo obrotu gospodarczego, poczucie bezpieczeństwa obywateli, sprawność funkcjonowania instytucji sektora publicznego, przebieg procesów produkcyjnych i usługowych, a w rezultacie na ogólnie pojmowane bezpieczeństwo narodowe – czytamy we wstępie do Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022, które to Rada Ministrów przyjęła 27 kwietnia br.
Dokument określa ramy działań, mające na celu uzyskanie wysokiego poziomu odporności krajowych systemów teleinformatycznych, operatorów usług kluczowych, operatorów infrastruktury krytycznej, dostawców usług cyfrowych oraz administracji publicznej na incydenty w cyberprzestrzeni. Ujęto w nim cztery cele szczegółowe:
- osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa;
- wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom;
- zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni oraz
- zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa.
Łatwo powiedzieć, trudniej zrobić, tym bardziej że wiele będzie zależało od „Planu działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa”, który ma powstać w ciągu sześciu miesięcy od przyjęcia dokumentu. Czas jak zwykle działa na naszą niekorzyść. Kurs bitcoina w ciągu ostatniego półrocza wzrósł o ok. 166 proc. (sic!) m.in. w wyniku aktywności złośliwego oprogramowania szyfrującego dyski. Na ile więc trzeba cenić bezpieczeństwo, ten tylko się dowie, kto je straci(ł).