"Polska nie jest i nigdy nie będzie w pełnie zabezpieczona przed atakami hakerów i działaniami cyberwojny. Żaden kraj nie będzie" - tak w rozmowie z RMF FM mówi Nikodem Bończa-Tomaszewski, prezes kluczowej spółki telekomunikacyjnej Exatel, przejętej niedawno przez Ministerstwo Obrony Narodowej.
Tomaszewski postuluje utworzenie struktury na kształt sił cyberbezpieczeństwa, składających się zarówno z instytucji państwowych, jak i prywatnych.
Z jednej strony musimy rozwijać to co już robi ministerstwo cyfryzacji i nasze służby, czyli sieć urzędników monitorujących internet. Z drugiej strony rząd musi zacząć mocniej rozmawiać z polskimi firmami, bo to one są w stanie przygotować zabezpieczenia przed atakami. Tymi, które dziś najczęściej idą z Rosji i Chin - mówi Nikodem Bończa Tomaszewski.
Najlepiej w Polsce zabezpieczone są instytucje finansowe. Najmniej odporne na cyberprzestępców i wrogich cyberżołnierzy są niestety urzędy i przemysł.
Krzysztof Berenda: Czy w tej chwili my jako Polska jesteśmy odporni na wrogie ataki, na przykład innych państw, ale też różnych firm, co mogliśmy obserwować przy różnych wyborach, nie tylko w Europie?
Nikodem Bończa-Tomaszewski: Nikt nie jest odporny, ani nikt nie jest bezpieczny, dlatego że cyberprzestrzeń jest obszarem - i pozostanie obszarem, dopóki będzie istniała - permanentnej cichej wojny wszystkich ze wszystkimi. To jest wojna, która trwa w sposób ciągły i do której musimy być permanentnie przygotowani, permanentnie zmieniać sposoby działania, permanentnie zmieniać taktykę obrony.
To jeżeli byśmy uznali, że ta niemożliwa i nieistniejąca pełna odporność to jest sto procent, to - tak realistycznie - do jakiego poziomu można w ogóle dojść, można mieć tak 30 proc. zabezpieczenia, 50, 90?
To znaczy, ja bym tego tak nie kwantyfikował. Tego się nie da skwantyfikować. Mi się wydaje, że bardziej bym to oceniał takimi dwoma miernikami. Pierwszy to jest jakość kadr, która rozwiązuje problemy związane z cyberbezpieczeństwem. Tutaj w Polsce mamy ogromne grupy bardzo utalentowanych inżynierów. Głównym wyzwaniem Polski jest to, żeby wykorzystać ten potencjał, który jest zgromadzony, bo on jest niewykorzystywany w sposób systematyczny. A drugi taki obszar, to jest posiadanie własnego przemysłu, czy własnego zaplecza gospodarczego. Tutaj mówię zarówno o prywatnym przemyśle, jak i państwowym, który jest w stanie dostarczać narzędzia cyberbezpieczeństwa i partycypować też w globalnym rynku rozwiązań cyberbezpieczeństwa. Wydaje mi się, że jeżeli skorelujemy te dwa elementy, to wtedy rzeczywiście możemy mówić o jakimś poziomie - że jesteśmy dalej, bardziej zaawansowani niż inne państwa.
Spróbujmy najpierw zdefiniować, opisać problem, a potem znaleźć rozwiązanie tego problemu - więc najpierw definiowanie. Jak często my się z tym spotykamy jako Polska, że ktoś nieuprawniony do nas wchodzi, mówimy głównie o tych wejściach międzynarodowych?
Wydaje mi się, że nie spotykamy się częściej niż inne państwa europejskie. Natomiast jest oczywiste, że na całym świecie notujemy od jakichś dwóch lat narastającą falę cyberincydentów i cyberataków. Wyszliśmy trochę z takiej fazy "romantycznej" i takiej fazy, w której wiele państw zaniedbywało tematy cyberbezpieczeństwa. W taki etap, w którym właściwie wszyscy sobie zdają sprawę, że bez poważnego systemu cyberbezpieczeństwa nikt nie może skutecznie funkcjonować we współczesnym świecie.
Kto jest teraz na świecie takim największym rozbójnikiem, mówiąc najprościej? Bo to sobie tak wyobrażamy - Rosja, Chiny, Korea Północna? To są te kraje, czy jeszcze gdzieś indziej szukać?
Powiedzmy sobie szczerze, że jeśli chodzi o operacje w cyberprzestrzeni, to mamy bardzo różnych graczy. Mamy zarówno agencje rządowe, mamy agencje wywiadowcze, mamy zorganizowane grupy przestępcze, które działają samodzielnie. Mamy grupy przestępcze, których możemy się domyślać, że państwa "rozbójnicze" dostarczają im jakiegoś wsparcia. Jeśli chodzi o geograficzny rozkład, to tradycyjnie mówi się, że część ataków pochodzi z terenów Rosji i Chin, ale to wcale nie musi znaczyć, że to jest realizowane na przykład przez obywateli tych państw. Ktoś może kończyć ścieżkę w Chinach albo Rosji, po to, żeby zamaskować prawdziwe miejsce swojego ataku, więc ja bym tutaj jakoś szczególnie nie różnicował. To, co różni wojnę cybernetyczną od tradycyjnych działań, że ten wektor ataku może być tak różny, że tutaj nie możemy się konkretyzować - wschód, zachód, południe. To jest trójwymiarowa przestrzeń i atak może nastąpić w najbardziej niespodziewanym momencie.
A Polska jest narażona? Komuś może zależeć na tym, żeby u nas coś mieszać w biznesie, polityce, infrastrukturze krytycznej?
Tak jak w każdym państwie. Działania w cyberprzestrzeni zazwyczaj są tak samo traktowane jak działania konwencjonalne. Cyberprzestrzeń ma to do siebie, że - przynajmniej na razie - w takiej psychologii polityczno-biznesowej jest traktowana jako taki "miękki" obszar. Czym innym jest próba ataku cybernetycznego, a czym innym próba desantu wojsk na dany teren. Na pewno jest też takim miejscem testowania siły przeciwnika, testowania jego reakcji, psychologii. To jest cicha wojna, która będzie trwała zawsze.
Gdzie Polska ma największe niedobory, jeżeli chodzi o zabezpieczenie? Czy to jest właśnie biznes, czy to jest infrastruktura krytyczna, czyli elektrownie, dostawy wody, giełdy, telekomy, wszystko co możemy sobie wyobrazić, czy to jest administracja rządowa, czy to są banki? Gdzie jesteśmy najlepiej przygotowani, a gdzie najgorzej i trzeba nad tym popracować zdecydowanie? Gdzie konsekwencje mogą być najgorsze?
Sektor finansowy i telekomunikacyjny właściwie jest przygotowany na światowym poziomie, chociażby z tego powodu, że to jest element core business (główna, istotna dla danej firmy część działalności gospodarczej - przyp. red.). Natomiast gorzej przygotowane są te sektory, czy te obszary, które nie są związane z core business, i gdzie szefowie tych organizacji, instytucji, firm traktują wydatki na cyberbezpieczeństwo jako taki dodatkowy koszt, który właściwie nie przynosi żadnych bieżących przychodów. Wiele zakładów przemysłowych jest bardzo słabo zabezpieczonych, jeżeli chodzi o cyberbezpieczeństwo.
Jakie mogą być konsekwencje tego dla takich zakładów?
Od zakłócenia cyklu produkcyjnego po szpiegostwo przemysłowe.
A może się u nas zdarzać tak, jak się działo na przykład - co widzieliśmy przy wyborach we Francji, tak komunikowały to tamtejsze władze - że ktoś może próbować jeszcze przy tych czy innych wyborach namieszać: czy wyciągając dane z jednego, drugiego sztabu, albo może próbować manipulować w danych komisji wyborczej? Czy może to już kiedyś się zdarzało u nas?
U nas wybory przebiegają praktycznie w sposób analogowy.
Próbowaliśmy je robić ostatnio cyfrowo.
Powiem szczerze, w Polsce mamy też historię - w PRL - fałszowania wyborów w pełni analogowych. Także jeżeli wybory się przenoszą i są organizowane przy pomocy innych narzędzi, to nic dziwnego, że pojawiają się pokusy różnych grup, żeby skorzystać z tych narzędzi. Mnie dziwi to zdziwienie, że tam gdzie pojawiają się narzędzia cyfrowe, tam ktoś może próbować nimi manipulować. Natomiast to uświadamia nam, że cyfryzacja ma też swoje granice. Skoro pan to poruszył, ja na przykład jestem przeciwnikiem pełnej elektronizacji wyborów, bo teoretycznie można by wybory realizować przy pomocy internetu. Nie ze względów cyberbezpieczeństwa, bo są technologie, które zapewniałyby bardzo wysoki poziom rozliczalności, ale ze względu na pewne antropologiczne cechy samego aktu wyborczego. Czymś innym jest jednak pójście do urny i fizyczna realizacja aktu głosowania, a czym innym jest głosowanie, które będzie właściwie niewiele się różniło od wypełnienia jakiegoś quizu w internecie czy przypadkowej ankiety.
Przejdźmy teraz w stronę obrony przed tym. Bo wiemy, że cyberataki potrafią być opłacalne i bardzo często są opłacalne, ale czy cyberobrona też potrafi być opłacalnym interesem? Nie tylko wydamy pieniądze, tak żebyśmy zbudowali mury, ale coś mamy z tego, rzeczywiście nam wraca?
Tak, niewątpliwie sektor, który dostarcza narzędzia z zakresu cyberbezpieczeństwa to jest bardzo silny i prężnie rozwijający się sektor. On do tej pory głównie się koncentrował na rozwiązaniach o charakterze korporacyjnym. W ostatnich dwóch latach wszedł w fazę dużej intensyfikacji i koncentracji na dostarczaniu rozwiązań dla klienta indywidualnego i na pewno będzie wzrastał. Na razie pewną barierą jest brak specjalistów, co powoduje, że na rynku pracy oni są niezwykle drodzy i często produkty, czy usługi, są drogie i bardzo często przerastają możliwości finansowe. Nawet już nie mówię o pojedynczych osobach, ale też małych i średnich przedsiębiorstw. Natomiast - na przykład w Polsce - w tej chwili brakuje kierunków technicznych, które by kształciły specjalistów w dziedzinie cyberbezpieczeństwa. Wydaje mi się, że w ciągu najbliższych 5 lat my uzupełnimy te braki i rynek pracy odpowie odpowiednią podażą tych specjalistów i sytuacja się ustabilizuje.
Jak powinna być skonstruowana cyberobrona państwa? Pewnie się zgodzimy co do tego, że to musi być aktywne, nie pasywne. To nie jest tak, że sobie zrobimy ładne programy, zainstalujemy, i zostawimy, a to jak mur będzie funkcjonowało, tylko pewnie potrzebujemy ludzi, którzy na bieżąco będą to robić. Czy my - nazwijmy to cyberoddział obrony - czy to powinno być w ramach struktur państwa, struktur wojska, czy może to powinny robić firmy na zlecenie państwa? Jaki model byłby optymalny, czy to jest jakaś forma miksu?
Jestem przekonany, że idealny model byłby symetryczny, czyli model, w którym zarówno państwo posiada kompetencje, specjalistów i własne kadry w zakresie cyberbezpieczeństwa, czy w ogóle szerzej mówiąc IT, a z drugiej strony posiadamy rodzimy przemysł, który jest tutaj zakorzeniony, prywatny i państwowy, który jest w stanie na zapotrzebowanie państwa odpowiedzieć. W takim idealnym modelu istnieje państwo, które jest w stanie zdefiniować swoje potrzeby i jest w stanie uczestniczyć w tworzeniu pewnych rozwiązań w pewnej skali, i jest w stanie na samym końcu skutecznie odebrać ten produkt, a później go wdrożyć i wykorzystywać. Z drugiej strony mamy firmy, które te narzędzia budują i w sposób rozumiejący i partnerski współpracują z państwem.
To na końcu po tej stronie państwowej powinny być jednostki cywilne czy wojskowe? Bo jeżeli zakładamy, że cyberatak może być też częścią normalnego ataku, to pewnie powinny być struktury dowodzenia wojskowe. Pytanie, czy to powinno być mundurowe, czy cywilne?
Każde. Jeszcze dekadę temu wszyscy myśleli w kategoriach strategii cyfryzacji czy cyfrowych strategii. Natomiast my w tej chwili nie potrzebujemy strategii cyfryzacji, my potrzebujemy strategii funkcjonowania w cyfrowym świecie. Każdy funkcjonuje w cyfrowym świecie, w związku z tym bez względu na to, czy to jest policja, czy to jest wojsko, czy są to instytucje państwowe, finansowe, Ministerstwo Finansów i tak dalej, każde z nich potrzebuje umiejętności i narzędzi funkcjonowania w cyfrowym świecie. Tego się nie da scentralizować ani rozwiązać jednym nakazem, jednym wspaniałym dekretem, jednym dokumentem, który rozwiąże wszystkie problemy. Wejście tych instytucji, głębsze przejście w świat cyfrowy tych instytucji musi nastąpić.
Co potrzebujemy, a czego nie mamy, żeby się w tym ogarnąć?
Na pewno musimy wzmocnić kompetencje po stronie państwa i państwo musi zacząć umiejętnie przyciągać kadry i umiejętnie je utrzymać.
To kosztuje.
To kosztuje, ale tutaj koszty nie są największą barierą wbrew pozorom. Największą barierą jest zmiana kultury pracy, z takiego starego modelu biurokratycznego, w którym urzędnik państwowy właśnie jest urzędnikiem, czyli kimś kto realizuje jakąś część procesu w wielkiej machinie procedur, do pracowników, którzy działają samodzielnie, aktywnie, nie mają problemu z podejmowaniem decyzji, są w stanie bardzo szybko reagować na zmieniającą się sytuację.
(łł/iw)