System bezpieczeństwa cybernetycznego państw europejskich. Analiza porównawcza

Prof. zw. dr hab. Piotr Mickiewicz Akademia Marynarki Wojennej im. Bohaterów Westerplatte SYSTEM BEZPIECZEŃSTWA CYBERNETYCZNEGO PAŃSTW EUROPEJSKICH. ANALIZA PORÓWNAWCZA THE SYSTEM OF CYBERNETIC SECURITY OF EUROPEAN STATES. COMPARATIVE ANALYSIS Streszczenie: Zapewnienie bezpieczeństwa cybernetycznego jest obecnie jednym z najistotniejszych zadań państwa. Specyfika zagrożeń w infosferze powoduje, że niemożliwa jest pełna ochrona zasobów cybernetycznych państwa i obywatela. Realne jest natomiast stworzenie systemu ochrony, skoncentrowanego na niwelowaniu możliwości skutecznego ataku na systemy i sieci IT. Przyjąć więc należy, że rozwiązania wdrażane przez państwa nie zapewniają pełnego bezpieczeństwa cybernetycznego, jednak decydują o jego poziomie. Zasadne jest zatem wskazanie cech charakterystycznych narodowych systemów ochrony cybernetycznej jako rozwiązań ukazujących sposób reakcji państwa na tego typu zagrożenia, zwłaszcza w kontekście uwarunkowań, jakie determinują sposób jego budowy i funkcjonowania. Słowa kluczowe: system, cybernetyczny, bezpieczeństwo Summary: Ensuring cybernetic security is currently one of the most crucial tasks of a state. The character of threats coming from the infosphere makes it impossible to fully protect the cybernetic resources of a state and a citizen. What is realistic, however, is the creation of a protection system, concentrated on eliminating the possibilities of an effective attack for IT systems and networks. Therefore, it should be assumed that the solutions implemented by states do not guarantee full cybernetic security, but they decide on its level. It is reasonable, then, to indicate the characteristic features of national systems of cybernetic protection as solutions that show the state’s way of reacting to this type of threats, especially in the context of conditions, which determine the way of its design and functioning. Keywords:: system, cybernetic, security Wprowadzenie Przestępcza działalność w cyberprzestrzeni stanowi jedno z najpoważniejszych zagrożeń bezpieczeństwa państw rozwiniętych, w mniejszym stopniu – rozwijających się. Prowadzić ją mogą zarówno aktorzy niepaństwowi, w tym zorganizowane grupy przestępcze, osoby funkcjonujące w nieformalnych grupach przestępczych i nacisku, jak i pojedynczy przestępcy oraz państwa. Aktywność tych ostatnich nie musi przybierać znamion działań przestępczych. Zagrożeniem bezpieczeństwa może stać się umiejętne wykorzystywanie technologii informacyjnych do osiągania własnych interesów narodo- 66 Rocznik Bezpieczeństwa Międzynarodowego 2017, vol. 11, nr 1 wych w obcej (innego gracza międzynarodowego lub międzynarodowej) infosferze, czy też do prowadzenia działań wywiadowczych i stricte militarnych. Skala potencjalnych form działań wymierzonych w bezpieczeństwo państwa jest tak szeroka, że zasadne jest postrzeganie bezpieczeństwa cybernetycznego jako transsektorowego obszaru bezpieczeństwa, którego celem jest ochrona przestrzeni informatycznej państwa przed wrogimi działaniami. Rolą państwa w takim ujęciu problematyki bezpieczeństwa cybernetycznego jest zapewnienie bezpiecznego funkcjonowania jego instytucji, podmiotów prowadzących działalność na jego obszarze oraz obywateli w przestrzeni informacyjnej. Podstawową formą prowadzonych działań jest kontrola własnej infosfery poprzez zapewnienie odpowiedniego poziomu ochrony zasobów informacyjnych. Tak rozumiana polityka bezpieczeństwa cybernetycznego stała się immamentną częścią polityk bezpieczeństwa państw demokratycznych na przełomie 2009/2010 r. W tym okresie zauważyć można próbę budowy spójnego podejścia do problematyki zagrożeń w cybeprzestrzeni. Sprowadzić je można do kompleksu przedsięwzięć, prowadzonych wspólnie przez instytucje państwa, przedstawicieli przemysłów IT i użytkowników sieci oraz systemy technologiczne, w celu ograniczenia możliwości inwigilacji tych systemów. Do praktycznych rozwiązań oraz wdrożenie procedur doszło po roku 2010. Z grona państw europejskich rozwiązania, które uznać można za najlepsze, wdrożyły Wielka Brytania, Francja, Republika Federalna Niemiec i Szwajcaria. Są one oparte na ocenie zagrożeń w kontekście narodowym i – pośrednio – wynikają także ze stanu zaawansowania technologicznego tych państw, powszechności usług teleinformatycznych oraz Internetu jako obszaru aktywności obywateli. Z tego względu nie można tworzyć uniwersalnych rozwiązań czy też strategii przeciwdziałania. Podstawą polityki ochrony przestrzeni cybernetycznej muszą być narodowe strategie, wynikające z uwarunkowań wewnątrzpaństwowych. Warto jednak wskazać rozwiązania, które umożliwiają przeciwdziałanie zagrożeniom i które można próbować implementować do rozwiązań narodowych. Dotyczy to pozostałych państw członkowskich, w tym zwłaszcza Polski, której system bezpieczeństwa cybernetycznego znajduje się in statu nascedii, co stwarza możliwość wykorzystania rozwiązań wdrożonych w innych państwach. Cel funkcjonowania systemu bezpieczeństwa cybernetycznego Celem strategicznym polityki bezpieczeństwa cybernetycznego jest uzyskanie przez państwo zdolności do zwalczania zagrożeń cybernetycznych oraz budowa efektywnej ochrony cybernetycznej (The UK Cyber Security Strategy 2011, s. 7–8; Défense et sécurité des systèmes d’information, s. 7; Cyber-Sicherheitsstrategie für Deutschland, s. 16–17; National strategy for Switzerland’s protection against cyber risks, s. 3; Doktryna cyberbezpieczeństwa RP, s. 13; Polityka Ochrony Cyberprzestrzeni, s. 6). Ochroną tą objęta jest infrastruktura, uznawana przez państwa za infrastrukturę podatną na oddziaływanie zagrożeń cybernetycznych. Podkreślić należy, iż w większości przypadków wykracza ona poza obszar definiowany jako informatyczna infrastruktura krytyczna1. Bez względu na Jest to zespół sieci i struktur teleinformacyjnych, których brak możliwości funkcjonowania uniemożliwia lub ogranicza sposób funkcjonowania państwa lub społeczeństwa. 1 67 Artykuły sposób określenia obszaru poddanego ochronie, każde państwo wskazało elementy swojej infrastruktury, podlegającej szczególnej formie zabezpieczenia. Są to zazwyczaj elementy funkcjonujące w sferach gospodarczej, publicznej i administracyjno-politycznej. Tabela 1. Sfery państwa objęte systemem ochrony cybernetycznej i formuła zapewniania ochrony Państwo W.ielka Brytania Francja Republika Federalna Niemiec Konfederacja Szwajcarska Polska Sfera administracyjno-polityczna Zapewnienie możliwości funk- Zapewnienie funkcjono- Prowadzenie działań systecjonowania firm i instytucji wania systemów i sieci mowych, ukierunkowanych finansowych, prowadzących umożliwiających swobo- na ochronę państwowych działalność lub posiadających dne i bezpieczne korzys- zasobów informatycznych aktywa na terytorium Króle- tanie z systemów tele- i sieci teleinformatycznych informatycznych i zastwa Zapewnienie ochrony telein- sobów Internetu przez Utrzymanie systemów łączności pomiędzy wszystkimi formatycznej infrastruktury społeczeństwo strukturami władzy wykokrytycz (...truncated)