Nowa doktryna cyberodporności. Strategie bezpieczeństwa krytycznych zasobów do rewizji

Choć Europa buduje swoją cyberodporność od końca ubiegłego wieku, to w obliczu mnożących się zagrożeń, strategia bezpieczeństwa Starego Kontynentu wymaga pilnych działań. Jakich? O tym mówią WNP.PL eksperci Accenture - Andera Rigoni i Artur Józefiak.

• Potrzebujemy nowej spójnej strategii, która znacząco wzmocni naszą autonomię cyfrową, przede wszystkim w kontekście zdolności obronnych - mówi Andrea Rigoni, Global Security Lead for Government and Public Services, Non-Residence Senior Fellow Atlantic Council, Accenture. 
• Sektor prywatny odgrywa w cyberprzestrzeni kluczową rolę – nie tylko jako operator strategicznych usług publicznych, ale także jako dostawca innowacji cyfrowych. Wciąż jednak współpraca pomiędzy administracją oraz wojskiem a biznesem w obszarze cyberbezpieczeństwa pozostaje ograniczona - mówi Artur Józefiak, wiceprezes, szef Centrum Usług Cyberbezpieczeństwa dla Europy, Accenture.
• Cyfryzacja, technologie, innowacje to jedna z głównych ścieżek tematycznych zbliżającego się Europejskiego Kongresu Gospodarczego, który 23-25 kwietnia odbędzie się w Katowicach. Eksperci Accenture będą wśród gości wydarzenia. 

Niepewność w obszarze bezpieczeństwa związana ze zmianami geopolitycznymi rodzi pytanie o gotowość Europy i Polski do obrony cyberprzestrzeni w kontekście potencjalnego konfliktu militarnego. Czy jesteśmy przygotowani na takie scenariusze?

Andrea Rigoni: Europa buduje swoją cyberodporność od co najmniej końca ubiegłego wieku. Jednak ze względu na wydarzenia ostatnich lat, takie jak wojna na Ukrainie, rozwój AI i komputerów kwantowych, powinniśmy pilnie przemyśleć założenia europejskiej cyberodporności w kontekstach technologicznym i geopolitycznym. 

Potrzebujemy nowej strategii autonomii cyfrowej

Przykładem mogą być konsekwencje uzależnienia Europy od infrastruktury i usług cyfrowych, które są dostarczane i zarządzane poza granicami Wspólnoty. Potrzebujemy nowej spójnej strategii, która znacząco wzmocni naszą autonomię cyfrową, przede wszystkim w kontekście zdolności obronnych.

Konieczna jest także zmiana sposobu integracji domeny cyber w szeroko rozumianą architekturę obrony. Mimo, że cyberprzestrzeń została formalnie uznana za kluczowy wymiar gospodarki, społeczeństwa i obszaru militarnego, nadal nie jest traktowana jako centralny filar strategii i architektury obronnej Europy.

Cyberprzestrzeń, wcześniej postrzegana jako jedna z domen prowadzenia konfliktu podobnie jak ląd, morze czy kosmos, nie jest tylko teatrem działań. W obecnych realiach stała się ona kluczowym elementem umożliwiającym funkcjonowanie we wszystkich domenach. Ponadto jej architektura technologiczna pełni jednocześnie wiele funkcji nie tylko militarnych, ale przede wszystkim fundamentalnych dla działania gospodarki oraz całego społeczeństwa. Dlatego ten obszar wymaga dedykowanego podejścia zarówno w kontekście militarnym, jak i cywilnym.

Niestety wciąż brakuje nam połączenia sfer militarnej i cywilnej z uwzględnieniem sektora prywatnego poprzez polityki, doktryny i mechanizmy instytucjonalne, które włączałyby obszar cyber w planowanie i realizację funkcji obronnych. Wielowymiarowa zależność wojska i administracji publicznej od infrastruktury cyfrowej i podmiotów prywatnych wymaga radykalnie nowego podejścia do integracji, koordynacji i odporności w cyberprzestrzeni.

Artur Józefiak: Pamiętajmy, że sektor prywatny odgrywa w cyberprzestrzeni kluczową rolę – nie tylko jako operator strategicznych usług publicznych, ale także jako dostawca innowacji cyfrowych. Wiele z nich, takich jak AI czy komputery kwantowe, wymagają wysokich nakładów kapitału, porównywalnych z rocznymi budżetami armii niektórych państw. Dlatego adaptacja przez wojsko i administrację państwową takich technologii we współpracy i z wykorzystaniem biznesu staję się koniecznością w celu ich bezpiecznego funkcjonowania w cyberprzestrzeni.

Polska w wielu aspektach ma do nadrobienia więcej niż Europa

Czy te wyzwania dotyczą też Polski?

Artur Józefiak: Zdecydowanie tak, w niektórych aspektach mamy do nadrobienia więcej niż pozostałe kraje w UE. 

Po pierwsze: mamy kilka zaległości w odniesieniu do regulacji UE. UKSC (Ustawa o krajowym systemie cyberbezpieczeństwa - przyp. red.) nie zostało dostosowane do NIS2 (Network and Information Security, unijne przepisy dotyczące cyberbezpieczeństwa - przyp. red.) od ponad 2 lat. Termin wprowadzenia odpowiednich zmian w zakresie odporności infrastruktury krytycznej, zgodnie z dyrektywą CER (o odporności podmiotów krytycznych - przyp. red.), minął w ubiegłym roku.

Mamy obszary, które od lat podlegają sektorowym regulacjom i w związku z tym cechują się wysokim poziomem dojrzałości cyberbezpieczeństwa, jak np. bankowość, telekomunikacja czy energetyka. Ale wiele innych sektorów dostarczających kluczowe usługi pozostaje niewystarczająco uregulowanych i nadzorowanych, co przekłada się na niski poziom cyberodporności.

Po drugie: obecna strategia rozwoju przemysłowego i technologicznego Polski nie uwzględnia problemu ryzyka związanego z powiązaniami międzysektorowymi i rozwojem nowych technologii.

Jak wynika z ankiety połączonych sektorów obronności i odporności, zrealizowanej przez Fundację im. Kazimierza Pułaskiego w ramach Klubu Przemysłowego Bezpieczeństwa Państwa, zaledwie 17 proc. ankietowanych przedstawicieli przedsiębiorstw pozytywnie ocenia wpływ państwa w zakresie realizacji tej strategii na ich firmę. W konsekwencji transformacja cyfrowa w wielu organizacjach dokonywała się silosowo, bez jasnych wskazówek i wymagań. To rodzi uzasadnione obawy, że przeoczone zostały istotne ryzyka w obszarze cyfrowym, szczególnie w sektorach o niskim poziomie regulacji i dojrzałości cyfrowej.

Po trzecie: Pomimo że sektor prywatny jest kluczowy dla budowania cyberodporności państwa, w szczególności w kontekście scenariuszy militarnych, to współpraca pomiędzy administracją oraz wojskiem a biznesem w obszarze cyberbezpieczeństwa pozostaje ograniczona. Brakuje jej systemowego podejścia. Wystarczy spojrzeć na liczbę wspólnych ćwiczeń pomiotów z tych trzech obszarów, w szczególności w kontekście scenariuszy konfliktu militarnego. Inną miarą mogą być integracje na poziomie systemów środowisk IT oraz zespołów pomiędzy administracją, wojskiem i biznesem.

Andrea Rigoni: Warto zwrócić uwagę na skalę wykorzystywania usług podmiotów sektora prywatnego w obszarze nowych technologii przez administrację i wojsko, co jest konieczne ze względu na tempo rozwoju technologii cyfrowych i fakt, że to biznes adaptuje je jako pierwszy.

Aby ją określić, porównajmy wydatki polskiej administracji publicznej czy wojska na nabywanie usług związanych z cyberbezpieczeństwem lub adopcją nowoczesnych technologii, z wydatkami w innych państwach, które są wzorcami w cyberobronności. Należy wykorzystywać potencjał partnerstw publiczno-prywatnych, do których zachęca NIS2. W przeciwnym wypadku może okazać się, że inwestycje w polską cyberodporność zawężają się tylko do zakupów infrastruktury i oprogramowania oraz równoległego budowania kompetencji dostępnych już na rynku, bez wykorzystania know-how i potencjału biznesu.

Potrzeba zintegrować obronę cybernetyczną ze strategią obrony narodowej

Jakie kroki powinniśmy podjąć wobec powyższych wyzwań i nowych zagrożeń geopolitycznych, żeby zwiększyć bezpieczeństwo naszej cyberprzestrzeni?

Andrea Rigoni: Kluczowym krokiem jest zintegrowanie obrony cybernetycznej z szerszą strategią obrony narodowej. Władze krajowe muszą stworzyć mechanizmy współpracy między sektorem wojskowym a cywilnym, aby zapewnić kompleksową ochronę naszych zasobów cyfrowych.

Kolejnym krokiem jest rozwój Krajowych Centrów Koordynacji Cyberbezpieczeństwa. Powinny one stać się centrami operacyjnymi działającymi w czasie rzeczywistym, w których będą współdziałać przedstawiciele sektora militarnego i cywilnego, w tym infrastruktury krytycznej. Centra te mogą monitorować sytuację, łączyć analitykę wojskową i cywilną, zapewniając dane niezbędne do podejmowania decyzji i działań w poszczególnych sektorach i organizacjach.

Niektóre kraje jak Wielka Brytania, Francja czy Izrael tworzą już takie podmioty, których celem jest zwiększenia dynamiki współpracy i proaktywne wypracowywanie scenariuszy obrony.

Warto również zwrócić uwagę na potrzebę stworzenia Rozszerzonej Stałej Siły Cyberobrony (Extended Permanent Cyber Defence Force), która będzie w stanie zniwelować strukturalne braki kadr i kompetencji w sytuacjach kryzysowych. Jednostka ta składałaby się z ekspertów w zakresie cyberbezpieczeństwa, którzy na co dzień pełnią swoje zawodowe role, ale aktywnie i na stałe uczestniczyliby w działaniach na rzecz cyberbezpieczeństwa pod koordynacją wojskową. Taki model pozwoliłby na szybsze i bardziej elastyczne reagowanie na cyberzagrożenia, na różnych poziomach, zarówno w czasie pokoju, jak i kryzysu.

Artur Józefiak: Dodałbym, że trzeba dokończyć te działania, które są już w toku, czyli wdrażanie regulacji unijnych oraz budowanie zespołów i architektury cyberbezpieczeństwa w armii, jednostkach administracji oraz podmiotach sektora prywatnego równolegle.

Wdrożenie tych rozwiązań zainicjuje funkcjonowanie zintegrowanego systemu obrony, który połączy wszystkie sektory - wojskowy, cywilny i prywatny - w celu skuteczniejszej ochrony przed rosnącymi zagrożeniami cybernetycznymi. Najpilniejsze jest jednak przyspieszenie procesu tworzenia nowych ram i doktryn, które umożliwią sprawną współpracę między wszystkimi podmiotami, zwłaszcza tymi z sektora prywatnego, wykorzystując w pełni ich potencjał.

Brak świadomości skali zagrożeń w cyberprzestrzeni dużym problemem

Jakie są główne przeszkody dla biznesu w kontekście obrony cyberprzestrzeni?

Artur Józefiak: Jedną z największych barier jest brak świadomości skali problemu. Jak wynika z raportu Accenture, zaledwie 33 proc. prezesów firm na świecie deklaruje, że ma wystarczającą wiedzę na temat zagrożeń w cyberprzestrzeni i jest świadoma potencjalnych kosztów, jakie ich firma może ponieść w wyniku braku działań w kierunku mitygowania nowych zagrożeń.

Andrea Rigoni: Według badania przeprowadzonego w ramach Klubu Przemysłowego Bezpieczeństwa Państwa, jedynie 26 proc. przedstawicieli sektora obronnego i odpornościowego uważa, iż inwestycje w cyberbezpieczeństwo są kluczowe dla dalszego rozwoju firm w tym sektorze. Wynik ten wskazuje na brak świadomości zagrożeń związanych z zaniedbaniem kwestii ochrony cybernetycznej, co wpływa na ograniczony poziom inwestycji.

Niska świadomość kadry zarządczej skutkuje również ograniczonymi wydatkami na cyberbezpieczeństwo, przez co niektóre instytucje i organizacje, także te pozostające pod kontrolą państwa, są istotnie niedofinansowane w tym zakresie. W dużych organizacjach wydatki utrzymania odpowiedniego poziomu cyberbezpieczeństwa powinny wynosić od 5 do 20 proc. kosztów IT. Niestety wiele rodzimych podmiotów wydawało znacznie mniej, a teraz będą musiały ponieść istotnie wyższe koszty związane z dostosowaniem swoich organizacji. Dla wielu podmiotów to jedno z głównych wyzwań wynikających z NIS2.  

A rozwiązania?

Andrea Rigoni: Rozwiązaniem często stosowanym przez firmy w krajach zachodnich jest korzystanie z zewnętrznych usług cyberbezpieczeństwa. Dzięki temu mogą sprawnie uzupełniać braki oraz utrzymywać wysoki poziomu bezpieczeństwa bez konieczności dużych inwestycji w zaawansowane funkcje cyber, które mogą być współdzielone.

Instytucje publiczne w Polsce również mogłyby skorzystać z takiego rozwiązania, tak jak dzieje się to w innych krajach UE czy NATO. 

Dodatkowo aspektem, który wymaga uwagi jest dążenie do zwiększenia odporności całego łańcucha wartości, czyli wszystkich podmiotów, które są niezbędne do dostarczenia produktu lub usługi dla użytkownika końcowego. Przykładowo dostępność pasażerskich przewozów kolejowych wymaga cyberodporności nie tylko systemów dedykowanych kolei, ale również cyberodporności energetyki, systemów komunikacji elektronicznej i płatności umożliwiających pasażerom zakup biletów.

W kontekście zagrożeń militarnych, których celem jest zaburzenie funkcjonowania infrastruktury krytycznej, takie podejście jest nawet istotniejsze niż współpraca sektorowa. Bankowość, pod wpływem regulacji DORA, zainicjowała działania budujące ten wymiar cyberodporności. Można zatem liczyć, że kolejne sektory pójdą tą drogą – a w szczególności podmioty dostarczające usługi kluczowe dla obronności Polski i Europy.