Rozmowa z Margo Koniuszewski, prezesem fundacji The Bridge – organizatorem turnieju
Cyberbezpieczeństwo to nadal temat tabu nawet dla prawników. Jak go ugryźć?
To prawda, że tematyka jest złożona i obszerna. Z cyberbezpieczeństwem jest tak, jak z każdą inną domeną, by ją rozumieć potrzebujemy tzw. abecadła, w tym przypadku cyberabecadła. Zacznijmy od przysłowiowego początku. Kto pamięta o tym, że pierwszy e-mail został wysłany w 1971 r., a pierwotnie Internet był platformą do komunikacji dla naukowców. Na co dzień nie myślimy o tym, iż logując się do sieci stajemy się częścią cyberświata. Taki jest właśnie 21 wiek – to era postępującej cyfryzacji, Internetu Rzeczy i kolonizacji kosmosu, w której cyberbezpieczeństwo jest kluczowym globalnym wyzwaniem. Nieustannie słyszymy o Digital Pearl Harbour, Cyber 9/12 i deepfakes oraz ich wpływie na rządy, biznes i na nas. Musimy pamiętać, że udogodnienia cyfrowego świata generują nowe możliwości rozwojowe i dynamiczny postęp, ale mają też swoje słabe punkty, które musimy zaadresować i tutaj kłaniają się regulacje. Z prawnego punktu widzenia cyberbezpieczeństwo jest problemem zarówno prawa publicznego np. ochrona tajemnicy przedsiębiorstwa w świecie cyfrowym, jak i prywatnego – bezpieczeństwo naszych danych osobowych.
Cyberbezpieczeństwo to bezpieczeństwo w Internecie, dlaczego jest ono tak dużym problemem?
Jesteśmy uzależnieni od wielu ważnych dla nas procesów zachodzących w Internecie. Drogą elektroniczną oferowany jest nam szereg usług jak e-zakupy, czy e-płatności. Rownolegle z sieci korzystają także osoby nieuczciwe, nie tylko pojedynczy przestępcy, ale też przestępczość zorganizowana. Zasięg nielegalnych działań może być ogromny. Przykładowo kradzież pieniędzy z wielu milionów kart płatniczych, dla trudności wykrycia małe sumy. Cyberprzestrzeń inspiruje też środowiska o poglądach skrajnych, niektóre ataki na systemy informacyjne mogą być sponsorowane przez wrogie rządy. Bardzo interesujące są także zagadnienia związane z ochroną prywatności i danych osobowych, łączące się z tematyką praw człowieka. Szeroko promowane w Wielkiej Brytanii podejście “data rights are human rights”.
Kto jest najbardziej narażony na cyberataki?
Celem zmasowanych cyberataków są operatorzy usług kluczowych w sektorach energetycznym, transportowym, bankowym, ochronie zdrowia i infrastruktura cyfrowa. Corocznie ataki cybernetyczne, wynikające z implementacji nowych modeli dostarczania usług, generują rosnące straty dla sektora publicznego i prywatnego. Szacunki dotyczące kosztów uwzględniają m.in. utratę wrażliwych danych i własności intelektualnej, koszty zakłóceń w świadczeniu usług, koszty utraconych korzyści funkcjonowania, w tym, szkody dla wizerunku i reputacji organizacji. Służba zdrowia jest jednym z najbardziej zagrożonych sektorów. Weźmy dane wrażliwe i aparaturę medyczną, tzw. ataki ransomware w szpitalach na całym świecie paraliżują pracę różnych oddziałów powodując realne kłopoty m.in. związane z koniecznością odłożenia zaplanowanych operacji. Według raportuCybersecurity Ventures globalna wartość strat wynikłych z cyberprzestępstw na świecie w roku 2021 wyniesie około 6 bilonów dolarów USD, ten proceder będzie bardziej opłacalny niż światowy handel wszystkimi, głównymi nielegalnymi narkotykami.
To są zagrożenia zewnętrzne, a co z zagrożeniami płynącymi z wewnętrznych struktur organizacji?
Każdy z nas powinien mieć świadomość, że wszelkie informacje zamieszczone w systemie elektronicznym na zawsze w nim pozostają. Naruszenia mogą też mieć charakter nieświadomy i nieintencjonalny. Jeden z moich ulubionych przykładów dotyczy prezesa azjatyckiego banku, który chcąc naładować swój e-papieros umieścił go w firmowym laptopie infekując cały system.
A jak kształtuje się w tym zakresie polityka UE?
Kierunek zmian w polityce bezpieczeństwa, promowany przez UE jest bardzo wyraźny, podmioty z sektora prywatnego mają stać się współodpowiedzialne za bezpieczeństwo cyberprzestrzeni.
A Polska?
W perspektywie polskiego cyberbezpieczeństwa rok 2018 był przełomowy. Przyjęto Ustawę o ochronie danych osobowych i Ustawę o krajowym systemie cyberbezpieczeństwa, zgodnie z Dyrektywą NIS (Network and Information Systems Directive), rozpoczęto też prace nad polską strategią sztucznej inteligencji, a w 2019 r. Ministerstwo Cyfryzacji ogłosiło projekt Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2019-2024, dokument określa strategiczne cele oraz odpowiednie środki polityczne i regulacyjne, które trzeba zrealizować, by systemy informacyjne, operatorzy usług kluczowych, operatorzy infrastruktury krytycznej, dostawcy usług cyfrowych oraz administracja publiczna były odporne na incydenty w cyberprzestrzeni.
Co jest głównym wyzwaniem dla naszego ustawodawcy, prawników i organów ścigania?
Transgraniczność cyberprzestępstw. Cyberprzestępstwa są jak zanieczyszczenie powietrza, nie zatrzymują się na granicach. Główne narzędzia prawne do walki z zagrożeniami z cyberprzestrzeni znajdują się w obszarze prawa karnego, a obszar ten jest najtrudniejszy do zharmonizowania na poziomie poszczególnych państw.
A może potrzebny nam jest specjalny sąd do zajmowania się cybersprawami – cybersąd?
Dwa lata temu władze londyńskiego City ogłosiły, że zamierzają powołać specjalny sąd do spraw cyberprzestępstw. Dyskusje na ten temat toczą się też w innych państwach. Liczba spraw procesowych dotykających cyberprzestrzeni wzrasta i będzie wzrastała, to naturalna konsekwencja transformacji cyfrowej – usieciowienia społeczeństwa i gospodarki. Kancelarie prawne powołują specjalne, interdyscyplinarne zespoły prawników do cyberspraw, podobnie dzieje się w policji i prokuraturze. Takich zmian w sądownictwie jeszcze nie widać, skomplikowane sprawy z obszaru nowych technologii trafiają do zwykłych wydziałów cywilnych. Poważna dyskusja dotycząca powołania specjalnego sądu zajmującego się sprawami związanymi z najnowszymi technologiami, jest pożądana. W takim sądzie zasiadali by sędziowie z najwyższymi kompetencjami w zakresie nowych technologii. Dobre zrozumienie technologii wpłynęłoby zapewne na szybsze i lepsze organizowanie postępowania.
Z tego wynika, że potrzebujemy mentalnej transformacji, musimy zbudować nową kulturę bezpieczeństwa
Musimy zwiększyć naszą zdolność adaptacji i innowacyjność, podnosić świadomość i budować kompetencje w zakresie cyberbezpieczeństwa. Zmiana kulturowa jest najczęściej najtrudniejszą częścią transformacji. To nasze zbiorowe nawyki i wspólne przyjęcie sposobów działania przyniosą pożądany efekt jakim jest poczucie bezpieczeństwa. Musimy, zrozumieć, że cyberbezpieczeństwo jest tematem horyzontalnym i dotyka wszystkich sfer naszego funkcjonowania. To problematyka istotna nie tylko dla generałów, dyplomatów, premierów i prawników, jest ona istotna też dla nas przeciętnej Kowalskiej i Kowalskiego!
I stąd pomysł na turniej Cybersecurity Challenge PL2020?
Dokładnie tak. Cyberwyzwania nie znają granic i mają wpływ na nas wszystkich. To lekcja do odrobienia przez całe pokolenia, od juniora do seniora. W dobie cyfryzacji to my, poprzez uświadomienie sobie zakresu problemu, tworzymy kulturę bezpieczeństwa. Cybersecurity Challenge PL2020 jest nowatorskim przedsięwzięciem – platformą dedykowaną edukacji i promocji dobrych praktyk. Integruje ona interdyscyplinarne środowiska studenckie, akademickie, instytucje publiczne i branżowe, biznes oraz liderów opinii. Bardzo cieszę się, że ELSA Poland jest partnerem tego projektu.
Jeśli chodzi o turniej, co to dokładnie będzie?
Wyobraźmy sobie zmasowany cyberkryzys. Podczas turnieju, w symulowanym cyberataku o złożonych motywach atakujących, w którym stawką będzie bezpieczeństwo obywateli i państwa, wezmą udział 5-osobowe zespoły z 16-u województw, studenci kierunków: Prawo, IT, Medycyna, Zarządzanie i podchorążowie akademii wojskowych. Zaadresują strategiczno-technologiczne, regulacyjne i komunikacyjne implikacje ataku. Oceni ich eksperckie jury. Konkurs wyłoni najlepszych w opracowaniu strategii reagowania i planowaniu skontrowania przeciwnika.
Jaki jest cel tej cyber-burzy mózgów?
Studenci rożnych kierunków będą mieli możliwość poznania i zrozumienia tej domeny. To agora, dzięki której spotkają się przyszły prawnik z informatykiem i studentem akademii wojskowej, a zadanie które rozwiążą pozwoli im na kompleksowe rozeznanie tematu, z uwzględnieniem wymiaru technologicznego, regulacyjnego, strategicznego i komunikacyjnego. Podczas turnieju będą działać w charakterze tzw. eksperckich tiger groups, doradzających rządowi przy cyberataku. Cel jest jeden – zdobycie wiedzy na temat strategii zarządzania cyber-ryzykiem.
A jak wyglądają przygotowania do turnieju?
Wkrótce zarejestrowane zostaną zespoły wojewódzkie. Następnie przystępujemy do pracy merytorycznej, przygotowującej zespoły do turnieju. Całym procesem rekrutacji zajmują się organizacje studenckie – partnerzy turnieju – wy, ale na pokładzie są też Forum Uczelni Technicznych FUT, Erasmus Student Network Poland, stowarzyszenie studentów medycyny IFMSA Poland i Forum Uczelni Ekonomicznych FUE. Ja wierzę w wasze ambicje! To też dla was doskonały moment, by zaprezentować się przed gronem ekspertów z dziedziny bezpieczeństwa IT, prawa, medycyny, bankowości. To swego rodzaju przepustka stwarzająca szansę na znalezienie ciekawej pracy.
Trzymam za was kciuki i życzę powodzenia!
Cybersecurity Challenge PL2020 to nowatorskie przedsięwzięcie, którego pierwsza edycja odbędzie się w Polsce. Jest to platforma dedykowana edukacji w temacie wyzwań związanych z cyberbezpieczeństwem i krzewieniu kultury bezpieczeństwa. Integruje ona interdyscyplinarne środowiska studenckie, akademickie, biznesowe i liderów opinii. Finalne osiągnięcia projektu zostaną zaprezentowane w centrali International Telecommunication Union w Genewie.
Corocznie ataki cybernetyczne generują rosnące straty dla sektora publicznego i prywatnego. Szacunki dotyczące kosztów uwzględniają m.in. utratę wrażliwych danych i własności intelektualnej infrastruktury krytycznej, koszty zakłóceń w świadczeniu usług, koszty utraconych korzyści funkcjonowania, w tym, szkody dla wizerunku i reputacji państw oraz organizacji.
W 21 wieku – erze postępującej cyfryzacji, Internetu Rzeczy i kolonizacji kosmosu cyberbezpieczeństwo stanowi kluczowe wyzwanie. Nieustannie słyszymy o Digital Pearl Harbour, Cyber 9/12 i deepfakes oraz ich wpływie na rządy, biznes i przeciętnego Kowalskiego. Zdolność do obrony sieci i systemów teleinformatycznych państwa stanowi jeden z fundamentów bezpieczeństwa narodowego.
Proaktywna edukacja, wypracowanie mechanizmów skutecznej współpracy i inwestycje w strategie zarządzania cyber-ryzykiem budują przewagę konkurencyjną zarówno państw, jak i przedsiębiorstw.
W ramach Cybersecurity Challenge PL2020, w symulowanym cyber-ataku o złożonych motywach atakujących, w którym stawką będzie bezpieczeństwo obywateli i państwa, wezmą udział 5-osobowe zespoły studenckie z 16-u województw, studenci kierunków: IT, Prawo, Zarządzanie, Medycyna i podchorążowie akademii wojskowych. Zaadresują strategiczno-technologiczne, regulacyjne i komunikacyjne implikacje ataku. Oceni ich eksperckie jury. Konkurs wyłoni najlepszych w opracowaniu strategii reagowania i planowaniu skontrowania przeciwnika.
Zapraszamy Was do uczestnictwa!