W początku 2017 r. w Polsce miał miejsce najpoważniejszy w historii kraju cyberatak. Dotknął on systemu finansowego, banków oraz Komisji Nadzoru Finansowego (KNF), czyli systemów krytycznych z punktu widzenia wydolności działania państwa. Opublikowany przez FBI dokument wskazuje na odpowiedzialność obcego kraju.

Chodzi o Koreę Północną. Ale czy w tym wypadku naprawdę ma znaczenie, kto stoi za atakiem?

Polska nie ma wypracowanych zasad postępowania w takich sytuacjach. Nadzieją na to ma być krajowa strategia cyberbezpieczeństwa, do której stworzenia zmusiła Polskę unijna dyrektywa NIS ([ustawie o krajowym systemie cyberbezpieczeństwa tu). Jak traktować zdarzenia takie, jak cyberatak z początku 2017 roku? Jak na nie reagować? Na te pytania nie ma na razie odpowiedzi. Nie będzie też ich wkrótce ze strony państwa i wcale nie chodzi tu o brak lub dostępność środków (takie, w pewnym zakresie proporcji, są).

Jeśli chodzi o sam atak, to wiele wskazuje na to, że w KNF wiedziano o ataku, który zaczął się już w październiku 2016. Wygląda jednak na to że, jak się okazało, nie podjęto działań. Sprawa wypłynęła dopiero w styczniu 2017, gdy operacja już trwała, a banki były infekowane przez stronę KNF. Szczęśliwie, łatwe do wyobrażenia cele ostateczne nie zostały osiągnięte. Nie sparaliżowano systemu finansowego. Pieniędzy nie wykradziono (w co najmniej jednym przypadku wyprowadzono jednak na zewnątrz dane). Atak na KNF jest też niestety przykładem wskazującym na słabość cyberbezpieczeństwa państwa.

Polska ma świetnych badaczy cyberbezpieczeństwa, wymieniam tu i zespoły CERT. Tu jednak nie odnoszę się, w żadnej mierze, do kwestii technicznych. Skupiam się na kwestiach polityki (szeroko rozumiane policy) państwa, instytucjonalnych i strategicznych.

Strategiczne podejście do cyberbezpieczeństwa jest standardem w wielu państwach. To m.in. USA, Chiny, Wielka Brytania, Francja. Jednak także i Kanada, Litwa, Luksemburg i wiele innych. Z mniej oczywistych dla polskiego odbiorcy - specjalną jednostkę (cyberarmii) powołała Nigeria. Budowa takich oddziałów postępuje też we Francji i innych krajach. Obecnie około 30 państw tworzy zdolności w tym zakresie. Z oczywistych względów te podejścia różnią się.

Skuteczna strategia cyberbezpieczeństwa musi powstać, bo unijna Dyrektywa NIS (wdrożona w Polsce ustawą) tego wymaga. Jednak sytuacja tego ataku może nie być objęta nawet tą przyszłą, hipotetyczną strategią. Dzieje się tak dlatego, że Dyrektywa NIS i wymieniana w niej strategia jest specyficzna.

Strategie cyberbezpieczeństwa mogą mieć wiele wymiarów. Cyberbezpieczeństwo to problem techniczny i polityczny. Obejmuje zagadnienia technologii, badań, polityki i także spraw międzynarodowych, dyplomacji i wojska (choć w wielu kwestiach i miejscach - w mniejszym stopniu niż się to wielu wydaje).

Zdarza się, że że rzeczywistość i wydarzenia mieszczą się w sztywnych ramach wytyczanych przez regulacje, zasady czy realizowane na poziomie krajowym projekty. W przypadku ataków z 2017 r. jednak to, co najbardziej widoczne, to ich brak i rozmijanie się z rzeczywistością.

Wdrożenie NIS narzucające na Polskę konieczność stworzenia strategii cyberbezpieczeństwa to zatem szansa, by coś zmienić i aby w polskim cyberbezpieczeństwie mogła nastąpić “dobra zmiana” (dobór słów przypadkowy).

Samo oświadczenie FBI jest bardzo długie, miejscami techniczne, ale fascynujące. Warto je przeczytać a znajdziecie je tu.