Cyber Security Summit oraz rozwój polityki cyber

Nie ma wielu wydarzeń na których można spotkać polityków (na wysokim poziomie), ludzi wpływających i tworzących polityki, oraz ludzi z kręgów technologii. To dlatego taką przyjemnością było uczestnictwo w Cyber Security Summit (CSS), w 2018 w estońskim Tallinnie - zorganizowane przez Munich Security Conference (monachijską konferencję bezpieczeństwa; po CSS był CyCon, czyli konferencję poświęconą konfliktowy w obszarze “cyber”).

Nie jestem reporterem, dlatego nie przedstawię pełnego opisu tego wydarzenia. Częściowo znaleźć je można w innych innych miejscach (np, weaponization of cyberspace, lub tutaj). Tu podzielę się za to bardziej ogólnymi obserwacjami, opierającymi się na tym co miało miejsce, a także na moich doświadczeniach. Dalej będę używał słowa “policy” bez jego tłumaczenia jako “politykę”; w Polsce terminy te niestety nie są odbierane podobnie.

Pomost pomiędzy policy a technologią

Spotkania zrzeszające razem ludzi kształtujących i mających wpływ na politykę razem ze specjalistami od technologii i polityki technologii mają znaczną wartość. Najważniejszą z nim jest przybliżenie tych światów i budowa wzajemnego zrozumienia. Nie chodzi jednak tylko o wymianę informacji, bo także o sposób rozumowania, kształtowania myśli

Okrągły stół - Technologia

Wziąłem udział w Okrągłym Stole o technologiach (poza mną ze świata tech dwóch znanych w środowisku ludzi, Halvar Flake i Kate Moussouris; z polityki to m.in. b. prezydent Estoni). To ciekawa, bardzo szeroka dyskusja. Zawierała istotny szczegół: jak strukturyzować badania cyberbezpieczeństwa w Europie (o tym jak w skali lokalnej robi się to w Polsce mam okazję wiedzieć z powodu pracy w Komitecie Sterującym NCBR CyberSecIdent, od początku tego programu). Schematem idealnym i początkiem dyskusji była oczywiście amerykańska DARPA, którego odpowiednika w Europie wciąż nie ma. Ważne jednak jest co innego: bezpośredni transfer modelu DARPa do Europy może nie zadziałać w praktyce. Tylko jednym z wyzwań jest to praktyczno-polityczne z powodu pewnego potencjalnego rozdrobnienia na 28 części w zamian jednej (jak to jest w USA).

Rozwój wydarzeń oraz “atmosfera” otaczająca cyber przyspiesza działania w policy i technologii

Cyber” przyspiesza wszystko i to na wielu polach, zarówno w dziedzinie technologii (dodatkowe motywacje), jak i w policy (nadganianie, często trudno dostępne). Co istotne, “cyber” tworzy obszar polityki technologii (a może nawet technologii polityki?) gdzie posiadanie kompetencji jednocześnie w dziedzinie technologii jak i policy - są kluczowe. Dziś jest już niemal niemożliwe by być na bieżąco ze wszystkimi wydarzeniami cyberbezpieczeństwa (szczegóły techniczne). Kusząco jest stwierdzić, że przecież w polityce nie wnika się w szczegóły (pogląd wysokopoziomowy, analityczny) więc podobne zjawisko nie występuje. Ten pogląd nie jest jednak prawidłowy, bo i polityka technologii musi brać pod uwagę pełen obrazek.

By w pełni uchwycić implikacje “cyber” w kręgach policy, a co istotne - by być w stanie sprostać tempu zmian, rozumienie i kompetencje w technologii na różnych poziomach - jest istotną zaletą.

Z drugiej jednak strony, w kręgach eksperci z kręgów technologii coraz częściej spostrzegają, że na ich obszar działań mają wpływ zmnieniające się regulacje (np. Waasenaar, GDPR/RODO, NIS, i inne w wielu innych krajach poza Europą), w sposób wcześniej nie dostrzegany. To także przyspiesza.

Podchwytliwe wyzwania ładu międzynarodowego - cybernormy

Cyber” to pewnego rodzaju szara strefa jeśli chodzi o konflikty, często opisuje się ten obszar jako jeszcze słabo rozumiany, podlegający zmianom, bez istniejących ram wiążących (co nie do końca jest prawdą, bo pewne reguły obowiązują). Tempo zmian i rozwoju to kolejne wyzwanie. Zmian jest dużo. Cyberataki mają miejsce, ich natura się zmienia. Czasem odpowiada się na nietypowymi środkami polityki, np. sankcjami. Niektórzy, tak jak np. były prezydent Estonii Toomas Hendrik Ilves twierdzą nawet, że ograniczenia istniejących reguł i norm, oraz metod działania stanowią wyzwanie i zagrożenie dla państw o ustroju demokracji liberalnej. Wzywają oni (p. Toomas wzywa) do odpowiedzi, np. do ustanowienia nowych struktur będących odpowiedzią na te nowe wyzwania, (np. skrótowo określał je jako Cyber NATO, a konkretniej miałby to być Sojusz Obrony Cyfrowej, zrzeszający państwa demokratyczne, wykraczające poza tradycyjne ramy transatlantyckie; jest to ciekawa konstrukcja myślowa).

Jednak o ile jest to prawdą (tak jak T.H. Ilves to ujmuje), że przykładowy Urugwaj nigdy nie okupował Estonii (podkreślenie zmian geostrategicznych jakie wywołuje “cyber” gdzie tradycyjne fizyczne granice państw nie stanowią już tradycyjnej bariery ochronnej) - stworzenie takich struktur wokół jednej kwestii może nie być tak proste jak się wydaje. Z pewnością będzie jednak fascynujące w obserwacji.

Techniczne możliwości nadużywania platform internetowych do szerzenia dezinformacji na skalę przemysłową są znane od lat w kręgach eksperckich (a sam je badałem od 2013, na długo nim stały się mainstreamowe w takim stopniu jak teraz). By jednak przyciągnąć uwagę szerokiej społeczności (niestety) potrzeba było głośnego wydarzenia, o dużej skali i realnych konsekwencjach. Dzięki temu wydarzeniu jednak problemowi poświęca się dużo uwagi już od dwóch lat (2016).

W ogólności, patrząc historycznie, często faktycznie jest tak, że “coś musi się stać” aby powstała świadomość, zrozumienie i motywacja do działań. Obawiam się, że wiem, jak taki motywator mógłby wyglądać w “cyber”.