Bezpieczeństwa, jak domu, nie buduje się od góry

Akcja specjalna Bezpieczeństwo sieci 5G
Mariusz Busiło jest prawnikiem specjalizującym się w nowych technologiach, wspólnikiem w Kancelarii Bącal, Busiło Sp. k. Zajmuje się łącznością bezprzewodową, prywatnością i bezpieczeństwem. Posiada szerokie doświadczenie w pracach zespołów eksperckich polskich i zagranicznych, w tym Komisji Europejskiej, Europejskiej Konferencji Administracji Poczty i Telekomunikacji (CEPT) oraz Międzynarodowego Związku Telekomunikacyjnego (ITU). Brał udział w całym spektrum prac legislacyjnych, m.in. nad projektami ustaw i rozporządzeń z obszaru telekomunikacji, mediów i sektora technologii informacyjno – komunikacyjnych (ICT). Jest krótkofalowcem (SP5ITI).
Mariusz Busiło jest prawnikiem specjalizującym się w nowych technologiach, wspólnikiem w Kancelarii Bącal, Busiło Sp. k. Zajmuje się łącznością bezprzewodową, prywatnością i bezpieczeństwem. Posiada szerokie doświadczenie w pracach zespołów eksperckich polskich i zagranicznych, w tym Komisji Europejskiej, Europejskiej Konferencji Administracji Poczty i Telekomunikacji (CEPT) oraz Międzynarodowego Związku Telekomunikacyjnego (ITU). Brał udział w całym spektrum prac legislacyjnych, m.in. nad projektami ustaw i rozporządzeń z obszaru telekomunikacji, mediów i sektora technologii informacyjno – komunikacyjnych (ICT). Jest krótkofalowcem (SP5ITI).
Wrzucony do zaledwie 14-dniowych konsultacji społecznych projekt zmian do ustawy o krajowym systemie cyberbezpieczeństwa powstał w likwidowanym obecnie resorcie i sprzeczny jest z opublikowanym przez tego samego ministra kilka tygodni wcześniej projektem Prawa komunikacji elektronicznej. Nie daje on też wiele szans realizacji deklarowanego przez autora celu - tj. poprawy cyberbezpieczeństwa. W efekcie będzie raczej jak w słynnym cytacie: „MOŻE NIE NAJTANIEJ, ALE JAKO TAKO”. W trudnych czasach recesji wywołanej pandemią projekt ten rodzi szansę ożywienia rynku usług prawniczych (dzięki odszkodowaniom od Skarbu Państwa), biegłych od zaniżania standardów w zakresie demokracji, praworządności i praw podstawowych, czy zagranicznego prawa ochrony danych osobowych, których analiza w równym stopniu może negatywnie dotknąć dostawców z Chin jak i z USA. Jak się to ma do naszego bezpieczeństwa? Uzasadnienie projektu ustawy niestety nie daje żadnych wskazówek.

Kupiłem niedawno nowy komputer. Wiadomo, komputer to dzisiaj ważna sprawa. Służy mi do zdalnej pracy, w tym korespondencji służbowej i prywatnej – żaden list nie powinien trafić do osoby innej niż adresat, którego uważnie wybieram. Kiedy łączę się ze swoim bankiem zlecając przelewy nie chciałbym, aby ktoś podszywał się za mnie. Rozliczając podatki zakładam, że formularz, który wypełniam i wysyłam na własnym komputerze trafi bezpiecznie tylko do urzędnika skarbowego, a moje dane osobiste nigdzie nie wyciekną. Pandemia spowodowała, że za jego pomocą robię znacznie więcej zakupów, podając online swoje dane osobowe, adres i dane karty płatniczej. Dzięki osobno dokupionej kamerze korzystam ze zdalnych konsultacji lekarskich, które kończą się zakodowaniem do ciągu zer i jedynek a następnie przesłaniem przez Internet najbardziej intymnych aspektów mojego życia. Zakładam, że komputer, kamera, oprogramowanie i wreszcie Internet, które wykorzystuje do tych wszystkich rzeczy, są w zakresie jaki mnie interesuje bezpieczne. Oczywiście przestrzegam zaleceń ekspertów, specjaliści pokazali mi jak skonfigurować poszczególne usługi, stale aktualizuje oprogramowanie, korzystam z kilku wybranych usług z obszaru cyberbezpieczeństwa, nie klikam w dziwne linki i nawet umiem odróżnić http od https (złota kłódka!). Mimo, że pierwszy kontakt z siecią globalną miałem dzięki protokołom Gopher, NNTP oraz zasobom USENET’u, a numer swojej pierwszej karty bankowej wpisałem w przeglądarce wcześniej, niż poszedłem z nią do sklepu, to cały czas nie stałem się ofiarą cyberprzestępców. Znajomi, którzy czasami korzystają z mojego komputera czy Internetu, też nie stali się takimi ofiarami.

Wydaje się, więc że jest całkiem dobrze? Nic bardziej mylnego. Światowe (w może i pozaświatowe?) zmagania dobra ze złem, spowodowały, że ten mój komputer i Internet, z którego od lat korzystam, znalazły się w samym środku wojny. Takiej na serio. Tak bardzo na serio, że Rząd zdecydował, że już nie mogę sam zajmować się bezpieczeństwem swojego komputera. Nie mogę sobie wybrać producenta sprzętu, który kupuję, ani dostawcy swojego Internetu. Dobra, trochę mnie poniosło. Nie jest tak źle. Oczywiście mogę sobie to wszystko wybrać, kupić i zapłacić.

Muszę tylko uważnie czytać Monitor Polski. Tam może pojawić się Opinia Kolegium (Kolegium to taki Rząd- Nierząd, znaczy Premier, Minister Wojny, Minister Policji, Minister Spraw Zagranicznych, Wielki Informatyk i Szef Agentów oraz kilku facetów od spraw administracji). Kolegium może zaprosić jednego Szefa Informatyków od Bezpieczeństwa. Nie żeby decydował, ale zawsze warto posłuchać kogoś innego niż koledzy politycy, czy koledzy agenci. I tak działające Kolegium może pewnego dnia stwierdzić, że jednak kupiłem niedobry komputer, albo że mam zły Internet. Z tym Internetem to może powiedzieć, że tylko część jest niedobra, ale nie pomyślcie, że chodzi o cenzurę – przecież to wojna i chodzi o bezpieczeństwo, a nawet o cyberbezpieczeństwo!
A że wojna wymaga poświęceń, to od dnia publikacji Opinii Kolegium, raczej nie kupię już części zapasowych do swojego komputera, nie zaktualizuje oprogramowania, nie załatam odkrytych dziur. I jeśli jakimś cudem uda mi się ten komputer jeszcze chwilę używać, to niezbyt długo, bo w wyniku Opinii Kolegium będę finalnie musiał swój komputer wymienić na inny, od innego producenta. Takiego, którym Kolegium się jeszcze nie zdążyło zainteresować.

Jak to na wojnie, Kolegium to Kolegium, a bezpieczeństwo to bezpieczeństwo przecież, więc nikt nie ma prawa odwołać się do jakiegoś Nadkolegium, a tym bardziej niezawisłego sądu. Zapatrzone w globalne strumienie zależności i wiatry zmian, zajęte celami wyższymi (wojna!) Kolegium nie może w żaden sposób być ograniczone rozważaniami, że jednak się może pomylić. Dlatego właśnie Kolegium nie ponosi żadnej odpowiedzialności za swoje Opinie, a tym bardziej ich skutki. Za wymianę komputera będę musiał więc zapłacić sam. A, że w wyniku negatywnych Opinii wybór producentów będzie się systematycznie zmniejszał, konkurencja osłabnie, to będę za ten każdy kolejny komputer płacił coraz więcej. Inwestycja w bezpieczeństwo na wojnie nie może być tania.

Wystarczy tej fikcji? Niestety nie fikcji. Bo właśnie tak wygląda projekt ustawy, o którym wspomniałem na wstępie. Tylko, że nie dotyczy mojego komputera, a urządzeń które kupują dostawcy mojego Internetu. Dzięki temu pewno będę miał ten Internet drożej, albo gorszy. Albo jedno i drugie. Bo tak zawsze działa rządowa ingerencja w konkurencję i wolny rynek. Kosztem własności prywatnej. Przy okazji ustawa dotyczy też bezpośrednio treści jakie będę miał dostępne w Internecie, wprowadzając de jure i de facto jego cenzurę. Oczywiście w trosce o moje bezpieczeństwo.

Nieprawdą jest, że w Polsce nie było podstaw dla ograniczeń lub zakazów stosowania sprzętu czy oprogramowania na podstawie oceny ryzyka cyberbezpieczeństwa. Takie kryteria były i są z powodzeniem stosowane w sektorze prywatnym. Jeśli sektor publiczny sobie z tym nie radził, np. W kontekście zamówień publicznych, to regulacja powinna zostać ograniczona do rozwiązania tego problemu. Bezpieczeństwa to raczej nie poprawi, ale ułatwi niektórym instytucjom prowadzenie przetargów i wydawanie pieniędzy z naszych podatków. To zawsze jakaś wartość. Realizacja jednak nawet tego ograniczonego celu wymaga poprawienia kryteriów. Bo te z projektu ustawy nie są ani jasne, ani konkretne, a przełożenie ich na procenty czy punkty będzie wymagać nie lada umiejętności.

W twierdzeniu, że 5G wprowadzi Przemysł 4.0, Internet Rzeczy i zintegruje wszystko ze wszystkim i dlatego wymaga zmiany dotychczasowego podejścia do bezpieczeństwa jest sporo racji. Jednak nie dajmy się oszukać. Nowoczesnych usług nie wymyślą ani politycy ani urzędnicy. Ani tym bardziej oficerowie w mundurach lub bez nich. A skoro nie wymyślą nowych usług, to dlaczego mam wierzyć, że są w stanie zapewnić mi ich bezpieczeństwo? Szczególnie kiedy świat idzie w kierunku modelu Security by Design, gdzie „design” to element produkcji – nie ingerencji rządowej.

Bezpieczeństwa nie buduje się z góry do dołu. Wie to każdy, kto budował choćby szałas, o domu nie wspomnę. Cyberbezpieczeństwo rządzi się tymi samymi zasadami, nawet jeśli niektórym specjalistom wydaje się, że jest inne, bo… wirtualne. Jego zapewnienie to najpierw analiza prowadzona od samego początku każdego procesu, a potem żmudne tworzenie mechanizmów, począwszy od tych na samym dole, które to bezpieczeństwo zapewnią. Dlatego tak bardzo jest zła koncepcja „pararządu” wydającego w mglistym trybie „opinie”, które niosą daleko idące skutki społeczne, gospodarcze oraz polityczne. „Pararząd” nie weźmie na swoją polityczno-służbowo-urzędniczą klatę skutków własnych opinii i nie naprawi szkód, jakie spowoduje. Nie uwolni nas też od ryzyka stania się ofiarą cyberprzestępców.

O bezpieczeństwie (cyber również) trzeba rozmawiać konkretnie. Bez górnolotnych deklaracji o globalnych interesach i dziejowej konieczności. Niebinarnie. Nie przez uproszczenia narracji do czarnego i białego. Bo bezpieczeństwo to szczegóły. To najmniejsze detale. Ich sprawdzanie jest żmudne i zbyt nudne dla polityków i ich globalnych wizji. Dlatego o bezpieczeństwo trzeba dbać tam, gdzie są ludzie, którzy mogą je naruszać i inni, którzy temu przeciwdziałają. Na samym dole procesów, żmudnie analizując kolejne wersje sprzętu i linie kodu. Żadne Kolegium czy Rada do spraw nie zapewni nam bezpieczeństwa. Szczególnie jeśli przed nikim nie odpowiada za swoje działania a kryteria podejmowania decyzji są uznaniowe i tak szerokie jak szeroka i przestronna jest biblijna droga prowadząca do zagłady. Aby zapewnić nam poprawę bezpieczeństwa wobec aktualnych zagrożeń projekt ustawy powinien ulec radykalnej zmianie.

Materiał oryginalny: Bezpieczeństwa, jak domu, nie buduje się od góry - Polska Times

Dodaj ogłoszenie

Wykryliśmy, że nadal blokujesz reklamy...

To dzięki reklamom możemy dostarczyć dla Ciebie wartościowe informacje. Jeśli cenisz naszą pracę, prosimy, odblokuj reklamy na naszej stronie.

Dziękujemy za Twoje wsparcie!

Jasne, chcę odblokować
Przycisk nie działa ?
1.
W prawym górnym rogu przegladarki znajdź i kliknij ikonkę AdBlock. Z otwartego menu wybierz opcję "Wstrzymaj blokowanie na stronach w tej domenie".
krok 1
2.
Pojawi się okienko AdBlock. Przesuń suwak maksymalnie w prawą stronę, a nastepnie kliknij "Wyklucz".
krok 2
3.
Gotowe! Zielona ikonka informuje, że reklamy na stronie zostały odblokowane.
krok 3