Komentarz po konferencji SEA o bezpieczeństwie cybernetycznym

W dyrektywie o „operacjach cybernetycznych” Białego Domu podpisanej przez Baracka Obamę w połowie października br. (Presidential Policy Directive 20), znalazły się przepisy regulujące sposób odpowiadania na cyber-ataki z zagranicy przeprowadzane przez podmioty państwowe i prywatne, które atakują amerykańskie agendy rządowe lub sieci cywilne. Dyrektywa wprawdzie nie tworzy nowych uprawnień dla instytucji federalnych czy dla wojska, ale  ujednolica ich działanie w przypadku ataku na sieć teleinformatyczną.

Dyrektywa zwraca uwagę na konieczność współpracy publiczno-prywatnej. Znajdują się w niej wytyczne dla agencji rządowych o tym, w jaki sposób powinny one pomagać firmom prywatnym bronić się przed cyber-atakami, szczególnie tym odpowiadającym za ochronę narodowej infrastruktury. Mają to czynić poprzez szerszy dostęp do informacji i wypracowanie jednolitych standardów przeciwdziałania takim atakom. Warto zauważyć, że może to narazić prywatne  podmioty na konieczność ujawniania rządowi wrażliwych danych, kiedy staną się one podmiotem ataku.

Nie wiadomo też, ile informacji na temat podatności na atak i „dziur w sieci” prywatnej agencje rządowe powinny zbierać i przekazywać sektorowi prywatnemu. Stąd, negatywną stroną większego bezpieczeństwa firm prywatnych strzeżonych przez służby państwowe może być ingerencja instytucji rządowych w prywatność pracowników monitorowanych firm, np. poprzez monitoring e-maili i nagrywanych na pendrivy danych, w celu wyeliminowania przypadków łamania reguł bezpieczeństwa przez konkretne osoby.

Specjaliści ds. bezpieczeństwa pracujący na zlecenie rządu stanęliby przed pokusą gromadzenia takich danych i zatajania ich przed zainteresowanymi podmiotami prywatnymi. Dane dotyczące bezpieczeństwa obejmowałyby w zasadzie pełną komunikację wewnętrzną w firmach prywatnych, trudno byłoby uchwycić, co jest ważne, a co nie, a więc co nie powinno być nadzorowane i przechowywane przez instytucje publiczne. Podglądowi i rejestracji podlegałaby cała wymiana danych – firmy i jej pracowników. Dodatkowo, wyśledzone słabości w systemach firm prywatnych mogłyby być wykorzystywane przez państwo lub pracowników administracji publicznej dla celów ofensywnych, jak szantaż, przewaga informacyjna czy (w przypadku działalności szpiegowskiej) wyciek informacji o słabościach systemów prywatnych do wrogich organizacji za granicą. 

Warto się również zastanowić, czy przypadkiem nagłośnienie zagrożenia cyber-terroryzmem nie jest sztucznie nadmuchiwane przez rządy, aby zwiększyć możliwość ingerowania w dane osobowe obywateli poprzez dobrowolne zrzeczenie się przez nich kolejnej części prywatności ze względu na rzekome zagrożenie bezpieczeństwa, a także, by zyskać dostęp do danych prywatnych firm, które w żadnym innym wypadku jak atak cybernetyczny i wynikający z tego obowiązek dostępu do informacji o przebiegu ataku, nie ujawniłyby agencjom rządowym swoich poufnych biznesowych danych.

Zdaniem cytowanego przez „The Economist” (artykuł „Hype and Fear”, s.60-61, wyd. z dnia 08.12.2012) Martina Libickiego, specjalisty z RAND Corporation, ataki cybernetyczne „nie stanowią aż tak dużego zagrożenia dla ludzi, ani nie mogą zniszczyć sprzętu”. Mogą jedynie „doprowadzić do chwilowej dezorientacji i frustracji, oraz pełnią funkcję wspomagającą dla innych form prowadzenia wojny.” Wartość możliwości obronnych przed cyber-atakami jest przeszacowana, gdyż w USA, które mają najlepsze na świecie możliwości odpowiedzi na taki atak, udaje się powstrzymać tylko 3 na dziesięć prób włamania do różnych sieci. Atakujący sieci teleinformatyczne zawsze mają przewagę i żadne prawo tego nie zmieni. Może zmienić natomiast zakres informacji pozyskiwanych od podmiotów prywatnych i o ich pracownikach.

Zdaniem osób zajmujących się ochroną praw obywatelskich, skala cyber-ataków jest w mediach sztucznie powiększana, gdyż w interesie rządów leży utrzymywanie atmosfery strachu, która legitymizuje legislacyjne działania prewencyjne ograniczające prawa i swobody obywatelskie. Czy przypadkiem panika przed cyber-atakiem nie zastąpiła nadmiernego siania strachu przed terroryzmem islamskim po 9/11 wśród zachodnich społeczeństw, i tak już mocno „nadzorowanych”? – sądzę, że warto to zagadnienie poddać refleksji, pracując nad prawem o cyber-atakach w Polsce.