Cyberbezpieczeństwo chronionych tajemnic i danych osobowych

W wolnym dostępie w Internecie znajdziemy aktualnie (17 luty 2018 r.) ciekawe czasopismo studenckiego koła naukowego bezpieczeństwa wewnętrznego  Securo 2018/5 Cyberbezpieczeństwo w XXI w. pod red. A. Gasztold i J. Sabały.

Co prawda nie cały numer Securo poświęcony jest cyberbezpieczeństwu, ale za to kilka artykułów z tego zakresu dotyczy problemów najbardziej aktualnych  i jest oparte na ciekawej i obszernej literaturze.

Znaczenie tekstu Jakuba Sabały, Cyberprzestrzeń jako teatr działań wywiadu, nie ogranicza się do – zresztą niezmiernie przecież ważnej – sfery obronności państwa. Zdobywanie informacji w sposób nieuprawniony jest problemem także w sferze wywiadu gospodarczego. Chodzi zarówno o zdobywanie informacji z zakresu tajemnic przedsiębiorstwa lub tajemnic branżowych (banki, ubezpieczenia), zawodowych (lekarza, adwokata), jak i naruszenia bezpieczeństwa danych osobowych poprzez nieuprawniony dostęp do nich.

Autor wprowadza pojęcie cyberprzestrzeni i odnotowuje, że w związku z rozwojem Internetu tradycyjne relacje przestrzenne przestały odgrywać decydującą rolę. To prawda, że w Internecie Chiny są równie blisko USA, jak Meksyk USA. Jest też prawdą, że dystrybucja cyfrowa treści znosi granice w biznesie, np. możliwość zakupu książek w wersji MOBI jest taka sama w USA i w Polsce dzięki Amazon. Wywiad – zarówno międzypaństwowy jak i gospodarczy – jest bezpieczniejszy dla cyberagentów niż dla agentów tradycyjnych, ponieważ fizycznie nie znajdują się oni w zasięgu władzy szpiegowanego państwa lub szpiegowanej korporacji. Trudniej też okradzionemu zidentyfikować cel kradzieży, skoro traci kontrolę od razu nad wielką liczbą niepowiązanych ze sobą danych.

Autor omawia poza tym kilkanaście kategorii naruszenia cyberbezpieczeństwa i przedstawia stosowane przez państwa narzędzia do agregowania jawnych informacji internetowych, jak amerykański RIOT.

Nauka wynikająca z lektury jest niebagatelna. Jeśli przypadkowe ujawnienie informacji z polskiej bazy wojskowej – okolicznościowa fotografia towarzyska – w Internecie ułatwiło jej zbombardowanie, to znaczy, że ujawnienie dosłownie KAŻDEJ informacji ujawnianej w Internecie pociąga za sobą niedające się z góry określić ryzyko. Jeśli agregowanie ujawnianych w różnym czasie i miejscu przez różne osoby informacji na temat danego państwa lub danego przedsiębiorcy samo w sobie prowadzi do pozyskania wartościowych informacji o tym państwie i tym przedsiębiorcy, to samo przyczynianie się do tworzenia tego efektu Big Data w zakresie np. działalności danego przedsiębiorcy jest już dla niego szkodliwe. Takich ryzyk można unikać odpowiednio kształtując procedury firmowe i treść „lojalek”. Wobec rozbudowania metod szkodzenia w Internecie niezbędne staje się też powiększenie wiedzy osób zatrudnionych korzystających w pracy z Internetu, chociażby z poczty email, na temat tych zagrożeń i objęcie umowami obowiązku zapobiegania im poprzez ich rozpoznawanie i unikanie.

Tekst Mateusza Decyka, Internet Rzeczy-wistych zagrożeń, dotyka modnych tematów Internetu Rzeczy, Sztucznej Inteligencji oraz Big Data. Autor przypomina skandale związane z włamaniami do elektronicznych nianiek i uświadamia nam to, czego może nie chcemy wiedzieć. Mianowicie, że jeśli rzeczy w jeszcze większym stopniu niż dotychczas staną się terminalami, stacjami roboczymi, komputerami ze względu na instalowanie w nich procesorów, pamięci i zapewnienie łączności z Internetem, to wszelkie zagrożenia cyberbezpieczeństwa zaczną dotyczyć wszystkich tych rzeczy, często niezabezpieczonych lub słabo zabezpieczonych. Innymi słowy nie tylko cyberniania, ale też samochód samosterujący, sterowana elektronicznie wentylacja lub ogrzewanie, tudzież ekspres do kawy, będą mogły stać się nośnikiem szkodliwego oprogramowania. Co więcej, ponieważ poprzez Internet są one ze sobą połączone, szkodliwe oprogramowanie teoretycznie będzie mogło zaatakować komplet takich urządzeń wokół nas, tj. nasz „samosterujący się” dom – smart home, a nawet „samosterujące się” miasto – smart city.

Wizja znalezienia się na zewnątrz statku kosmicznego i trudności w przekonaniu komputera Hal 9000 do otwarcia luku nie należy do sympatycznych. Jednocześnie problemy odpowiedzialności prawnej, jakie z takiej konfiguracji zagrożeń cyberbezpieczeństwa wynikają, są niezmiernie trudno rozwiązywalne. Podstawową regulacją stanowiącą punkt odniesienia dla oceny należytego wywiązania się producentów z umów stanie się RODO i ustawa o ochronie danych osobowych. Istotne staną się reguły odpowiedzialności za wady softwar’u, a dla tych regulacja prawna softwar’u w prawie autorskim nie jest bez znaczenia. Także przepisy kodeksu cywilnego o odpowiedzialności za produkt niebezpieczny będą mogły znaleźć nowe zastosowanie. Last but not least, warto czytać i negocjować umowy także pod kątem cyberbezpieczeństwa.

Z pewnością problem samochodu samosterującego, który ze względu na błąd oprogramowania lub złośliwe oprogramowanie powoduje wypadek, już dziś może nam zacząć spędzać sen z powiek, jako że tempomatów używamy coraz częściej i przecież od wielu lat, a wypadki samochodów samosterujących już się zdarzają. W takiej sytuacji istotne oceny prawne będą płynęły z obszernej regulacji profilowania w RODO jako formy przetwarzania danych osobowych, ponieważ samosterowanie zakłada profilowanie zachowań kierowców.

W tym kontekście autor zwraca uwagę na fakt, że hakerzy wykradają aktualnie tajemnice chronione, szczególnie tajemnice przedsiębiorstwa oraz dane osobowe. W świecie, w którym współczesną ropą naftową stały się informacje kradzieże tych dwóch kategorii informacji okazują się najbardziej intratne.

Artykuł Rafała Skóry, Ransomware – jako zagrożenie dla cyberbezpieczeństwa, analiza przypadku ataku WannaCry, któremu uległa m.in. brytyjska służba zdrowia, omawia na tle tego powszechnie znanego m.in. w środowisku polskich ABI i prawników IT historię Ransoware, najważniejsze ataki tego typu oraz zestawia Ransomaware z innego typu zagrożeniami internetowymi. Rafał Skóra podkreśla związek rozwoju kryptowalut z rozwojem ataków ransomware, ponieważ te pierwsze umożliwiają bezpieczne dla cyberprzestępców płatności w ramach tych drugich – okup (ransom) zapłacić natomiast musimy, żeby odszyfrować zaszyfrowane przez złośliwe oprogramowanie treści. Autor wskazuje też na istotny wzrost ataków ransomware w ostatnim czasie i przewidywany wzrost w przyszłości, ponieważ ataki tego typu okazuję się bezpieczne dla cyberprzestępców i intratne. Jest poruszający fakt, że można powiedzieć, że przez WannaCry umierali ludzie, ponieważ pacjenci brytyjskiej służby zdrowia z pewnością uzyskiwali pomoc z opóźnieniem w stosunku do sytuacji normalnego funkcjonowania systemów IT brytyjskiego Ministerstwa Zdrowia.

Szkoda, że autorzy nie zajęli się jednym z wydaje mi się, że ciekawszych problemów cyberbezpieczeństwa. Mianowicie w ramach tendencji do stosowania AI , m.in. w bazach danych, już teraz próbujemy zabezpieczać się przed zagrożeniami stosując oprogramowanie, które samo się naprawia.

Czy ten kierunek zabezpieczania się, tj. wyłączenie – jako często zawodnego i powolnego – człowieka z systemu dbania o bezpieczeństwo i zastąpienie go elementem podatnym na ataki, których natury jeszcze nie znamy, tj. zastąpienie wad człowieka ryzykiem wojny „dobrej” AI ze „złą” AI, ma sens? Już przecież udowodniono, że konfrontacja AI w postaci tzw. GAN prowadzi do większej kreatywności AI, a zatem wyników, których być może nie będziemy umieli przewidzieć. Innymi słowy – zmaterializowanie się zagrożenia zniszczenia cywilizacji przez maszynę w sposób fascynujący przedstawionego przez Stanleya Kubricka w Doktorze Strangelove – nie przestało być prawdopodobne.

Mimo tego mankamentu Securo 2018/5 Cyberbezpieczeństwo w XXI w., to czasopismo godne polecenia!