Przywódcy NATO nadali finansowaniu cyberobrony najwyższy priorytet. Podczas szczytu NATO w Warszawie w lipcu 2016 roku przyjęli zobowiązanie w dziedzinie cyberobrony, aby priorytetowo potraktować udoskonalanie i wzmacnianie zabezpieczeń cybernetycznych krajowych infrastruktur i sieci.
Wspomniane zobowiązanie w dziedzinie cyberobrony pojawia się wobec rosnącego poziomu skomplikowania oraz skuteczności cyberataków. W minionych kilku latach ataki na krytyczne elementy infrastruktury energetycznej, przedsiębiorstwa telekomunikacyjne, agendy rządowe, a ostatnio także na partie polityczne wskazują na społeczny i ekonomiczny wpływ ataków cybernetycznych.
Przywódcy NATO nadali finansowaniu cyberobrony najwyższy priorytet podczas szczytu NATO w Warszawie w lipcu 2016 roku. © NATO
Bliżej naszych spraw, doroczny raport sekretarza generalnego stwierdza, że w minionym roku własne natowskie systemy zabezpieczeń cybernetycznych rozprawiały się z 500 incydentami miesięcznie, co oznacza wzrost o około 60% w porównaniu z 2015 rokiem.
Celem cyberataków jest podważenie zaufania i pewności w cyberprzestrzeni – co jest fundamentalną kwestią ze względu na to, jak bardzo opieramy się na wzajemnie połączonych technologiach, nie tylko w kontekście naszych systemów łączności, ale także naszego wzrostu ekonomicznego i modelu społecznego.
Jak powinniśmy alokować środki, aby osiągnąć najlepszy skutek?
Sojusz uznał na najwyższych szczeblach, że przeciwdziałanie tym wyzwaniom wymaga przeznaczenia środków na zaawansowane zdolności, edukację i szkolenie.
Aby to osiągnąć, politycy w stolicach będą musieli zmierzyć się z wieloma ważnymi pytaniami. Takimi jak: ile powinniśmy wydawać; jaki jest minimalny poziom inwestycji; na co powinniśmy wydatkować środki, aby osiągnąć podstawowy poziom bezpieczeństwa cybernetycznego, zwłaszcza uwzględniając dynamiczny charakter zagrożeń?
Z ogólnie dostępnych informacji wynika, że niektóre państwa członkowskie Sojuszu już osiągnęły postęp w odpowiadaniu na te pytania. Na przykład francuski Pacte Défense Cyber z 2014 roku zakładał przeznaczenie na cyberobronę 1 miliarda euro, a w 2016 roku Wielka Brytania ogłosiła inwestycje o wartości 1,9 miliarda funtów brytyjskich w celu wspierania narodowego programu bezpieczeństwa cybernetycznego.
Wydatki na obronę to złożony obszar, który nie poddaje się prostej analizie kosztów i korzyści. Jednak warto pamiętać, że koszty (braku) bezpieczeństwa cybernetycznego mogą być wysokie. Na przykład, analiza Rady Atlantyckiej i Uniwersytetu w Denver z 2005 roku sugeruje, że – przyjmując najgorszy scenariusz – do roku 2030 koszty braku bezpieczeństwa cybernetycznego potencjalnie mogą pochłonąć 90 bilionów dolarów amerykańskich z globalnego produktu krajowego brutto. Jeszcze bardziej niepokojące jest, że ich analiza podkreśla możliwość, iż w przyszłości koszty braku bezpieczeństwa cybernetycznego z powodzeniem mogą przeważyć nad korzyściami, jakie oferuje cyberprzestrzeń. Wyżej wspomniane nakłady wydają się zatem niewielkie w porównaniu z potencjalnymi całkowitymi kosztami braku bezpieczeństwa.
Na co można wydatkować budżet cyberobrony?
Zanim odpowiemy na to pytanie, warto wspomnieć o kilku kwestiach.
Po pierwsze, cele wydatków poszczególnych państw na cyberobronę mogą być po części dyktowane ich stopniem uzależnienia od bezpiecznego i nieskrępowanego dostępu do cyberprzestrzeni oraz poziomem konkretnych zagrożeń cybernetycznych. Inaczej mówiąc, jedynie gdy jakieś państwo nie korzysta z technologii komunikacyjnych i informatycznych istnieje argument, że nie ma potrzeby wydatkować żadnych środków. Co więcej, dynamiczny charakter palety zagrożeń oraz specyficzność narażenia na zagrożenia cybernetyczne w każdej konkretnej sytuacji – którą eksperci nazywają „powierzchnią ataku” decyduje o tym, że tak trudno jest podjąć decyzję o konkretnych celach finansowania. Wskazuje to na konieczność podejścia do cyberobrony opartego o ocenę i zarządzanie ryzykiem tak, aby ustalić priorytetowe cele finansowania proporcjonalnie do tych zagrożeń, które mogą powodować największe szkody.
Po drugie, teoretycznie jakaś konkretna kwota budżetu cyberobrony z powodzeniem może „kupić” więcej bezpieczeństwa, niż wydatki przeznaczone na pozyskanie innych środków obrony. Budżet wydany na zaporę sieciową lub podniesienie świadomości użytkowników wzmacnia zabezpieczenia przed całą gamą cyberataków, włączając te, których celem jest kradzież pieniędzy lub zakłócenie infrastruktury. Wniosek brzmi, iż wydatkowanie małych środków na cyberobronę może przynieść bardzo duże skutki.
W minionych kilku latach ataki na krytyczne elementy infrastruktury energetycznej, przedsiębiorstwa telekomunikacyjne, agendy rządowe, a ostatnio także partie polityczne wskazują na społeczny i ekonomiczny wpływ ataków cybernetycznych.
Na koniec, twórcy budżetów na cyberobornę powinni docenić, iż skuteczna cyberobrona jest pochodną nie tylko właściwej technologii, ale także pozyskania właściwych ludzi, wyszkolonych na właściwym poziomie i dzięki wdrożeniu właściwej polityki. Ogólnie mówiąc, w odróżnieniu od pozyskiwania tradycyjnego potencjału obrony, gdzie priorytetem jest materialne wyposażenie, o skuteczności cyberobrony może decydować dzielenie się informacjami, współpraca i koordynacja. Te wszystkie czynniki są trochę niematerialne.
Poza koniecznością uwzględnienia mglistego charakteru tych działań, dużym wyzwaniem jest zrozumienie kosztów innych elementów składowych cyberobrony: na przykład dodatkowych kosztów czasu przeznaczonego przez użytkowników na zapewnianie podstawowej higieny cybernetycznej oraz dodatkowych wysiłków zaplecza badawczo-rozwojowego w celu wdrożenia zabezpieczeń cybernetycznych do oprogramowania sprzętu wojskowego.
Wreszcie, cykle unowocześniania mogą być szybsze w cyberobronie, niż w innych rodzajach zdolności obronnych. Oprogramowanie antywirusowe jest dobrze ilustrującym przykładem: rosnąca wszechobecność cyberobrony oznacza, że lista cyfrowych odcisków palca rozmaitych wirusów, stosowana w oprogramowaniu antywirusowym, może być aktualizowana w czasie rzeczywistym. Dla porównania, duże komponenty sprzętu obronnego mają przetrwać wiele lat – na przykład Hercules C-130 po raz pierwszy był oblatywany w 1954 roku, a jego różne warianty wciąż zajmują mocną pozycję.
Materialne i niematerialne koszty cyberobrony
Pamiętając o powyższym, wydatki na cyberobronę mogą obejmować wiele różnych elementów. Mogą one być materialne i niematerialne; mogą to być wydatki jednorazowe, a mogą one powtarzać się co miesiąc, co rok lub nieregularnie.
Ludzie są prawdopodobnie bardziej oczywistym odbiorcą tych środków. Może to się odbywać w formie wypłaty wynagrodzenia lub innych kosztów pośrednich, takich jak emerytury, ale musi to być także czas poświęcony na ich szkolenie, kursy i ćwiczenia. Uwzględniając, że rekrutacja i retencja specjalistów od cybernetyki w instytucjach rządowych jest wyzwaniem (ze względu na atrakcyjne pensje, jakie bywają oferowane przez sektor prywatny), koszty te mogą być znaczące - co więcej eksperci sugerują, że mogą one być najsilniejszym czynnikiem zwiększającym wydatki na cyberobronę.
Priorytetem jest inwestowanie większych środków w centra ds. operacji związanych z bezpieczeństwem.
Trzeba również uwzględnić koszt pracy: może on obejmować czas poświęcony na projektowanie, wdrażanie i utrzymanie środków bezpieczeństwa cybernetycznego, w tym przeprowadzanie uaktualnień systemów bezpieczeństwa, dekompilowanie złośliwych kodów lub przeprowadzanie ćwiczeń certyfikacyjnych.
Ostatnią kategorią niematerialnych kosztów wynikających z natury cyberobrony jest czas i nakłady pracy inwestowane w koordynację, dzielenie się informacjami oraz nawiązywanie współpracy. Często mówi się, że cyberobrona, to „sport drużynowy”, a „kluczem jest zaufanie”. Znaczenie tych zasad jest oczywiste, jeżeli docenimy, ile czasu wymaga zbudowanie i ustanowienie zaufanej sieci wymiany informacji. Nawet w czasach telekonferencji nic nie zastąpi osobistych spotkań w celu budowy zaufania.
Materialne kategorie kosztów są często najbardziej oczywiste, ale w stosunku do działań wymienionych powyżej mogą one stanowić niewielki ułamek kosztów cyberobrony. Koszty te mogą dotyczyć sprzętu lub oprogramowania, licencji na oprogramowanie (które często mogą sięgać tysięcy lub nawet milionów dolarów lub euro), a także ich dostosowania do indywidualnych potrzeb i integracji niezbędnych do tego, aby mogły one działać w docelowym środowisku. Coraz częściej powtarzające się koszty są związane z usługami dostawców usług zarządzania cyberbezpieczeństwem (MSSP), którzy oferują coś w rodzaju cyberobrony zleconej zewnętrznym podmiotom, przeprowadzając analizy zagrożeń na potrzeby swoich klientów. Inne koszty, które mogą także być kwalifikowane jako koszty technologii, obejmują zakup powiadomień o jeszcze niewykrytych lukach w oprogramowaniu (określanych, jako „zero days”), aby uniknąć wykupienia ich i użytkowania przez innych.
Wreszcie wydatki mogą służyć stymulowaniu innowacji. Jest to zagadnienie o rosnącym znaczeniu – dzięki temu można będzie wykorzystać wczesne fazy badań i rozwoju do udoskonalenia cyberobrony. Wydatki te mogą mieć formę grantów dla przemysłu lub z przeznaczeniem na działalność badawczo-rozwojową.
Koszty zaniechania
Zrozumienie niedostrzegalnych implikacji budżetowych cyberobrony może być równie trudne, jak śledzenie pozornie upiornych ataków pochodzących z wirtualnego świata.
Niemniej jednak, jeżeli przyjrzymy się niektórym szacunkom odnoszącym się do kosztów braku bezpieczeństwa cybernetycznego i relatywnemu znaczeniu, jakie wiele państw przyznało zagrożeniom cybernetycznym, oczywiste jest, że wydatki na cyberobronę z powodzeniem mogą być dobrą inwestycją w obronę. Na przykład atak cybernetyczny na bank centralny Bangladeszu spowodował straty w sieci SWIFT na kwotę netto około 81 milionów dolarów – co dla tego kraju oznacza spore pieniądze.
Inwestowanie w innowacje będzie miało rosnące znaczenie – dzięki temu można będzie wykorzystać wczesne fazy badań i rozwoju do udoskonalenia cyberobrony.
W sektorze prywatnym w rezultacie cyberataku z 2015 roku brytyjski dostawca usług telekomunikacyjnych TalkTalk według doniesień poniósł wyjątkowe koszty 40-45 milionów funtów brytyjskich, przy obniżce przychodów z handlu o 15 milionów funtów, a ponadto stracił ponad sto tysięcy klientów.
Priorytety w zakresie wydatków
Aby uniknąć takich strat ekonomicznych ważne jest, żeby zwracać uwagę na przeznaczenie i wysokość wydatków.
Wydatki na kapitał ludzki – w formie rekrutacji, retencji, szkolenia i kształcenia – wydają się kluczem do sukcesu. Zatem konieczne jest ścisłe ukierunkowanie wydatków – szczególnie teraz, gdy globalne polowanie na talenty oznacza, że sektor prywatny może łatwo zwabić wysoko wykwalifikowanych ekspertów dysponujących dużą wiedzą. Rozważania dotyczące wydatków muszą też uwzględniać fakt, iż - podobnie jak w przypadku góry lodowej – znaczna część wydatków na obronę leży „pod powierzchnią wody”, ponieważ czas (a zatem także budżet) są konieczne do zapewnienia trwałej koordynacji, współpracy i wymiany informacji, które budują zaufanie.
Wartość zobowiązania w dziedzinie cyberobrony
W obrębie NATO te aspekty będą musiały być rozwiązywane w kontekście szerszej politycznej debaty w gronie państw członkowskich o wydatkach na obronę. Zobowiązanie w dziedzinie cyberobrony może być platformą stymulującą debatę w Sojuszu o wydatkach na cyberobronę i ustalanie priorytetów w tej dziedzinie. Wiedza dostępna członkom Sojuszu w raportach z wdrażania zobowiązania w dziedzinie cyberoobrony może umożliwić im dzielenie się doświadczeniami i najlepszymi praktykami w tym zakresie, a tym samym może przyczyniać się do zapewnienia bardziej efektywnej i wydajnej cyberobrony dla całego Sojuszu.