Nowe usługi muszą być zabezpieczone przed hakerami

Warto wzmacniać partnerstwo publiczno-prywatne na rzecz rozwoju e-administracji.

Publikacja: 11.06.2018 21:00

Nowe usługi muszą być zabezpieczone przed hakerami

Foto: shutterstock

Liczba cyberataków na świecie rośnie lawinowo. Naiwnością byłoby sądzić, że będą one omijać e-administrację. Jeśli chcemy, żeby popularność e-usług dalej rosła, musimy dołożyć wszelkich starań, aby je zabezpieczyć przed ingerencją cyberprzestępców.

Rzut oka na sąsiadów

Zdaniem ekspertów na tle innych krajów polska strategia cyfryzacji zarówno administracji, jak i całego państwa prezentuje się jako dość zachowawcza, wręcz konserwatywna.

– Przyjrzyjmy się Estonii, która jako jeden z pierwszych krajów zainwestowała w rozproszoną infrastrukturę IT. Motorem implementacji był sterowany z Rosji atak hakerski, który „położył” wszystkie państwowe i bankowe systemy informatyczne – przypomina Zbigniew Kostrzewa, współtwórca IOVO, zdecentralizowanej, uniwersalnej bazy danych.

Po wspomnianym ataku władze tego niewielkiego nadbałtyckiego kraju postanowiły zrobić wszystko, by taka sytuacja już nigdy się nie powtórzyła. W tym celu utworzono architekturę kluczowych państwowych systemów komputerowych w oparciu o infrastrukturę klucza publicznego oraz technologii blockchain. Ruch ten spotkał się z aprobatą mieszkańców Estonii, których życie stało się dużo prostsze. – Tak zaprojektowana architektura kraju pozwala m.in. głosować online z dowolnego miejsca na świecie, podpisywać cyfrowo dokumenty i bezpiecznie je wysyłać, składać deklaracje podatkowe, a nawet korzystać z cyfrowych recept – wymienia Kostrzewa. Dodaje, że również przedsiębiorcy z całego świata czerpią z niej korzyści. Program e-residency pozwala bowiem zdalnie zakładać i prowadzić firmy na terytorium Estonii. Nad bezpieczeństwem przepływu informacji czuwa zaawansowana kryptografia, która jest integralnym elementem łańcucha bloków. W praktyce oznacza to, że nie ma możliwości, by ktokolwiek manipulował systemem, wprowadzając zmiany do raz zapisanych danych. Decentralizacja ma jeszcze jedną, istotną zaletę: nawet jeśli hakerom udałoby się przeprowadzić skuteczny cyberatak, który wyłączyłby z obiegu część kluczowych komputerów, to i tak nie sparaliżowałby on całego kraju tak, jak miało to miejsce w przeszłości.

– Niestety, w Polsce słowo „blockchain”, jak i inne nazwy nowych technologii czy innowacji, wciąż brzmią futurystycznie i tylko odważne, proaktywne decyzje rządu mogłyby to zmienić – reasumuje ekspert.

Bez chmury ani rusz

Ze względu na zdecydowanie większą niż w Estonii skalę zbudowanie podobnego ekosystemu w Polsce nie byłoby łatwym zadaniem, ale warto go mieć na uwadze, tworząc krajowe rozwiązania. Proces transformacji, który zachodzi w administracji publicznej, trudno postrzegać w oderwaniu od rosnącego wykorzystania chmury obliczeniowej. To nie tylko ukłon w stronę oszczędności, ale przede wszystkim możliwość szybszego wdrożenia usług. Jest to niezwykle istotne z uwagi na lawinowy przyrost danych, który dotyczy także sektora publicznego, a których przetwarzanie z wykorzystaniem własnej infrastruktury jest coraz bardziej kosztowne.

Niestety, w Polsce adaptacja rozwiązań w modelu chmurowym nie przebiega równie szybko we wszystkich obszarach administracji, dlatego warto patrzeć na inne kraje, które z powodzeniem stosują partnerstwa publiczno-prywatne na rzecz rozwoju e-usług. Firma Microsoft wskazuje m.in. na jej współpracę ze wspomnianym już rządem Estonii na rzecz tzw. cyfrowej ciągłości działania. Chodzi o stworzenie kopii zapasowej rejestrów w chmurze publicznej Azure. To pokazuje, w jaki sposób chmura może poprawić odporność cyfrowych usług na zakłócenia, wywołane czynnikami naturalnymi lub ludzkimi, włączając w to również cyberataki.

Pod dyktando nowych przepisów

Szczególnie podatna na ataki hakerów jest infrastruktura sektora medycznego. W zeszłym roku aż 62 proc. placówek medycznych na świecie doświadczyło cyberataków. Ponad połowa spośród nich przyznała, że konsekwencją była bezpowrotna utrata wrażliwych danych pacjentów, nie wspominając o stratach finansowych, równych średnio 4 mln dol. dla każdej organizacji ochrony zdrowia – wynika z raportu Ponemon Institute „2018 Impact od Cyber Insecurity on Healthcare Organizations”. Zabezpieczenie danych jest nie lada wyzwaniem, szczególnie zważywszy na fakt, że zgodnie z obowiązującym prawem elektroniczną dokumentację medyczną trzeba przechowywać przez wiele lat. Nic dziwnego, że w sektorze medycznym również rośnie popularność chmury. Na tę technologię warto też spojrzeć przez pryzmat rozporządzenia o ochronie danych osobowych, które weszło w życie 25 maja. Analitycy firmy badawczej IDC przewidują, że wymagania legislacyjne spowodują bardziej dojrzałe podejście do technologii chmurowych – praktycznie w każdym sektorze.

W Polsce zasadnicze kwestie związane z cyberbezpieczeństwem reguluje nowa ustawa (więcej w ramce poniżej). Krajowy system cyberbezpieczeństwa obejmuje w większości podmioty prywatne, czyli operatorów tzw. usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i zdrowotnego) oraz dostawców usług cyfrowych. Jednak do systemu będą również włączone podmioty publiczne, takie jak jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej.

O tym, jak trudno jest zsynchronizować przepisy zarówno na poziomie krajowym jak i międzynarodowym, świadczy tocząca się właśnie dyskusja na temat projektowanego rozporządzenia ePrivacy. Niemal 60 unijnych związków i stowarzyszeń reprezentujących branżę technologiczną (w tym Związek Importerów i Producentów Sprzętu Elektrycznego i Elektronicznego Cyfrowa Polska) podpisało się pod wspólnym apelem do rządów państw unijnych. Ostrzegają, że obecna wersja projektu jest niespójna z przepisami dotyczącymi RODO, a ich wprowadzenie ograniczy powstawanie i rozwój innowacyjnych projektów.

Michał Kanownik, prezes ZIPSEE Cyfrowa Polska, podkreśla, że nowe przepisy zgodnie z założeniami mają wzmocnić ochronę użytkowników komputerów, smartfonów czy tabletów przed nadmierną ingerencją w sferę prywatności. Chodzi o to, aby mieli oni kontrolę nad swoimi danymi, takimi jak historia przeglądarki, ruch na stronach internetowych lub lokalizacja. To właśnie te dane są często wykorzystywane do celów marketingowych. W opinii szefa ZIPSEE ePrivacy zamiast rzeczywiście zadbać o ochronę prywatności, w praktyce może zaszkodzić cyfrowej gospodarce.

Przepisy pod lupą

26 kwietnia Rada Ministrów przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa, który został skierowany do rozpatrzenia przez Sejm. Celem ustawy jest zapewnienie przez państwo bezpieczeństwa usług kluczowych – chodzi o takie sektory jak energetyka, transport czy finanse. Nowe przepisy precyzują też wymagania dla dostawców usług cyfrowych. Z kolei podmioty publiczne będą włączone do krajowego systemu cyberbezpieczeństwa dzięki obowiązkowi zgłaszania incydentów. Projektodawca zobowiązuje je do obsługi incydentów we własnym zakresie, pozostawiając swobodę w sposobie realizacji tych obowiązków – poinformowało nas Ministerstwo Cyfryzacji. Podkreśla, że proponowane rozwiązanie uwzględnia istniejące już (i rozbudowywane) wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo w poszczególnych resortach. Jak oceniane są nowe przepisy? Ilu ekspertów, tyle opinii. Wśród tych pozytywnych najczęściej mowa jest o porządkowaniu i skoordynowaniu obszarów, które wcześniej były porozrzucane. A krytyka? Diabeł jak zwykle tkwi w szczegółach. Problematyczne są definicje poszczególnych pojęć i zadań oraz przede wszystkim podział kompetencji. „Nie jest tajemnicą, że projekt powstawał w atmosferze konfliktu na linii MC-MON. Resort obrony chciał więcej władzy nad cyberbezpieczeństwem” – możemy przeczytać na specjalistycznym portalu IT Niebezpiecznik.pl. Eksperci z NASK podkreślają, że koncepcja systemu bezpieczeństwa na skalę krajową czy międzynarodową nie jest nakierowana na wyeliminowanie wszystkich ataków z naszej wspólnej cyberprzestrzeni. Nie jest to zresztą możliwe. Celem jest natomiast stworzenie mechanizmów, które pozwolą ograniczyć skutki, aby najważniejsze sfery życia mogły funkcjonować bez zakłóceń. Dlatego warto postawić przede wszystkim na rozwój współpracy, gromadzenie danych z jak największej liczby źródeł i przygotowanie na sytuacje awaryjne.

IT
IT
Planowanie infrastruktury IT w MŚP
IT
Jak uczynić zakupy w internecie bezpiecznymi. Niska świadomość klientów
IT
Mapy Google powiedzą, gdzie stoi policja. A w kolejce do wprowadzenia już kolejne nowości
IT
Amerykanie alarmują: chińskie dźwigi portowe szpiegują. Są też w Polsce
IT
Firmy i konsumenci mogą wykorzystać atuty transformacji cyfrowej
Materiał Promocyjny
Nest Lease wkracza na rynek leasingowy i celuje w TOP10