Niezależnie od tego, gdzie mieszkasz, zawsze jest jakieś prawo, które musisz przestrzegać. W przedszkolu przychodził policjant i mówił kilka słów, jak bezpiecznie przejść przez ulicę. W Polsce posiadanie karty rowerowej jest obowiązkowe, gdy dzieci ukończą 10 lat, aby móc jeździć na rowerach w miejscach publicznych. Aby to zrobić, dzieci muszą nauczyć się podstawowych zasad o ruchu drogowym. Kiedy dzieci dorosną, będą mogły prowadzić samochód, ale proces ten jest oczywiście nieco dłuższy i jest znacznie więcej przepisów do nauczenia. Całkiem podobnie jest z tematem cyberbezpieczeństwa, ale nie do końca. Dla obywateli nie ma przepisów dotyczących tego, jak powinni zachowywać się w cyberprzestrzeni, jak zabezpieczać swoje urządzenia itp. Oczywiście istnieje prawo karne, które obecnie przewiduje kary za niewłaściwe zachowanie, np. włamanie. To zabawne, że w dzisiejszych czasach jest więcej darmowych zabawek dla hakerów niż narzędzi zapewniających cyberbezpieczeństwo. Nastolatki, tak, nastolatki rozpoczynają swoje pierwsze eskapady hakerskie, próbując złamać hasła do sieci Wi-Fi sąsiadów. Innym przykładem jest włamywanie się na konta rówieśników i robienie psikusów. Takie działania są wręcz karalne i podlegają pod kodeks karny.
W przypadku firm jest trochę inaczej, ponieważ muszą one przestrzegać trochę innych przepisów, w których zapewnienie cyberbezpieczeństwa jest wymogiem. Firmy mogą zostać ukarane, ale nie za niewłaściwe zachowanie (chociaż również i za to), ale przede wszystkim za brak zachowania, czyli za niewdrożenie wymogów regulacyjnych. Jedną z tych wielkich regulacji, o których wszyscy słyszeli, było RODO Unii Europejskiej (ogólne rozporządzenie o ochronie danych). Głównym celem tego rozporządzenia było wdrożenie jednolitych środków ochrony danych osobowych obywateli UE (i nie tylko). W przypadku cyberbezpieczeństwa był to duży przełom, ponieważ cyberbezpieczeństwo było w większości ujęte w przepisach sektorowych lub wcale. RODO było pierwszym rozporządzeniem, które zawierało określone wymagania dotyczące cyberbezpieczeństwa niezależnie od branży, o ile firma przetwarzała dane osobowe. Dużym problemem było dla nas przełożenie tego, co mówi prawo, na to, co faktycznie musimy wdrożyć. Oznaczało to godziny spędzone na analizie rozporządzenia słowo po słowie w celu zidentyfikowania konkretnych środków bezpieczeństwa. Jeśli porównasz RODO z przepisami, których producenci samochodów muszą przestrzegać w zakresie obowiązkowego wyposażenia, dostrzeżesz problem. Istnieje lista konkretnych elementów, które samochód musi spełniać, aby był dopuszczony do ruchu drogowego, co oznacza, że lusterko to lusterko, i tu nie ma problemu ze zrozumieniem tego wymogu. W przypadku cyberbezpieczeństwa jest zupełnie inaczej. W RODO prawodawcy dosłownie napisali: „Środki zapewniające poufność, integralność, dostępność i odporność systemów i usług przetwarzania”. Żebyście zrozumiali, gdybyście mieli zaprojektować samochód przy użyciu takich pisemnych wymagań, ludzie używaliby flar do sygnalizowania swoich skrętów, używaliby ręczników papierowych jako wycieraczek i używaliby liny jako pasów bezpieczeństwa. Uwierzcie że w cyberbezpieczeństwie, dokładnie tyle nam mówią takie przepisy. Na szczęście organy regulacyjne najwyraźniej posłuchały i nowa dyrektywa NIS2 (dyrektywa w sprawie bezpieczeństwa sieci i informacji) jest trochę bardziej szczegółowa, tylko trochę.
Jak więc zabrać się do czytania ustawy. Główna różnica między projektowaniem samochodów a cyberbezpieczeństwem polega na tym, że współczesne przepisy określają, co powinniśmy robić jako proces, a nie mówią, że należy wziąć tę technologię i wdrożyć. I to ma dużo sensu. Wracając do moich poprzednich wpisów, cyber to nie tylko technologia, z której korzystamy, to świat, w którym żyjemy. Cyberbezpieczeństwo nie polega na wdrażaniu określonej technologii; chodzi o bezpieczne życie w cyberświecie. Istnieją trzy główne filary: ludzie, proces i technologia. Idąc za porównaniem do samochodów, chodzi o to, aby być bezpiecznym na drodze, niezależnie od samochodu, musi być osoba, która będzie ten samochód prowadzić, więc uczymy ludzi wykonywania procesu prowadzenia technologii. Im więcej nauczysz ludzi, jak zachowywać się na drogach, tym bardziej będą świadomi i będą jeździć zgodnie z ograniczeniami prędkości. Im lepszy samochód, tym większe wsparcie będą mieli ludzie podczas jazdy swoimi samochodami. Te same zasady obowiązują w cyberbezpieczeństwie, uczymy ludzi pracy w bezpieczny sposób, czyli nie udostępniaj swojego hasła, nie klikaj podejrzanych linków i korzystaj z ekranu prywatyzującego podczas pracy w miejscu publicznym. Wdrażamy zaawansowaną technologię, aby odciążyć ludzi, dzięki czemu procesy cyberbezpieczeństwa dzieją się automatycznie. Dlatego właśnie nie ma dosłownego przełożenia prawa na cyberbezpieczeństwo, bo każdy robi te rzeczy w inny sposób, aby zachować zgodność z przepisami. A w przyszłości pojawi się tylko więcej praw.
Jak wspomniałem wcześniej przepisy stają się bardziej szczegółowe, ale wciąż niewystarczające, abyśmy mogli w pełni zrozumieć, co autor miał na myśli. Tym bardziej problematyczne jest to, że nie wiemy na co będą zwracać uwagę audytorzy przy ustalaniu, czy powinni, czy nie powinni nas karać naszych firm za posiadanie „niewystarczającego” bezpieczeństwa. Najczęstszą praktyką jest powolne, ale pewne wdrażanie standardów bezpieczeństwa. Istnieje wiele standardów, ale najbardziej znane to: ISO27001, NIST, CIS, COBIT i PCI-DSS. Wszystkie mają wspólne elementy, ale niektóre są bardziej szczegółowe niż inne w określonych obszarach. Wszystko jest dobrze, dopóki nie pojawi się nowa przełomowa technologia. Jeśli spojrzymy historycznie, Microsoft udostępnił nam swoje usługi w chmurze już w 2010 roku (jak my bez nich żyliśmy? ;) ), podczas gdy norma ISO 27017 została wydana dopiero w 2015 roku, więc pierwszy standard bezpieczeństwa dotyczący przetwarzania w chmurze był już 5 lat za stary. Do dziś nie ma regulacji, która określałaby środki bezpieczeństwa cybernetycznego, dla organizacji, które chciałyby korzystać z usług w chmurze. I mam szczerą nadzieję, że takiego prawa nie będzie. Nie zrozumcie mnie źle, ale im bardziej szczegółowe przepisy, tym gorzej. To tak jak ta funkcja Start/Stop w samochodach, UE stwierdziła, że jest to wyposażenie obowiązkowe, bo to rozwiązanie jest bardziej ekologiczne. Większość ludzi po prostu to wyłącza, reszta ma pecha i takiej możliwości nie ma – to nie jest to, co nazywamy dobrym doświadczeniem użytkownika. Dlatego normy nie powinny być prawem. Dla nas jest całkiem jasne, że jeśli chcesz zachować zgodność z jakimkolwiek prawem, które wymaga kontroli cyberbezpieczeństwa, po prostu zdobądź jeden z pięciu wspomnianych powyżej standardów i dostosuj do swoich konkretnych potrzeb i możliwości.
Jeśli chodzi o przepisy, to dobrze, że są dla firm, ale byłoby znacznie lepiej, gdyby były jakieś regulacje, które mają realny wpływ na obywateli. Tylko w Stanach Zjednoczonych w pierwszej połowie 2022 r. ofiarami cyberprzestępczości padło 53,5 mln osób. Statystycznie w 2022 w Europie było mniej wypadków samochodowych, ale wymagamy od ludzi posiadania prawa jazdy, aby prowadzić samochód. Nie chodzi mi tu oczywiście o to, że od jutra każdy powinien być prawnie zobowiązany do zdania egzaminu na korzystanie z internetu, ale uważam, że jest kilka rzeczy, które można poprawić w legislacji, aby poprawić bezpieczeństwo obywateli. Jak powiedziałem, cyberbezpieczeństwo to ludzie, procesy i technologia. Bez wątpienia mamy już technologię i proces, brakuje nam ludzi. Dlatego regulatorzy powinni zacząć naprawdę dbać o obywateli i ich edukację, jak bezpiecznie żyć w cyberświecie. Nie możemy po prostu oczekiwać, że firmy wezmą na siebie odpowiedzialność za edukację naszych obywateli, jak żyć w cyberświecie. Edukacja zaczyna się od najmłodszych lat, dlatego cyberbezpieczeństwo powinno być obowiązkową lekcją w każdej szkole, aby 7-latek nie tylko wiedział, jak zrobić prezentację w PowerPoint, ale wiedział, jak bezpiecznie korzystać z internetu. Istnieją specjalne programy umożliwiające seniorom korzystanie z internetu, ale czy ktoś uczy ich, jak robić to bezpiecznie? Mam wrażenie, że nie wyciągnęliśmy wniosków z własnej historii. Jeśli cofniemy się do 1913 roku, średnio 33,38 osób zginęło na 10 000 samochodów, teraz ta średnia spadła do 1,53 osoby na 10 000 samochodów i pamiętajmy, że w 1913 roku było tylko 500 tysięcy samochodów, podczas gdy teraz jest ponad 1,63 miliarda samochodów. Z legislacyjnego punktu widzenia jest to ogromny problem, ponieważ z Internetu korzysta ponad 5,16 miliarda ludzi na całym świecie. Oznacza to, że przemysł motoryzacyjny był w znacznie lepszym stanie, gdy zaczynał, niż w miejscu, w którym jesteśmy teraz, 40 lat korzystając z Internetu.
Ah no i jeśli podobają wam się moje teksty zapraszam do subskrypcji!