O pojęciu Cyberbezpieczeństwa
słów kilka
Felieton ten (w nieco zmienionej postaci) jest opublikowany w CRN 2021/4
Dyrektywa NIS Rady i Parlamentu Europejskiego z 2016 roku „w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii”, stała się podstawą działań rządów w wykrywaniu i zapobieganiu atakom teleinformatycznym. W tej dyrektywie termin cyber występuje tylko 5 razy – w nazwach instytucji, a cybersecurity nie istnieje. Termin security of network and information systems został przetłumaczony na bezpieczeństwo sieci i systemów informatycznych – można to było przetłumaczyć na bezpieczeństwo sieci teleinformatycznych (zdefiniowanych w ustawie o informatyzacji podmiotów…).
I tu mamy pierwszą wątpliwość. Dlaczego mówimy o bezpieczeństwie, gdyż co właściwie oznacza bezpieczeństwo systemów? Dla kogo i jak mają być one bezpieczne – czy dla ich właścicieli czy dla użytkowników. Zapewne brak wirusów w takim systemie można uznać za zapewnienie bezpieczeństwa w użytkowaniu systemu. Jednakże lepszym byłoby przetłumaczenie terminu security jako ochrona, a wtedy fraza ochrona systemów teleinformatycznych jest dużo lepiej zrozumiała i wprost określa cel działania [argumentem z tą zmianą niech będzie przykład – Min. Bezp. Publ., UB, SB, a teraz Urząd Ochrony Państwa].
Ale takie rozumienie terminu security, jak widać, było za trudne dla tłumaczy tekstów unijnych. W ślad za tą dyrektywą pojawiła się w Polsce ustawa implementująca zapisy dyrektywy o zupełnie odmiennym tytule - "ustawa o krajowym systemie cyberbezpieczeństwa". Tam zamiast definicji z dyrektywy – bezpieczeństwo sieci i systemów informatycznych zdefiniowano:
cyberbezpieczeństwo – odporność systemów informacyjnych (równoważnych systemom teleinformatycznym) na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
Taka definicja lepiej odnosi się do pojęcia cyberochrona, tym bardziej że oprócz wmontowanej w systemy odporności trzeba z zewnątrz aktywnie je oraz sieć monitorować, czy nie następują próby włamań – czyli sprawować ochronę. Dlaczego zrezygnowano z powielenia treści z dyrektywy? – tego długo nie chciano wytłumaczyć – aż do teraz.
Rodzi się pytanie, skąd się wzięło to cybersecurity? Niestety zostało przywleczone do Europy i Polski przez wojska amerykańskie poprzez NATO. Co więcej jeszcze w 2017 roku w UK stwierdzono [1 ] - „In recent years, ‘Cyber Security’ has emerged as a widely-used term with increased adoption by practitioners and politicians alike. However, as with many fashionable jargon, there seems to be very little understanding of what the term really entails.” Przy okazji proszę spojrzeć na zapis Cyber Security – jest nazwą własną.
Nie wnikając tutaj w rozstrzyganie czym jest, a czym nie jest cybersecurity warto stwierdzić, że sam przedrostek cyber budzi pytania co on de’facto oznacza. W niektórych amerykańskich i polskich słownikach jest to coś związane z komputerami oraz siecią internetową. Nam starszym kojarzy się to z cybernetyką – nauką o komunikacji w człowieku i maszynie, nauką wypartą z czasem przez rozwój informatyki. Młodszym kojarzy się z grami komputerowymi, a ostatnio z grą Cyberpunk. Dla mnie nie jest to poważny termin informatyczny.
Niestety obecnie podważanie sensu używania mało zrozumiałego terminu cybersecurity czy cyberbezpieczeństwo w odniesieniu do tak poważnej sprawy jak ochrona systemów teleinformatycznych staje się praktycznie niemożliwe. W Komisji UE 18.12.2020 zaprezentowano projekt nowej dyrektywy NIS 2.0 - „on measures for a high common level of cybersecurity across the Union”[ 2 ] mającej zastąpić istniejącą dyrektywę NIS. Wyjaśniło się, dlaczego w Polsce pojawiła się ustawa o cyberbezpieczeństwie – chcieliśmy być pierwsi z tym terminem. W tej propozycji dyrektywy jednak odnajdujemy definicję: ‘security of network and information systems’ , którą można przetłumaczyć [Google] na: „ochrona sieci i systemów informatycznych” oznacza zdolność sieci i systemów informatycznych do opierania się, przy określonym poziomie zaufania, wszelkim działaniom, które zagrażają dostępności, autentyczności, integralności lub poufności przechowywanych, przesyłanych lub przetwarzanych danych lub oferowanych usług powiązanych przez te sieci i systemy informatyczne lub dostępne za ich pośrednictwem; oraz definicję (tu przywołano definicję z dokumentu 2019/188 Rady i Parlamentu Europejskiego) - w tłumaczeniu [Google]: „cyberbezpieczeństwo” oznacza działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów i innych osób dotkniętych cyberzagrożeniami;
Z tej definicji wyraźnie widać, że w tłumaczeniu na polski powinna to być definicja cyberochrony, która jest zdefiniowana chyba tylko po to aby przed informatycznymi włamaniami objąć też użytkowników czy inne dotknięte osoby. Jest mi to trudno zrozumieć, gdyż wszelkie zagrożenie dla osób tkwi w trzewiach systemów i wystarczy je tam wykryć i usunąć, a wtedy i te osoby będą chronione.
Nie czas i miejsce na analizowanie treści propozycji nowej dyrektywy – w skrócie nie ma w niej nic co by bezpośrednio inicjowało prowadzenie aktywnych działań prewencyjnych wobec potencjalnych i rzeczywistych krakerów wraz z działaniami operacyjnymi zapobiegającymi atakom oraz wykrywających i aresztujących sprawców takich ataków. Ale to już inna historia. Nas tutaj interesuje niezbyt szczęśliwie dobrana terminologia. Nie ma bowiem uzasadnienia posługiwanie się nowomodnym żargonem cyberbezpieczeństwo (jeśli już to raczej cyberochrona) czy też innym cybercoś. Wystarczy mówić o ochronie systemów teleinformatycznych, co jest bardziej dla wszystkich zrozumiałe.
Niestety przy tych słowotwórczym działaniu informatyków nie było. Co gorsze, informatyków też nie było przy formułowaniu zapisów tych dyrektyw, a szkoda, bo za sprawną ochronę systemów teleinformatycznych to właśnie informatycy będą jako pierwsi odpowiadać, narażając się też (czasem nawet ze swoimi rodzinami) na wiele innych zagrożeń natury kryminalnej (głównie szantaży w celu pozyskania wejść do systemu), gdyż jest to przede wszystkim ogromna przestrzeń działań przestępczo-terrorystycznych. A o ochronie i bezpieczeństwie informatyków nic w tych dyrektywach nie ma!
[1] https://commons.erau.edu/jdfsl/vol12/iss2/8/
[2] https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union