W sprawach cyberbezpieczeństwa wciąż zajmujemy się problemami z wczoraj

Grzegorz Jasiński, RMF FM: Prawdopodobnie nie miała pani okazji oglądać pierwszej debaty prezydenckiej?

Melissa Hathaway: Nie, faktycznie nie miałam okazji...

Spieszę więc donieść, że sprawy cyberbezpieczeństwa były w trakcie debaty poruszane jako pierwsze w kolejności w ogólnym temacie bezpieczeństwa. Czy panią to zaskakuje?

Nie, myślę, że oboje kandydaci zaczynają sobie zdawać sprawę z tego, że nasz brak cyberbezpieczeństwa w USA staje się poważnym problemem i ten z nich, kto zostanie wybrany, będzie musiał coś z tym zrobić.  

To był prawdopodobnie jeden z nielicznych tematów, co do których mieli podobną opinię, przyznali, że USA muszą w tej dziedzinie uczynić znacznie więcej, niż do tej pory.

Jednym z problemów za czasów administracji Baracka Obamy było to, że choć podczas pierwszej kadencji zaproponowaliśmy odpowiednią politykę w tej dziedzinie, prezydent koncentrował się na samym planie działania, niekoniecznie już na realizacji tego planu. To spowodowało, że w działaniach na rzecz bezpieczeństwa kraju jesteśmy mocno spóźnieni. Jeśli popatrzymy w przyszłość, jednym z najważniejszych zadań dla kolejnego prezydenta będzie poprawa stanu naszej infrastruktury. W rzeczywistości jesteśmy krajem najbardziej zainfekowanym botnetami, systemami "command and control", które sterują tymi botnetami, mamy wielkie problemy z "ransomware". Jeśli udałoby nam się to wszystko nieco oczyścić, mielibyśmy znacznie mniej problemów z działalnością przestępczą, czy nielegalną, do której dochodzi w naszym kraju. Po drugie, prezydent musi zwrócić uwagę na trzy krytyczne składniki infrastruktury, które mają dla stabilności i pomyślności kraju kluczowe znaczenie. Chodzi po pierwsze o sektor energetyczny, mamy kłopoty z siecią przesyłową, czy systemem elektrowni jądrowych, które muszą być wyczyszczone. Drugi problem to telekomunikacja i coraz częstsze przypadki ataków typu DoS (Denial of Service), które odcinają dostęp do internetu. Trzecia dziedzina to nasze powiązania z globalnym systemem finansowym, musimy zapewnić tu pełną stabilność. Wszystko to oczywiście potrzebuje energii, a swobodny przepływ towarów, usług, danych i kapitału potrzebuje też sprawnego systemu telekomunikacyjnego. Ponadto, cała globalna gospodarka zależy także od naszego przekonania, że wszystko to będzie działać bez przeszkód. Bezpieczeństwo tych trzech krytycznych elementów infrastruktury musi być w centrum zainteresowania nowego prezydenta.

Ale oczywiście wszystko to ma znacznie nie tylko dla samych Stanów Zjednoczonych, ale całego świata. Walka z różnymi atakami, czy to hakerów, którzy chcą pieniędzy, czy grup sponsorowanych przez państwa, które chcą danych, informacji i wpływów, wymaga współdziałania i przywództwa USA jako "kolebki internetu"...

Po to, by USA mogły przewodzić światu w tej walce muszą w pierwszej kolejności uporządkować sytuację na własnym podwórku, oczyścić najbardziej zainfekowaną infrastrukturę na świecie. Gdy zajmiemy się tym na poważnie, inni pójdą naszym śladem, a eliminacja tych zagrożeń uniemożliwi prowadzenie wielu form działalności przestępczej, z którymi musimy się obecnie zmagać. Druga sprawa dotyczy uczciwej rozmowy na temat tego, co w cyberprzestrzeni naprawdę się dzieje. Na razie wciąż wiele z tych spraw jest utajnionych, czasem uznaje się je za wstydliwe, a to nie pomaga w budzeniu świadomości zagrożeń. jeśli zaczniemy otwarcie mówić, co stoi u podstaw wielu tych problemów, może to ośmielić i skłonić do otwartości także inne kraje. To droga do znalezienia rozwiązań o charakterze globalnym. 

Dolina Krzemowa pozostaje w USA, to stamtąd do sieci trafia najwięcej innowacji. Ale inne kraje, których gospodarki otwierały się na internet nieco później też mają swoje doświadczenia. Niektóre z nich mogłyby być użyteczne i dla Stanów Zjednoczonych...

Myślę, że możemy się od innych naprawdę wiele nauczyć. Tworząc Cyber Readiness Index przyglądałam się doświadczeniom 125 krajów z całego świata, analizowałam poziom ich gotowości, dojrzałość rozwiązań w kluczowych dziedzinach. Myślę, że doświadczenia z dzieleniem się informacjami szczególnie by nam się przydały. Cenne są doświadczenia współdziałania w programach badań i rozwoju dotyczących branży ICT choćby we Francji, czy Izraelu. Interesujące są pomysły z Chin, wiążące agendę cyfrową z zagadnieniami bezpieczeństwa narodowego, a także tamtejszą strategią badań i rozwoju. Możemy się tego od nich uczyć, bo takich mechanizmów nie mamy. My uważamy, że Dolina Krzemowa i Seattle wiedzą najlepiej. Musimy zastanowić, gdzie chcemy być za 5 do 10 lat i we współpracy z przemysłem starać się to osiągnąć.

Współpraca międzynarodowa w tym zakresie wymaga oczywiście zaufania. Po sprawach Wikileaks, czy Snowdena, to zaufanie się rozwiało. Czy jest szansa, że w obliczu wspólnych, globalnych zagrożeń tę przepaść uda się stopniowo zasypać, a współpraca i wymiana informacji staną się lepsze? Czy też szkód, które nastąpiły szybko zapomnieć się nie da?

Cóż, wydaje mi się, że kryzys zaufania miedzy rządami, między rządami i przemysłem, czy rządami i obywatelami tylko się pogłębia. Rządy - czy to USA i Chiny, czy USA i Rosja - wzajemnie się oskarżają, przedstawiciele przemysłu mają pretensje do rządów, wszystko to powoduje eskalację konfliktu i jeszcze bardziej narusza zaufanie. Potem spierają się koncerny, wreszcie obywatele, pojedynczo lub w większym ruchu, jak chocby grupa Anonymous, wyrazają konkretne zastrzeżenia pod adresem rzadu, czy poszczególnych firm. Po chwili już nawet nie wiadomo, komu w tym wszystkim można ufać. Czyli przepaść nie daje się zasypac, raczej jeszcze się pogłębia. Jak to zmienić? Nie pozostaje nic innego, jak tylko uczciwa rozmowa o tym, co się dzieje i odpowiedź na pytanie, dokad chcemy zmierzać. Czy chcemy mieć internet w kawałkach, który nie pozwoli na swobodny przepływ towarów, usług, danych i kapitału? Nie sądzę. Musimy więc działać, zdać sobie sprawę z tego, jaka jest stawka i co kazdy może zrobić. 

Bezpieczeństwo w cyberprzestrzeni to nie tylko problem kradzieży danych, ale też problem rozsiewania w internecie treści prowadzących do radykalizacji. Czy jest szansa na skuteczniejszą, globalną walkę z pewnymi tego typu ideami?

Jeśli zaczynasz cenzurować treści, natrafiasz na bardzo poważne problemy bowiem każdy z krajów może mieć odmienne zdanie na temat wolności słowa, obowiązujących w nim wartości. Niektóre kraje nie życzą sobie żadnej politycznej polemiki, dla jednych ktoś może być politycznym aktywistą, dla innych będzie ekstremistą lub nawet terrorystą. To trudny problem. Większość krajów nie chce żadnego przeszukiwania treści, choć kraje Zachodu zaczynają też skłaniać się do walki z ekstremizmem. Zaczynamy mieć to pewnego rodzaju starcie wartości i zaczynamy się zastanawiać, jak na Zachodzie mogłaby wyglądać demokracja 2.0. Myślimy coraz częściej, co bylibyśmy gotowi poświęcić dla naszej politycznej stabilności i bezpieczeństwa narodowego. To delikatny temat. Mogę sobie wyobrazić przyszłość, w której pewni polityczni aktywiści, albo nawet prasa nie mieliby prawa głoszenia poglądów, które komuś mogłyby się nie podobać, które dla kogoś mogłyby być zbyt rewolucyjne.  

Jak wiele możemy w dziedzinie bezpieczeństwa wciąż zrobić sami, jako użytkownicy? Wiemy, że nie należy otwierać podejrzanych e-maili, że nie powinniśmy wchodzić na bankowe konto z niedostatecznie zabezpieczonych urządzeń mobilnych, ale czy walka z zagrożeniami nie powinna być prowadzona na wyższym szczeblu?

Użytkownicy nowoczesnych technologii powinni zdawać sobie sprawę z tego, jak mogą być nadużywane, nie powinni klikać w każdy link, nie powinni wykorzystywać do bankowości mobilnej niezabezpieczonych aplikacji. To jasne, jak fakt, że nie idzie się nocą w podejrzane ulice i nie wyciąga tam portfela. W świecie wirtualnym ta ostrożność obowiązuje podobnie, jak w świecie rzeczywistym. Od konsumenta nie można jednak wymagać, by wiedział dokładnie, jak zbudowany jest komputer, jak działa jego oprogramowanie, on sam powinien wymagać lepszych produktów od tych, którzy dostarczają mu ten sprzęt i oprogramowanie. Musi też oczekiwać lepszej usługi od firmy, która dostarcza mu internet. Może żądać, by pomogła mu rozpoznać zagrożenie, wyczyścić komputer, zapewniła taki serwis bezpieczeństwa, by sam nie musiał się tym przejmować. Może powiedzieć: nie chcę zajmować się moim programem antywirusowym, chcę byście robili to za mnie, a ja zapłacę w ramach swojego abonamentu. W sumie konsument naprawdę nie powinien się nad tym zastanawiać, co najwyżej powinien w nocy omijać te podejrzane ulice...

Dużo mówi się ostatnio o komputerach kwantowych, które kiedyś powinny pomóc uchronić wymieniane informacje przed przechwyceniem. jednak w pierwszej chwili, gdy ktoś, czy to firma, czy jakieś państwo taki komputer zbuduje, będzie w stanie złamać wszystkie tradycyjne zabezpieczenia. To może nastąpić już za 10 - 15 lat. Jak dużo czasu potrzeba nam, by się do tego przygotować? czy to będzie kolejny etap wojny cybernetycznej?

Jest taki stary film, zatytułowany "Sneakers" (Włamywacze) z Robertem Redfordem, Sidneyem Poitiers i Danem Aycroydem. Tam jest dyskusja o szyfrach i padają słowa "no more secrets". Na początku ery komputerów kwantowych wkroczymy prawdopodobnie w taką epokę "bez tajemnic", to perspektywa, którą rządy państw powinny jak najszybciej przemyśleć. Ale sami użytkownicy internetu także muszą się zastanowić nad pojęciem prywatności, jak ma wyglądać w perspektywie 5 - 10 kolejnych lat. Bo sądzę, że od komputerów kwantowych dzieli nas nie więcej, niż właśnie 5 - 10 lat. 

A my wciąż nie jesteśmy gotowi...

Nie sądzą, by jakikolwiek rząd miał już gotową odpowiedź na te problemy. My wciąż zajmujemy się problemami z wczoraj zamiast otworzyć się na problemy, które staną przed nami jutro...