Piszemy o krajach regionu Morza Bałtyckiego

Pernik: Zaufanie kluczowe dla powodzenia cyfryzacji

Kluczowym czynnikiem w procesie cyfryzacji jest zaufanie społeczeństwa. By je zdobyć i utrzymać niezbędne jest zapewnienie – równolegle do wdrażania kolejnych usług – bezpieczeństwa systemów informacyjnych. O bezpieczeństwie estońskich systemów elektronicznych rozmawiamy z Piret Pernik z Międzynarodowego Centrum Obronności i Bezpieczeństwa w Tallinnie.

Piret Pernik

Piret Pernik

Piret Pernik jest pracownikiem naukowym w Międzynarodowym Centrum Obronności i Bezpieczeństwa w Tallinnie, gdzie zajmuje się badaniami nad zagadnieniami prawnymi i strategicznymi związanymi z cyberbezpieczeństwem. Wcześniej pracowała w Ministerstwie Obrony oraz jako doradca przy Komisji Bezpieczeństwa Narodowego w estońskim parlamencie. Wykładała także stosunki międzynarodowe na Uniwersytecie Tallińskim.

Kazimierz Popławski: Obawy o bezpieczeństwo są jednym z podstawowych czynników ograniczających szeroką implementację e-usług. Estonia jest jednak jednym z najbardziej zaawansowanych w tym zakresie państw, można tam nawet głosować online. Jak estoński rząd zdołał zdobyć zaufanie obywateli dla rozwiązań e-administracji?

Piret Pernik: Rzeczywiście zaufanie jest kluczową sprawą w zakresie wymiany informacji i współpracy publiczno-prywatnej. Podkreślę dwa aspekty. Estończycy prawdopodobnie różnią się trochę w porównaniu do Niemców czy społeczeństw krajów środkowoeuropejskich, ponieważ, zgodnie z sondażami opinii publicznej, na przykład przeprowadzonym w 2014 roku przez Uniwersytet w Tartu, nasze społeczeństwo obawiało się o swoją prywatność online w dużo mniejszym stopniu niż inni Europejczycy. Zwłaszcza w przypadku ochrony danych prywatnych należy zauważyć, że Estończycy są pasywni, a nawet można powiedzieć, że ulegli wobec polityki zbierania danych przez administrację publiczną. 88% Estończyków uważa, że dzielenie się danymi personalnymi jest niezbędne, by korzystać z dobrodziejstw usług cyfrowych czy aplikacji. Co ciekawe, jednocześnie widzą oni w aplikacjach na smartfony największe zagrożenie dla swojej prywatności. Nie widzą także różnicy między zbieraniem danych przez sektory publiczny i prywatny. Organizacje, które cieszą się największym zaufaniem to instytucje z sektora zdrowotnego, szkoły, władze regionalne i sektor finansowy. Estończycy mniej ufają prywatnym przedsiębiorstwom, sklepom internetowym i telekomom. To zestawienie jest dla mnie szczególnie interesujące i paradoksalne, ponieważ dane medyczne – ze względu na wysokie ceny takich danych na czarnym rynku – są najbardziej atrakcyjnym celem dla cyberprzestępców. Jest także wiele doniesień dotyczących różnych wycieków danych, jak na przykład w Stanach Zjednoczonych. Oczywiście to zestawienie pokazuje odczucia społeczeństwa, a więc coś subiektywnego. Młodsze pokolenie, wbrew temu co zwykliśmy o nim myśleć w kontekście sposobu korzystania z technologii, uważa ochronę danych prywatnych za istotną.

Przeczytaj także:  Cyberzagrożenia i cyberbezpieczeństwo – rozmowa z Markko Künnapu

Chciałabym podkreślić, że to zaufanie jest również efektem polityki prowadzonej przez władze kraju: byliśmy w stanie wypromować system X-Road także w sektorze prywatnym – obecnie prawie 1000 instytucji korzysta z niego. W niektórych innych krajach każdy bank ma swój własny system logowania do swoich usług bankowych, tymczasem w Estonii odbywa się to za pośrednictwem X-Road i dowodów osobistych. Dowód tożsamości z warstwą elektroniczna jest obowiązkowy i 94% populacji posiada taką kartę. Są to bardzo bezpieczne rozwiązania, dane są szyfrowane, rząd nie ma „tylnej furtki”, przez którą może zaglądać do baz danych – są to najważniejsze powody, które wpływają na poziom zaufania do e-usług. Oczywiście można ich znaleźć więcej. Utrzymanie zaufania wobec e-Estonii są zapisane w naszych strategiach narodowych. Myślę, że każdy w sektorach publicznym i prywatnym wie, że jeśli stracilibyśmy to zaufanie, stracilibyśmy reputację.

Już 15 lat temu Estonia była bardzo zaawansowana w cyfryzacji swoich usług, było wiele e-usług, także w sektorze prywatnym. W 2007 roku Estonia doświadczyła masowych cyberataków, które czasem nazywane są pierwszą cyberwojną. Jak te wydarzenia wpłynęły na postrzeganie e-administracji i dalszą cyfryzację?

Zacznę od tego, że nie zrobiliśmy na ten temat żadnych badań sondażowych, więc trudno jest powiedzieć, co myśli opinia publiczna. Z perspektywy rządowej można powiedzieć, że tamte wydarzenia otworzyły oczy – w ich następstwie zaczęliśmy przygotowywać strategię, zaczęliśmy przywiązywać większą wagę nie tylko do cyfryzacji, ale także do bezpieczeństwa. Wydarzenia te przyspieszyły implementację środków bezpieczeństwa. Po tych atakach zdaliśmy sobie sprawę, że musimy skupić się na infrastrukturze krytycznej. Wprowadziliśmy zmiany w prawie i w kodeksie karnym. Wprowadziliśmy prawo, które definiuje infrastrukturę krytyczną i wprowadza środki bezpieczeństwa związane z ochroną tej infrastruktury, a także analizy ryzyka, raportowanie incydentów i inne. Także po tych atakach utworzona została cyber jednostka w ramach Ligi Bezpieczeństwa (odpowiednik polskiej obrony terytorialnej – przyp. red.). Jednym z celów tej jednostki jest obrona estońskiego stylu życia obejmującego szerokie wykorzystanie e-rozwiązań.

Społeczeństwo w czasie wydarzeń z 2007 roku znalazło się wtedy niejako na boku – ataki DDoS prowadzone były przeciwko stronom rządowym i bankowym. Te były niedostępne przez kilka godzin, ale nie wyciekły dane osobiste klientów, czy ich adresy e-mail. Nie wydarzyło się nic o czym obecnie możemy niemal codziennie czytać w gazetach, jak na przykład wyciek e-maili Krajowego Komitetu Partii Demokratycznej w Stanach Zjednoczonych i naruszeń związanych z polityką krajową. Wiele rzeczy się zmieniło, więc trudno powiedzieć, czy obywatele są bardziej zaniepokojeni w związku z tymi atakami. Na pewno w ciągu ostatnich pięciu lat ludzie stali się bardziej przezorni przy dokonywaniu transakcji online, wstrzymują się przed niektórymi działaniami w sieci z powodu zagrożenia bezpieczeństwa, ale nie sądzę, aby miało to związek z wydarzeniami z 2007 roku. Zmiany to także efekt zapisania postanowień dotyczących poprawy świadomości w zakresie bezpieczeństwa w naszej strategii narodowej, co było również implementowane poprzez projekty i programy prowadzone przez sektory publiczny i prywatny.

Jak więc obecnie postrzegane są zagrożenia bezpieczeństwa?

Niektóre wyzwania są podkreślone w naszych strategiach – są one związane z ogromną ilością danych w bazach. By je chronić rząd buduje obecnie chmurę rządową i tzw. ambasady danych. Obawiamy się także nieprzyjaznych państw, zwłaszcza ich służb stale testujących i szukających słabości w naszych sieciach. Jeśli wybuchłby jakiś kryzys wówczas państwa takie próbowałyby wyłączyć kluczowe usługi, ponieważ w Estonii wszystko opiera się na elektronicznej wymianie danych. Jak dobrze wiemy, można zaatakować państwo nawet jeśli jego siły zbrojne są przygotowane do obrony. Niebezpieczeństwo i niestabilność, właściwie chaos, może być wprowadzony przy pomocy sieci.

Jak wspomniana technologia chmury obliczeniowej poprawi bezpieczeństwo kraju? Czy rozwiązanie może powodować zagrożenia, zwłaszcza jeśli weźmiemy pod uwagę, że część danych może być przechowywana poza granicami kraju?

Takie zagrożenie zostało zauważone przez rząd i podejmowane są odpowiednie środki bezpieczeństwa. Obecnie mamy zdecentralizowany system przechowywania danych, a więc każde ministerstwo czy gmina jest odpowiedzialna za swoje bazy danych. Daje to pewne poczucie bezpieczeństwa, ponieważ nie ma centralnej bazy danych, zagrożenie jest rozproszone. Z drugiej jednak strony rodzi również pewne zagrożenia, zwłaszcza w zakresie ochrony fizycznej tych serwerów. Jest kilka opcji budowy chmury – jedną jest budowa przez rząd własnego centrum danych, o najwyższych standardach bezpieczeństwa, ta chmura byłaby prywatna. Obecnie na przykład serwis Estonia.eu utrzymywany jest w chmurze obliczeniowej Microsoftu. Dane mniej wrażliwe mogłyby nadal być przechowywane w chmurach publicznych, dane krytyczne byłyby przechowywane w chmurze prywatnej (rządowej). Jest też oczywiście pytanie o transfer danych – jak możemy to zabezpieczyć. Jest wiele wyzwań, które rząd nadal analizuje, na podstawie wniosków będą podejmowane kolejne decyzje i wskazywane sposoby zabezpieczenia.

Przeczytaj także:  Estonia w chmurze
Przeczytaj także:  Estonia z administracją w chmurach – rozmowa z Mikkiem Lellsaarem

Sektor prywatny jest prawdopodobnie bardziej zależny od e-usług niż publiczny. W jaki sposób sektory publiczny i prywatny współpracują ze sobą, by utrzymać bezpieczeństwo systemów?

Współpraca publiczno-prywatna sięga lat 90., kiedy tworzony był system X-Road – jest to efekt takiego współdziałania. Władze spotykają się z operatorami i właścicielami infrastruktury krytycznej cztery razy w roku, czasem częściej. Mamy także Krajową Radę Bezpieczeństwa Cybernetycznego, w której pracach podmioty prywatne uczestniczą jeśli jest taka potrzeba. Jest to ważne ciało doradcze. Jest także wiele programów edukacyjnych i szkoleniowych. Na przykład Krajowy Urząd Systemów Informacyjnych przeprowadza testy penetracyjne dla sektora prywatnego. Innym aspektem są nasze rozwiązania prawne, które nakładają na sektor prywatny obowiązek dbania o bezpieczeństwo swoich systemów, przygotowywania raportów i ich przesyłania odpowiednim urzędom państwowym. Są też oczywiście mniej sformalizowane pola współpracy.

W ostatnich latach Estonia blisko współpracuje z Finlandią, zwłaszcza w zakresie wdrożenia X-Road w Finlandii. Czy ta współpraca obejmuje także kwestie cyberbezpieczeństwa?

Podpisana została umowa regulująca tę współpracę, obejmuje ona X-Road i inne pola, jak systemy medyczne. Efektem tego jest możliwość realizacji estońskich e-recept w Finlandii i vice versa. Rozwiązania bezpieczeństwa są częścią systemu X-Road, więc współpraca także w tym zakresie siłą rzeczy jest prowadzona. Współpracujemy także na różnych poziomach – europejskim, nordycko-bałtyckim a także międzypaństwowym.

 

Chcesz otrzymywać więcej informacji na ten temat? Subskrybuj nasz newsletter!
Raz w miesiącu otrzymasz na swoją skrzynkę zestawienie najważniejszych artykułów.

 

Zdjęcie tytułowe: Anneli Tandorf / VisitEstonia.com.

Polub nas na Facebooku!