Strona główna Bezpieczne miasto Życie to nie film “Bezpieczeństwo inteligentnego miasta”

Życie to nie film “Bezpieczeństwo inteligentnego miasta”

Przemysław Bańko


„Na zlecenie szalonego hakera i agenta NSA Thomasa Gabriela oraz jego kochanki Mai najlepsi hakerzy w USA pomagają im opanować całą sieć komputerową w kraju”. Tak Wikipedia opisuje świat nowoczesnych technologii „wyłączonych” przez kilka osób.

Brak łączności i komunikacji, niedziałająca sygnalizacja świetlna, nieczynne telefony i Internet, sfałszowany przekaz telewizyjny – inteligentne miasto sprowadzone do czasów sprzed globalnej sieci. Doskonała rola Bruce’a Willisa w jednej z części „Szklanej pułapki” i garść koszmarów rodem z teraźniejszości. Świetnie ogląda się takie sceny, lecz nieco inaczej zaczynamy postrzegać film, gdy uświadomimy sobie, że już niebawem tak może wyglądać dzień w jednym z polskich miast. I wtedy niestety okaże się, że nasze inteligentne miasto nie ma swojego Johna McClana.
Ale nie o filmie, tylko o realiach smart świata w ujęciu bezpieczeństwa chciałem dziś napisać.

Uzależnienie miast od technologii
Już w połowie XXI wieku w inteligentnych miastach będzie mieszkać – wg szacunków – od 60 do nawet 70% ludności. Inteligentny transport, satelitarne wyznaczanie tras, monitorowanie pojazdów publicznych, flotowych i prywatnych, zarządzanie skrzyżowaniami, sygnalizacją, monitoringiem miejskim, monitorowanie środowiska naturalnego, inteligentne budynki, zakupy przez Internet, porady medyczne, edukacja, media elektroniczne, portale społecznościowe, autonomiczne pojazdy czy wreszcie cyberarmie – niemal każda dziedzina życia i gospodarki ma elektroniczne odzwierciedlenie. Wszystkie umiejętności człowieka już odwzorowaliśmy w e-świecie lub odwzorujemy w niedalekiej przyszłości. Coraz bardziej zależymy od technologii informatycznych i automatycznych, narażamy się na nieznane dotychczas zagrożenia. Każda e-dziedzina życia jest tworzona przez człowieka i w założeniu ma mu służyć, ale w wyniku działań ludzi może być niebezpieczna.

Inteligentne miasta to definicyjne „elastyczne cyfrowo, reaktywne centra gromadzące dane i analizujące je, aby podjąć działania w czasie rzeczywistym”. Z kolei wszędzie tam, gdzie mamy do czynienia z gromadzeniem i przetwarzaniem danych, powinny obowiązywać zasady bezpieczeństwa – począwszy od podstawowej zasady PID, mówiącej o tym, że informacje powinny być poufne, integralne i dostępne, skończywszy na zasadzie ograniczonego zaufania do ludzi i technologii. Każda gromadzona informacja ma być dostępna dla każdego kto może ją przetwarzać, nie może być przez osoby nieuprawnione modyfikowana, ma być dostępna w każdym momencie, gdy jest niezbędna.

Inteligentny znaczy efektywny
Większość dostępnych i planowanych inteligentnych rozwiązań opartych głównie na tzw. urządzeniach Internetu Rzeczy ma docelowo zapewnić wzrost wydajności przy jednoczesnym obniżeniu kosztów i zapewnieniu bardziej komfortowego środowiska życia. Naukowcy zastanawiają się, do czego jeszcze człowiek może zaprząc technologię, aby życie było łatwiejsze, szybsze, ekologiczne, bezpieczne i produktywne. Tworząc wizje przyszłości w oparciu o technologie, błyskawiczną wymianę informacji, korelowanie i łączenie danych z wielu miejsc, starają się wdrażać nowe pomysły i idee. Gdy patrzę na nowinki technologiczne, wierząc, iż stworzono je po to, aby zwiększyć komfort i jakość naszego życia, zastanawiam się często, czy wszystkie możliwe do realizacji przedsięwzięcia nie powinny być wcześniej poddane bardzo szczegółowej ocenie ryzyka związanego z ich wprowadzeniem do codziennego życia. Mam bowiem obawy, śledząc dostępne informacje o niewłaściwym lub wręcz niezgodnym z prawem wykorzystywaniu technologii, czy dokładnie przeanalizowano możliwość wykorzystania danej technologii nie dla naszego dobra, ale przeciw nam.

Wracam nierzadko myślami do pytania z czasów studiów, jakie zadał mi wykładowca, omawiając jakość produktów i usług: „Czy twoim zdaniem 99% jakości to dużo?”. Odpowiedź wydawała mi się prosta – oczywiście, że dużo. Wtedy padło kolejne pytanie: „Jak zareagowałbyś, gdyby w codziennych komunikatach prasowych omawiano, że nie wylądował 1% samolotów, że 1% noworodków upadałoby na podłogę podczas narodzin?”. Chyba na zawsze zmieniłem wtedy podejście do jakości i bezpieczeństwa. Od tego momentu ten uczelniany model jakości przykładam jak wzorzec bezpieczeństwa przechowywany w Sevres pod Paryżem. I niezależnie czy rozmawiam o jakości życia, czy o bezpieczeństwie nowoczesnych technologii, wiem, że nawet niewielki odsetek niepowodzenia może być kluczowy dla jakości, komfortu, a nawet życia.

Postrzegam nowoczesne technologie jak niemal każdy 50-latek – część z nich to typowe gadżeciarstwo, bez niektórych po odsianiu „marketingowej bawełny” moglibyśmy się wszyscy obejść, ale duża jej część to już nie tyle nasz komfort, ile wymóg czasów. Na co dzień nieczęsto zdajemy sobie sprawę z tego, że jesteśmy uzależnieni od technologii. Przypominamy sobie o niej wtedy, gdy jej brakuje. Brak prądu oznacza dla większości brak ogrzewania, możliwości przygotowania obiadu czy niedostępności usług internetowych. Uszkodzony kabel światłowodowy i znów problemy: niedziałające telefony, brak możliwości wykonania przelewu czy skorzystania z e-usług. Pożar serwerowni operatora sieci komórkowej i kolejne kłopoty: zatory w logistyce, niemożność wykonania dostaw itd. Przykłady można by mnożyć, ale pytanie pozostaje niezmienne: „Czy ktoś, kto dla naszego dobra oparł nasze życie na technologii, oszacował ryzyko ich niedostępności?”. Mam wrażenie graniczące z pewnością, że szacowanie ryzyka nie jest popularne wśród dostawców nowinek technologicznych i e-usług.

Szacowanie ryzyka
Dwadzieścia jeden lat pracy, tysiące spotkań, setki działań audytowych i doradczych – i niemal zawsze podobne odczucia. Szacujemy ryzyko w sposób pobieżny (powierzchowny) lub co gorsza prawie wcale go nie analizujemy. O typowo polskim „jakoś to będzie”, „jak się wydarzy, to pomyślimy”, „nie mamy pieniędzy” musimy zapomnieć. Żyjemy w globalnym świecie tysięcy połączonych ze sobą e-społeczeństw i miliardów urządzeń Internetu Rzeczy, w którym każda nowoczesna usługa jest spleciona z inną, a wyłączenie jednej usługi może wpłynąć na miliony ludzi na całym świecie.

Twórcy nowej technologii bardzo często rozważają ryzyko związane z wpływem konkretnej technologii na dany obszar działania. Nie zaprzątają sobie głowy integracją jednej technologii z drugą. To podstawowy błąd. Powinniśmy patrzeć na ryzyko globalnie. Wdrażając technologie w inteligentnym mieście, musimy je zintegrować z innymi w jeden system, aby podnieść komfort życia mieszkańców. Często zastanawiamy się też, jaką metodykę szacowania ryzyka przyjąć, na co zwracać uwagę, rozpatrując wpływ technologii na codzienne życie miasta.

Moglibyśmy wymienić dziesiątki modeli i metodyk. Jeśli miałbym wskazać profesjonalne źródło wiedzy, poleciłbym opracowania dr. hab. inż. Andrzeja Białasa z Instytutu Technik Innowacyjnych EMAG, który od wielu lat prowadzi działania dotyczące standardu ISO/IEC 15408 Common Criteria for Information Security Evaluation (Wspólne kryteria do oceny zabezpieczeń informatycznych). Standard jest przydatny dla przedsiębiorców, konstruktorów, programistów, menedżerów oraz osób zaangażowanych w proces powstawania produktów IT, które mają jakiekolwiek funkcje zabezpieczające i które powinny działać niezawodnie oraz wiarygodnie. To clou programu. To też ogromne źródło wiedzy dla odbierających usługi i włączających je w obieg inteligentnego miasta. To również źródło dla wszystkich, czego należy wymagać od dostawcy. Technologie informatyczne – zgodnie ze standardem – muszą działać niezawodnie, a ich ewentualna awaria powinna pozwolić społeczeństwu na funkcjonowanie.

Wdrażając model zarządzania ryzykiem, warto zwrócić uwagę na obszar zagrożenia i liczbę osób nim objętych. Podmiotom projektującym, wytwarzającym, wdrażającym, a także docelowo korzystającym z technologii inteligentnego miasta przychodzą w sukurs przepisy prawa, zarówno unijne, jak i polskie:

  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, zwana dalej „dyrektywą NIS”,
  • Ustawa z 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa.

Dokumenty te po raz pierwszy w sposób zdecydowany wymusiły na nas ocenę ryzyka związanego z nowoczesną technologią. W ustawie kolejny raz wskazano na przytaczaną wcześniej zasadę PID, definiując cyberbezpieczeństwo jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. Ta sama ustawa definiuje również incydent krytyczny jako „incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi”. Rozważając budowę bezpiecznego inteligentnego miasta, można wykorzystać polską ustawę nt. bezpieczeństwa wdrażania technologii smart cities.

Rozpatrując z osobna każdy inteligentny moduł wdrażany przez metropolię, miasto czy podmiot gospodarczy, musimy wziąć pod uwagę, jak duża część usług kierowanych do społeczności może ulec destabilizacji pod wpływem incydentu związanego z wykorzystywaną technologią. W ustawie w art. 6 wymieniono kryteria pomocne do ustalenia takich progów, opisano je jako progi istotności skutku zakłócającego incydentu dla świadczenia kluczowych usług.

Ustawa wskazuje istotne elementy szacowania ryzyka:
a) liczbę użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot,
b) zależność innych sektorów od usługi świadczonej przez ten podmiot,
c) wpływ, jaki mógłby mieć incydent ze względu na jego skalę i czas trwania, na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne,
d) udział podmiotu świadczącego usługę kluczową w rynku,
e) zasięg geograficzny obszaru, którego mógłby dotyczyć incydent,
f) zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej, przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia,
g) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują,
– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

 
Niezależnie od tego, czy otrzymamy decyzję administracyjną, czy też tylko wg naszej oceny oferowane przez nas procesy i usługi są krytyczne z punktu widzenia progów istotności, powinniśmy przyjąć wytyczne ustawy jako dobrą praktykę wdrażania technologii inteligentnego miasta. W mojej ocenie wytyczne do wdrożenia opisane w ustawie są tak samo praktyczne, jak wdrażanie systemów zarządzania bezpieczeństwem w oparciu o normy ISO 27001 i ISO 22301 w zakresie bezpieczeństwa informacji i ciągłości działania. I jako dobra praktyka mogą służyć wszystkim podmiotom chcącym podnieść bezpieczeństwo inteligentnych rozwiązań do oczekiwanego poziomu.

Wytyczne ustawy opisane w art. 8
Nie bójmy się więc sprostać wytycznym ustawy, które wskazują następujące działania opisane w art. 8:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

 
Uwagi końcowe
Przedstawione wytyczne ustawy o krajowym systemie cyberbezpieczeństwa mogą być pewnym modelem wdrażania nowych technologii, ponieważ są naszą przyszłością. Komfort życia mieszkańców miast zależy w dużej mierze od dostępu do nowoczesnych, inteligentnych technologii. Nie możemy jednak ślepo kierować się tylko i wyłącznie pozytywnymi aspektami nowoczesności. Musimy pamiętać, że technologia wymaga dogłębnej analizy wpływu na naszą codzienność. I choć tysiące razy słyszałem „jesteś czarnowidzem”, „za bardzo się przejmujesz”, „u nas nigdy jeszcze nic złego się nie stało”, powtarzam – myślmy o bezpieczeństwie i ciągłości działania naszych usług.

I chyba już jak mantrę powtarzam (i będę powtarzał) cytat z książki A.A. Milne’a „Kubuś Puchatek”, gdy Kłapouchy mówi:

Bo wypadek to dziwna rzecz, nigdy go nie ma, dopóki się nie wydarzy.

I zastanawiam się teraz, że skoro Kłapouchy w 1928 r. – bo wtedy wydano tę książkę – myślał o ciągłości działania, to czy my, mieszkańcy inteligentnych miast, możemy pominąć to w XXI wieku?

Przemysław Bańko
dyrektor ds. bezpieczeństwa spółki specjalizującej się w nowoczesnych technologiach informatycznych, trener, wdrożeniowiec i audytor specjalizujący się w tematyce zarządzania: ryzykiem (ISO 31000), bezpieczeństwem informacji (ISO 27001), jakością (ISO 9001) oraz compliance (Dyrektywa NIS, Rozporządzenie RODO).