Strona główna Bezpieczeństwo biznesu Cyberbezpieczeństwo firmy i organizacji – uwarunkowania i wymogi

Cyberbezpieczeństwo firmy i organizacji – uwarunkowania i wymogi

Krzysztof Liedel,
Paulina Piasecka

Cyberprzestrzeń stała się obszarem działania organizacji sektora prywatnego równie ważnym, jak płaszczyzna materialna. Równolegle podejmowane działania w rzeczywistości materialnej i wirtualnej są traktowane jako powiązane i niezbędne obszary działania podmiotów z sektorów prywatnego i publicznego.

Ta konstatacja wpływa na sposób postrzegania zagrożeń w cyberprzestrzeni i warunkuje potrzebę analizy istniejących i prognozowanych zagrożeń bezpieczeństwa jednostek biorących udział w życiu gospodarczym i społecznym. Cyberprzestrzeń stała się obszarem właściwej działalności organizacji, dla których informacja jest przedmiotem podejmowanych działań (np. firmy analityczne zajmujące się brokeringiem informacji) oraz firm i organizacji, które narzędzia informacyjne traktują jako niezbędny element zarządzania operacyjnego i wsparcia realizowanych działań na poziomie sterowania, komunikacji, gromadzenia informacji – budowania świadomości sytuacyjnej, zarządzania procesami logistycznymi i innych.

Zapewnienie cyberbezpieczeństwa powinno znajdować się na początku listy priorytetów nie tylko firm prywatnych. Stabilność gospodarcza państwa zależy m.in. od zdolności podmiotów gospodarczych do dostosowywania się do nowych wyzwań ekonomicznych i technologicznych oraz od tworzenia skutecznych rozwiązań organizacyjnych, aby im sprostać. Ekonomiczne wspieranie przez państwo inicjatyw związanych z cyberbezpieczeństwem w poszczególnych organizacjach, m.in. w ramach współpracy publiczno-prywatnej, polegające choćby na systemie zachęt związanych z szybkim reagowaniem na problemy cyberbezpieczeństwa i kar za nieadekwatne do skali problemu podejście (np. ulgi podatkowe lub ubezpieczenia na preferencyjnych warunkach), to ważne narzędzie budowania wspólnego bezpieczeństwa. Podobną rolę może odgrywać zwiększony nacisk państwa na właściwe projektowanie systemów cyberbezpieczeństwa, realizowany z uwzględnieniem roli rządu jako kluczowego odbiorcy cybertechnologii.

Do szerokiego wachlarza zagrożeń związanych z funkcjonowaniem w cyberprzestrzeni należą: dezinformacja, trolling, działania mające na celu naruszenie dobrego imienia firmy czy podważenie jej wiarygodności, zakłócające realizację istotnych zadań; ataki powodujące zakłócenia funkcjonowania sieci teleinformatycznych w organizacjach o podwyższonym stopniu wrażliwości, w tym tworzących infrastrukturę krytyczną; występowanie luk technologicznych, które pozwalają wywierać wpływ na zdolności do działania w cyberprzestrzeni. Do najważniejszych działań na rzecz cyberbezpieczeństwa organizacji należą:

  • ocena warunków cyberbezpieczeństwa, w tym rozpoznawanie zagrożeń, szacowanie rodzajów ryzyka i identyfikowanie szans,
  • zapobieganie (przeciwdziałanie) zagrożeniom, redukowanie różnych rodzajów ryzyka i wykorzystywanie szans,
  • obrona oraz ochrona własnych systemów i zgromadzonych w nich zasobów,
  • po ewentualnym ataku odtworzenie sprawności i funkcjonalności systemów tworzących cyberprzestrzeń.

Wśród praktycznych przedsięwzięć na rzecz zapewnienia efektywności działań w cyberprzestrzeni można wskazać m.in. posiadanie zdolności obrony oraz ochrony własnych systemów teleinformatycznych i zgromadzonych w nich zasobów, tworzenie i wzmacnianie struktur przeznaczonych do realizacji zadań w cyberprzestrzeni, bieżące monitorowanie i wzmacnianie bezpieczeństwa sieci stosowanych do dystrybucji i przechowywania informacji oraz wzmacnianie działań edukacyjnych zwiększających świadomość pracowników, członków organizacji o ich roli w zapewnieniu bezpieczeństwa w cyberprzestrzeni.

Większa zależność tempa i sposobu prowadzenia operacji bezpieczeństwa w środowisku sieciowym ma jednocześnie wiele negatywnych aspektów. Najważniejsze warunki brzegowe, które muszą być spełnione, aby w pełni wykorzystać potencjał systemów bezpieczeństwa w otoczeniu sieciowym, to: bezpieczeństwo transmisji danych, trwałość sygnału transmisji, przepustowość kanałów transmisyjnych, zdolność do właściwego ukierunkowania wiadomości i transmisji, kompatybilność sygnałów i protokołów2).

Epoka informacji wymaga zmian nie tylko w sposobie działania, ale także w sposobie organizowania się – wymaga ewolucji starych lub powstania nowych struktur, które będą efektywnie odpowiadać na wyzwania współczesnego środowiska bezpieczeństwa. Dostosowanie struktur bezpieczeństwa do wymogów usieciowionego środowiska bezpieczeństwa to szczególne wyzwanie. Możliwość funkcjonowania w środowisku sieciocentrycznym wymaga budowy organizacji, które swoje cele osiągają poprzez elastyczność ról i działań oraz szybkość procesów sterowania3). Takie organizacje, wykorzystując zaawansowane technologie informacyjne, swoje działania opierają przede wszystkim na innowacyjnych strukturach kierowania, dążąc do jak najszybszego reagowania na pojawiające się wyzwania, zagrożenia i zmiany w zakresie świadomości sytuacyjnej.

Aby efektywnie funkcjonować w usieciowionym środowisku, organizacja musi mieć cechy samoprojektowania w trybie ciągłego dostosowywania się do nowych warunków. Teoria organizacji zawiera dwie koncepcje, które mogą posłużyć za bazę do rozważań nad powstaniem tego rodzaju organizacji – koncepcję modyfikowanych form organizacyjnych opartych na technologiach informacyjnych oraz koncepcję organizacji zdolnych do gwałtownej zmiany i innowacji4). Koncepcja modyfikowanych form organizacyjnych obejmuje takie podejścia, jak organizacje wirtualne, alianse strategiczne, partnerstwa i organizacje usieciowione.

Choć elastyczność i wielozadaniowość organizacji wirtualnej, jaką mogą być połączone siły zadaniowe, mają liczne zalety, nie można pominąć problemów związanych z ich użyciem. Wśród najważniejszych należałoby wskazać zależność efektywności wykonywanych działań od skuteczności komunikacji, która w organizacji nieprzetestowanej pod względem koordynacji może w kluczowym momencie zawieść. Problemy z określeniem statusu, autorytetu i zakresu kompetencji poszczególnych komponentów również mogą stanowić przeszkodę skutecznego działania. Odpowiedzią na te wyzwania może stać się dopracowana i szczegółowa doktryna działania, jednak i ona musiałaby być przez pewien czas wdrażana, aż do momentu wzajemnego rozpoznania się elementów takiego systemu5). Koncepcja organizacji zdolnych do innowacji i gwałtownej zmiany, by efektywnie dostosować się do nowych wyzwań, jest oparta na założeniu, że takie organizacje zmieniają się w trybie ciągłym, co jest warunkowane trudnymi warunkami (zasada „dostosowania się, aby przetrwać”).
Wśród zaleceń dotyczących kształtowania skutecznych systemów cyberbezpieczeństwa warto zatem wskazać najważniejsze:

  • postrzeganie zobowiązania do realizacji zadań w cyberprzestrzeni w taki sam sposób, jak w innych istotnych obszarach zapewniających bezpieczeństwo organizacji i firmy,
  • przygotowanie „mapy drogowej” barier w obszarze cyberbezpieczeństwa wraz z planem wyeliminowania tych barier, harmonogramem i prognozami finansowymi,
  • opracowanie i wdrożenie algorytmów działania, określających dobre praktyki i zasady działania na rzecz cyberbezpieczeństwa organizacji.

Choć uzależnienie od sieci i jej ciągłego wykorzystania na każdej niemal płaszczyźnie funkcjonowania organizacji, firmy czy jednostki stało się rzeczywistością, sporo jeszcze brakuje do realnego dostosowania struktur odpowiedzialnych za bezpieczeństwo do wymogów tego nowego środowiska. Jest to szczególnie prawdziwe dla struktur bezpieczeństwa. Ze względu na tradycyjne podejście do organizowania się oraz przywiązanie – także pod względem kultury organizacyjnej – do sztywnych hierarchicznych struktur ewolucja do postaci elastycznej, sieciowej organizacji może okazać się wyzwaniem nie na poziomie technologicznym, ale na poziomie możliwości mentalnego i psychicznego przystosowania zarówno kierownictwa organizacji, jak i jej poszczególnych członków.

Artykuł powstał na podstawie „Doktryny cyberbezpieczeństwa RP”, wyd. BBN, Warszawa 2015,
źródło: http://en.bbn.gov.pl/ftp/dok/01/DCB.pdf

1) Analizy i wnioski powstały w toku badań prowadzonych podczas prac nad raportem „Cyberbezpieczenstwo. Piate pole walki Diagnoza i rekomendacje”, K. Liedel, P. Piasecka, IBK 2016.
2) Carlo Kopp: Understanding Network Centric Warfare, www.ausairpower.net/TE-NCW-Jan-Feb-05.html
3) Kishore Sengupta, Carl R. Jones, Creating Structures for Network-Centric Warfare: Perspectives from Organization Theory, Naval Postgraduate School, Monterey 1999, zródło: www.dtic.mil/dtic/tr/fulltext/u2/a458996.pdf, s. 1.
4) Ibidem, s. 3.
5) Ibidem, s. 3.

dr Krzysztof Liedel
Prawnik, specjalista w zakresie zwalczania międzynarodowego terroryzmu, ekspert w zakresie analizy informacji. Wiceprezes Instytutu Bezpieczeństwa RESCON. Dyrektor Centrum Badań nad Terroryzmem i kierownik Instytutu Analizy Informacji Collegium Civitas. Ekspert Sekcji ds. Zapobiegania Terroryzmowi Rady Bezpieczeństwa ONZ, International Association of Crime Analysts oraz International Association for Counterterrorism & Security Professionals.

dr Paulina Piasecka
Specjalistka ds. terroryzmu międzynarodowego i walki informacyjnej. Dyrektor ds. projektów strategicznych Instytutu Bezpieczeństwa RESCON. Wykładowca Collegium Civitas. Były główny specjalista w Wydziale ds. Przeciwdziałania Terroryzmowi w Departamencie Bezpieczeństwa Publicznego MSWiA.

 

POWIĄZANE ARTYKUŁYWIĘCEJ TEGO AUTORA