Zrozumiałe cyberbezpieczeństwo… po co?

„44% hiszpańskich menedżerów nie traktuje cyberbezpieczeństwa jako priorytetu z uwagi na brak klarowności stosowanego w tym sektorze języka” – tak właśnie brzmiał nagłówek wiadomości, którą hiszpańska agencja informacyjna Europa Press opublikowała dnia 30 maja, na podstawie badania „Oddzieleni przez ten sam język”, przeprowadzonego przez zajmującą się cyberbezpieczeństwem firmę Kaspersky (https://go.kaspersky.com/rs/802-IJN-240/images/Kaspersky-Speaks-your-Language-1122.pdf). Można by to uznać za kolejne z licznych przeprowadzonych w tym zakresie badań, chociaż wzbudziło ono moje zainteresowanie, gdyż zwraca uwagę na problem leżący u podstaw wysoce złożonej technologii, jaką jest cyberbezpieczeństwo. Czy istnieje wola demokratyzacji tej wiedzy? Czy istnieje zainteresowanie uzyskaniem tej wiedzy i jej przyswojeniem? Nie znam ogólnie przyjętej odpowiedzi na żadne z tych dwóch pytań.

Demokratyzacja wiedzy w zakresie cyberbezpieczeństwa wymaga podwójnego wysiłku. Pierwszy jego aspekt dotyczy zrozumienia potrzeby intuicyjnej samoobrony grupy specjalistów ds. cyberbezpieczeństwa – ochrony tego, co własne, umocnienia tego, co ekskluzywne, gdyż w procesie globalnego upowszechniania zarezerwowana dla nielicznych specjalizacja może ulec zatraceniu. Czeka nas jeszcze daleka droga, zanim odejdziemy od „dawnego” paradygmatu bezpieczeństwa, opartego na braku jasności, polegającego na maksymalnym ograniczaniu informacji i który obecnie objawia się w postaci zalewania dyskursu wysoce technicznymi pojęciami czy uzupełniania jego luk frazami typu „cyberbezpieczeństwo to inwestycja, a nie wydatek” i wieloma innymi, które stanowią obecnie całkowity przeżytek. Drugi aspekt tego wysiłku koncentruje się na przekazywaniu najbardziej dyletanckiej publiczności cyberkomunikatów, z których wiele ma wysoce techniczny charakter. W tym przypadku profil odbiorców ma kluczowe znaczenie. Brak synchronizacji tego profilu z poziomem technicznym przekazu byłby stratą czasu dla osoby usiłującej przekazać wiedzę, a jednocześnie spowodowałby utratę zainteresowania ze strony słuchaczy, a nawet mógłby obrazić inteligencję niektórych z nich.

Zainteresowanie zrozumieniem pojęcia cyberbezpieczeństwa jest kwestią cykliczną i regionalną. Czasami mam przekonanie, że istnieje, a innym razem myślę, że tak nie jest. Z jednej strony potrzebujemy wiedzieć, dlaczego cyberprzestępczość dotyka nas wszystkich, i to w ogromnym stopniu, a na dodatek w aspektach, które są dla nas niezwykle bolesne (pieniądze, reputacja, duma itp.). Z drugiej zaś strony ogarnia nas strach i apatia wywołane przez ten wysoce złożony temat. Nie jestem też pewien, czy dałoby się osiągnąć hipotetyczną równowagę między tymi dwiema kwestiami.

Dla mnie zrozumienie istoty cyberbezpieczeństwa jest niezwykle przydatne i praktyczne. W moim przypadku najpierw przykuło ono moją uwagę (świat szpiegów, wyzwania dotyczące rozszyfrowywania itp.) i to zmotywowało mnie do dalszej nauki. Najczęściej występująca sytuacja wygląda natomiast zupełnie inaczej: najpierw stajesz się ofiarą cyberincydentu, który „motywuje” cię do odbycia minimalnego szkolenia, aby nie przydarzyło ci się to ponownie (uczenie się „na własnej skórze”). Jeśli jednak chwilę się nad tym zastanowimy, to zdamy sobie sprawę, że wszyscy dysponujemy już sporą ilością wiedzy o bezpieczeństwie w życiu niecyfrowym. Ogólnie rzecz biorąc, zinternalizowaliśmy postawę opartą na zapobieganiu, nieufności wobec tego, co „zbyt piękne, aby było prawdziwe”, wystrzeganiu się pewnych zagrożeń ze strony innych… i łatwo jest przenieść tę naukę na branżę cyfrową.

Nie bójmy się ogromu terminów technicznych i akronimów. Praktycznie wszystkie ataki ransomware zakończone sukcesem (jak w przypadku oprogramowania ransomware Ryuk, które wyrządziło SEPE tak duże szkody w 2021 r.) wynikają z faktu, że ktoś otrzymuje złośliwą wiadomość e-mail i wpada w cyfrową pułapkę polegającą na kliknięciu zawartego w niej hiperłącza lub otwiera rzekomo załączony dokument z niespodzianką w środku, który po uwolnieniu bardzo łatwo się rozprzestrzenia. Ten „ktoś” jest taki jak ty i jak ja, jak twój szef i jak mój szwagier, jak Elon Musk czy Cristiano Ronaldo. Krótko mówiąc, człowiek ze swoimi mocnymi oraz słabymi stronami, który może zostać złapany w pułapkę w najgłupszy sposób i w najgorszym momencie, a zatem nie miej sobie za złe, jeśli pewnego dnia ci się to przydarzy. Po prostu spróbuj zrozumieć otaczający cię cyberświat.

Autor(ka): Javier Zubieta