Cyberbezpieczeństwo na pierwszej linii frontu – wywiad z kmdr rez.dr hab. Grzegorzem Krasnodębskim

Tomasz Osiej (TO): Panie Komandorze, w ubiegłym roku został Pan laureatem „Wojskowych Oscarów” czyli nagrody Buzdygany. Na początek pytanie co to oznacza dla żołnierza? Co to za nagroda? Nasi czytelnicy to cywile.

Grzegorz Krasnodębski (GK): Nigdy nie sądziłem, że otrzymam tak wspaniałą nagrodę, która jest przyznawana ludziom szczególnie zasłużonym siłom zbrojnym. W zeszłym roku minęło 35 lat od momentu, kiedy rozpocząłem naukę w Wojskowej Akademii Technicznej w Warszawie i tę nagrodę traktuję jako wielkie wyróżnienie i uwieńczenie mojej wieloletniej służby dla naszego państwa. Otrzymanie tej nagrody nie byłoby możliwe bez wsparcia moich przełożonych i warunków do rozwoju zawodowego, które mi zapewniono w Akademii Marynarki Wojennej w Gdyni.

TO: Nagroda została przyznana za wizjonerskie podejście do ochrony infrastruktury krytycznej? Czy chodzi tylko o wojskową czy także cywilną?

GK: Problematyką zarządzania kryzysowego ze szczególnym uwzględnieniem ochrony infrastruktury krytycznej zajmuję się od około 20 lat. Wyniki prowadzonych badań i przygotowywanych opracowań dotyczą obu obszarów. W ostatnich latach skupiliśmy się głównie na bezpieczeństwie krytycznej infrastruktury teleinformatycznej.

TO: Czy mamy do czynienia z przenikaniem się zagadnień wojskowych z cywilnymi? A jeśli tak, to jak często i w jakim kierunku częściej płynie wiedza i technologia?

GK: Bez wątpienia oba obszary się ze sobą przenikają. Zjawisko to jest szczególnie zauważalne, kiedy mamy do czynienia z realnymi zagrożeniami militarnymi. Dobre praktyki i wiedza płynie w obie strony oczywiście z zachowaniem wymagań dotyczących poufności informacji.

TO: Jest Pan jednym z ekspertów ds. cyberbezpieczeństwa. Skąd tak konsekwentne zainteresowanie tym zagadnieniem? Biorąc pod uwagę, że zajmuje się tym Pan już od lat 90.

GK: Zainteresowania problematyką bezpieczeństwa systemów i sieci teleinformatycznych wynikają z mojego zawodowego wykształcenia, które zdobyłem na studiach w Wojskowej Akademii Technicznej w Warszawie na Wydziale Cybernetyki oraz podczas pracy w Zespole Informatyki Marynarki Wojennej w Gdyni.

TO: Patrząc z perspektywy lat 90 i obecnie jak Pan ocenia podejście do cyberbezpieczeństwa? Co się zmieniło i co miało na to wpływ?

GK: Na przestrzeni tych lat zmiany są w mojej ocenie ogromne. W latach 90-tych pojęcie „cyberbezpieczeństwo” nie było powszechnie używane w Polsce. Mówiło się wtedy o bezpieczeństwie systemów i sieci teleinformatycznych. Myślę, że takim momentem, w którym zaczęto sobie uświadamiać konieczność budowy odpowiednich procedur oraz mechanizmów ochronnych przed zagrożeniami z cyberprzestrzeni było wstąpienie Polski do NATO. Moim zdaniem na początku brakowało systemowego podejścia obejmującego w sposób holistyczny wszystkie obszary, w których mieliśmy do czynienia z cyberzagrożeniami. Zasoby ludzkie oraz wiedza były rozproszone w wielu miejscach i brakowało wspólnej koordynacji działań. Dzisiaj jest już inaczej. Istnieją podstawy prawne cyberbezpieczeństwa. Od kilku lat budujemy Krajowy System Cyberbezpieczeństwa, mamy Centralne Biuro Zwalczania Cyberprzestępczości w Policji oraz Wojska Obrony Cyberprzestrzeni.

TO: Jest Pan współtwórcą Morskiego Centrum Cyberbezpieczeństwa. Jak my, cywile możemy skorzystać z wiedzy i doświadczenia, jakby nie było wojskowych ekspertów?

GK: Morskie Centrum Cyberbezpieczeństwa Akademii Marynarki Wojennej w Gdyni zostało powołane do prowadzenia badań naukowych i eksperckich, cyklicznych szkoleń, koordynowania współpracy oraz wspomagania działań w obszarze cyberbezpieczeństwa, w szczególności związanego z obszarem morskim i kosmicznym, na potrzeby resortu obrony narodowej oraz innych podmiotów działających na rzecz cyberbezpieczeństwa Rzeczypospolitej Polskiej. W przeciągu pięciu lat funkcjonowania udało nam się już zrealizować wiele przedsięwzięć również dla instytucji cywilnych. Jesteśmy otwarci na współpracę.

TO: Na co powinniśmy teraz być wyczuleni? Pytam w kontekście bezpieczeństwa w sieci.

GK: Biorąc pod uwagę sytuację geopolityczną w naszym regionie i związane z nią realne zagrożenia militarne należy prowadzić działania profilaktyczne w zakresie ochrony systemów i sieci teleinformatycznych infrastruktury krytycznej naszego państwa. Należy również szczególną uwagę zwrócić na zagrożenia związane z dezinformacją, propagandą, wyciekiem danych oraz bezpieczeństwem łańcuchów dostaw zarówno oprogramowania ja i zasobów sprzętowych. Najnowsze analizy wskazują również, że nasili się wykorzystanie sztucznej inteligencji do przygotowywania cyberataków.

TO: Czy sztuczna inteligencja to bardziej zagrożenie czy szansa? A może nie powinniśmy tak stawiać pytania a bardziej przyzwyczajać się do nowej rzeczywistości i ją oswajać?

GK: Należę do pokolenia, które jest świadkiem rozwoju technologii informacyjnych. Na naszych oczach ten postęp przez cały czas się odbywa w sposób rewolucyjny. Pamiętam, jak w latach 90-tych obawiano się wdrażania komputerów do pracy. Podobnie dzisiaj jest ze sztuczną inteligencją. Istnieją duże obawy, ale myślę, że nie ma już odwrotu. AI przeniesie wiele korzyści dla nas wszystkich natomiast musimy mieć świadomość, że niektórzy będą chcieli te rozwiązania wykorzystać niezgodnie z prawem.

TO: Jak Pan ocenia nowe regulacje służące podniesieniu poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej? Szczególnie chodzi mi o Dyrektywę NIS2 i przygotowywaną implementującą ją ustawę o krajowym systemie cyberbezpieczeństwa.

GK: Na tym etapie mogę powiedzieć, że dobrze się stało, że te przepisy zostały przygotowane, ponieważ dają podstawy, aby można było zbudować system cyberbezpieczeństwa obejmujący Unię Europejską. Czy regulacje te okażą się solidne będziemy mogli ocenić, jeśli wszystkie państwa członkowskie uruchomią swoje systemy ceberbezpieczeństwa. Zobaczymy wtedy, czy wszystko zadziałało zgodnie z oczekiwaniami.

Budowanie skutecznego systemu bezpieczeństwa wymaga solidnych i jednoznacznych podstaw prawnych. Obserwując proces implementacji Dyrektywy NIS2 niestety widać, że cyberbezpieczeństwo jest skomplikowane i bardzo trudno jest przygotować odpowiednie przepisy, które będą akceptowane przez wszystkie elementy systemu.

TO: Czy widzi Pan wspólny obszar działań w obszarze cyberbezpieczeństwa i RODO? Gdzie są punkty zbieżne? Jak współpracować w tym obszarze by osiągnąć najlepszy efekt z punktu widzenia cyberbezpieczeństwa? Co doradziłby Pan osobom zajmującym się RODO? Na co zwrócić uwagę?

GK: Oba obszary są ze sobą powiązane, a punktem stycznym są dane osobowe. Współpraca może dotyczyć procesu identyfikacji zagrożeń, oceny ryzyka, opracowywania planów reagowania na zagrożenia, dzielenia się dobrymi praktykami.

TO: Co możemy i powinniśmy jeszcze zrobić by podnieść poziom bezpieczeństwa w sieci? Mówię tu o działaniach zwykłych użytkowników.

GK: Stosowanie działań profilaktycznych daje bardzo dobre rezultaty w kontekście każdego typu zagrożeń również w kontekście zagrożeń z cyberprzestrzeni. Wszyscy powinniśmy znać podstawowe zasady cyberhigieny i stosować je podczas korzystania z usług systemów i sieci teleinformatycznych. Zasady te są powszechnie dostępne i powinniśmy je traktować bardzo poważnie, ponieważ każdy z użytkowników może stać się ofiarą skutecznego cyberataku.

TO: Jakie ma Pan plany na bliższą i dalszą przyszłość? Jest przecież tyle nowych wyzwań dla takich specjalistów jak Pan.

GK: Moje plany zawodowe są ściśle związane z umacnianiem pozycji Akademii Marynarki Wojennej w Gdyni jako ośrodka naukowego i edukacyjnego w obszarze cyberbezpieczeństwa zarówno w wymiarze militarnym jak i cywilnym. Dzięki władzom uczelni udało nam się zbudować zespół ludzi, którym ciągle nie brakuje energii i pomysłów do dalszego działania.

TO: Może na koniec poproszę o jakieś przesłanie do użytkowników Internetu, ale też specjalistów od tego „zwykłego bezpieczeństwa” jak i bezpieczeństwa przez duże „B”.   

GK: Bezpieczeństwo systemów i sieci teleinformatycznych zależy od każdego użytkownika. Zróbmy wszystko, aby nie być tym najsłabszym ogniwem.

Wywiad przeprowadził mec. Tomasz Osiej.