Światowy indeks cyberbezpieczeństwa – brakujący element cyberukładanki

Źródło: cyberdefence24.pl

Rok temu miałem przyjemność napisać artykuł o cyberindeksach. Skupiłem się w nim na pokazaniu przydatności globalnych indeksów i analiz porównawczych w obszarze cyberbezpieczeństwa. Obecnie jedynie Global Cybersecurity Index, wydany przez Międzynarodowy Związek Telekomunikacyjny (ITU), analizuje w skali globu sposób, w jaki rządy państw zarządzają cyberryzykiem i adresują prawne oraz technologiczne aspekty cyberbezpieczeństwa.

Pierwszy indeks pojawił się w 2014 roku. W 2017 roku ITU wydał drugą edycję indeksu, którą skomentuję poniżej.

W 2017 indeks oparty został na tych samych co w 2014 roku pięciu filarach:

• podstawy prawne – z naciskiem na kryminalistykę i zwalczanie cyberprzestępczości; 
• zdolności operacyjne – porównywalnych z indeksem unijnym; 
• środki organizacyjne – „map drogowych”, polityki, procedur, systemów ocen; 
• budowa wydolności państwa – standaryzacji rozwoju, rozwoju kadry profesjonalistów, certyfikacji; 
• współpraca między państwami, agencjami, sektorami i w ramach organizacji międzypaństwowych.

Wartość indeksu została wyliczona z 25 sub-filarów (przedstawionych na grafice powyżej) zawierających 157 binarnych (TAK, NIE) pytań. 

Raport obejmuje 193 państwa, z czego 134 przedstawiły odpowiedzi na wszystkie pytania.

Najważniejsze wnioski płynące z raportu:

Ze względu na przyjęcie innej metodologii, porównywanie indeksu z 2014 roku od roku 2017 nie ma praktycznego znaczenia. W obu przypadkach Polska uplasowała się w grupie pierwszych 40 państw. 

Państwa wg rezultatów podzielono na trzy grupy: początkujące, dojrzewające i przewodzące. Wśród państw przewodzących (najlepszy indeks) znalazły się wg. kolejności: Singapur, USA, Malezja, Oman, Estonia, Mauritius, Australia, Gruzja. Francja, Kanada, Rosja, Japonia, Norwegia, UK, Korea, Egipt, Holandia, Finlandia, Szwecja, Szwajcaria, Nowa Zelandia. Dość dużą niespodzianką jest obecność w tej samej grupie Gruzji, Egiptu, Mauritiusu, Omanu i Malezji.

Nie wykazano korelacji między rozwojem infrastruktury telekomunikacyjnej (ICT for Development Index) a indeksem cyberbezpieczeństwa. Wywnioskować można zatem, że inwestycje w technologie nie zawsze idą w parze z bezpieczeństwem systemów, zarządzaniem ryzykiem, propagowaniem świadomości cybernetycznej, tworzeniem procedur, polityk i strategii. Przykłady: Luksemburg, Islandia, Dania, Niemcy będące w pierwszej piętnastce indeksu ICT Development Index (http://www.itu.int/net4/ITU-D/idi/2016/) i nie będące w grupie 20 państw z najwyższym indeksem cyberbezpieczeństwa. Prawdopodobnie wynika to z ograniczonego poczucia zagrożenia cybernetycznego ze strony tych państw. Z drugiej strony, trudno jest mówić o izolacji zagrożeń cybernetycznych w globalnej sieci komputerowej.

Analogicznie wysoka świadomość i organizacja cyberbezpieczeństwa państwa nie oznacza współmiernego rozwoju infrastruktury telekomunikacyjnej. Przykłady: Gruzja, Egipt, Malezja, Estonia. Prawdopodobnie dysproporcja indeksowa dla tych państw wynika z ich wysokiego poczucia zagrożenia cybernetycznego.

Geograficzne zróżnicowanie indeksu jest dość widoczne. Półkula północna jest o wiele bardziej dojrzała w implementacji procesów cyberbezpieczeństwa. Wśród kontynentów najlepszy wynik osiąga Europa i Ameryka Północna. Zdecydowanie odstaje Afryka i Ameryka Południowa.

W Europie jedynie państwa byłej Jugosławii odstają znacząco od reszty (Bośnia, Albania, Serbia, Słowenia).

Bardzo niskie indeksy zanotowały państwa tradycyjnie nie zaangażowane w politykę międzynarodową np. San Marino, Watykan, Andora oraz małe kraje wyspiarskie na Pacyfiku.

Nie ma bezpośredniego związku między PKB na osobę w danym państwie, a jego indeksem cyberbezpieczeństwa. Wydawać by się mogło, że rozwój ekonomiczny niesie ze sobą wysokie standardy cyberbezpieczeństwa. Tymczasem nie zawsze jest to prawdą. Należy pamiętać, że światowy indeks cyberbezpieczeństwa nie mierzy, tak naprawdę, jak funkcjonuje sektor prywatny i jaki jest technologiczny poziom zaawansowania samych obywateli. Biorąc pod uwagę fakt, że Izrael uczestniczy w większości najważniejszych projektów cyberbezpieczeństwa i izraelski sektor prywatny silnie wspomaga armię izraelską, to właśnie Izrael powinien znaleźć się w czołówce. Światowy indeks mierzy raczej podejście elit państwowych do zagadnień cyberbezpieczeństwa i wkładu państwa w regulacje prawne oraz rozwijanie świadomości w wirtualnej rzeczywistości. Paradoksalniem państwo z niskim indeksem cyberbezpieczeństw wciąż może być dobrze zorganizowanym i silnym w cyberprzestrzeni pod warunkiem, że sektor prywatny przejmie rolę państwa w wielu płaszczyznach.

Ciekawostką jest, że państwa które doświadczyły poważnych ataków na swoje systemy teleinformatyczne ze strony Rosji – Gruzja (2008) i Estonia (2007) – znajdują się obecnie w czołówce indeksu z bardzo dobrze rozwiniętymi instytucjami i prawem w obszarze cyberbezpieczeństwa. Ukraina jest obecnie poligonem doświadczalnym dla rosyjskich hakerów i konsekwentnie to właśnie ona powinna wypracować nowe formy zarządzania cyberprzestrzenią.

Tylko trzy państwa osiągnęły wynik 100% (binarnie liczony jako 1) w jednym z filarów. USA w filarze prawnym, Francja, Malezja i USA w filarze programów edukacyjnych.

Graficzne zestawienie rezultatów indeksu na mapie świata (kolor zielony – najwyższy wskaźnik, kolor czerwony – najniższy).

Paweł Góralski