MENU
Nasze ceny
Przeczytaj fragment on-line
-
promocja
Zarządzanie cyberbezpieczeństwem. Pracownicy, Procesy, Technologie - ebook
Zarządzanie cyberbezpieczeństwem. Pracownicy, Procesy, Technologie - ebook
Od początku XXI wieku obserwujemy dynamiczny rozwój narzędzi teleinformatycznych, które przenikają przez wszystkie obszary działalności państwa, przedsiębiorstw jak i społeczeństwa. Jednak warto zauważyć, że im więcej funkcjonalności oczekujemy od tego typu narzędzi, tym bardziej złożony jest ich kod źródłowy. Im bardziej złożony jest kod źródłowy, tym więcej jest w nim luk bezpieczeństwa. Im więcej jest luk bezpieczeństwa w kodzie źródłowym, tym bardziej jesteśmy podatni na cyberzagrożenia. A im bardziej jesteśmy podatni na cyberzagrożenia, tym łatwiejszy i tym samym bardziej prawdopodobny jest cyberatak. Jednocześnie im więcej wykorzystujemy funkcjonalności systemów teleinformatycznych, tym bardziej jesteśmy od nich zależni. A im bardziej jesteśmy zależni od systemów teleinformatycznych, tym potężniejsze mogą być skutki udanego cyberataku. W związku z tym bardzo ważne,aby organizacje zaczęły kompleksowo zarządzać cyberbezpieczeństwem. Wydawnictwo PWN ma przyjemność przedstawić Państwu wyjątkową pozycję wychodzącą naprzeciw tej konieczności uzbrojenia się w odpowiedni pancerz przed opisanymi zagrożeniami – książkę zatytułowaną: Zarządzanie cyberbezpieczeństwem - Pracownicy, Procesy, Technologie. Unikalnymi cechami tego poradnika są m.in: - praktyczne podejście do zarządzania cyberbezpieczeństwem - aktualność i istotność podejmowanych tematów - minimum teorii i koncentracja na konkretach - perspektywa biznesowa i zarządcza Publikację Zarządzanie cyberbezpieczeństwem polecamy przede wszystkim pracownikom naukowym prowadzącym badania z zakresu nauk o bezpieczeństwie, nauk o zarządzaniu, nauk informatycznych i telekomunikacyjnych, ale również i innych dyscyplin naukowych w szczególności z dziedziny nauk społecznych; przedsiębiorcom, przedstawicielom zarządów i rad nadzorczych organizacji, które z różnych powodów powinny systemowo zarządzać cyberbezpieczeństwem; przedstawicielom organów administracji, którzy ustanawiając prawo, pragną kompleksowo traktować to zagadnienie; przedstawicielom przedsiębiorstw świadczących usługi z zakresu ochrony informacji; ekspertom z zakresu cyberbezpieczeństwa, chcących zrozumieć szerszy kontekst wykonywanych przez siebie zadań; słuchaczom studiów podyplomowych, w tym studiów MBA, chcących tworzyć i rozwijać swoje organizacje z uwzględnieniem ryzyka dla bezpieczeństwa informacji; wykładowcom akademickich, trenerom zarządzania, audytorom systemów IT; studentom, którzy w kolejnych latach zaczną aktywnie uczestniczyć w rozwoju społeczeństwa informacyjnego, będą tworzyć i adaptować nowe technologie.
| Kategoria: | Inżynieria i technika |
| Zabezpieczenie: |
Watermark
|
| ISBN: | 978-83-01-24182-7 |
| Rozmiar pliku: | 4,9 MB |
FRAGMENT KSIĄŻKI
Rozdział 1
Sytuacja problemowa
Cyberbezpieczeństwo, mimo że jest obecne w popkulturze i codziennych praktykach biznesowych wielu organizacji od ponad 40 lat, dopiero w ostatnich latach przestało być postrzegane jako coś mistycznego, odległego i bliższego science fiction. Znaczną w tym rolę odgrywa gwałtownie rozwijająca się cyberprzestępczość – w tym działalność „cybernajemników” pracujących na zlecenie wrogich państw. Należy jednak zauważyć, że pełna zależność dużych organizacji od systemów IT prowadzi do sytuacji, w których nawet zwykłe błędy ludzkie, awarie czy szkody powodowane przez siły natury mogą bezpośrednio zagrozić ciągłości procesów biznesowych. To może z kolei wpłynąć na całe społeczeństwo – ze względu na długie i wzajemnie powiązane łańcuchy dostaw.
To, co jednak przede wszystkim budzi obawy, to gwałtownie rosnąca liczba cyberincydentów. Tylko w Polsce w 2023 roku było około 400 tys. (NASK, 2023), z czego liczba tych najgroźniejszych dla działalności organizacji – czyli szyfrujących dane ataków ransomware (ENISA, 2023), (World Economic Forum, 2024) – zwiększyła się prawie dwukrotnie rok do roku (NASK, 2023). IBM szacuje, że średni koszt ataku ransomware sięga już prawie 4,5 miliona dolarów (IBM, 2024). Przestępcy, którym brakuje kompetencji technicznych, mogą w pewnych obszarach bez większych trudności skorzystać z usług określanych jako „cybercrime as a service” (Kosiński, 2015), co istotnie zwiększa liczbę prób cyberataków i wpływa na masową skalę zjawiska. FBI szacuje wielkość strat spowodowanych przez cyberataki w 2023 roku na 12 miliardów dolarów (FBI, 2023). Skoro zaangażowane są tak potężne kwoty, nie dziwi fakt, że cyberprzestępczością coraz częściej zajmują się międzynarodowe grupy zorganizowane.
Kolejnym zagadnieniem, które należy podkreślić, jest często trudne do przeliczenia na pieniądze znaczenie poprawnie funkcjonujących systemów IT. Znaleźć można je wszędzie – w nowoczesnych korporacjach, autonomicznych pojazdach, gadżetach, bez których trudno sobie wyobrazić życie. Już nie tylko futurolodzy, ale i korporacje przedstawiają wizję świata, w którym cała działalność jest przenoszona do cyberprzestrzeni. Miniaturyzacja, autonomiczność, coraz szybsza łączność, przetwarzania w chmurze, sztuczna inteligencja – wszystkie te aspekty przybliżają urzeczywistnienie się koncepcji IoE, czyli Internet of Everything. Wciąż jednak zbyt mało zwraca się uwagę na zagrożenia inherentnie związane z każdą funkcjonalnością. Cyberincydenty mogą wręcz doprowadzić do śmierci w przypadku, gdy dotkną kluczowej infrastruktury (McGlave, et al., 2024). Tego typu skutki – oprócz działania grup ransomware – coraz częściej stają się „specjalizacją” hakerów działających na zlecenie niektórych z państw, które nie wahają się przeprowadzać ataków w sposób masowy – dotykający ludności cywilnej, np. poprzez doprowadzenie w zimie do awarii sieci energetycznych (Greenberg, 2021). Wobec powyższego inna „typowa” działalność „hakerów w mundurach”, a mianowicie szpiegostwo przemysłowe i gospodarcze wydawać się mogą niewinną igraszką.
Analizując powyższe trendy, należy dodatkowo mieć na uwadze, że dane o stratach uwzględniają tylko te z incydentów, które zostały formalnie zgłoszone. Nie obejmują one także awarii, pomyłek czy błędów, których skutków zazwyczaj nawet nie można dobrze oszacować. Z tego powodu tak istotne staje się spójne zarządzanie bezpieczeństwem systemów IT i przetwarzanych w nich informacji. Osiąga się to, tworząc systemy zarządzania bezpieczeństwem informacji (SZBI) oraz systemy zarządzania ciągłością działania (SZCD). Ich celem powinna być ochrona organizacji przed rzeczywistymi, priorytetowymi scenariuszami ryzyka, przy uwzględnieniu wymagań regulacyjnych, kultury organizacyjnej, apetytu na ryzyko oraz możliwości finansowych. Buduje się w ten sposób organizacje ciągle podnoszące swą odporność na cyberzagrożenia. W tym celu wykorzystywane są przede wszystkim różnego rodzaju zaawansowane informatyczne systemy bezpieczeństwa. To z kolei powoduje, że potrzebne są zespoły o coraz szerszych kompetencjach, a ponieważ przestępstwa internetowe mają miejsce niezależnie od pory dnia czy dnia tygodnia, stąd pojawiają się potrzeby dyżurów i pracy zmianowej.
Zagadnienie zarządzania cyberbezpieczeństwem dodatkowo komplikują aspekty techniczne. Każdego dnia w oprogramowaniu pojawiają się podatności na ataki, których wykorzystanie może doprowadzić do cyberincydentów (MITRE, 2024). Reakcja powinna być bezzwłoczna, gdyż niekiedy wręcz po godzinach od ujawnienia luki pojawiają się masowe ataki (CSO Online, 2022). Mnogość potrzeb biznesowych powoduje, że instalowane bywają dziesiątki, setki a niekiedy wręcz tysiące aplikacji realizujących specyficzne funkcje. Każda aplikacja to potencjalna furtka dla cyberprzestępców. Wiele z aplikacji często nie jest w pełni wykorzystywanych lub wręcz dubluje swoje funkcje (Najwyższa Izba Kontroli, 2024).
W tak złożonym środowisku trudno jest podejmować świadome, szybkie i skuteczne decyzje w zakresie cyberbezpieczeństwa. Oczekiwane jest to jednak coraz częściej przez prawodawców, jak choćby przy okazji dyrektywy NIS2 (Parlament Europejski, 2022a). Słuszna skądinąd presja na zapewnienie zgodności z wymaganiami regulacyjnymi potrafi niestety sprowadzać zarządzanie cyberbezpieczeństwem do mniej lub bardziej refleksyjnego „wypełniania tabelek”. Gdy weźmiemy pod uwagę, że zagadnienie zarządzania tym obszarem jest stosunkowo młode, trzeba skonstatować, że wielu przedstawicieli kadry kierowniczej zna je wyłącznie pobieżnie z mediów i nie posiada w tym obszarze szczególnego wykształcenia. Metody zarządzania ryzykiem kopiowane z innych sektorów często nie pomagają w uchwyceniu biznesowych aspektów cyberbezpieczeństwa. Dopiero od kilku lat pojawiają się studia podyplomowe dotyczące zarządzania cyberbezpieczeństwem, w tym studia Executive MBA. Dodatkowo nie jest łatwo znaleźć godne zaufania osoby o kompetencjach pozwalających na przejęcie tych obowiązków, gdyż funkcjonujący w środowisku eksperci koncentrują się najczęściej na aspektach technicznych bądź prawnych. Opieranie się na ich radach i doświadczeniu pozwala kadrze kierowniczej wykazać w razie incydentu, że dochowana została „należyta staranność” (por. (Sejm RP, 2000) art. 300(125) par. 1). Bardzo trudno jest więc wykazać, że podejmowany na bieżąco wysiłek jest jednocześnie skierowany we właściwą stronę i wspiera cele organizacji. To staje się nie lada wyzwaniem przy uwzględnieniu widocznego na świecie niedostatku ekspertów ds. cyberbezpieczeństwa. Szacuje się, że w ciągu najbliższych lat – do 2030 r. – na świecie będzie brakować 85 milionów specjalistów zajmujących się cyberbezpieczeństwem (World Economic Forum, 2024), co nie znaczy, że tyle osób będzie pracować na stanowiskach ekspertów ds. cyberbezpieczeństwa, ale tyle osób, m.in. w ramach zespołów IT, powinno wykonywać zadania wymagające wiedzy z tego zakresu.
Odpowiedź na pytanie, jak pogodzić opisane wcześniej sprzeczności i doprowadzić do możliwie skutecznego i efektywnego ekonomicznie zarządzania cyberbezpieczeństwem, jest głównym problemem omawianym w niniejszej publikacji. Autor dzieli się rezultatami wieloletniej pracy badawczej, jak również doświadczeniami z pracy jako ekspert, audytor, konsultant, kierownik, dyrektor, doradca oraz trener i wykładowca. Doświadczenia te były zdobywane na przez 25 lat w wielu organizacjach: istotnych spółkach skarbu państwa, operatorach usług kluczowych, jednostkach administracji centralnej czy międzynarodowych korporacjach. Rozważania są przedstawiane za pomocą autorskich modeli, które mają na celu ułatwianie zrozumienia kompleksowości poruszanego zagadnienia. Autor stoi bowiem na stanowisku, że problemy rozwiązywane przy okazji zarządzania cyberbezpieczeństwem nie tyle są trudne, co są bardzo złożone (por. (Appelo, 2016), (Drabik i Sobol, 2022)). Wymagają jednoczesnego i konsekwentnego wykonywania wielu stosunkowo łatwych czynności. Jednak zmienność środowiska w czasie, liczba zmian koniecznych do wprowadzenia oraz to, że oddziałują one na siebie, powoduje, że pojawiają się nieoczywiste zależności i w nieustanny sposób ewoluuje skuteczność wdrożonych zabezpieczeń. To wpływa na złożoność procesu zarządzania cyberbezpieczeństwem i powoduje, że zamiast stosowania uporządkowanych metodyk potrzebna jest stała adaptacja oraz wykorzystywanie wyobraźni, aby zidentyfikować nowe zagrożenia i się przed nimi bronić. Uczynienie cyberbezpieczeństwa łatwym, czyli pokazanie jednoczesnej prostoty pojedynczych zadań i złożoności całego systemu, jest mottem zawodowym Autora niniejszej publikacji.
Mirosław Maj – jeden ze współtwórców CERT Polska – podkreślał, że zbyt często dopiero poważny incydent obnaża słabości funkcjonującej struktury i zmusza do poważnego pomyślenia o zmianach (Maj, 2012). Autor żywi nadzieję, że dzięki wdrożeniu wniosków płynących z niniejszej publikacji przynajmniej kilku członków kadry kierowniczej zdoła ochronić przetwarzane informacje i świadczone usługi. Autor starał się położyć duży nacisk nie tylko na to, aby przedstawione w pracy propozycje były możliwie skuteczne i łatwe do zrozumienia i wdrożenia, ale również były wewnętrznie spójne i ułożone zgodnie z zasadami dysertacji naukowej.Rozdział 2
Metodologia
Metodologia jest jedną z dziedzin filozofii nauki, której przedmiotem są metody badań stosowanych w nauce, ich poprawność, skuteczność oraz przydatność przy formułowaniu twierdzeń i teorii naukowych w danej dziedzinie wiedzy (Krajewski, 2020). W przypadku nauk społecznych można zauważyć pewną trudność wynikającą z teoretyczno-pragmatycznego charakteru badań, która ma wpływ na dobór metod i na zasadność korzystania z metod mieszanych (Sułkowski, Lenard-Gansiniec, 2023), co będzie mieć odwzorowanie w niniejszej monografii. Na kolejnych stronach zostanie przedstawiona metodologia, na którą składać się będą sformułowanie przedmiotu badań, określenie problemu badawczego oraz zdefiniowanie problemów szczegółowych, sformułowanie hipotezy głównej oraz hipotez pomocniczych, zaproponowanie układu pracy odzwierciedlającego etapy badawcze odpowiadające na postawione problemy badawcze. Następnie zdefiniowano potencjalnych odbiorców niniejszej monografii, co pozwoliło sformułować cel utylitarny pracy oraz określić jej cele szczegółowe. Zostało to osiągnięte z wykorzystaniem różnorodnych metod badawczych stosowanych w ramach „nauki o bezpieczeństwie”.
Celem badań naukowych powinno być poznanie prawdy, ujawnienie stosunkowo obiektywnego stanu rzeczy (Łobocki, 2010) (cytat za (Wiśniewski, 2020)). Profesor Bernard Wiśniewski podkreśla, że celem badań w ramach nauk o bezpieczeństwie mogą być (Wiśniewski, 2020):
• wzbogacenie wiedzy o bezpieczeństwie,
• poszukiwanie relacji między bezpieczeństwem a zjawiskami mającymi na nie wpływ oraz ich opisywanie,
• wyjaśnienie związków przyczynowych zachodzących między bezpieczeństwem a jego determinantami.
Wielu autorów podkreśla również korzyści płynące z utylitarnego podejścia do prac naukowych. Takie również były zamierzenia Autora w stosunku do niniejszej monografii. Jej celem jest wskazanie pożądanych kierunków i wymaganego zakresu zmian w funkcjonowaniu organizacji, które z różnych powodów powinny systemowo zarządzać bezpieczeństwem informacji, tak aby osiągnąć odporność na najistotniejsze cyberzagrożenia. Autor w swoich rozważaniach skupia się na jednym obszarze zapewniania „cyberodporności”, a mianowicie na kwestii zarządzania cyberbezpieczeństwem. Wskazuje tym samym najistotniejsze obszary, które wymagają łącznej realizacji, aby świadomie przeciwdziałać najistotniejszym cyberzagrożeniom.
Niekoniecznie będzie to tanie czy łatwe, ale zdaniem Autora jest osiągalne w taki sposób, aby nie paraliżować rozwoju biznesu. Zapewnianie cyberbezpieczeństwa jest ważne nie tylko ze względu na regulacje, takie jak NIS2 (por. (Parlament Europejski, 2022a), CER (Parlament Europejski, 2022b) czy GDPR (Parlament Europejski, 2016)). Szczególnie istotny jest fakt, że właściwa ochrona danych jest elementem ochrony wartości wytworzonej przez organizacje. Wartości, która zazwyczaj była budowana przez lata i zgodnie z zamierzeniami właścicieli i kierownictwa organizacji powinna trwale rozwijać się latami.
Analizując dostępną literaturę, można spotkać dużo prac dotyczących cyberbezpieczeństwa. Jednak są one skupione przede wszystkim na kwestiach technicznych związanych z projektowaniem i wdrażaniem narzędzi zabezpieczających dane, z wykrywaniem potencjalnie niebezpiecznych zdarzeń, ich analizą i przeciwdziałaniem. Druga grupa prac podchodzi do zagadnienia z perspektywy zapewniania zgodności z przepisami i regulacjami. Można znaleźć wiele wartościowych publikacji z zakresu systemów bezpieczeństwa IT, testów penetracyjnych, kryptologii, programowania, inżynierii społecznej, OSINT, zabezpieczania dowodów, rodzajów cyberataków, roli AI, dezinformacji, wojny hybrydowej oraz roli cyberodporności w zapewnianiu bezpieczeństwa narodowego. Kwestie zarządzania procesami z zakresu cyberbezpieczeństwa, czyli planowania działań, wdrażania, eksploatowania, doskonalenia zabezpieczeń uwzgledniających pracowników, procesy i technologie, a także umiejętności reagowania na incydenty, nie doczekały się jeszcze w Polsce kompleksowego ujęcia, a i literatura obcojęzyczna jest uboga w tym zakresie. Autorowi w trakcie przeprowadzonych badań nie udało się znaleźć prac, które przedstawiają to zagadnienie analizowane z pespektywy kadry zarządzającej, wykorzystując oryginalne modele i metody obejmujące główne obszary zarządzania cyberbezpieczeństwem. Wdrażane zabezpieczenia powinny bowiem dotyczyć jednocześnie:
• pracowników, czyli ich kompetencji oraz struktur, w ramach których funkcjonują;
• procesów zapewniających eksploatację i doskonalenie systemów zarządzania bezpieczeństwem informacji oraz zapewniających skuteczną reakcję na cyberincydenty;
• technologii, czyli narzędzi, które wspomagają zmniejszanie prawdopodobieństwa cyberincydentów oraz ograniczanie ich skutków.
Stanowi to spore wyzwanie dla organizacji, biorąc pod uwagę bardzo szybko zmieniający się krajobraz podatności i zagrożeń dotykających cyberprzestrzeni.
W swoich rozważaniach Autor skoncentrował się na roli kadry kierowniczej w istotnych organizacjach, czyli takich, które z różnych powodów powinny lub wręcz muszą troszczyć się o bezpieczeństwo informacji i/lub bezpieczeństwo wykorzystywanych systemów IT. Zamiast jednak apelować o przeznaczanie coraz to większych kwot na cyberbezpieczeństwo, rozprawa koncentrować się będzie na pokazaniu mechanizmów, które pozwolą zrozumieć, dlaczego jest ono tak ważne w organizacjach, w których dokładnie obszarach, oraz co konkretnie należy zrobić, by podejmowane czynności miały wyraźny wpływ na bezpieczeństwo informacji. Doświadczenia Autora pokazują, że zbyt często podejmowane działania można nazwać pozornymi. Należy jednak dodać, że niekoniecznie związane jest to z mało etycznymi decyzjami najwyższego kierownictwa, ale znacznie częściej z trudnościami w zrozumieniu i poruszaniu się w tak złożonej tematyce.
Podjęta próba zbadania metod osiągania celów cyberbezpieczeństwa, identyfikowanych w trakcie procesu zarządzania ryzykiem IT, pozwoliła określić przedmiot badań, czyli ściśle określony fragment rzeczywistości odnoszący się w przypadku niniejszej pracy do bezpieczeństwa oraz relacji między tworami materialnymi i niematerialnymi środowiska bezpieczeństwa (Krajewski, 2020). Przedmiotem badań stał się tym samym system zarządzania bezpieczeństwem informacji w organizacjach, które z różnych powodów powinny systemowo zarządzać cyberbezpieczeństwem. Autor zauważył, że osoby kierujące takimi organizacjami, mimo nakładanych wewnętrznie i zewnętrznie wymagań, często nie są w stanie podejmować skutecznych działań zmierzających do zapewnienia świadomie zaakceptowanego poziomu bezpieczeństwa. Problemem badawczym jest więc poszukiwanie odpowiedzi na pytanie: W jaki sposób najwyższe kierownictwo organizacji, które z różnych powodów powinny systemowo zarządzać bezpieczeństwem informacji, musi ukierunkować działania, aby zapewnić odporność na najistotniejsze cyberzagrożenia? Aby ułatwić odpowiedź na postawione złożone pytanie, zgodnie z metodologią opisywaną przez profesora Mirosława Krajewskiego (Krajewski, 2020), zdefiniowano następujące problemy szczegółowe:
1. Które organizacje są na tyle istotne, że wymagają systemowego podejścia do zarządzania działaniami niezbędnymi do ochrony sieci i systemów informatycznych oraz informacji w nich przetwarzanych?
2. Dlaczego ważne jest zidentyfikowanie kategorii podmiotów stwarzających zagrożenie dla informacji przetwarzanych w istotnych organizacjach?
3. Dlaczego zarządzanie cyberbezpieczeństwem powinno być tak istotnym obszarem wymagającym zaangażowania najwyższej kadry kierowniczej?
4. Czy zasadne jest zbiorcze analizowanie ryzyka związanego z atakami na bezpieczeństwo informacji?
5. W jaki sposób należy zarządzać ryzykiem w zakresie bezpieczeństwa informacji?
6. W jaki sposób można identyfikować najważniejsze cyberzagrożenia zagrażające organizacjom?
7. Jakie rodzaje mechanizmów kontrolnych należy stosować, aby zapewnić odporność organizacji na cyberzagrożenia?
8. Czym kierować się w trakcie zatrudniania i rozwoju kadr, które będą zapewniać cyberbezpieczeństwo w istotnych organizacjach?
9. Jak może wyglądać struktura organizacyjna, zgodnie z którą realizowana będzie funkcja cyberbezpieczeństwa?
10. Które procesy powinny być realizowane, aby móc kompleksowo zarządzać cyberbezpieczeństwem?
11. Które zabezpieczenia należy przede wszystkim wdrożyć, aby zwiększyć odporność organizacji na cyberzagrożenia?
12. Co wpływa na skuteczność identyfikacji cyberzagrożeń?
13. Na jakie zmiany w zakresie zarządzania cyberbezpieczeństwem powinny przygotować się organizacje?
Przedstawiony problem główny wraz z problemami szczegółowymi posłużył do sformułowania hipotezy głównej, czyli przypuszczenia istnienia zależności w ramach zdefiniowanego przedmiotu badań, które pozwoli rozwiązać postawiony problem. W ramach niniejszej monografii Autor będzie się starał jej dowieść Hipotezy – zgodnie z metodologią stosowaną w ramach nauk o bezpieczeństwie – powinny charakteryzować się tym, że (Wiśniewski, 2020).:
• Wyjaśniają znane fakty.
• Są możliwe do zweryfikowania przez wynikające z nich konsekwencje.
• Dotyczą istotnych dla nauki zdarzeń.
• Mają zdolność tworzenia teorii.
• Są przypuszczeniami wysoce prawdopodobnymi.
Hipoteza główna została w tym wypadku sformułowana w następujący sposób:
Jeśli uzyskiwanie akceptowanego poziomu odporności na cyberzagrożenia jest istotnym zagadnieniem dla organizacji, to wymagać będzie identyfikacji przez kadrę kierowniczą najistotniejszych scenariuszy ryzyka oraz wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego role i struktury organizacyjne, zdefiniowane procesy oraz narzędzia informatyczne przeciwdziałające, wykrywające oraz wspierające reakcję na cyberincydenty.
W celu zweryfikowania hipotezy głównej formułowano hipotezy pomocnicze mające charakter „hipotez dotyczących wpływu” (Józefacka, et al., 2023):
1. Jeśli potencjalne naruszenia bezpieczeństwa informacji mogą mieć zauważalny wpływ na społeczeństwo, przewagę konkurencyjną organizacji, zdolność jej rozwoju oraz zgodność z przepisami prawa i zobowiązaniami kontraktowymi, to organizacja staje się na tyle istotna, aby systemowo zarządzać cyberbezpieczeństwem.
2. Jeśli organizacja może być zaatakowana przez różne kategorie wrogich podmiotów, to ich poziom umiejętności technicznych i motywacja wpłyną na generowane przez nie ryzyko, co wymagać będzie różnych strategii zapewniania cyberbezpieczeństwa.
3. Jeśli dla organizacji kluczowa jest minimalizacja kosztów lub zapewnienie zdolności do szybkiej adaptacji do zmian, to zapewnianie cyberbezpieczeństwa wymagać będzie trudnego kompromisu.
4. Jeśli zagrożenia dotyczące poufności, integralności, dostępności i autentyczności informacji mają różny wpływ na organizacje, to powinny być analizowane osobno dla każdego z rodzajów przetwarzanych informacji.
5. Jeśli niedostatek danych historycznych lub znaczna liczba zasobów utrudniają precyzyjne wyliczanie prawdopodobieństwa cyberzagrożeń oraz skuteczności proponowanych zabezpieczeń, będzie to mieć negatywny wpływ na skuteczność klasycznych metod zarządzania ryzykiem i tym samym będzie determinować możliwość korzystania z uproszczonych, jakościowych i łatwych do powtarzania metodyk.
6. Jeśli scenariusze ryzyka mają przedstawiać konkretne skutki cyberzagrożeń dopasowane do analizowanej organizacji, to należy stosować modele łączące metodyczne podejście z praktyczną znajomością zachodzących procesów.
7. Jeśli organizacja będzie umiejętnie dobierać zabezpieczenia wykorzystując ich funkcję i charakter, to dopasuje je do kultury organizacyjnej i budżetu, osiągając jednocześnie akceptowany poziom odporności na cyberzagrożenia
8. Jeśli różne zadania stawiane specjalistom ds. cyberbezpieczeństwa wymagają innych umiejętności, wiedzy i kompetencji, które niekiedy wręcz się wykluczają, to podczas tworzenia zespołów zasadne jest posiłkowanie się gotowymi metodykami.
9. Jeśli istotność cyberbezpieczeństwa dla rozwoju organizacji wpływa nie tylko na liczbę zatrudnionych specjalistów, ale i na kształt struktury organizacyjnej, to najwyższa kadra kierownicza powinna sprawować bezpośredni nadzór nad cyberbezpieczeństwem.
10. Jeśli wzrost złożoności, powszechność cyberzagrożeń oraz liczba podatności związanych z wszechobecnością systemów informatycznych wzrasta, to systemy zarządzania bezpieczeństwem informacji powinny być wielowarstwowe oraz uwzględniać procesy eksploatacyjne, procesy doskonalące oraz procesy reakcji na cyberincydenty.
11. Jeśli istnieje grupa podstawowych zabezpieczeń, która jest najbardziej skuteczna podczas przeciwdziałania ryzyku dla bezpieczeństwa IT, to powinny one stanowić fundament, na bazie którego projektowane będą dalsze mechanizmy kontrolne.
12. Jeśli analitycy mają skutecznie identyfikować, analizować i reagować na cyberincydenty, wymaga to zorganizowania procesów zapewniających, że kompetentni pracownicy poprawnie wykorzystują zautomatyzowane systemy korelujące i wzbogacające dane z różnych źródeł.
13. Jeśli utrzymają się rosnące trendy w zakresie wpływu regulacji w zakresie cyberbezpieczeństwa, liczba zagrożeń związanych z nowymi technologiami, a przede wszystkim zależności organizacji od systemów teleinformatycznych, to w nadchodzących latach należy się spodziewać rozpowszechnienia nowych rodzajów usług i narzędzi cyberbezpieczeństwa.
Układ niniejszej monografii odzwierciedla szczegółowe problemy badawcze. Pracę podzielono na trzy części odpowiadające głównym zagadnieniom poruszanym w pracy: skutecznej identyfikacji ryzyka, wyborowi skutecznych i efektywnych ekonomicznie mechanizmów kontrolnych (zabezpieczeń) oraz przygotowaniu organizacji na przyszłe wyzwania. W ramach pierwszego etapu badawczego został zgromadzony i przeanalizowany materiał analityczny i empiryczny dotyczący całokształtu procesu zarządzania ryzykiem IT. Oparto się na procesie przedstawionym w normie ISO 31000 będącej uznanym międzynarodowym standardem w tym zakresie. Przedstawione mechanizmy zostały jednak w znacznym stopniu rozbudowane w drugim etapie badawczym, przedstawiającym empiryczne aspekty skutecznego zarządzania ryzykiem. Zostało to wzbogacone autorską metodyką identyfikacji ryzyka oraz modelem podziału cyberzagrożeń metodą A:F. Pierwszy i drugi etap badawczy został przedstawiony w części pierwszej niniejszej monografii.
W ramach trzeciego etapu badawczego wykorzystano zgromadzony materiał analityczny dotyczący wymagań w zakresie zarządzania i monitorowania bezpieczeństwa informacji oraz potrzebnych kompetencji w tym zakresie. Przedstawiono kilka oryginalnych wariantów pokazujących możliwe struktury organizacyjne dotyczące funkcji cyberbezpieczeństwa. Warto w tym momencie zauważyć, że struktury organizacyjne w wielu podmiotach wciąż dopiero się tworzą i trudno jest podpatrywać dobre wzorce u innych. Czwarty etap prac miał charakter pragmatyczny – w szczególności obejmował syntezę empirycznych doświadczeń Autora podczas realizacji projektów w istotnych spółkach skarbu państwa i wśród operatorów usług kluczowych. Przedstawiono w nim autorski model wielowarstwowego zarządzania bezpieczeństwem informacji wraz z metodyką pokazującą, jak można łączyć procesy w łańcuchy w celu osiągnięcia wartości dodanej. W piątym etapie prac skoncentrowano się na technicznych aspektach zapewniania bezpieczeństwa informacji. Przedstawiono autorski wybór najlepszych zasad budowy Systemów Zarządzania Bezpieczeństwa Informacji (SZBI) odpornych na cyberzagrożenia, jak również autorski model skutecznego monitorowania cyberbezpieczeństwa wraz z powiązaną metodyką. Trzeci, czwarty i piąty etap badawczy zostały przedstawione w części drugiej rozprawy.
Ostatnia część książki zawiera rozważania na temat przyszłych, możliwych zmian potrzeb w zakresie skutecznego zapewniania cyberodporności. W ramach tego – szóstego etapu badań – Autor wskazuje zasadność tworzenia nowych rodzajów usług cyberbezpieczeństwa oraz narzędzi i funkcjonalności, które powinny w kolejnych latach zyskać na znaczeniu. Monografię kończy podsumowanie. Układ całej pracy podyktowany był utylitarnym charakterem rozważań i jest zgodny z podejściem systemowym.
Monografie naukowe służą do tego, aby w oryginalny i twórczy sposób przedstawiać określane zagadnienia (Józefacka, et al., 2023). Przedstawiają oparte na przeprowadzonych badaniach, nowe podejście do tematu w odniesieniu do bieżącego stanu wiedzy. Kompleksowe ujęcie zagadnienia, jego istotność oraz potrzeby organizacji związane z ochroną informacji przetwarzanych w sieciach i systemach IT najprawdopodobniej wpłyną na to, że niniejszą monografią może się zainteresować szersze grono czytelników, posiadających różną wiedzę, umiejętności i kompetencje w zakresie zarządzania cyberbezpieczeństwem. Wśród potencjalnych grup czytelników można wskazać:
• pracowników naukowych prowadzących badania przede wszystkim z zakresu nauk o bezpieczeństwie, nauk o zarządzaniu, nauk informatycznych i telekomunikacyjnych, ale również i innych dyscyplin naukowych w szczególności z dziedziny nauk społecznych;
• przedsiębiorców, przedstawicieli zarządów i rad nadzorczych organizacji, które z różnych powodów powinny systemowo zarządzać cyberbezpieczeństwem;
• przedstawicieli organów administracji, którzy – ustanawiając prawo – chcą kompleksowo traktować to zagadnienie;
• przedstawicieli podmiotów świadczących usługi z zakresu ochrony informacji;
• ekspertów z zakresu cyberbezpieczeństwa chcących zrozumieć szerszy kontekst wykonywanych przez siebie zadań;
• słuchaczy studiów podyplomowych, w tym studiów MBA, którzy chcą tworzyć i rozwijać swoje organizacje z uwzględnieniem ryzyka dla bezpieczeństwa informacji;
• wykładowców akademickich, trenerów zarządzania, audytorów systemów IT;
• studentów, którzy w kolejnych latach zaczną aktywnie uczestniczyć w rozwoju społeczeństwa informacyjnego, będą tworzyć i adaptować nowe technologie.
Ze względu przedstawione powyżej szerokie grono potencjalnych odbiorców niniejsza monografia została wzbogacona propozycjami ćwiczeń, więc oprócz treści czysto naukowych wykazuje pewne cechy dydaktyczne. Jest to związane z prowadzonymi dyskusjami na temat tego, że prace naukowe powinny spełniać istotną rolę społeczną, także w zakresie ich użyteczności (Krajewski, 2020). Ponieważ Autor spodziewa się, że przynajmniej część z czytelników będzie szukać w monografii rozwiązań problemów, z którymi zmagają się w swojej pracy zawodowej, pozostawienie ich z uczuciem, że po zakończeniu lektury muszą samodzielnie przekładać treści naukowe na praktykę oraz poszukiwać kolejnych prac, byłoby zdaniem Autora nieuczciwe.
Autor chce zwrócić szczególną uwagę na to, że prezentowane modele różnią się niekiedy od „oficjalnych”, znanych z międzynarodowych norm i standardów. Jest to zabieg celowy związany z ich inną funkcją. „Oficjalne” modele mają najczęściej na celu zapewnienie zgodności z przedstawianymi wymaganiami i osiągnięcie porównywalnych wyników. Modele opisywane w niniejszej publikacji mają między innymi na celu rozbudzenie wyobraźni osób odpowiedzialnych za cyberbezpieczeństwo oraz pokazanie co i dlaczego jest istotne. Zdaniem Autora niezbędne do skutecznej ochrony przetwarzanych informacji jest pokazanie, w jaki sposób wzajemnie powiązać procesy, kompetencje ludzkie i narzędzia informatyczne. Modele należy więc traktować jako rodzaj wytycznych (ściągawek), które mają pomóc zrozumieć ich korzyści oraz unaocznić, co może się wydarzyć, gdy zarządzanie cyberbezpieczeństwem nie będzie prowadzone w sposób metodyczny. Podpowiedzą one kadrze zarządzającej szereg możliwości reakcji na nieakceptowalne scenariusze ryzyka. Przedstawione w tej pracy autorskie modele nie są i z założenia nie miały być definitywne. Także nie są i nie powinny być traktowane jako zbiór wymagań, zgodnie z którymi będzie przebiegać kontrola czy audyt. Należy je traktować wyłącznie w charakterze narzędzi wspomagających proces zarządzania tym obszarem.
Celem utylitarnym pracy było rozwiązanie problemu głównego, czyli zaproponowanie rozwiązań, które pozwolą osobom odpowiedzialnym za zapewnienie cyberbezpieczeństwa w ustanowieniu skutecznego systemu zarządzania bezpieczeństwem informacji, dopasowanego do potrzeb i możliwości organizacji. Jest to spójne z celami stawianymi naukom społecznym. Cytując prof. Krzysztofa Ficonia: celem poznawczym nauki jest dążenie do poznania i zrozumienia rzeczywistości w procesie racjonalnego poznania podczas prowadzenia dogłębnych i obiektywnych badań naukowych. Celem utylitarnym jest zaproponowanie odpowiednich kierunków i koncepcji naukowych świadomego przekształcania tej rzeczywistości stosownie do aktualnych potrzeb społecznych. (Ficoń, 2020).
Osiągnięcie celu głównego wymagało wcześniejszego osiągnięcia celów szczegółowych, stanowiących wkład Autora w nauki o bezpieczeństwie. Obejmowały one opracowanie:
1. graficznego zobrazowania istoty dylematów dotyczących „apetytu na ryzyko”;
2. oryginalnego wzoru wyliczania ryzyka w zakresie cyberbezpieczeństwa;
3. oryginalnej metodyki identyfikacji scenariuszy ryzyka IT;
4. autorskiego modelu podziału cyberzagrożeń metodą A:F;
5. oryginalnych propozycji struktur organizacyjnych dotyczących cyberbezpieczeństwa;
6. autorskiego modelu wielowarstwowego zarządzania bezpieczeństwem informacji;
7. oryginalnej metodyki budowania łańcucha procesów cyberbezpieczeństwa;
8. oryginalnego zestawienia podstawowych rodzajów narzędzi bezpieczeństwa;
9. autorskiego modelu skutecznego monitorowanie cyberbezpieczeństwem;
10. oryginalnej metodyki wyboru narzędzi monitorowania cyberbezpieczeństwa;
11. autorskiej propozycji nowych form świadczenia usług cyberbezpieczeństwa.
W toku badań naukowych stosuje się metody badawcze. Metodą badawczą określa się zespół teoretycznie uzasadnionych zabiegów koncepcyjnych i instrumentalnych, obejmujących całość postępowania badacza, które w konsekwencji ma prowadzić do rozwiązywania zakreślonego problemu naukowego (Krajewski, 2020). Inaczej mówiąc, metoda to świadomy i konsekwentny sposób postępowania prowadzący do osiągnięcia określonego celu badawczego, którym powinien być problem badawczy. Z reguły metody są wspólne dla określonych dyscyplin nauki (Krajewski, 2020). Podstawowymi metodami badawczymi stosowanymi w niniejszej monografii były:
• analiza i krytyka piśmiennictwa, z elementami studium przypadku, a także analizą danych statystycznych (por. (Siegień-Matyjewicz, Guziuk-Tkacz, 2012), (Wiśniewski, 2020), (Babbie, 2004), (Apanowicz, 2002);
• obserwacja uczestnicząca, jakościowa, jawna, swobodna, nieciągła i niekontrolowana (por. (Konarzewski, 2000), (Kamiński, 1974), (Łobocki, 2010), (Wiśniewski, 2020), (Apanowicz, 2002));
• wywiady niestandaryzowane indywidualne i zbiorowe (Wiśniewski, 2020);
• uogólnianie indukcyjne i modelowanie w formie opisowej i graficznej (Wiśniewski, 2020).
Analiza i krytyka piśmiennictwa obejmowała zarówno kwestie związane z analizą zagrożeń, jak i stosowanych mechanizmów kontrolnych. Służyła jako podstawa do dalszej syntezy uzyskanych informacji, co umożliwiło zaproponowanie metod oraz modeli graficznych uzupełnionych o pogłębiony opis. Prace analityczne opierały się na źródłach w postaci przepisów, norm i standardów, jak również prac badawczych z zakresu teorii bezpieczeństwa, teorii zarządzania oraz zarządzania cyberbezpieczeństwem. Miały tym samym charakter dedukcyjny. W pracy wykorzystywano aktualne dane statystyczne, a w niektórych przypadkach omawiane treści odnosiły się do studium konkretnych przypadków.
Obserwacja uczestnicząca niekontrolowana była stosowana w trakcie realizacji przeszło 100 projektów zawodowych dotyczących zapewniania cyberodporności polskich i międzynarodowych organizacji. Charakter projektów wymagał bezpośredniego zaangażowania Autora w identyfikację najistotniejszych zagrożeń, identyfikację podatności, diagnozę, rekomendowanie najbardziej skutecznych w danym przypadku rozwiązań oraz ich wdrażanie. Projekty były realizowane jednoosobowo, ale również wymagały zarządzania nawet dziesiątkami osób. Obserwacje miały charakter swobodny i nieciągły.
Do stworzenia modeli wykorzystywano również syntetyczne wnioski płynące z współuczestnictwa we wdrażaniu rozwiązań z zakresu SZBI oraz niestandaryzowanych wywiadów z ekspertami dziedzinowymi, z którymi Autor współpracował w trakcie kariery zawodowej i naukowej. Przedstawiony w pracy model wielowarstwowego zarządzania bezpieczeństwem informacji jest udoskonaloną i rozwiniętą adaptacją modelu stworzonego przy okazji prac nad rozprawą doktorską Autora (Syta, 2018).
Syntetyczne wnioski powstałe na podstawie analizy i krytyki piśmiennictwa, obserwacji i wywiadów zostały poddane uogólnianiu indukcyjnemu. Powstałe w ich wyniku modele zostały przedstawione w sposób opisowy i graficzny, a każdemu z autorskich modeli towarzyszy metodyka.
Modele przedstawione w monografii zostały zweryfikowane w dyskusjach z ekspertami zajmującymi się bezpieczeństwem. W szczególności Autor chciałby zwrócić uwagę na dyskusje z absolwentami studiów Executive MBA oraz DBA „Zarządzanie cyberbezpieczeństwem i usługami cyfrowymi”, prowadzonych na Wydziale Dowodzenia i Operacji Morskich Akademii Marynarki Wojennej. Były one również przedstawiane na największych polskich konferencjach gromadzących społeczność ekspertów z zakresu cyberbezpieczeństwa. Autor chciałby w tym momencie bardzo podziękować rozmówcom za dziesiątki, jak nie setki merytorycznych rozmów na temat zaproponowanych modeli i metod.
Publikacja ma charakter interdyscyplinarny, gdyż tak należy traktować zarządzanie cyberbezpieczeństwem. Z jednej strony można patrzeć na to zagadnienie przez pryzmat dyscypliny nauk o zarządzaniu, czyli sprawianiu, aby organizacje trwale rozwijały się w wyznaczonym kierunku. Ponieważ jednak przedmiotem rozważań jest zapewnienie bezpieczeństwa przetwarzanym informacjom, należy zagadnienie traktować również z perspektywy nauk o bezpieczeństwie, dających odpowiedź na pytanie, jak zapewnić odporność na zagrożenia. W niniejszej monografii zarządzanie cyberbezpieczeństwem przedstawiane jest z perspektywy organizacji, które są na tyle istotne, aby systemowo podchodzić do zagadnienia. Utrata bezpieczeństwa może być jednak dotkliwa zarówno z perspektywy poszczególnych osób, których dane są przetwarzane w systemach IT, jak również z perspektywy całego społeczeństwa, które może dotkliwie odczuć skutki przerwania usług kluczowych. Monografia tym samym dotyczy kwestii zapewniania bezpieczeństwa indywidualnego, bezpieczeństwa organizacji jak również bezpieczeństwa narodowego, czyli traktuje to zagadnienie w sposób systemowy, ponieważ koncentruje się zarówno na zbiorze elementów danego systemu działania, jak i uwzględnia zbiór relacji łączących te elementy (Ficoń, 2007).
Poza dziedziną nauk społecznych zagadnienie to jest również szeroko rozwijane z perspektywy nauk inżynieryjno-technicznych. Nie da się bowiem skutecznie chronić informacji i systemów IT przed zaawansowanymi cyberzagrożeniami bez nowoczesnych narzędzi teleinformatycznych. Paradygmaty, terminy i koncepcje zapewniania cyberbezpieczeństwa często mieszają się ze sobą. Publikacja stara się pokazać badane zjawisko w sposób spójny, czyniąc je przydatnym dla osób mających za zadanie ochronę informacji w ważnych organizacjach. Odnosząc się do rozważań prof. Tadeusza Kotarbińskiego (Kotarbiński, 2019), można wskazać, że dotyka warstwy prakseologicznej wyróżnianej w ramach obszaru filozofii bezpieczeństwa. Pokazuje, jak można zrobić „to” dobrze. Tak można ontologicznie rozważać fenomen zarządzania cyberbezpieczeństwem, gdyż konsekwencją interakcji między „podmiotami” – człowiek, system informatyczny – oraz „przedmiotami” – podatności i zagrożenia, są późniejsze naruszenia bezpieczeństwa informacji. (Ficoń, 2020).
Prace dotyczące bezpieczeństwa powinny pokazywać skuteczne metody działań. Prace dotyczące zarządzania powinny być zrozumiałe i łatwe do zastosowania. Dlatego w następnym podrozdziale scharakteryzowane zostaną podstawowe terminy i skróty wykorzystywane w niniejszej publikacji.
Sytuacja problemowa
Cyberbezpieczeństwo, mimo że jest obecne w popkulturze i codziennych praktykach biznesowych wielu organizacji od ponad 40 lat, dopiero w ostatnich latach przestało być postrzegane jako coś mistycznego, odległego i bliższego science fiction. Znaczną w tym rolę odgrywa gwałtownie rozwijająca się cyberprzestępczość – w tym działalność „cybernajemników” pracujących na zlecenie wrogich państw. Należy jednak zauważyć, że pełna zależność dużych organizacji od systemów IT prowadzi do sytuacji, w których nawet zwykłe błędy ludzkie, awarie czy szkody powodowane przez siły natury mogą bezpośrednio zagrozić ciągłości procesów biznesowych. To może z kolei wpłynąć na całe społeczeństwo – ze względu na długie i wzajemnie powiązane łańcuchy dostaw.
To, co jednak przede wszystkim budzi obawy, to gwałtownie rosnąca liczba cyberincydentów. Tylko w Polsce w 2023 roku było około 400 tys. (NASK, 2023), z czego liczba tych najgroźniejszych dla działalności organizacji – czyli szyfrujących dane ataków ransomware (ENISA, 2023), (World Economic Forum, 2024) – zwiększyła się prawie dwukrotnie rok do roku (NASK, 2023). IBM szacuje, że średni koszt ataku ransomware sięga już prawie 4,5 miliona dolarów (IBM, 2024). Przestępcy, którym brakuje kompetencji technicznych, mogą w pewnych obszarach bez większych trudności skorzystać z usług określanych jako „cybercrime as a service” (Kosiński, 2015), co istotnie zwiększa liczbę prób cyberataków i wpływa na masową skalę zjawiska. FBI szacuje wielkość strat spowodowanych przez cyberataki w 2023 roku na 12 miliardów dolarów (FBI, 2023). Skoro zaangażowane są tak potężne kwoty, nie dziwi fakt, że cyberprzestępczością coraz częściej zajmują się międzynarodowe grupy zorganizowane.
Kolejnym zagadnieniem, które należy podkreślić, jest często trudne do przeliczenia na pieniądze znaczenie poprawnie funkcjonujących systemów IT. Znaleźć można je wszędzie – w nowoczesnych korporacjach, autonomicznych pojazdach, gadżetach, bez których trudno sobie wyobrazić życie. Już nie tylko futurolodzy, ale i korporacje przedstawiają wizję świata, w którym cała działalność jest przenoszona do cyberprzestrzeni. Miniaturyzacja, autonomiczność, coraz szybsza łączność, przetwarzania w chmurze, sztuczna inteligencja – wszystkie te aspekty przybliżają urzeczywistnienie się koncepcji IoE, czyli Internet of Everything. Wciąż jednak zbyt mało zwraca się uwagę na zagrożenia inherentnie związane z każdą funkcjonalnością. Cyberincydenty mogą wręcz doprowadzić do śmierci w przypadku, gdy dotkną kluczowej infrastruktury (McGlave, et al., 2024). Tego typu skutki – oprócz działania grup ransomware – coraz częściej stają się „specjalizacją” hakerów działających na zlecenie niektórych z państw, które nie wahają się przeprowadzać ataków w sposób masowy – dotykający ludności cywilnej, np. poprzez doprowadzenie w zimie do awarii sieci energetycznych (Greenberg, 2021). Wobec powyższego inna „typowa” działalność „hakerów w mundurach”, a mianowicie szpiegostwo przemysłowe i gospodarcze wydawać się mogą niewinną igraszką.
Analizując powyższe trendy, należy dodatkowo mieć na uwadze, że dane o stratach uwzględniają tylko te z incydentów, które zostały formalnie zgłoszone. Nie obejmują one także awarii, pomyłek czy błędów, których skutków zazwyczaj nawet nie można dobrze oszacować. Z tego powodu tak istotne staje się spójne zarządzanie bezpieczeństwem systemów IT i przetwarzanych w nich informacji. Osiąga się to, tworząc systemy zarządzania bezpieczeństwem informacji (SZBI) oraz systemy zarządzania ciągłością działania (SZCD). Ich celem powinna być ochrona organizacji przed rzeczywistymi, priorytetowymi scenariuszami ryzyka, przy uwzględnieniu wymagań regulacyjnych, kultury organizacyjnej, apetytu na ryzyko oraz możliwości finansowych. Buduje się w ten sposób organizacje ciągle podnoszące swą odporność na cyberzagrożenia. W tym celu wykorzystywane są przede wszystkim różnego rodzaju zaawansowane informatyczne systemy bezpieczeństwa. To z kolei powoduje, że potrzebne są zespoły o coraz szerszych kompetencjach, a ponieważ przestępstwa internetowe mają miejsce niezależnie od pory dnia czy dnia tygodnia, stąd pojawiają się potrzeby dyżurów i pracy zmianowej.
Zagadnienie zarządzania cyberbezpieczeństwem dodatkowo komplikują aspekty techniczne. Każdego dnia w oprogramowaniu pojawiają się podatności na ataki, których wykorzystanie może doprowadzić do cyberincydentów (MITRE, 2024). Reakcja powinna być bezzwłoczna, gdyż niekiedy wręcz po godzinach od ujawnienia luki pojawiają się masowe ataki (CSO Online, 2022). Mnogość potrzeb biznesowych powoduje, że instalowane bywają dziesiątki, setki a niekiedy wręcz tysiące aplikacji realizujących specyficzne funkcje. Każda aplikacja to potencjalna furtka dla cyberprzestępców. Wiele z aplikacji często nie jest w pełni wykorzystywanych lub wręcz dubluje swoje funkcje (Najwyższa Izba Kontroli, 2024).
W tak złożonym środowisku trudno jest podejmować świadome, szybkie i skuteczne decyzje w zakresie cyberbezpieczeństwa. Oczekiwane jest to jednak coraz częściej przez prawodawców, jak choćby przy okazji dyrektywy NIS2 (Parlament Europejski, 2022a). Słuszna skądinąd presja na zapewnienie zgodności z wymaganiami regulacyjnymi potrafi niestety sprowadzać zarządzanie cyberbezpieczeństwem do mniej lub bardziej refleksyjnego „wypełniania tabelek”. Gdy weźmiemy pod uwagę, że zagadnienie zarządzania tym obszarem jest stosunkowo młode, trzeba skonstatować, że wielu przedstawicieli kadry kierowniczej zna je wyłącznie pobieżnie z mediów i nie posiada w tym obszarze szczególnego wykształcenia. Metody zarządzania ryzykiem kopiowane z innych sektorów często nie pomagają w uchwyceniu biznesowych aspektów cyberbezpieczeństwa. Dopiero od kilku lat pojawiają się studia podyplomowe dotyczące zarządzania cyberbezpieczeństwem, w tym studia Executive MBA. Dodatkowo nie jest łatwo znaleźć godne zaufania osoby o kompetencjach pozwalających na przejęcie tych obowiązków, gdyż funkcjonujący w środowisku eksperci koncentrują się najczęściej na aspektach technicznych bądź prawnych. Opieranie się na ich radach i doświadczeniu pozwala kadrze kierowniczej wykazać w razie incydentu, że dochowana została „należyta staranność” (por. (Sejm RP, 2000) art. 300(125) par. 1). Bardzo trudno jest więc wykazać, że podejmowany na bieżąco wysiłek jest jednocześnie skierowany we właściwą stronę i wspiera cele organizacji. To staje się nie lada wyzwaniem przy uwzględnieniu widocznego na świecie niedostatku ekspertów ds. cyberbezpieczeństwa. Szacuje się, że w ciągu najbliższych lat – do 2030 r. – na świecie będzie brakować 85 milionów specjalistów zajmujących się cyberbezpieczeństwem (World Economic Forum, 2024), co nie znaczy, że tyle osób będzie pracować na stanowiskach ekspertów ds. cyberbezpieczeństwa, ale tyle osób, m.in. w ramach zespołów IT, powinno wykonywać zadania wymagające wiedzy z tego zakresu.
Odpowiedź na pytanie, jak pogodzić opisane wcześniej sprzeczności i doprowadzić do możliwie skutecznego i efektywnego ekonomicznie zarządzania cyberbezpieczeństwem, jest głównym problemem omawianym w niniejszej publikacji. Autor dzieli się rezultatami wieloletniej pracy badawczej, jak również doświadczeniami z pracy jako ekspert, audytor, konsultant, kierownik, dyrektor, doradca oraz trener i wykładowca. Doświadczenia te były zdobywane na przez 25 lat w wielu organizacjach: istotnych spółkach skarbu państwa, operatorach usług kluczowych, jednostkach administracji centralnej czy międzynarodowych korporacjach. Rozważania są przedstawiane za pomocą autorskich modeli, które mają na celu ułatwianie zrozumienia kompleksowości poruszanego zagadnienia. Autor stoi bowiem na stanowisku, że problemy rozwiązywane przy okazji zarządzania cyberbezpieczeństwem nie tyle są trudne, co są bardzo złożone (por. (Appelo, 2016), (Drabik i Sobol, 2022)). Wymagają jednoczesnego i konsekwentnego wykonywania wielu stosunkowo łatwych czynności. Jednak zmienność środowiska w czasie, liczba zmian koniecznych do wprowadzenia oraz to, że oddziałują one na siebie, powoduje, że pojawiają się nieoczywiste zależności i w nieustanny sposób ewoluuje skuteczność wdrożonych zabezpieczeń. To wpływa na złożoność procesu zarządzania cyberbezpieczeństwem i powoduje, że zamiast stosowania uporządkowanych metodyk potrzebna jest stała adaptacja oraz wykorzystywanie wyobraźni, aby zidentyfikować nowe zagrożenia i się przed nimi bronić. Uczynienie cyberbezpieczeństwa łatwym, czyli pokazanie jednoczesnej prostoty pojedynczych zadań i złożoności całego systemu, jest mottem zawodowym Autora niniejszej publikacji.
Mirosław Maj – jeden ze współtwórców CERT Polska – podkreślał, że zbyt często dopiero poważny incydent obnaża słabości funkcjonującej struktury i zmusza do poważnego pomyślenia o zmianach (Maj, 2012). Autor żywi nadzieję, że dzięki wdrożeniu wniosków płynących z niniejszej publikacji przynajmniej kilku członków kadry kierowniczej zdoła ochronić przetwarzane informacje i świadczone usługi. Autor starał się położyć duży nacisk nie tylko na to, aby przedstawione w pracy propozycje były możliwie skuteczne i łatwe do zrozumienia i wdrożenia, ale również były wewnętrznie spójne i ułożone zgodnie z zasadami dysertacji naukowej.Rozdział 2
Metodologia
Metodologia jest jedną z dziedzin filozofii nauki, której przedmiotem są metody badań stosowanych w nauce, ich poprawność, skuteczność oraz przydatność przy formułowaniu twierdzeń i teorii naukowych w danej dziedzinie wiedzy (Krajewski, 2020). W przypadku nauk społecznych można zauważyć pewną trudność wynikającą z teoretyczno-pragmatycznego charakteru badań, która ma wpływ na dobór metod i na zasadność korzystania z metod mieszanych (Sułkowski, Lenard-Gansiniec, 2023), co będzie mieć odwzorowanie w niniejszej monografii. Na kolejnych stronach zostanie przedstawiona metodologia, na którą składać się będą sformułowanie przedmiotu badań, określenie problemu badawczego oraz zdefiniowanie problemów szczegółowych, sformułowanie hipotezy głównej oraz hipotez pomocniczych, zaproponowanie układu pracy odzwierciedlającego etapy badawcze odpowiadające na postawione problemy badawcze. Następnie zdefiniowano potencjalnych odbiorców niniejszej monografii, co pozwoliło sformułować cel utylitarny pracy oraz określić jej cele szczegółowe. Zostało to osiągnięte z wykorzystaniem różnorodnych metod badawczych stosowanych w ramach „nauki o bezpieczeństwie”.
Celem badań naukowych powinno być poznanie prawdy, ujawnienie stosunkowo obiektywnego stanu rzeczy (Łobocki, 2010) (cytat za (Wiśniewski, 2020)). Profesor Bernard Wiśniewski podkreśla, że celem badań w ramach nauk o bezpieczeństwie mogą być (Wiśniewski, 2020):
• wzbogacenie wiedzy o bezpieczeństwie,
• poszukiwanie relacji między bezpieczeństwem a zjawiskami mającymi na nie wpływ oraz ich opisywanie,
• wyjaśnienie związków przyczynowych zachodzących między bezpieczeństwem a jego determinantami.
Wielu autorów podkreśla również korzyści płynące z utylitarnego podejścia do prac naukowych. Takie również były zamierzenia Autora w stosunku do niniejszej monografii. Jej celem jest wskazanie pożądanych kierunków i wymaganego zakresu zmian w funkcjonowaniu organizacji, które z różnych powodów powinny systemowo zarządzać bezpieczeństwem informacji, tak aby osiągnąć odporność na najistotniejsze cyberzagrożenia. Autor w swoich rozważaniach skupia się na jednym obszarze zapewniania „cyberodporności”, a mianowicie na kwestii zarządzania cyberbezpieczeństwem. Wskazuje tym samym najistotniejsze obszary, które wymagają łącznej realizacji, aby świadomie przeciwdziałać najistotniejszym cyberzagrożeniom.
Niekoniecznie będzie to tanie czy łatwe, ale zdaniem Autora jest osiągalne w taki sposób, aby nie paraliżować rozwoju biznesu. Zapewnianie cyberbezpieczeństwa jest ważne nie tylko ze względu na regulacje, takie jak NIS2 (por. (Parlament Europejski, 2022a), CER (Parlament Europejski, 2022b) czy GDPR (Parlament Europejski, 2016)). Szczególnie istotny jest fakt, że właściwa ochrona danych jest elementem ochrony wartości wytworzonej przez organizacje. Wartości, która zazwyczaj była budowana przez lata i zgodnie z zamierzeniami właścicieli i kierownictwa organizacji powinna trwale rozwijać się latami.
Analizując dostępną literaturę, można spotkać dużo prac dotyczących cyberbezpieczeństwa. Jednak są one skupione przede wszystkim na kwestiach technicznych związanych z projektowaniem i wdrażaniem narzędzi zabezpieczających dane, z wykrywaniem potencjalnie niebezpiecznych zdarzeń, ich analizą i przeciwdziałaniem. Druga grupa prac podchodzi do zagadnienia z perspektywy zapewniania zgodności z przepisami i regulacjami. Można znaleźć wiele wartościowych publikacji z zakresu systemów bezpieczeństwa IT, testów penetracyjnych, kryptologii, programowania, inżynierii społecznej, OSINT, zabezpieczania dowodów, rodzajów cyberataków, roli AI, dezinformacji, wojny hybrydowej oraz roli cyberodporności w zapewnianiu bezpieczeństwa narodowego. Kwestie zarządzania procesami z zakresu cyberbezpieczeństwa, czyli planowania działań, wdrażania, eksploatowania, doskonalenia zabezpieczeń uwzgledniających pracowników, procesy i technologie, a także umiejętności reagowania na incydenty, nie doczekały się jeszcze w Polsce kompleksowego ujęcia, a i literatura obcojęzyczna jest uboga w tym zakresie. Autorowi w trakcie przeprowadzonych badań nie udało się znaleźć prac, które przedstawiają to zagadnienie analizowane z pespektywy kadry zarządzającej, wykorzystując oryginalne modele i metody obejmujące główne obszary zarządzania cyberbezpieczeństwem. Wdrażane zabezpieczenia powinny bowiem dotyczyć jednocześnie:
• pracowników, czyli ich kompetencji oraz struktur, w ramach których funkcjonują;
• procesów zapewniających eksploatację i doskonalenie systemów zarządzania bezpieczeństwem informacji oraz zapewniających skuteczną reakcję na cyberincydenty;
• technologii, czyli narzędzi, które wspomagają zmniejszanie prawdopodobieństwa cyberincydentów oraz ograniczanie ich skutków.
Stanowi to spore wyzwanie dla organizacji, biorąc pod uwagę bardzo szybko zmieniający się krajobraz podatności i zagrożeń dotykających cyberprzestrzeni.
W swoich rozważaniach Autor skoncentrował się na roli kadry kierowniczej w istotnych organizacjach, czyli takich, które z różnych powodów powinny lub wręcz muszą troszczyć się o bezpieczeństwo informacji i/lub bezpieczeństwo wykorzystywanych systemów IT. Zamiast jednak apelować o przeznaczanie coraz to większych kwot na cyberbezpieczeństwo, rozprawa koncentrować się będzie na pokazaniu mechanizmów, które pozwolą zrozumieć, dlaczego jest ono tak ważne w organizacjach, w których dokładnie obszarach, oraz co konkretnie należy zrobić, by podejmowane czynności miały wyraźny wpływ na bezpieczeństwo informacji. Doświadczenia Autora pokazują, że zbyt często podejmowane działania można nazwać pozornymi. Należy jednak dodać, że niekoniecznie związane jest to z mało etycznymi decyzjami najwyższego kierownictwa, ale znacznie częściej z trudnościami w zrozumieniu i poruszaniu się w tak złożonej tematyce.
Podjęta próba zbadania metod osiągania celów cyberbezpieczeństwa, identyfikowanych w trakcie procesu zarządzania ryzykiem IT, pozwoliła określić przedmiot badań, czyli ściśle określony fragment rzeczywistości odnoszący się w przypadku niniejszej pracy do bezpieczeństwa oraz relacji między tworami materialnymi i niematerialnymi środowiska bezpieczeństwa (Krajewski, 2020). Przedmiotem badań stał się tym samym system zarządzania bezpieczeństwem informacji w organizacjach, które z różnych powodów powinny systemowo zarządzać cyberbezpieczeństwem. Autor zauważył, że osoby kierujące takimi organizacjami, mimo nakładanych wewnętrznie i zewnętrznie wymagań, często nie są w stanie podejmować skutecznych działań zmierzających do zapewnienia świadomie zaakceptowanego poziomu bezpieczeństwa. Problemem badawczym jest więc poszukiwanie odpowiedzi na pytanie: W jaki sposób najwyższe kierownictwo organizacji, które z różnych powodów powinny systemowo zarządzać bezpieczeństwem informacji, musi ukierunkować działania, aby zapewnić odporność na najistotniejsze cyberzagrożenia? Aby ułatwić odpowiedź na postawione złożone pytanie, zgodnie z metodologią opisywaną przez profesora Mirosława Krajewskiego (Krajewski, 2020), zdefiniowano następujące problemy szczegółowe:
1. Które organizacje są na tyle istotne, że wymagają systemowego podejścia do zarządzania działaniami niezbędnymi do ochrony sieci i systemów informatycznych oraz informacji w nich przetwarzanych?
2. Dlaczego ważne jest zidentyfikowanie kategorii podmiotów stwarzających zagrożenie dla informacji przetwarzanych w istotnych organizacjach?
3. Dlaczego zarządzanie cyberbezpieczeństwem powinno być tak istotnym obszarem wymagającym zaangażowania najwyższej kadry kierowniczej?
4. Czy zasadne jest zbiorcze analizowanie ryzyka związanego z atakami na bezpieczeństwo informacji?
5. W jaki sposób należy zarządzać ryzykiem w zakresie bezpieczeństwa informacji?
6. W jaki sposób można identyfikować najważniejsze cyberzagrożenia zagrażające organizacjom?
7. Jakie rodzaje mechanizmów kontrolnych należy stosować, aby zapewnić odporność organizacji na cyberzagrożenia?
8. Czym kierować się w trakcie zatrudniania i rozwoju kadr, które będą zapewniać cyberbezpieczeństwo w istotnych organizacjach?
9. Jak może wyglądać struktura organizacyjna, zgodnie z którą realizowana będzie funkcja cyberbezpieczeństwa?
10. Które procesy powinny być realizowane, aby móc kompleksowo zarządzać cyberbezpieczeństwem?
11. Które zabezpieczenia należy przede wszystkim wdrożyć, aby zwiększyć odporność organizacji na cyberzagrożenia?
12. Co wpływa na skuteczność identyfikacji cyberzagrożeń?
13. Na jakie zmiany w zakresie zarządzania cyberbezpieczeństwem powinny przygotować się organizacje?
Przedstawiony problem główny wraz z problemami szczegółowymi posłużył do sformułowania hipotezy głównej, czyli przypuszczenia istnienia zależności w ramach zdefiniowanego przedmiotu badań, które pozwoli rozwiązać postawiony problem. W ramach niniejszej monografii Autor będzie się starał jej dowieść Hipotezy – zgodnie z metodologią stosowaną w ramach nauk o bezpieczeństwie – powinny charakteryzować się tym, że (Wiśniewski, 2020).:
• Wyjaśniają znane fakty.
• Są możliwe do zweryfikowania przez wynikające z nich konsekwencje.
• Dotyczą istotnych dla nauki zdarzeń.
• Mają zdolność tworzenia teorii.
• Są przypuszczeniami wysoce prawdopodobnymi.
Hipoteza główna została w tym wypadku sformułowana w następujący sposób:
Jeśli uzyskiwanie akceptowanego poziomu odporności na cyberzagrożenia jest istotnym zagadnieniem dla organizacji, to wymagać będzie identyfikacji przez kadrę kierowniczą najistotniejszych scenariuszy ryzyka oraz wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego role i struktury organizacyjne, zdefiniowane procesy oraz narzędzia informatyczne przeciwdziałające, wykrywające oraz wspierające reakcję na cyberincydenty.
W celu zweryfikowania hipotezy głównej formułowano hipotezy pomocnicze mające charakter „hipotez dotyczących wpływu” (Józefacka, et al., 2023):
1. Jeśli potencjalne naruszenia bezpieczeństwa informacji mogą mieć zauważalny wpływ na społeczeństwo, przewagę konkurencyjną organizacji, zdolność jej rozwoju oraz zgodność z przepisami prawa i zobowiązaniami kontraktowymi, to organizacja staje się na tyle istotna, aby systemowo zarządzać cyberbezpieczeństwem.
2. Jeśli organizacja może być zaatakowana przez różne kategorie wrogich podmiotów, to ich poziom umiejętności technicznych i motywacja wpłyną na generowane przez nie ryzyko, co wymagać będzie różnych strategii zapewniania cyberbezpieczeństwa.
3. Jeśli dla organizacji kluczowa jest minimalizacja kosztów lub zapewnienie zdolności do szybkiej adaptacji do zmian, to zapewnianie cyberbezpieczeństwa wymagać będzie trudnego kompromisu.
4. Jeśli zagrożenia dotyczące poufności, integralności, dostępności i autentyczności informacji mają różny wpływ na organizacje, to powinny być analizowane osobno dla każdego z rodzajów przetwarzanych informacji.
5. Jeśli niedostatek danych historycznych lub znaczna liczba zasobów utrudniają precyzyjne wyliczanie prawdopodobieństwa cyberzagrożeń oraz skuteczności proponowanych zabezpieczeń, będzie to mieć negatywny wpływ na skuteczność klasycznych metod zarządzania ryzykiem i tym samym będzie determinować możliwość korzystania z uproszczonych, jakościowych i łatwych do powtarzania metodyk.
6. Jeśli scenariusze ryzyka mają przedstawiać konkretne skutki cyberzagrożeń dopasowane do analizowanej organizacji, to należy stosować modele łączące metodyczne podejście z praktyczną znajomością zachodzących procesów.
7. Jeśli organizacja będzie umiejętnie dobierać zabezpieczenia wykorzystując ich funkcję i charakter, to dopasuje je do kultury organizacyjnej i budżetu, osiągając jednocześnie akceptowany poziom odporności na cyberzagrożenia
8. Jeśli różne zadania stawiane specjalistom ds. cyberbezpieczeństwa wymagają innych umiejętności, wiedzy i kompetencji, które niekiedy wręcz się wykluczają, to podczas tworzenia zespołów zasadne jest posiłkowanie się gotowymi metodykami.
9. Jeśli istotność cyberbezpieczeństwa dla rozwoju organizacji wpływa nie tylko na liczbę zatrudnionych specjalistów, ale i na kształt struktury organizacyjnej, to najwyższa kadra kierownicza powinna sprawować bezpośredni nadzór nad cyberbezpieczeństwem.
10. Jeśli wzrost złożoności, powszechność cyberzagrożeń oraz liczba podatności związanych z wszechobecnością systemów informatycznych wzrasta, to systemy zarządzania bezpieczeństwem informacji powinny być wielowarstwowe oraz uwzględniać procesy eksploatacyjne, procesy doskonalące oraz procesy reakcji na cyberincydenty.
11. Jeśli istnieje grupa podstawowych zabezpieczeń, która jest najbardziej skuteczna podczas przeciwdziałania ryzyku dla bezpieczeństwa IT, to powinny one stanowić fundament, na bazie którego projektowane będą dalsze mechanizmy kontrolne.
12. Jeśli analitycy mają skutecznie identyfikować, analizować i reagować na cyberincydenty, wymaga to zorganizowania procesów zapewniających, że kompetentni pracownicy poprawnie wykorzystują zautomatyzowane systemy korelujące i wzbogacające dane z różnych źródeł.
13. Jeśli utrzymają się rosnące trendy w zakresie wpływu regulacji w zakresie cyberbezpieczeństwa, liczba zagrożeń związanych z nowymi technologiami, a przede wszystkim zależności organizacji od systemów teleinformatycznych, to w nadchodzących latach należy się spodziewać rozpowszechnienia nowych rodzajów usług i narzędzi cyberbezpieczeństwa.
Układ niniejszej monografii odzwierciedla szczegółowe problemy badawcze. Pracę podzielono na trzy części odpowiadające głównym zagadnieniom poruszanym w pracy: skutecznej identyfikacji ryzyka, wyborowi skutecznych i efektywnych ekonomicznie mechanizmów kontrolnych (zabezpieczeń) oraz przygotowaniu organizacji na przyszłe wyzwania. W ramach pierwszego etapu badawczego został zgromadzony i przeanalizowany materiał analityczny i empiryczny dotyczący całokształtu procesu zarządzania ryzykiem IT. Oparto się na procesie przedstawionym w normie ISO 31000 będącej uznanym międzynarodowym standardem w tym zakresie. Przedstawione mechanizmy zostały jednak w znacznym stopniu rozbudowane w drugim etapie badawczym, przedstawiającym empiryczne aspekty skutecznego zarządzania ryzykiem. Zostało to wzbogacone autorską metodyką identyfikacji ryzyka oraz modelem podziału cyberzagrożeń metodą A:F. Pierwszy i drugi etap badawczy został przedstawiony w części pierwszej niniejszej monografii.
W ramach trzeciego etapu badawczego wykorzystano zgromadzony materiał analityczny dotyczący wymagań w zakresie zarządzania i monitorowania bezpieczeństwa informacji oraz potrzebnych kompetencji w tym zakresie. Przedstawiono kilka oryginalnych wariantów pokazujących możliwe struktury organizacyjne dotyczące funkcji cyberbezpieczeństwa. Warto w tym momencie zauważyć, że struktury organizacyjne w wielu podmiotach wciąż dopiero się tworzą i trudno jest podpatrywać dobre wzorce u innych. Czwarty etap prac miał charakter pragmatyczny – w szczególności obejmował syntezę empirycznych doświadczeń Autora podczas realizacji projektów w istotnych spółkach skarbu państwa i wśród operatorów usług kluczowych. Przedstawiono w nim autorski model wielowarstwowego zarządzania bezpieczeństwem informacji wraz z metodyką pokazującą, jak można łączyć procesy w łańcuchy w celu osiągnięcia wartości dodanej. W piątym etapie prac skoncentrowano się na technicznych aspektach zapewniania bezpieczeństwa informacji. Przedstawiono autorski wybór najlepszych zasad budowy Systemów Zarządzania Bezpieczeństwa Informacji (SZBI) odpornych na cyberzagrożenia, jak również autorski model skutecznego monitorowania cyberbezpieczeństwa wraz z powiązaną metodyką. Trzeci, czwarty i piąty etap badawczy zostały przedstawione w części drugiej rozprawy.
Ostatnia część książki zawiera rozważania na temat przyszłych, możliwych zmian potrzeb w zakresie skutecznego zapewniania cyberodporności. W ramach tego – szóstego etapu badań – Autor wskazuje zasadność tworzenia nowych rodzajów usług cyberbezpieczeństwa oraz narzędzi i funkcjonalności, które powinny w kolejnych latach zyskać na znaczeniu. Monografię kończy podsumowanie. Układ całej pracy podyktowany był utylitarnym charakterem rozważań i jest zgodny z podejściem systemowym.
Monografie naukowe służą do tego, aby w oryginalny i twórczy sposób przedstawiać określane zagadnienia (Józefacka, et al., 2023). Przedstawiają oparte na przeprowadzonych badaniach, nowe podejście do tematu w odniesieniu do bieżącego stanu wiedzy. Kompleksowe ujęcie zagadnienia, jego istotność oraz potrzeby organizacji związane z ochroną informacji przetwarzanych w sieciach i systemach IT najprawdopodobniej wpłyną na to, że niniejszą monografią może się zainteresować szersze grono czytelników, posiadających różną wiedzę, umiejętności i kompetencje w zakresie zarządzania cyberbezpieczeństwem. Wśród potencjalnych grup czytelników można wskazać:
• pracowników naukowych prowadzących badania przede wszystkim z zakresu nauk o bezpieczeństwie, nauk o zarządzaniu, nauk informatycznych i telekomunikacyjnych, ale również i innych dyscyplin naukowych w szczególności z dziedziny nauk społecznych;
• przedsiębiorców, przedstawicieli zarządów i rad nadzorczych organizacji, które z różnych powodów powinny systemowo zarządzać cyberbezpieczeństwem;
• przedstawicieli organów administracji, którzy – ustanawiając prawo – chcą kompleksowo traktować to zagadnienie;
• przedstawicieli podmiotów świadczących usługi z zakresu ochrony informacji;
• ekspertów z zakresu cyberbezpieczeństwa chcących zrozumieć szerszy kontekst wykonywanych przez siebie zadań;
• słuchaczy studiów podyplomowych, w tym studiów MBA, którzy chcą tworzyć i rozwijać swoje organizacje z uwzględnieniem ryzyka dla bezpieczeństwa informacji;
• wykładowców akademickich, trenerów zarządzania, audytorów systemów IT;
• studentów, którzy w kolejnych latach zaczną aktywnie uczestniczyć w rozwoju społeczeństwa informacyjnego, będą tworzyć i adaptować nowe technologie.
Ze względu przedstawione powyżej szerokie grono potencjalnych odbiorców niniejsza monografia została wzbogacona propozycjami ćwiczeń, więc oprócz treści czysto naukowych wykazuje pewne cechy dydaktyczne. Jest to związane z prowadzonymi dyskusjami na temat tego, że prace naukowe powinny spełniać istotną rolę społeczną, także w zakresie ich użyteczności (Krajewski, 2020). Ponieważ Autor spodziewa się, że przynajmniej część z czytelników będzie szukać w monografii rozwiązań problemów, z którymi zmagają się w swojej pracy zawodowej, pozostawienie ich z uczuciem, że po zakończeniu lektury muszą samodzielnie przekładać treści naukowe na praktykę oraz poszukiwać kolejnych prac, byłoby zdaniem Autora nieuczciwe.
Autor chce zwrócić szczególną uwagę na to, że prezentowane modele różnią się niekiedy od „oficjalnych”, znanych z międzynarodowych norm i standardów. Jest to zabieg celowy związany z ich inną funkcją. „Oficjalne” modele mają najczęściej na celu zapewnienie zgodności z przedstawianymi wymaganiami i osiągnięcie porównywalnych wyników. Modele opisywane w niniejszej publikacji mają między innymi na celu rozbudzenie wyobraźni osób odpowiedzialnych za cyberbezpieczeństwo oraz pokazanie co i dlaczego jest istotne. Zdaniem Autora niezbędne do skutecznej ochrony przetwarzanych informacji jest pokazanie, w jaki sposób wzajemnie powiązać procesy, kompetencje ludzkie i narzędzia informatyczne. Modele należy więc traktować jako rodzaj wytycznych (ściągawek), które mają pomóc zrozumieć ich korzyści oraz unaocznić, co może się wydarzyć, gdy zarządzanie cyberbezpieczeństwem nie będzie prowadzone w sposób metodyczny. Podpowiedzą one kadrze zarządzającej szereg możliwości reakcji na nieakceptowalne scenariusze ryzyka. Przedstawione w tej pracy autorskie modele nie są i z założenia nie miały być definitywne. Także nie są i nie powinny być traktowane jako zbiór wymagań, zgodnie z którymi będzie przebiegać kontrola czy audyt. Należy je traktować wyłącznie w charakterze narzędzi wspomagających proces zarządzania tym obszarem.
Celem utylitarnym pracy było rozwiązanie problemu głównego, czyli zaproponowanie rozwiązań, które pozwolą osobom odpowiedzialnym za zapewnienie cyberbezpieczeństwa w ustanowieniu skutecznego systemu zarządzania bezpieczeństwem informacji, dopasowanego do potrzeb i możliwości organizacji. Jest to spójne z celami stawianymi naukom społecznym. Cytując prof. Krzysztofa Ficonia: celem poznawczym nauki jest dążenie do poznania i zrozumienia rzeczywistości w procesie racjonalnego poznania podczas prowadzenia dogłębnych i obiektywnych badań naukowych. Celem utylitarnym jest zaproponowanie odpowiednich kierunków i koncepcji naukowych świadomego przekształcania tej rzeczywistości stosownie do aktualnych potrzeb społecznych. (Ficoń, 2020).
Osiągnięcie celu głównego wymagało wcześniejszego osiągnięcia celów szczegółowych, stanowiących wkład Autora w nauki o bezpieczeństwie. Obejmowały one opracowanie:
1. graficznego zobrazowania istoty dylematów dotyczących „apetytu na ryzyko”;
2. oryginalnego wzoru wyliczania ryzyka w zakresie cyberbezpieczeństwa;
3. oryginalnej metodyki identyfikacji scenariuszy ryzyka IT;
4. autorskiego modelu podziału cyberzagrożeń metodą A:F;
5. oryginalnych propozycji struktur organizacyjnych dotyczących cyberbezpieczeństwa;
6. autorskiego modelu wielowarstwowego zarządzania bezpieczeństwem informacji;
7. oryginalnej metodyki budowania łańcucha procesów cyberbezpieczeństwa;
8. oryginalnego zestawienia podstawowych rodzajów narzędzi bezpieczeństwa;
9. autorskiego modelu skutecznego monitorowanie cyberbezpieczeństwem;
10. oryginalnej metodyki wyboru narzędzi monitorowania cyberbezpieczeństwa;
11. autorskiej propozycji nowych form świadczenia usług cyberbezpieczeństwa.
W toku badań naukowych stosuje się metody badawcze. Metodą badawczą określa się zespół teoretycznie uzasadnionych zabiegów koncepcyjnych i instrumentalnych, obejmujących całość postępowania badacza, które w konsekwencji ma prowadzić do rozwiązywania zakreślonego problemu naukowego (Krajewski, 2020). Inaczej mówiąc, metoda to świadomy i konsekwentny sposób postępowania prowadzący do osiągnięcia określonego celu badawczego, którym powinien być problem badawczy. Z reguły metody są wspólne dla określonych dyscyplin nauki (Krajewski, 2020). Podstawowymi metodami badawczymi stosowanymi w niniejszej monografii były:
• analiza i krytyka piśmiennictwa, z elementami studium przypadku, a także analizą danych statystycznych (por. (Siegień-Matyjewicz, Guziuk-Tkacz, 2012), (Wiśniewski, 2020), (Babbie, 2004), (Apanowicz, 2002);
• obserwacja uczestnicząca, jakościowa, jawna, swobodna, nieciągła i niekontrolowana (por. (Konarzewski, 2000), (Kamiński, 1974), (Łobocki, 2010), (Wiśniewski, 2020), (Apanowicz, 2002));
• wywiady niestandaryzowane indywidualne i zbiorowe (Wiśniewski, 2020);
• uogólnianie indukcyjne i modelowanie w formie opisowej i graficznej (Wiśniewski, 2020).
Analiza i krytyka piśmiennictwa obejmowała zarówno kwestie związane z analizą zagrożeń, jak i stosowanych mechanizmów kontrolnych. Służyła jako podstawa do dalszej syntezy uzyskanych informacji, co umożliwiło zaproponowanie metod oraz modeli graficznych uzupełnionych o pogłębiony opis. Prace analityczne opierały się na źródłach w postaci przepisów, norm i standardów, jak również prac badawczych z zakresu teorii bezpieczeństwa, teorii zarządzania oraz zarządzania cyberbezpieczeństwem. Miały tym samym charakter dedukcyjny. W pracy wykorzystywano aktualne dane statystyczne, a w niektórych przypadkach omawiane treści odnosiły się do studium konkretnych przypadków.
Obserwacja uczestnicząca niekontrolowana była stosowana w trakcie realizacji przeszło 100 projektów zawodowych dotyczących zapewniania cyberodporności polskich i międzynarodowych organizacji. Charakter projektów wymagał bezpośredniego zaangażowania Autora w identyfikację najistotniejszych zagrożeń, identyfikację podatności, diagnozę, rekomendowanie najbardziej skutecznych w danym przypadku rozwiązań oraz ich wdrażanie. Projekty były realizowane jednoosobowo, ale również wymagały zarządzania nawet dziesiątkami osób. Obserwacje miały charakter swobodny i nieciągły.
Do stworzenia modeli wykorzystywano również syntetyczne wnioski płynące z współuczestnictwa we wdrażaniu rozwiązań z zakresu SZBI oraz niestandaryzowanych wywiadów z ekspertami dziedzinowymi, z którymi Autor współpracował w trakcie kariery zawodowej i naukowej. Przedstawiony w pracy model wielowarstwowego zarządzania bezpieczeństwem informacji jest udoskonaloną i rozwiniętą adaptacją modelu stworzonego przy okazji prac nad rozprawą doktorską Autora (Syta, 2018).
Syntetyczne wnioski powstałe na podstawie analizy i krytyki piśmiennictwa, obserwacji i wywiadów zostały poddane uogólnianiu indukcyjnemu. Powstałe w ich wyniku modele zostały przedstawione w sposób opisowy i graficzny, a każdemu z autorskich modeli towarzyszy metodyka.
Modele przedstawione w monografii zostały zweryfikowane w dyskusjach z ekspertami zajmującymi się bezpieczeństwem. W szczególności Autor chciałby zwrócić uwagę na dyskusje z absolwentami studiów Executive MBA oraz DBA „Zarządzanie cyberbezpieczeństwem i usługami cyfrowymi”, prowadzonych na Wydziale Dowodzenia i Operacji Morskich Akademii Marynarki Wojennej. Były one również przedstawiane na największych polskich konferencjach gromadzących społeczność ekspertów z zakresu cyberbezpieczeństwa. Autor chciałby w tym momencie bardzo podziękować rozmówcom za dziesiątki, jak nie setki merytorycznych rozmów na temat zaproponowanych modeli i metod.
Publikacja ma charakter interdyscyplinarny, gdyż tak należy traktować zarządzanie cyberbezpieczeństwem. Z jednej strony można patrzeć na to zagadnienie przez pryzmat dyscypliny nauk o zarządzaniu, czyli sprawianiu, aby organizacje trwale rozwijały się w wyznaczonym kierunku. Ponieważ jednak przedmiotem rozważań jest zapewnienie bezpieczeństwa przetwarzanym informacjom, należy zagadnienie traktować również z perspektywy nauk o bezpieczeństwie, dających odpowiedź na pytanie, jak zapewnić odporność na zagrożenia. W niniejszej monografii zarządzanie cyberbezpieczeństwem przedstawiane jest z perspektywy organizacji, które są na tyle istotne, aby systemowo podchodzić do zagadnienia. Utrata bezpieczeństwa może być jednak dotkliwa zarówno z perspektywy poszczególnych osób, których dane są przetwarzane w systemach IT, jak również z perspektywy całego społeczeństwa, które może dotkliwie odczuć skutki przerwania usług kluczowych. Monografia tym samym dotyczy kwestii zapewniania bezpieczeństwa indywidualnego, bezpieczeństwa organizacji jak również bezpieczeństwa narodowego, czyli traktuje to zagadnienie w sposób systemowy, ponieważ koncentruje się zarówno na zbiorze elementów danego systemu działania, jak i uwzględnia zbiór relacji łączących te elementy (Ficoń, 2007).
Poza dziedziną nauk społecznych zagadnienie to jest również szeroko rozwijane z perspektywy nauk inżynieryjno-technicznych. Nie da się bowiem skutecznie chronić informacji i systemów IT przed zaawansowanymi cyberzagrożeniami bez nowoczesnych narzędzi teleinformatycznych. Paradygmaty, terminy i koncepcje zapewniania cyberbezpieczeństwa często mieszają się ze sobą. Publikacja stara się pokazać badane zjawisko w sposób spójny, czyniąc je przydatnym dla osób mających za zadanie ochronę informacji w ważnych organizacjach. Odnosząc się do rozważań prof. Tadeusza Kotarbińskiego (Kotarbiński, 2019), można wskazać, że dotyka warstwy prakseologicznej wyróżnianej w ramach obszaru filozofii bezpieczeństwa. Pokazuje, jak można zrobić „to” dobrze. Tak można ontologicznie rozważać fenomen zarządzania cyberbezpieczeństwem, gdyż konsekwencją interakcji między „podmiotami” – człowiek, system informatyczny – oraz „przedmiotami” – podatności i zagrożenia, są późniejsze naruszenia bezpieczeństwa informacji. (Ficoń, 2020).
Prace dotyczące bezpieczeństwa powinny pokazywać skuteczne metody działań. Prace dotyczące zarządzania powinny być zrozumiałe i łatwe do zastosowania. Dlatego w następnym podrozdziale scharakteryzowane zostaną podstawowe terminy i skróty wykorzystywane w niniejszej publikacji.
więcej..
