Dyrektywa NIS Rady i Parlamentu Europejskiego z 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, stała się podstawą działań rządów w wykrywaniu i zapobieganiu atakom teleinformatycznym. W tej dyrektywie termin cyber występuje tylko pięć razy – w nazwach instytucji, cybersecurity zaś… nie istnieje. Termin security of network and information systems został przetłumaczony na bezpieczeństwo sieci i systemów informatycznych, choć oczywiście można to było przetłumaczyć jako bezpieczeństwo sieci teleinformatycznych (zdefiniowanych w ustawie o informatyzacji podmiotów…).

I tu mamy pierwszą wątpliwość. Dlaczego w ogóle mówimy o bezpieczeństwie? Co właściwie oznacza bezpieczeństwo systemów? Dla kogo i jak mają być one bezpieczne – czy dla ich właścicieli czy dla użytkowników? Zapewne brak wirusów w takim systemie można uznać za zapewnienie bezpieczeństwa w użytkowaniu systemu. Jednakże lepsze byłoby przetłumaczenie terminu security na ochrona, a wtedy fraza ochrona systemów teleinformatycznych jest dużo lepiej zrozumiała i wprost określa cel działania (popatrzmy na groźnie brzmiące nazwy instytucji: MBP, KBW, UB, SB, ABW ale też WOP, UOP, BOR, SOP). Ale takie rozumienie terminu security, jak widać, było za trudne dla tłumaczy tekstów unijnych.

W ślad za tą dyrektywą pojawiła się w Polsce ustawa implementująca zapisy dyrektywy, o zupełnie odmiennym tytule: Ustawa o krajowym systemie cyberbezpieczeństwa. Tam, zamiast definicji z dyrektywy, bezpieczeństwo sieci i systemów informatycznych zdefiniowano jako cyberbezpieczeństwo – odporność systemów informacyjnych (równoważnych systemom teleinformatycznym) na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Taka definicja lepiej odnosi się do pojęcia cyberochrona, tym bardziej że, oprócz wmontowanej w systemy odporności, trzeba te systemy i sieć z zewnątrz aktywnie monitorować pod kątem tego, czy nie następują próby włamań, czyli sprawować ochronę. Dlaczego zatem zrezygnowano z powielenia treści z dyrektywy? Przyczyn takiego podejścia długo nie chciano wytłumaczyć – aż do teraz.

Rodzi się pytanie, skąd się wzięło to cybersecurity? Niestety zostało przywleczone do Europy i Polski przez wojska amerykańskie działające w ramach NATO. Co więcej, jeszcze w 2017 roku w UK stwierdzono: In recent years, ‘Cyber Security’ has emerged as a widely-used term with increased adoption by practitioners and politicians alike. However,as with many fashionable jargon, thereseems to be very little understanding of what the term really entails (Towards a More Representative Definition of Cyber Security, University of East London, The journal of Digital Forensics, Security and Law). Przy okazji proszę zwrócić uwagę na zapis Cyber Security – jako nazwę własną.

Nie wnikając tutaj w rozstrzyganie czym jest, a czym nie jest cybersecurity warto stwierdzić, że sam przedrostek cyber budzi pytanie o to, co on de facto oznacza. W niektórych amerykańskich i polskich słownikach jest to coś związane z komputerami oraz siecią internetową. Nam starszym kojarzy się to z cybernetyką – nauką o komunikacji w człowieku i maszynie, wypartą z czasem przez rozwój informatyki. Młodszym kojarzy się z grami komputerowymi, a ostatnio z grą Cyberpunk 2077. Dla mnie nie jest to termin informatyczny.

Niestety, obecnie podważanie sensu używania mało zrozumiałego terminu cybersecurity czy cyberbezpieczeństwo w odniesieniu do tak poważnej sprawy jak ochrona systemów teleinformatycznych staje się praktycznie niemożliwe. W Komisji Europejskiej w grudniu 2020 r. zaprezentowano projekt nowej dyrektywy NIS 2.0 on measures for a high common level of cybersecurity across the Union, mającej zastąpić istniejącą dyrektywę NIS. Przy okazji wyjaśniło się, dlaczego w Polsce pojawiła się ustawa o cyberbezpieczeństwie – chcieliśmy być pierwsi z tym terminem.

W tej propozycji dyrektywy jednak odnajdujemy definicję: security of network and information systems, którą można przetłumaczyć (Google) na: ochrona sieci i systemów informatycznych oznacza zdolność sieci i systemów informatycznych do opierania się, przy określonym poziomie zaufania, wszelkim działaniom, które zagrażają dostępności, autentyczności, integralności lub poufności przechowywanych, przesyłanych lub przetwarzanych danych,lub oferowanych usług powiązanych przez te sieci i systemy informatyczne, lub dostępne za ich pośrednictwem, oraz definicję (z dokumentu 2019/188 Rady i Parlamentu Europejskiego) w tłumaczeniu (Google): cyberbezpieczeństwo oznacza działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów i innych osób dotkniętych cyberzagrożeniami. Z tej definicji wyraźnie widać, że w tłumaczeniu na polski powinna to być definicja cyberochrony, która jest zdefiniowana chyba tylko po to, aby kwestię informatycznych włamań odnieść też do użytkowników. Jest mi to trudno zrozumieć, gdyż wszelkie zagrożenie dla osób tkwi w trzewiach systemów i wystarczy je tam wykryć i usunąć, a wtedy i te osoby będą chronione.

Nie czas i miejsce na analizowanie treści propozycji nowej dyrektywy. W skrócie nie ma w niej nic, co by bezpośrednio inicjowało prowadzenie aktywnych działań prewencyjnych wobec potencjalnych i rzeczywistych krakerów wraz z działaniami operacyjnymi, zapobiegających atakom oraz wykrywających i aresztujących sprawców takich ataków. Ale to już inna historia.

Nas tutaj interesuje niezbyt szczęśliwie dobrana terminologia. Nie ma bowiem uzasadnienia posługiwanie się nowomodnym żargonem cyberbezpieczeństwo (jeśli już to raczej cyberochrona) czy też innym cybercosiem. Wystarczy mówić o ochronie systemów teleinformatycznych, co jest bardziej dla wszystkich zrozumiałe. Niestety przy tych słowotwórczych działaniach informatyków nie było.

Co gorsza, informatyków też nie było przy formułowaniu zapisów tych dyrektyw, a szkoda, bo za sprawną ochronę systemów teleinformatycznych to właśnie informatycy będą jako pierwsi odpowiadać, narażając się też (czasem nawet ze swoimi rodzinami) na wiele innych zagrożeń natury kryminalnej (głównie szantaży w celu pozyskania wejść do systemu), gdyż jest to przede wszystkim ogromna przestrzeń działań przestępczo-terrorystycznych. A o ochronie i bezpieczeństwie informatyków nic w tych dyrektywach nie ma!

  

Autor w latach 1993 – 2016 był prezesem Polskiej Izby Informatyki i Telekomunikacji. Pracował też w firmach: Oracle, DEC Polska, 2SI, EDS Poland, TP Internet. Obecnie jest senior konsultantem przemysłu teleinformatycznego.