Centra wymiany i analizy informacji (ISAC, od ang. information sharing and analysis centre) to jednostki tworzone w celu wymiany informacji i doświadczeń dotyczących cyberbezpieczeństwa. ISAC opierają się z reguły na partnerstwie między podmiotami prywatnymi i publicznymi, przyczyniając się do wzrostu świadomości oraz skuteczności działań ich członków w dziedzinie cyberbezpieczeństwa. Mogą one przy tym wyraźnie ułatwiać funkcjonowanie w tym obszarze, zwłaszcza podmiotom wchodzącym w skład krajowego systemu cyberbezpieczeństwa, w tym operatorom usług kluczowych, dostawcom usług cyfrowych czy podmiotom publicznym.

Czym są i jak działają ISAC?

ISAC są zazwyczaj jednostkami non-profit działającymi w formule partnerstwa publiczno- prywatnego. Członkowie ISAC dzielą się informacjami o zagrożeniach oraz wiedzą z zakresu dobrych praktyk, często także podejmują wspólne projekty badawcze i analityczne. Większość ISAC ma charakter sektorowy (obejmujący całość danej branży, np. bankowej czy energetycznej). Mogą mieć one zasięg krajowy lub międzynarodowy.

Podkreślić trzeba, że ISAC nie podlegają sztywnym uregulowaniom prawnym. W szczególności brak jest przepisów, które określałyby sposób ich finansowania czy zarządzania nimi – decyzje w tych kwestiach należą do członków, którzy sami wypracowują stosowne rozwiązania. W praktyce centrami wymiany informacji i analiz zarządzają organy powołane przez członków ISAC bądź sekretariat albo w sposób elastyczny sami członkowie. Środki finansowe ISAC na ogół pochodzą zarówno z obowiązkowych opłat wnoszonych przez uczestników, jak i z dobrowolnych wkładów lub z dotacji rządowych.

Często zwraca się uwagę, że sprawne działanie ISAC wymaga spełnienia pewnych warunków, z których najważniejszym jest zaufanie podmiotów je współtworzących. Brak zaufania między członkami znacznie bowiem utrudnia wymianę informacji, które niejednokrotnie mają wrażliwy charakter. Aby to zaufanie budować, partnerzy dzielą się wiedzą i doświadczeniami nie tylko przy użyciu środków komunikowania się na odległość, ale także na organizowanych w tym celu spotkaniach. Oczywiście kwestią kluczową, zwykle uzgadnianą przez członków szczególnie starannie, jest zapewnienie warunków technicznych i prawnych gwarantujących ochronę poufności przekazywanych informacji (np. stosowanie szyfrowania i kodów TLP, klauzule i umowy o poufności).

Geneza ISAC

Pierwsze ISAC utworzono w Stanach Zjednoczonych za administracji Billa Clintona jako element strategii ochrony narodowej i przeciwdziałania terroryzmowi. W reakcji na ataki terrorystyczne na WTC (1993 r.) oraz na budynek federalny Oklahoma City (1995 r.) powołano Prezydencką Komisję ds. Ochrony Infrastruktury Krytycznej, której zadaniem było rozpatrzenie możliwości współpracy między sektorem publicznym i prywatnym w celu zapewnienia odpowiedniego poziomu zabezpieczeń tejże infrastruktury. Efektem prac komisji był raport, w którym umieszczono między innymi rekomendację dotyczącą powołania ISAC. Wnioski z raportu znalazły także odzwierciedlenie w wydanej w roku 1998 Dyrektywie Prezydenckiej 63. W efekcie doszło do utworzenia ISAC w każdym z sektorów infrastruktury krytycznej.

Obecnie w USA działa 25 sektorowych ISAC zrzeszonych w National Council of ISACs (NCI), organizacji koordynującej, stworzonej w celu maksymalizacji przepływu informacji między podmiotami prywatnymi a władzami. Warto podkreślić, że ISAC sektora finansowego (FS-ISAC), którego aktywność obejmowała początkowo tylko USA, jest obecnie jednostką o charakterze globalnym, działającą w ponad 70 krajach.

ISAC w Unii Europejskiej

Korzyści płynące z funkcjonowania ISAC zauważone zostały również przez organy UE. W komunikacie Komisji Europejskiej z dnia 5 lipca 2016 r. w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego podkreślono zasadność tworzenia ISAC, które – według Komisji – wraz z odpowiednimi CSIRT mogą odgrywać kluczową rolę w przygotowaniu się i reagowaniu na incydenty cybernetyczne. Wskazano, że w tym celu powinny one współpracować również z Europejskim Centrum ds. Cyberprzestępczości przy Europolu i CERT-EU oraz właściwymi organami egzekwowania prawa.

Z kolei we wspólnym komunikacie do Parlamentu Europejskiego i Rady z dnia 13 września 2017 r. pt. „Odporność, prewencja i obrona: budowa solidnego bezpieczeństwa cybernetycznego Unii Europejskiej” KE dostrzegła istotną rolę ISAC w budowie zaufania między sektorem publicznym i prywatnym, niezbędnego dla szerszej współpracy i wymiany informacji w obszarze cyberzagrożeń. W związku z tym Komisja zadeklarowała, że będzie dążyła – przy wsparciu ENISA – do przyspieszenia rozwoju ISAC, zwłaszcza w sektorach związanych ze świadczeniem usług kluczowych.

Obecnie na szczeblu europejskim działają dwa ISAC:

  • EE-ISAC (European Energy – Information Sharing and Analysis Centre), działające w sektorze energetycznym od roku 2015. W jego skład wchodzi 20 podmiotów, w tym europejscy dostawcy mediów, technologii i usług, instytuty akademickie i badawcze, organizacje rządowe i instytucje publiczne. Jednym z członków są Polskie Sieci Elektroenergetyczne SA.
  • European FI-ISAC (European Financial Institutes – Information Sharing and Analysis Centre), funkcjonujące w sektorze finansowym od roku 2008. Jego zadaniem jest zapewnienie sprawnej wymiany informacji w celu podniesienia poziomu świadomości potencjalnych ryzyk wśród członków i banków w krajach członkowskich, a także zapewnienie wczesnego ostrzegania o nowych zagrożeniach. Członkami European FI-ISAC są m.in. krajowe podmioty z sektora finansowego i rządowe jednostki CERT. Swoją reprezentację w European FI-ISAC posiadają także ENISA, Europol, Europejski Bank Centralny, Europejska Rada ds. Płatności i Komisja Europejska.

W niedalekiej przyszłości można spodziewać się powstania kolejnego centrum wymiany informacji i analiz. W roku 2017 Europejska Agencja Bezpieczeństwa Lotniczego (EASA) i CERT-EU podpisały memorandum o współpracy, które zawiera porozumienie w sprawie powołania do życia ECCSA (European Centre for Cyber Security in Aviation), czyli ISAC sektora lotniczego. Z informacji wskazanych w opublikowanym w lipcu 2019 r. raporcie EASA wynika, że jest ono obecnie w trakcie tworzenia.

Członkami ECCSA będą mogły zostać wszystkie bezpośrednio zainteresowane podmioty istotne z punktu widzenia zapewnienia bezpieczeństwa i ochrony europejskiego lotnictwa cywilnego, takie jak producenci, linie lotnicze czy organizacje badawcze. W komunikacie Europejskiej Agencji Bezpieczeństwa Lotniczego wskazano, że będzie ona miała swoją reprezentację w ECCSA, podobnie jak Komisja Europejska, CERT-EU, ENISA oraz rządowe instytucje lotnictwa cywilnego.

ISAC – polska perspektywa

Obecnie niewiele polskich podmiotów angażuje się we współpracę w ramach ISAC, co jednak stopniowo ulega zmianie (przykładowo, jak już wspomniano, członkiem EE-ISAC są Polskie Sieci Elektroenergetyczne). Warto w tym kontekście zwrócić uwagę na FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP, które można traktować jako ISAC o charakterze krajowym – zrzesza ono większość podmiotów z polskiej branży bankowej. Jego celem jest zapewnienie odpowiedniego poziomu bezpieczeństwa w polskim sektorze bankowym poprzez działalność polegającą głównie na wspieraniu członków w wykrywaniu, analizowaniu podatności i reagowaniu na zagrożenia. W jego skład wchodzą również podmioty uznane za operatorów usług kluczowych w tym sektorze na mocy ustawy o krajowym systemie cyberbezpieczeństwa.

Także program Partnerstwo dla Cyberbezpieczeństwa, nad którego realizacją czuwa NASK, jest oparty na modelu współpracy charakterystycznym dla ISAC. Program ten służy wymianie informacji i doświadczeń z zakresu cyberbezpieczeństwa między NASK i podmiotami korzystającymi w swojej działalności z systemów teleinformatycznych, której zakłócenie może pociągać za sobą ujemne skutki gospodarcze lub społeczne. Współpraca odbywa się w formule partnerstwa publiczno-prywatnego i ma charakter międzysektorowy.

Zaangażowanie polskich podmiotów w ISAC – szansa na poprawę cyberbezpieczeństwa?

Systemy teleinformatyczne odgrywają obecnie coraz większą rolę w życiu społecznym i gospodarczym, przez co zagrożenie cyberprzestępczością stale rośnie. W związku z tym zasadne jest podejmowanie przez podmioty publiczne i prywatne współpracy, która umożliwi wymianę informacji o incydentach i pozwoli zbudować strategię ochrony przed cyberzagrożeniami. Również dla polskich przedsiębiorców uczestnictwo w ISAC, czy to o charakterze krajowym, europejskim, czy globalnym, jest szansą na poprawę cyberbezpieczeństwa.

Z tego też względu współpraca w ramach centrów wymiany informacji i analiz powinna być elementem cyberstrategii przedsiębiorców, zwłaszcza tych należących do krajowego systemu cyberbezpieczeństwa – operatorów usług kluczowych, dostawców usług cyfrowych – a także podmiotów publicznych. Istnienie takich struktur powinno bowiem przyczynić się do podejmowania skuteczniejszych działań prewencyjnych i reagowania na zagrożenia zarówno przez podmioty prywatne działające zarówno w obrębie danej branży, jak i na poziomie międzysektorowym, jak i przez podmioty publiczne.