BANK 2024/12

Raport Cyberbezpieczeństwo | Regulacje | Potrzebujemy wykreować spójne ramy prawne nie tylko dla AI, ale szerzej – algorytmów

Karol Mórawski | Miesięcznik Finansowy BANK
Raport Cyberbezpieczeństwo | Regulacje | Potrzebujemy wykreować spójne ramy prawne nie tylko dla AI, ale szerzej – algorytmów
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Europa nie jest i już nie będzie liderem w zakresie gospodarki cyfrowej, jak USA czy Chiny, nie mamy do tego wystarczających zasobów ludzkich, technologicznych ani finansowych, tym bardziej musimy stworzyć przejrzyste ramy prawne, na bazie których funkcjonować będą dostawcy usług cyfrowych z całego świata – podkreśla dr hab. Dariusz Szostek prof. UŚ, WPIA, Dyrektor Międzyuczelnianego Centrum Cyber Science (UŚ, Politechnika Śląska, EU Katowice, NASK i Emag Instytut Łukasiewicza), CEO Szostek_Digital i Wspólnicy, w rozmowie z Karolem Mórawskim.

Inicjatyw regulacyjnych mających za cel poprawę poziomu bezpieczeństwa cyfrowego i cyberodporności w ostatnim czasie nie brakuje. Obok AI Act, NIS2 czy DORA mamy wszak inne akty prawne, jak choćby rozporządzenie CER w zakresie odporności podmiotów krytycznych czy pakiet PSD3/PSR, również wprowadzający szereg nowości m.in. w zakresie autentykacji transakcji płatniczych. Czy zatem możemy mówić o kolejnej fali regulacyjnego tsunami, która doprowadzi do przeregulowania tej sfery, a w konsekwencji obniżenia konkurencyjności Europy wobec globalnych, cyfrowych liderów?

– W powszechnej świadomości wciąż pokutuje stereotypowe myślenie, że kompleksowe uregulowanie jakiegoś obszaru powinno być zawarte w jednym akcie prawnym. Tymczasem obecna aktywność unijnego ustawodawcy w pełni realizuje program Komisji Europejskiej z roku 2020, dotyczący podniesienia poziomu bezpieczeństwa, w tym w szczególności cyberbezpieczeństwa. Cel ten jest osiągany poprzez przygotowanie szeregu komplementarnych aktów prawnych, obok wspomnianych przez pana, mamy wszak jeszcze tzw. rozporządzenie maszynowe, regulujące wykorzystanie robotów wyposażonych w algorytmy, Cyber Resilience Act czy AI Liability Directive. Można powiedzieć, że po latach deficytu prawnego w tym obszarze będzie on wreszcie ujęty w ramy prawne w sposób holistyczny. Pracowano nad tym już od lat, a wydarzenia roku 2022 jedynie potwierdziły słuszność przyjętego kierunku i zdopingowały twórców przepisów do działania.

Czyli rosyjska inwazja na Ukrainę nie była bezpośrednią przesłanką do wzmocnienia cyberodporności Unii Europejskiej?

– Agresywne działania Rosji w cyberprzestrzeni zaczęły się zmasowanym atakiem na estoński system teleinformatyczny wiosną roku 2007. Konsekwencją tych wydarzeń było powołanie odpowiednich jednostek obrony cyberprzestrzeni w ramach sojuszu północnoatlantyckiego. Wcześniej zarówno na poziomie Unii Europejskiej, jak i NATO brakowało spójnej strategii w zakresie cyberbezpieczeństwa. Dziesięć lat później podobna kampania rosyjskich służb specjalnych zakłóciła ukraińskie systemy administracji publicznej, ale również ruch lotniczy i kolejowy. Równolegle zaatakowany został MAERSK, jedna z największych firm logistycznych świata. Koincydencja tych dwóch zdarzeń była oczywista – celem było wszak równoległe sparaliżowanie systemów cyfrowych państwa i uderzenie w łańcuchy dostaw.

Wspomniane zagrożenia przyczyniły się do ogłoszenia rok później dyrektywy NIS, przy czym od razu podjęto pracę nad jej zaktualizowaną wersją, czyli NIS2. Dlatego zarówno już obowiązujące prawo, jak i procedowane obecnie regulacje stanowią odpowiedź na wydarzenia z roku 2017, a nie tylko na pełnoskalową agresję na Ukrainę, która, jak już wspomniałem, tylko dodatkowo zdynamizowała działania legislacyjne. Warto podkreślić, ze zarówno w roku 2007 w Estonii, jak i dziesięć lat później w Ukrainie jednym z celów ataku rosyjskich hakerów był system bankowy, jako ważny element infrastruktury krytycznej. Bez sprawnego sektora bankowego państwo de facto przestaje funkcjonować. Nieprzypadkowo konwencjonalne działania militarne w roku 2022 też poprzedził cyberatak na ukraińskie zasoby finansowe. Zresztą zdecydowana większość incydentów w przestrzeni cyfrowej, zwłaszcza tych na wielką skalę, to efekt działań politycznych, inspirowanych przez rządy, lub działania militarne. Klasyczna przestępczość kryminalna zorientowana na kradzież czy wyłudzenia pieniędzy zajmuje odległe pozycje.

Nasuwa się pytanie, czy i w jakim stopniu te najnowsze regulacje nadążają za upowszechnianiem się sztucznej inteligencji, które to zjawisko nasiliło się na przestrzeni ostatnich kilku kwartałów?

– Regulacje prawne co do zasady nigdy nie nadążają za systemami i zmianami społecznymi, gdyż są wobec nich wtórne. W przypadku sztucznej inteligencji celem jest stworzenie ram prawnych nie tylko dla samej AI, ile szerzej – algorytmów. Przez szereg lat rozwój świata wirtualnego i systemu prawnego przebiegał niejako obok siebie, dopiero lata 90. ubiegłego stulecia przyniosły pierwsze prawa dla sfery cyfrowej, do których musieli dostosować się informatycy. Generalnie przepisy te miały szereg luk, które pozwoliły m.in. na stworzenie rynku kryptowalut, na którym nie obowiązywały żadne spisane zasady, choćby w zakresie przeciwdziałania praniu pieniędzy. Nieprzypadkowo wejście w życie dyrektyw AML/CFT doprowadziło do wycofania się z rynku części podmiotów z branży kryptoaktywów. Dziś czeka nas zadanie o wiele donioślejsze, regulacja rynku cyfrowego i szerzej – algorytmów. Europa nie jest i już nie będzie liderem w zakresie gospodarki cyfrowej, jak USA czy Chiny, nie mamy do tego wystarczających zasobów ludzkich, technologicznych ani finansowych, tym bardziej musimy stworzyć przejrzyste ramy prawne, na bazie których funkcjonować będą dostawcy usług cyfrowych z całego świata. Taką rolę pełni choćby Digital Services Act, regulujący działalność wielkich platform cyfrowych. Jeśli chodzi o AI, to upowszechnienie chata GPT było faktycznym zaskoczeniem, z tej przyczyny zdecydowano się na przesunięcie wejścia w życie AI Act, który zawiera rozwiązania prawne dla generatywnej sztucznej inteligencji. Przypomnę, że zapisy AI Act nie odnoszą się do systemów nieodpłatnych, jak polski Bielik.ai czy ChatGPT 3, a jedynie do narzędzi odpłatnych. Chodzi po pierwsze o to, by każdy mógł korzystać z tych platform, tworzyć własne prompty i algorytmy. Drugim celem jest wyeliminowanie niepożądanych zachowań, które już dziś są zakazane w świecie rzeczywistym, jak działania podprogowe czy dyskryminujące. Podkreślam, że celem AI nie jest zapewnienie wyjaśnialności doboru treści rozrywkowych na takich platformach jak Netflix czy Spotify. Chodzi o to, by każdy mógł uzyskać odpowiedź, dlaczego bank podjął określoną decyzję kredytową albo pracodawca odrzucił wniosek kandydata w toku procedury rekrutacyjnej. W takich przypadkach obywatel ma prawo uzyskać stosowne wyjaśnienia odnośnie przebiegu tradycyjnej procedury, chcemy, by ta sama reguła tyczyła się AI. Gdyż to są decyzje dotyczące bezpośrednio jego sfery, kariery itd.

Zdecydowana większość incydentów w przestrzeni cyfrowej, zwłaszcza tych na wielką skalę, to efekt działań politycznych, inspirowanych przez rządy, lub działania militarne. Klasyczna przestępczość kryminalna zorientowana na kradzież czy wyłudzenia pieniędzy zajmuje odległe pozycje.

Podczas niedawno zakończonego Kongresu Bankowości Korporacyjnej i Inwestycyjnej padło stwierdzenie, iż „Ameryka to innowacja, Chiny to imitacja, a Unia Europejska to regulacja”. Na ile zgodziłby się pan z tą opinią, i czy jeśli jest ona zasadna, to regulacje mogą stać się europejskim towarem eksportowym, naśladowanym w innych jurysdykcjach?

– Zacznijmy od tego, że AI Act nie jest pierwszym aktem prawnym regulującym algorytmy i sztuczną inteligencję. Definicja AI i uczenia maszynowego po raz pierwszy pojawiła się w wydanym w minionym roku rozporządzeniu maszynowym, na które mało kto zwrócił uwagę, bo wszyscy koncentrują się na AI Act. Europa nie jest też pionierem w uregulowaniu obszaru algorytmów. Stosowne przepisy już 2-3 lata temu przyjęły Chiny, choć oczywiście filozofia przyjęta przez tamtejsze władze istotnie odbiega od priorytetów uznawanych w naszym kręgu kulturowym, na czele z podejściem do praw człowieka, w tym prawa do prywatności. Europejskie regulacje sprzyjają natomiast wyrównywaniu dystansu pomiędzy Unią Europejską a resztą świata w dziedzinie technologii cyfrowych. Przypomnę, że jedno z wydanych w ub.r. rozporządzeń, które obowiązuje do końca 2035 r. przewiduje faktyczną premię za innowacyjność. Jeśli dany podmiot będzie realizować działania badawczo-rozwojowe na wspólnym rynku unijnym, wówczas przez siedem lat nie będą wobec niego stosowane przepisy antymonopolowe, z możliwością przedłużenia o kolejne dwa lata dla organizacji, które po upływie owych siedmiu lat nadal będą utrzymywać pozycję dominującą, czyli powyżej 25% udziału w rynku. Dopiero po upływie dziewięciu lat taka instytucja będzie w pełni poddana wszelkim rygorom, określonym w prawie antymonopolowym. Czyli z jednej strony stwarzamy warunki przyjazne dla europejskich podmiotów, podobnie jak to uczyniły Chiny, z drugiej zaś przewidujemy określone reguły, by aktywność globalnych gigantów cyfrowych na rynku unijnym niosła za sobą wartość dodaną dla państw i firm europejskich.

Rzecz w tym, że np. trudno wyobrazić sobie pluralizm w przypadku mediów społecznościowych czy globalnych platform cyfrowych. Siłą Facebooka czy Google jest to, że wszyscy korzystają z tego samego usługodawcy, jak zatem osiągnąć efekt konkurencji wobec usługi, która stała się de facto elementem infrastruktury cyfrowej?

– Zgadzam się, że wykreowanie alternatywy dla Facebooka czy Google nie jest możliwe, choćby z uwagi na fakt, iż całe budżety europejskie są porównywalne z zasobami finansowymi Google. Jesteśmy jednak w stanie nałożyć na te podmioty określone obowiązki, co już się dokonuje choćby za sprawą takich regulacji jak Digital Service Act czy Digital Market Act, zobowiązujących dostawców usług cyfrowych do spełnienia określonych wymogów w zakresie cyberbezpieczeństwa czy poszanowania praw człowieka. Kolejnym takim obszarem jest kwestia identyfikacji i autentykacji online. Obecnie wdrażanie jest rozporządzenie eIDAS 2, które weszło w życie 20 maja 2021 r., będąc obszerną nowelizacją wcześniejszych przepisów z 2014 r. Przełomowy charakter eIDAS 2 polega na stworzeniu podstaw prawnych dla jednolitej europejskiej tożsamości cyfrowej. Naprawiamy tym samym błąd popełniony w 2014 r., kiedy scedowaliśmy to zadanie na poszczególne państwa, w efekcie uzyskaliśmy szereg rozwiązań wzajemnie niekompatybilnych. Przykładem może być Polska, na chwilę obecną mamy co najmniej kilka schematów logowania się do serwisów administracji publicznej, poczynając od e-PUAP, poprzez bankowość elektroniczną, aż po aplikację mObywatel. Z drugiej strony na co dzień korzystamy z tożsamości cyfrowej, utworzonej np. w mediach społecznościowych, logując się do Facebooka czy LinkedIn. To rozwiązanie jest z kolei niewystarczające pod względem bezpieczeństwa, by móc logować się do banków czy portali urzędowych. Odpowiedzią na te wyzwania jest całkowicie nowa wspólna tożsamość cyfrowa, przewidziana w unijnych przepisach. Przypomnę, że największym mankamentem całkiem pomysłowego rozwiązania, jakim jest aplikacja Obywatel, jest jej zasięg terytorialny, ograniczony do obszaru Polski. Zapytam wprost: po co mi elektroniczny paszport, na postawie którego wyjadę z Polski, natomiast nie będę mógł odprawić się w kraju trzecim na podróż powrotną? Tymczasem e-wallet, którego utworzenie przewidziano w eIDAS 2, stanowi interoperacyjne europejskie narzędzie, wyodrębniające tożsamość cyfrową od jakichkolwiek innych usług. Dodatkowo każdy obywatel będzie dysponował prawem przeniesienia swej tożsamości cyfrowej z jednego portfela do drugiego, np. przeprowadzając się do innego państwa członkowskiego UE. Prawo unijne przewiduje najwyższy poziom bezpieczeństwa tej formy uwierzytelnienia, która będzie mieć charakter dwuskładnikowy. Z dniem 21 listopada 2027 r. banki będą musiały akceptować tożsamość cyfrową, zawartą w e-wallet, ze wszystkich państw UE, co moim zdaniem stanowi czynnik decydujący o powodzeniu tego przedsięwzięcia. Dodatkowo tworzymy nową kategorię tzw. podmiotów ufających. Przekazanie danych zawartych w e-wallet będzie umożliwione tylko instytucjom publicznym bądź pozytywnie zweryfikowanym pod kątem prowadzenia działalności w strefie europejskiej i wypełniania wszystkich wymogów regulacyjnych. Obecnie, korzystając z usług cyfrowych, nierzadko nie jesteśmy w stanie nawet stwierdzić, z jakiego kraju pochodzi ich dostawca, o ile rzecz jasna nie mamy do czynienia z najbardziej rozpoznawalnymi globalnymi markami. Udostępniając dane, obywatel będzie mógł wskazać ich kategorie, które chce przekazać dostawcy usług, a system nie udostępni nic więcej. W ten sposób mamy zagwarantowane nie tylko bezpieczeństwo, ale i respektowanie zapisów RODO. Na mocy eIDAS-2 to nie bank czy inny dostawca usług będzie administratorem danych osobowych, pozostaną one w systemie tożsamości cyfrowej, a nasz kontrahent dostanie tylko i wyłącznie link ich dotyczący.

W powszechnej świadomości wciąż pokutuje stereotypowe myślenie, że kompleksowe uregulowanie jakiegoś obszaru powinno być zawarte w jednym akcie prawnym. Tymczasem obecna aktywność unijnego ustawodawcy w pełni realizuje program Komisji Europejskiej z roku 2020, dotyczący podniesienia poziomu bezpieczeństwa, w tym w szczególności cyberbezpieczeństwa. Cel ten jest osiągany poprzez przygotowanie szeregu komplementarnych aktów prawnych.

Sprawcy cyberoszustw z reguły posługują się socjotechniką. Niezależnie od poziomu zabezpieczeń fraud może zakończyć się sukcesem, o ile konsument da sprawcom sobą powodować przy użyciu takich schematów, jak phishing czy spoofing. Także prawo ewoluuje w kierunku przenoszenia odpowiedzialności za nieprzemyślane decyzje konsumenta na banki. Jak w tym kontekście powinien wyglądać rozkład odpowiedzialności za ewentualne incydenty, i jak uświadomić tzw. Kowalskiemu, że systemy cyberbezpieczeństwa nie zwalniają go z dochowania przezorności?

– Żadne regulacje nie uchronią nas przed nieprzemyślanymi zachowaniami konsumentów usług cyfrowych. Niska świadomość i brak wiedzy konsumentów jest skądinąd problemem nie tylko polskim, dlatego ze wszech miar godną pochwały inicjatywą są wszelkiego rodzaju akcje edukacyjne i uświadamiające. Chciałbym tu w szczególności pochwalić Związek Banków Polskich za realizowaną w ostatnim czasie kampanię „Nie pomagaj się okraść”. Proste, krótkie i nierzadko szokujące spoty doskonale uświadamiają Polakom, na co się narażają, nie stosując się do reguł bezpieczeństwa w cyfrowym świecie. To pionierskie tego rodzaju przedsięwzięcie, dotychczas nigdy nie mieliśmy tak prostego w formie przekazu edukacyjnego, dystrybuowanego na tak szeroką skalę. Natomiast jeśli chodzi o same zabezpieczenia transakcji online, to powinny być one adekwatne do skali potencjalnego nadużycia, podobnie jak dzieje się to w świecie realnym. Kupując hamburgera czy nawet telewizor, strony nie muszą okazywać dokumentów, operacja jest maksymalnie uproszczona. Oczywiście wiąże się to z pewnym ryzykiem, gdyby się np. okazało, że nabyty z drugiej ręki sprzęt jest uszkodzony lub pochodzi z niepewnego źródła, jednak ewentualna strata dotyczy wówczas niewysokich kwot. Jednak kiedy zamierzamy kupić mieszkanie, wówczas prawo zobowiązuje nas do zawarcia aktu notarialnego, pod rygorem nieważności takiej umowy. Nie chodzi tylko o transparentność całej operacji, ale również o to, by konsument miał czas na przemyślenie swej decyzji i jej podjęcie w sposób w pełni świadomy. Podobne stopniowanie można by wprowadzić w przypadku płatności online, co się poniekąd już dzieje. Płatności niskokwotowe zwolnione są nawet z obowiązku każdorazowego wprowadzania PIN, ale jeśli dokonujemy przelewów na większe sumy, wówczas wykorzystanie dodatkowych mechanizmów zabezpieczających w rodzaju silnego uwierzytelnienia jest obligatoryjne. Generalnie jednak chciałbym zwrócić uwagę, że wiele tych problemów i niejasności prawnych rozwiąże się wraz z wejściem w życie postanowień rozporządzenia eIDAS 2 i wprowadzeniem e-wallet, czyli jednolitej, urzędowej tożsamości cyfrowej.

Źródło: Miesięcznik Finansowy BANK