[PL] Cyberbezpieczeństwo RP. Czy naprawdę nic się nie zmieniło?

Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

Dziś rano Najwyższa Izba Kontroli podała do Polskiej Agencji Prasowej wiadomość o najnowszym raporcie dotyczącym “Stanu Bezpieczeństwa Cybernetycznego Rzeczpospolitej Polskiej”. Czy raport ten może zadziwić w jakikolwiek sposób? No niestety nie. Szczególnie, że informacja pracowa opublikowana dzisiaj, prawie nie różni się od informacji opublikowanej ponad rok temu, która to była przyczynkiem do powstania raportu. 

© Fotolia.com

Cytat z informacji opublikowanej 30 czerwca 2015 roku (5:40 rano):

Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.

Cytat z informacji opublikowanej 18 czerwca 2014 roku (8:00 rano):

Bezpieczeństwo Polski w cyberprzestrzeni jest obecnie na dramatycznie niskim poziomie – uważają eksperci zgromadzeni w NIK podczas debaty poświęconej temu zagadnieniu. Państwo musi jak najszybciej zająć się regulowaniem tego obszaru, by skutecznie zapobiegać oszustwom i szpiegostwu w sieci. Czy jest do tego przygotowane? NIK zamierza to sprawdzić.

Zacznijmy jednak od początku. Rok temu Najwyzasza Izba Kontroli stwierdziła:

…Dlatego NIK chce sprawdzić, czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. – Warto odpowiedzieć sobie dziś na pytanie: Czy budujemy w Polsce sensowny system i czy mamy na niego zabezpieczone środki? – mówi Marek Bieńkowski, dyr. Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK.

Kontrolerzy wejdą m.in. do ministerstw: Administracji i Cyfryzacji, Obrony Narodowej i Spraw Wewnętrznych. Pojawią się także w Agencji Bezpieczeństwa Wewnętrznego, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa i Komendzie Głównej Policji. NIK zbada aktywność tych instytucji od 2008 r., ale najmocniej przyjrzy się ostatnim dwóm latom.

Funkcjonariusze NIK odwiedzili więc wspomniane instytucje, popytali, popatrzyli, przetestowali procedury i przeprowadzili trochę wywiadów. Efektem tych prac są dane zawarte w raporcie:

…Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.

W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa…

…W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne…

Ale na całe szczęście jest trochę pozytywów:

Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:

  • powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
  • utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki – Narodowego Centrum Kryptologii;
  • upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
  • prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości – jednego spójnego systemu.

Pełna notatka z zapowiedzi kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem:  https://www.nik.gov.pl/aktualnosci/bezpieczenstwo-rp-w-cyberprzestrzeni.html

Połna notatka z wyników kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem: https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-w-cyberprzestrzeni.html

Dodatkowo pełen raport [KPB-4101-002-00/2014] dostępny publicznie pobrać można pod adresem (1.21 MB / 87 stron): https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf

[PL] Kadry, zacznijcie się w końcu zmieniać!

Od kilku lat zdarza mi się okazjonalnie prowadzić szkolenia z technologii produkowanych przez firmę na literkę m. Szkolenia te dotyczą różnego zakresu i prowadzone są w różnych językach i dla różnych organizacji (mogą to być CPLS <akronim> albo coś w stylu Internal). W większości wypadków ośrodki są dobrze przygotowane. W większości wypadków równiez sami uczestnicy wiedza po co przyszli. Ale zdarzają sie sytuacje z…

Prowadząc ostatnio szkolenie z nowej wersji technologii bazodanowej, podczas pierwszej rozmowy ze studentami utknęliśmy w martwym (na szczęście nie do końca) punkcie:

  • Podczas naszego pięciodniowego szkolenia na temat nowego SQL Server 2012…
    • Pieciodniowego? Dostaliśmy skierowanie na trzy dni.
  • Nie, Panowie. Szkolenie nie jest trzydniowe tylko pięciodniowe. W trzy dni byłoby bardzo trudno opowiedzieć o administracyjnych zagadnieniach dotyczących SQL Server 2012, obawiam się, że i to jest za mało.
    • Moment, miał być SQL Server 2010. Tak nam powiedziano w kadrach
  • Znowu coś nam się nie zgadza, bo takiego SQLa nie ma. Jednakże sprawdzimy ten temat i uzgodnimy między ośrodkiem a firmą, która was wysłała.

Po kilku dyskusjach między mną – osobą odpowiedzialną za szkolenie w ośrodku – osobą odpowiedzialną za szkolenie w firmie wysyłającej, dowiedziałem się:

Wszystko jest w porządku. Kierowałam ich na pięć dni i na ten SQL nowy. Zapewne nie zauważyli albo nie pamiętali.

A w ogóle powinni być wdzięczni, że w ogóle na jakiekolwiek szkolenie poszli.

Zagotowałem się. Naprawdę. Mimo, że karma mówi mi bym tego nie robił. Mimo, że to nie pierwszy raz. Mimo, że powinienem być przyzwyczajony do naszej polskiej zawiłej mentalności. No to ja coś wyjaśnię – choć zapewne, żadna “Ważna Pani z Działu Kadr/Szkoleń/Rozwoju (niepotrzebne skreslić)” nie przeczyta tego wpisu:

Zapamiętajcie sobie raz na zawsze. Napiszcie na ścianie, monitorze, wklepcie do tych wyspecjalizowanych głów:

NIKT WAM nie musi być ZA NIC wdzięczny!

Nikomu nie robicie łaski, że pracownik pójdzie na szkolenie. To on odrywa się od pracy – czy tego chce, czy nie (co też się zdarza). Nie poświęcacie SWOJEGO czasu, nie wydajecie SWOICH pieniędzy – które i tak są zabudżetowane na rozwój pracowników. To nie WY a PRACOWNIK podpisuje lojalkę za szkolenie i wiąże się z firmą na czas dłuższy lub krótszy. Wreszcie TO NIE WY – za co dzięki wszystkim Bogom Cobolu – na to szkolenie idziecie.

Zacznijcie wreszcie się zmieniać i podchodzić do ludzi normalnie, nie wykorzystując pozycji w której się znajdujecie, a które tylko w Waszym mniemaniu jest wyższą niż specjalisty IT idącego na szkolenie.

[PL] Kłamczuszki z iPLUSa

W ubiegłym roku używałem dość sporo iPlusa. W tym roku jakby mniej, zresztą reinstalacji systemu było kilka (co chwila mi się koncepcja zmienia, zupełnie jakbym był niezdecydowaną nastolatką). Jednak ostatnio się okazało, że znowu na chwilę jest mi potrzebny i mimo, że to duże dość ustrojstwo na standardową kartę PCMCIA pakowaną do dziury w laptopie, to jednak trzeba go było użyć. Poprzednio używałem wersji aplikacji iPlus Manager oznaczonej numerem 2.2. Ponieważ od długiego czasu jedyną potrzebną aplikacją jaką trzeba mieć dla nowego systemu to właściwe sterowniki dla karty sieciowej (choć dla systemu Windows 7 czy Windows Server 2008 ten problem prawie zupełnie znika), nie posiadałem oczywiście instalki. W związku z czym udałem się na stronę dostawcy, aby owo oprogramowanie pobrać:

 

Producent zachęca do pobrania najnowszej wersji aplikacji iPlus manager 2.2. No to pobieram, sprawdzam zgodność i biorę się do instalowania. Proces trwa dwanaście kliknięć i kilka minut, a na końcu wymaga restartu komputera:

W porządku jeden restart damy radę. Po restarcie i zalogowaniu się wita nas oczekiwane okienko aplikacji:

 

W zasadzie wystarczyłoby włożyć kartę do gniazda, system zaciągnie wszystkie sterowniki i już. Ale mnie podkusiło, aby zerknąć w opcje aplikacji:

Jakież było moje – przewidywane przecież od początku – zdziwienie, kiedy się okazało, że oczywiście jak zawsze od kilku już lat trzeba dociągnąć poprawkę po instalacji.

  

No, że ty jego… nać (“I niech nie mówi nać – A co ma mówić? – Odrosty niech mówi”). Czy oni nigdy nie mogą wstawić AKTUALNEJ wersji na stronę? Albo napisać: “Pobierz prawie najnowszą (może być wymagana aktualizacja) wersję aplikacji iPlus Manager…”

Wkurza mnie to po prostu!