[PL] Cyberbezpieczeństwo RP. Czy naprawdę nic się nie zmieniło?

Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

Dziś rano Najwyższa Izba Kontroli podała do Polskiej Agencji Prasowej wiadomość o najnowszym raporcie dotyczącym “Stanu Bezpieczeństwa Cybernetycznego Rzeczpospolitej Polskiej”. Czy raport ten może zadziwić w jakikolwiek sposób? No niestety nie. Szczególnie, że informacja pracowa opublikowana dzisiaj, prawie nie różni się od informacji opublikowanej ponad rok temu, która to była przyczynkiem do powstania raportu. 

© Fotolia.com

Cytat z informacji opublikowanej 30 czerwca 2015 roku (5:40 rano):

Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.

Cytat z informacji opublikowanej 18 czerwca 2014 roku (8:00 rano):

Bezpieczeństwo Polski w cyberprzestrzeni jest obecnie na dramatycznie niskim poziomie – uważają eksperci zgromadzeni w NIK podczas debaty poświęconej temu zagadnieniu. Państwo musi jak najszybciej zająć się regulowaniem tego obszaru, by skutecznie zapobiegać oszustwom i szpiegostwu w sieci. Czy jest do tego przygotowane? NIK zamierza to sprawdzić.

Zacznijmy jednak od początku. Rok temu Najwyzasza Izba Kontroli stwierdziła:

…Dlatego NIK chce sprawdzić, czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. – Warto odpowiedzieć sobie dziś na pytanie: Czy budujemy w Polsce sensowny system i czy mamy na niego zabezpieczone środki? – mówi Marek Bieńkowski, dyr. Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK.

Kontrolerzy wejdą m.in. do ministerstw: Administracji i Cyfryzacji, Obrony Narodowej i Spraw Wewnętrznych. Pojawią się także w Agencji Bezpieczeństwa Wewnętrznego, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa i Komendzie Głównej Policji. NIK zbada aktywność tych instytucji od 2008 r., ale najmocniej przyjrzy się ostatnim dwóm latom.

Funkcjonariusze NIK odwiedzili więc wspomniane instytucje, popytali, popatrzyli, przetestowali procedury i przeprowadzili trochę wywiadów. Efektem tych prac są dane zawarte w raporcie:

…Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.

W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa…

…W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne…

Ale na całe szczęście jest trochę pozytywów:

Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:

  • powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
  • utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki – Narodowego Centrum Kryptologii;
  • upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
  • prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości – jednego spójnego systemu.

Pełna notatka z zapowiedzi kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem:  https://www.nik.gov.pl/aktualnosci/bezpieczenstwo-rp-w-cyberprzestrzeni.html

Połna notatka z wyników kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem: https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-w-cyberprzestrzeni.html

Dodatkowo pełen raport [KPB-4101-002-00/2014] dostępny publicznie pobrać można pod adresem (1.21 MB / 87 stron): https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf

[EN] June 2015 and my public speaking and presence (updated)

Updated {just few hours after publishing first version}

Second quarter of 2015 looks really busy, even with less number of travels. I’ve few confirmed sessions at conferences and user groups, and some plan for attending only. I will miss few events and unfortunetelly reject some of them. I previously blogged in quartely frequency (so two posts before 1Q Presence and 2Q Presence), but I see that even updates for existing blog post is not enough. So I switch for monthly frequency. here are my public speaking and presence for June 2015. Hope You will be able to meet me somewhere and say hello. June is very, very busy. Even at the beginning I had nothing scheduled in my calendar (almost).

Attendee:

To hear someone, to see someone, to meet someone, to be inspired. My plans are very flexible (even my calendar is not):

Conferences:

  • Info Security|London,England|02-03 June {SITE|TWITTER|FACEBOOK}
  • RSA Unplugged|London,England|04 June {SITE|TWITTER|FACEBOOK}
  • The AWS Awesome Day Workshop|Warsaw, Poland|16th June {SITE|TWITTER}
  • DELL Software End User Event|Warsaw, Poland|17th June {SITE}
  • II Konferencja | Zabezpieczenie danych osobowych|Warsaw, Poland|24th June {SITE}

Speaker:

Speaking is most important part of all my events. As many of us – The Speakers – we love it. So of course I will have some chance to increasing my speakers skills here:

The Annual (and non-frequently) General Meeting of Members:

  • Polish SQL Server User Group |Katowice/Warsaw, Poland|16th May {SITE}
  • Information Systems Security Association |Warsaw, Poland|22nd May {SITE}
  • Polish Information Processing Society |Wroclaw, Poland|23rd May {SITE}

Conferences

  • SQL Saturday #409 | Rheinland|Sankt Augustin,Germany|13th June {SITE|TWITTER}|session: Maintenance Plans Ad Hoc
  • SPBiz Conference|Virtual Event, Worldwide|18th June {SITE|TWITTER|FACEBOOK}|session: 2AM A Disaster Just Began
  • SQL Saturday #419 | Bratislava|Bratislava, Slovakia|20th June {SITE|TWITTER}|session: Azure SQL Database: Tips and Tricks for Beginners
  • ISSA InfoTRAMS | Protecting identity in globally connected world|Warsaw, Poland|22nd June {SITE}| session: Trust. The Primer.

 

Rejected events:

Time is not flexible. My outlook calendar is but with limited level only. So based on many reasons (fortunatelly all are connected with business, not private things) I had to reject my attending or speaking at some events:

  • East Midlands PASS Chapter|Leicester,England|17th June {SITE|TWITTER}|
  • Big Data Analytics|London, England|16th June {SITE|TWITTER}
  • Identity Management|London, England|17th June {SITE|TWITTER}

 

Anyway. if You will be somewhere arround my events, just ping me, tweet me or join for the event!

[PL] Magazyn Informatyki Śledczej Numer 25

Najnowszy dwudziesty piąty numer Magazynu Informatyki Śledczej i Bezpieczeństwa IT jest – co ze wstydem wielkim przyznaję – pierwszym wydaniem jakie zamierzam przeczytać. Nie wiem, dlaczego do tej pory nie trafiłem na to wydawnictwo, ale hurtowo pobrałem nie tylko wszystkie numery archiwalne:

Ale również numer specjalny poświęcony stricte zagadnieniom prawnym:

Połączenie informatyki, informatyki śledczej, bezpieczeństwa, dobrych praktyk, prawa, chmur, systemów, aplikacji i wszelkich aspektów tej specyficznej gałęzi świata informatycznego, nie pozwala mi napisać co znajdziecie w środku tych magazynów. Ale z radością moge zaprosić do szukania artykułów napisanych przez duże i doświadczone gremium redaktorów, którymi są:

Grzegorz Mucha, Jakub Ślązak, Emil Melka, Janusz Tomczak, Piotr Szeptyński, Grzegorz Idzikowski, Paulina Skwarek, Karol Szczyrbowski, Tomasz Chmielewski, Błażej Sarzalski, Michał Gluska, Bartosz Pudo, Adrian Wróbel, Maciej Gajewski, Tomasz Pietrzyk, Łukasz Bartecki, Michał Tatar, Przemysław Krejza, Maciej Szmit, Deborah Leary, Jarosław Góra, Mateusz Witański, Mateusz Hajnysz

Zapraszam do pobrania magazynów {LINK} i zapoznania się z treścią, a także do darmowej prenumeraty.