[PL] Cyberbezpieczeństwo RP. Czy naprawdę nic się nie zmieniło?

Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

Dziś rano Najwyższa Izba Kontroli podała do Polskiej Agencji Prasowej wiadomość o najnowszym raporcie dotyczącym “Stanu Bezpieczeństwa Cybernetycznego Rzeczpospolitej Polskiej”. Czy raport ten może zadziwić w jakikolwiek sposób? No niestety nie. Szczególnie, że informacja pracowa opublikowana dzisiaj, prawie nie różni się od informacji opublikowanej ponad rok temu, która to była przyczynkiem do powstania raportu. 

© Fotolia.com

Cytat z informacji opublikowanej 30 czerwca 2015 roku (5:40 rano):

Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych oraz bierne oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia Europejska.

Cytat z informacji opublikowanej 18 czerwca 2014 roku (8:00 rano):

Bezpieczeństwo Polski w cyberprzestrzeni jest obecnie na dramatycznie niskim poziomie – uważają eksperci zgromadzeni w NIK podczas debaty poświęconej temu zagadnieniu. Państwo musi jak najszybciej zająć się regulowaniem tego obszaru, by skutecznie zapobiegać oszustwom i szpiegostwu w sieci. Czy jest do tego przygotowane? NIK zamierza to sprawdzić.

Zacznijmy jednak od początku. Rok temu Najwyzasza Izba Kontroli stwierdziła:

…Dlatego NIK chce sprawdzić, czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. – Warto odpowiedzieć sobie dziś na pytanie: Czy budujemy w Polsce sensowny system i czy mamy na niego zabezpieczone środki? – mówi Marek Bieńkowski, dyr. Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK.

Kontrolerzy wejdą m.in. do ministerstw: Administracji i Cyfryzacji, Obrony Narodowej i Spraw Wewnętrznych. Pojawią się także w Agencji Bezpieczeństwa Wewnętrznego, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa i Komendzie Głównej Policji. NIK zbada aktywność tych instytucji od 2008 r., ale najmocniej przyjrzy się ostatnim dwóm latom.

Funkcjonariusze NIK odwiedzili więc wspomniane instytucje, popytali, popatrzyli, przetestowali procedury i przeprowadzili trochę wywiadów. Efektem tych prac są dane zawarte w raporcie:

…Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.

W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa…

…W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne…

Ale na całe szczęście jest trochę pozytywów:

Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:

  • powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
  • utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki – Narodowego Centrum Kryptologii;
  • upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
  • prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości – jednego spójnego systemu.

Pełna notatka z zapowiedzi kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem:  https://www.nik.gov.pl/aktualnosci/bezpieczenstwo-rp-w-cyberprzestrzeni.html

Połna notatka z wyników kontroli (wraz z materiałami audio oraz wideo) znajduje się pod adresem: https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-w-cyberprzestrzeni.html

Dodatkowo pełen raport [KPB-4101-002-00/2014] dostępny publicznie pobrać można pod adresem (1.21 MB / 87 stron): https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf

[EN] Anorak’s Weekly Reading List

As many of my colleagues, bloggers, influencers between blogging, working, books reading, between projects and ideas i ofter read some articles somewhere in the world wide web. So I just start to publish my weekly summary with the interesting links splitted for to categories: life and tech. Maybe you will find something interesting for you here. Enjoy!

LIFE

  • LINK | Kinessa Johnson: Tattooed US army veteran hunts poachers in Africa
  • LINK | The scariest thing about global warming? Giant, super-fast spiders
  • LINK | The staggering diversity of pastors’ facial hair, in one graphic
  • LINK | Rosie Ruiz of St. Louis Marathon Identified
  • LINK | Thrash titans unveil new material
  • LINK | World Snooker Championship 2015 on the BBC

TECH

  • LINK | Ekskluzywny notebook Dell XPS z niesamowitym ekranem
  • LINK | Microsoft hides a Windows 10 Easter Egg in Windows 7/8.1 systems
  • LINK | New security threats rise on mobile, IoT
  • LINK | Where to find the Azure PowerShell SDK ToolKit } by Denny Cherry
  • LINK | Use PowerShell to Create Local User Accounts
  • LINK | Microsoft Updates Azure Media Services With Live Encoding, New Media Player And More
  • LINK | “Breaking” News: Don’t Install SQL Server 2014 SP1 } by Brent Ozar
  • LINK | Manage users in Azure RemoteApp based on Active Directory groups, with PowerShell!
  • LINK | 2015 Program Committee
  • LINK | More Useful MVA Training Options } by Greg Low
  • LINK | Why won’t you implement my little feature request, Microsoft? } by Jamie Thomson
  • LINK | Microsoft Unveils New Container Technologies for the Next Generation Cloud
  • LINK | Understanding Azure SQL Database and SQL Server in Azure VMs
  • LINK | Azure Premium Storage, now generally available } by Mark Russinovich
  • LINK | SharePoint Server 2016 Roadmap and Update } by Dan Holme
  • LINK | Introducing CSX skills-based cybersecurity training and performance-based certifications

NOTE: week 16 | year 2015

[PL] Socjotechnika otwierająca drzwi…

Jak zawsze jest tak samo. Kilka nowych książek się pojawiło ostatnio na rynku, takich autorów jak: Mark Russinovich Zero Day , Kevin Mitnick The Art of Deception: Controlling the Human Element of Security , duet tych dwóch Trojan Horse czy wreszcie, popularny w Anglii Ian Mann Hacking the Human (premiera drugiej części miała miejsce na konferencji InfoSecurity Europe pod koniec kwietnia w Londynie). Wydaje się więc, że nie tyle zwykli użytkownicy, ale przede wszystkim eksperci związani z bezpieczeństwem, powinni pewną wiedzę na ten temat posiadać.

Chodzi mi oczywiście nie tyle o hakerstwo, włamania oraz kradzież danych, ale przede wszystkim o socjologiczne zachowania. Miałem okazję w środku kończącego się tygodnia uczestniczyć w kolejnym spotkaniu grupy o tajemniczej nazwie MACCSA (dość powiedzieć, że chodzi o cyber security). Spotkanie trwało dwa dni, miejscem była jedna z sal konferencyjno-plenarnych Komisji Europejskiej w Brukseli. Było nas około czterdziestu osób, w większości albo pracujących w międzynaradowych firmach (czasem korporacjach) głównie na stanowiskach Chief Security Officer/Advisor, albo wręcz w MOD (Ministry of Defense) któregoś z krajów europejskich. Generalnie rzecz ujmując, ludzie, którzy na temat dostępu do informacji oraz autentykacji i autoryzacji użytkowników wiedzą dość sporo. Lub przynajmniej powinni.

Ponieważ te dwa dni były ostatnimi z mojej dziesięciodniowej podróży, a opierała się ona tylko na podręcznym bagażu, więc i wyposażenie modowe było skromne. Jak już się wszyscy zebrali w pierwszy dzień, nastąpiło hurtowe wydanie przepustek, pozwalających na poruszanie się po budynku Charlemagne. Na sobie miałem koszulkę z nadrukiem CISCO SECURITY z przodu (oczywiście z właściwym logo), oraz mapą świata wypełnioną pojęciami powiązanymi z cyber bezpieczeństwem na plecach. Koszulka wybrana zupełnie przypadkowo, głównie ze względu na właściwy rozmiar i dobry materiał. Kilka osób znałem ze wczesniejszego spotkania, kilkoro było nowych i podczas przerwy kawowej nastąpiło pierwsze z ciekawych pytań (wystosowanych właśnie przez dwójkę nowych uczestników): Pracujesz dla Cisco? To dobrze bo mamy tu gościa z Nokia-Siemens, więc będzie można pogadać. Wielkim zdziwieniem dla nich był fakt, że nie jestem z Cisco. Dlaczego zdziwienie? Bo przecież mam koszulkę z ich logo.

Pod sam koniec pierwszego dnia trzecia osoba była bardziej bezpośrednia: Gdzie w Polsce jest Twój oddział i w jakim departamencie pracujesz? I czy masz kontakt z innymi biurami np w Anglii lub Skandynawii? Firma dla której potencjalnie miałbym pracować już się utrwaliła. Niesamowite jest jak łatwo – tylko na podstawie zwykłej koszulki (choć przypadkowo związanej z tematyką spotkania) – można i zdobyć zaufanie i zbudować historię i doprowadzić do takiego czy innego spotkania w danej firmie.

Od naszego opiekuna dostaliśmy dodatkowe identyfikatory, zastępujące te budynkowe, aby było nam się łatwiej poruszać między salą plenarną a kantyną. Identyfikator prosty, zwykły na samoprzylepnym papierze wydrukowany. Okazało się jednak, że umożliwił wejście nie tylko na teren dla nas przeznaczony, ale również na zwiedzenie trzech innych pięter: “bo ochrona wiedziała, że jest takie spotkanie”. Jak nietrudo się domyślić, z pomocą tej banalnej w swej prostocie naklejki, można by było zrobić kilka ciekawych rzeczy. W regulaminie użycia dostępnego zahasłowanego wprawdzie (zupełnie nie spełniającym warunków złożoności hasłem), ale publicznego łącza sieci bezprzewodowej, było kilka wzmianek o tym do czego nie wolno robić w sieci… ale port jeden-cztery-trzy-trzy był otwarty.

Najlepsze w całej historii jest to, że to nie ja użyłem techniki, lub socjotechniki. To owe “nieświadome ofiary” same jej użyły… Jak zawsze jest tak samo.