Ponieważ na tej bazie przygotowywana będzie strategia, która może wreszcie spowoduje jakiś widoczną poprawę cyberbezpieczeństwa, warto by dokument był możliwie kompletny. Załączam uwagi, które przesłałem do Ministerstwa Administracji i Cyfryzacji.
***
Cyberbezpieczeństwo osiąga się przede wszystkim poprzez działania
prewencyjne. Strategia w znacznej
mierze koncentruje się na detekcji,
czyli wykrywaniu oraz korekcji,
czyli reagowaniu na cyberzagrożenia. Cała sztuka powinna jednak polegać na tym
by nie dopuszczać do tego by cyberincydenty miały wyraźny - negatywny wpływ na infrastrukturę.
Dopiero w sytuacji gdy najważniejsze luki zostaną zamknięte warto inwestować w rozwiązania
korekcyjne.
Prewencja polegać powinna na ustaleniu jasnych standardów
bezpieczeństwa wykorzystywanych podczas projektów e-administracji oraz
uporządkowaniu procesów w zakresie zarządzania bezpieczeństwem informacji, bez
których nawet najlepsze rozwiązania techniczne będą nieskuteczne/bezużyteczne.
W przypadku rozwiązań technicznych polecam rozważenie formalnego zaznaczenia
istnienia oraz jakości materiałów przygotowanych przez organizację OWASP (Open Web
Application Security Project) będący uznanym, międzynarodowym punktem
odniesienia etycznych hakerów - pentesterów.
W przypadku rozwiązań organizacyjnych warto wzmocnić
znaczenie rodzinie norm międzynarodowych serii ISO 27001, która jest już obecna
w Rozporządzeniu KRI, niemniej w praktyce wdrażana bywa niezmiernie rzadko,
wystarcza bowiem niczym nie podparta "deklaracja" zgodności z tą
normą.
W tym momencie chcę zwrócić uwagę na to, że modyfikacja
rozporządzenia KRI powinna być istotnym elementem strategii. Obecne
rozporządzenie zawiera szereg luk skutecznie przyczyniających się do zmniejszania
poziomu cyberbezpieczeństwa. Warto wspomnieć jedynie, że:
- rozporządzenie nie nakłada żadnego obowiązku na
organizacje zamawiające nowe systemy informatyczne zapewniające, że będą one
spełniać jakiekolwiek wymagania bezpieczeństwa
- potężne niezgodności z rozporządzeniem nie są żądnym
problemem. Ponieważ wyniki przeprowadzanych audytów nie są brane pod uwagę w
ramach kontroli zarządczej, często są obiektem zainteresowania wyłącznie
audytora
- na audytorach zatrudnianych w jednostkach budżetowych często
wywierana jest presja by ukrywać negatywne obserwacje
- nie są wprowadzone żadne wymagania konieczne do spełnienia
przez audytorów wewnętrznych, w związku z czym zgodność potwierdzają osoby bez
jakiegokolwiek technicznego doświadczenia ponieważ zaoferowali najtańszą
usługę, kosztującą niekiedy dosłownie kilkaset/tysiąc PLN za organizację. Organizacje
budżetowe dosłownie wyrzucają te pieniądze w błoto, gdyż raporty nie wnoszą
żadnej wartości w pracę jednostki.
Tym samym dotykamy kolejnej luki w strategii - pominięcia
bardzo istotnej roli tych mniejszych jednostek w zapewnianiu cyberbezpieczeństwa
Państwa. Wspominają Państwo o ostatniej linii oporu, nie wolno zapominać o
pierwszej z nich. Oczywiście takich jednostek nie będzie stać na tworzenie
SOCów, niemniej ich codzienna praca powinna przynajmniej w znacznym stopniu
utrudniać działania cyberprzestępców. A gdy bezpieczeństwo w tych kilku tysiącach
mniejszych organizacji nie będzie zapewnione, 100 ekspertów naprawdę nie da
rady temu skutecznie zaradzić.
Istotnym działaniem prewencyjnym jest też samo
zabezpieczenie infrastruktury technicznej. Warto moim zdaniem wykonać ćwiczenia
polegające na policzeniu ile a administracji publicznej znajduje się serwerowni
i ile kosztuje ich utrzymanie. Pracując dla gmin/powiatów widziałem, że ich praca
jest powtarzalna - przebiega zgodnie ze standardowymi procesami opisanymi w
rozporządzeniach. Nie rozumiem dlaczego tego nie scentralizować?
Podobnie w administracji centralnej - poszczególne
ministerstwa posiadają swoje serwerownie. niektóre potężne (np. Ministerstwa Finansów
w Radomiu), posiadają spore wolne możliwości. Decyzja byłaby bardzo odważna,
ale może zamiast marnotrawić środki na budowę i utrzymanie centrów danych
poszczególnych jednostek, czas wreszcie rozważyć budowę chmury dedykowanej na
potrzeby administracji publicznej? Tylko w ten sposób widzę możliwość, by grupa
100 ekspertów mogła wnieść jakąś rzeczywistą wartość.
Wreszcie zabrakło mi w strategii cyberbezpieczeństwa
zwrócenia uwagi na tak istotny element jak Profil Zaufany, bez którego
bezpieczeństwa trudno wyobrazić sobie dalszy rozwój e-usług. Bezpieczne
uwierzytelnianie powinno stać się fundamentem dla cyberbezpieczeństwa Państwa.
Reasumując bardzo dobrze, że mają miejsce prace nad tym
zagadnieniem, wydaje mi się jednak, że skoncentrowanie się jedynie na ochronie
infrastruktury technicznej jest zbyt wąskie. Dokument ma pełnić rolę strategii
cyberbezpieczeństwa dla Rzeczypospolitej Polskiej, nie strategii ochrony
infrastruktury cybernetycznej. Cyberbezpieczeństwo to nie tylko sieci i
systemy, ale przede wszystkim sposób w jaki są one tworzone i wykorzystywane. Inaczej
strategia będzie mocno niekompletna.
Poniżej załączam jeszcze kilka bardziej operacyjnych uwag:
- cieszę się z propozycji stałego przeprowadzenia oceny
ryzyka. Warto jednak określić co będzie jej celem. widziałem wiele analiz
ryzyka, o których mogę powiedzieć tyle, że były. Wniosków z nic wyciągnąć się
nie dało żadnych.
- podczas procesu zwalczania cyberataku pominięto 2 etapy:
przed opracowaniem planu naprawczego warto rozpoznać bieżące możliwości
ograniczenia incydentu (enkapsulacja). Zabrakło też kluczowego elementu -
wyciągania wniosków z incydentów
- w kategoriach hierarchii zagrożeń reakcji zabrakło mi
wskazania istotności takich obszarów jak obronność i bezpieczeństwo publiczne,
żywność i administracja centralna.
