Raport: Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny

Warto poświęcić trochę dłuższą chwilę (70 stron) na lekturę wszechstronnego materiału opracowanego przez Instytut Kościuszkowski we współpracy m.in. WAT oraz EY http://ik.org.pl/pl/publikacja/nr/9284/Bezpiecze%C5%84stwo-infrastruktur... http://ik.org.pl/cms/wp-content/uploads/2014/11/RAPORT_Infrastruktura-kr...

Żyjemy w świecie w którym niepostrzeżenie zmieniają się systemy sterowania otaczających nas systemów z mechanicznych/hydraulicznych na teleinformatyczne co niestety często wiąże się z pogorszeniem ich niezawodności … a równocześnie:

Działania w cyberprzestrzeni cechują między innymi relatywnie niskie koszty przygotowania i przeprowadzenia ataku przy jednoczesnym dużym potencjale zadania poważnych strat stronie zaatakowanej. Dodatkowym „atutem” jest trudność wykrycia sprawcy i udowodnienia mu winy, skutkująca zarówno jego względnym bezpieczeństwem, rozumianym jako możliwość uniknięcia działań odwetowych, ale i szeroko pojętej odpowiedzialności. Potencjalna dotkliwość strat, łatwość dokonania ataku i przerzucenia odpowiedzialności sprawia, że cyberataki skierowane na IK mogą stać się kluczową bronią w rękach państw, ale także podmiotów niepaństwowych.

Niby raport nie wnosi żadnych nowinek … ale myślę ze warto aby taki opracowania „bombardowały” biurka decydentów dla których najważniejsze są koszty i wygoda użytkowania (to trudne ale możliwe „Bezpieczeństwo IT a ekonomia” http://www.pti.org.pl/index.php/struktura_folderow_publikacji_na_witryni... )
Biorąc jednak pod uwagę decydentów jako odbiorców zalecałbym przesunięcie rozdziału „Czynniki wpływające na bezpieczeństwo i rekomendacje” na początek opracowania, bo … ci czytelnicy do końca mogą nie dotrwać ;-)

Niezwykle interesujący jest rozdział omawiający z reagowaniem na incydenty na podstawie amerykańskiego rynku telekomunikacyjnego.
Ale … jak wygląda kwestia analizy incydentów w naszym pięknym kraju nad Wisłą ???
Z jednej strony …. mamy CERT'y oraz system ARAKIS http://arakis.cert.pl/pl/index.html ale z drugiej strony … mamy Zastanawiające (w kontekście bezpieczeństwa) wyniki raportu MAiC - patrz - http://www.itsecurity24.info/?q=node/8
Czyli jak jest z rejestrowaniem u nas incydentów ? Myślę, że nie najlepiej. Częściową odpowiedź na to powinien dać projekt badania stanu wdrożenia w administracji publicznej wymogów wynikających z Rozporządzenia o Krajowych Ramach Interoperacyjności http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526 – ale o tym wkrótce jak spłyną ankiety i opracujemy z raport.
Wstępnie jednak da się zauważyć wstrzemięźliwość przed zgłaszaniem incydentów. Myślę, że wynika to z bariery psychologicznej połączonej ze swoistym lękiem przed karą. Mechanizm ten doskonale widać podczas audytów które traktowane są jako zagrożenie połączone z kompletnym brakiem zrozumienia decydentów, iż audyt ma na celu nie tyle ocenę + znalezienie powodów do kary lecz doskonalenie organizacji. Tym bardziej ujawniony incydent jest powodem do znalezienia i ukarania winnego a nie punktem w którym organizacja powinna pochylić się doskonaleniem mechanizmów obronnych.

Najbardziej cennym elementem opracowania jest … Aneks
W tabeli nr 1 znajdującej się w Aneksie nr 1 przedstawiono ramowe podejście do ochrony IK zgodnie z metodyką dla podnoszenia bezpieczeństwa systemów ICS („Framework for Improving Critical Infrastructure Cybersecurity”) http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214... wydaną przez amerykańską agencję NIST (NIST – ang. National Institute of Standard and Technology) w lutym 2014 r. W kolumnie „Odnośniki informacyjne” przytoczono odpowiadające danemu zagadnieniu standardy bezpieczeństwa ICT oraz ICS.

Tabela zawiera odwołania do znanych (czy na pewno ?) norm ISO jak również raczej mniej/nie znanych standardów NIST oraz COBIT 5 stworzonych przez ISACA http://www.isaca.org/cobit/pages/default.aspx

Przydała by się dodatkowa kolumna która odnosi się do naszych rodzimych … aktów prawnych. Zapewne byłoby w tej kolumnie wiele białych plam ale z drugiej strony … byłby potencjał do doskonalenia ;-)

Brak mi rozdziału poświęconego analizie ryzyk jako podstawy do zarządzania bezpieczeństwem ...

Podsumowując

Na bazie tych właśnie zmian, wyróżnione zostały cztery główne grupy zagrożeń, którym należy przeciwdziałać. Odnoszą się one do niskiej świadomości zagrożeń i ryzyka w zakresie teleinformatycznym IT i OT; są związane z problematyką zmiany, dalej z upowszechnieniem się technologii i jej ogólnodostępnością, ekonomicznymi kalkulacjami prowadzącymi do obniżania wydatków na bezpieczeństwo, w końcu są związane z wyzwaniem jakie wprowadzają rozwiązania teleinformatyczne same w sobie.

Nic dodać nic ująć