Po CyberGOV.PL Part 1

18.06 odbyła się bardzo ciekawa konferencja współorganizowana przez Ministerstwo Administracji i Cyfryzacji, dotycząca bezpieczeństwa skierowana, do podmiotów strefy „public” https://cybergov.pl/.
Pomysł organizacji konferencji dedykowanej do podmiotów finansów publicznych jest o tyle trafiony, że w odróżnieniu od firm, sektor publiczny poza tymi samymi zagrożeniami w sferze cyber(?)bezpieczeństwa jest jeszcze obarczony dodatkowymi obowiązkami wynikającymi m.in. z rozporządzenia dotyczącego Krajowych Ram Interoperacyjności (Dz.U. 2012 poz. 526 - http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526), oraz innych przepisów tzw. sektorowych a dodatkowo nie może podjąć decyzji o akceptacji ryzyka wynikającego z nieprzestrzegania przepisów.

Konferencje rozpoczął Minister Administracji i Cyfryzacji Andrzej Halicki wystąpieniem dotyczącym „Polityki ochrony cyberprzestrzeni RP” https://mac.gov.pl/aktualnosci/administracja-publiczna-stanela-przed-wyz... i niestety stan polityki ochrony cyberprzestrzeni o jakim mówił – rozczarowuje. Od przyjęcia przez Radę Ministrów w dniu 25 czerwca 2013r uchwały powołującej ten dokument do życia minęły dwa lata i chciałoby się zobaczyć już jakieś owoce owej polityki, lecz niestety efekty są mówiąc delikatnie „mizerne” ;-)
Minister wprawdzie zażartował, że liczy, iż następnym razem konferencja zgromadzi tylu pełnomocników ds. ochrony cyberprzestrzeni (aktualnie powołano ich raptem ok 100), że niezbędne będzie zorganizowanie spotkania nie w sali Londyn kompleksu konferencyjnego przy Stadionie Narodowym gdzie odbyła się konferencja, lecz na trybunach Stadionu Narodowego – ale – czy będziemy od tego bardziej bezpieczni ?
Słuchając słów prelegenta, na usta aż cisnęły się komentarze dotyczące dysproporcji z jednej strony coraz bardziej profesjonalnych grup przestępczych (nie wspominając wyspecjalizowanych jednostek wojskowych „niezbyt przyjaznych państw”) które wykorzystują coraz bardziej wyrafinowane narzędzia zarówno technologiczne jaki i ostatnio psychotechniczne a z drugiej strony pomysłu dotyczącego „cyberbezpieczeństwa” którego obraz obnażył ostatni raport Najwyższej Izby Kontroli z 2 lutego 2015 (Raport NIK o KRI z 2 lutego 2015 ... jest dobrze: ale nie w zakresie bezpieczeństwa … http://itsecurity24.info/?q=node/23 ) co pokazuje fragment raportu:

„Zdaniem NIK, stwierdzone nieprawidłowości mogą skutkować utratą dostępności, integralności i poufności informacji przetwarzanych w systemach informatycznych urzędów wykorzystywanych do elektronicznej komunikacji i świadczenia usług.”

A pamiętajmy, że NIK zbadał tylko 24 gminy.
Nie wspominając już o kontroli NIK dot. „Realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP - https://www.securitycasestudy.pl/wp-content/uploads/2014/12/SCS14-MBienk...

Analizując stan „cyberbezpieczeństwa” nasuwają się pytania czy na pewno kierunek wyznaczony przez MAiC przyniesie oczekiwane skutki których efektem ma być realne zwiększenie odporności jednostek finansów publicznych na zagrożenia płynące z powszechnego użytkowania narzędzi ICT oraz rozszerzenia dostępu poprzez sieć Internet do informacji zawartych w rejestrach publicznych? Dlaczego zamiast forsować „pełnomocników” nie rozszerzyć kompetencje Administratorów Bezpieczeństwa Informacji o kolejny element jakim byłoby „cyberbezpieczeństwo” ? Nowelizacja Ustawy o Ochronie Danych Osobowych „wywindowała” pozycję ABI’ego na „pierwszego po zarządzie”, dodatkowo „Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji” http://www.dziennikustaw.gov.pl/DU/2015/745 w sposób szczegółowo narzuciło wymóg przeprowadzania przez ABI’ego audytu wewnętrznego więc może warto ogłosić – szanowni ABI: macie czas aby w ciągu 5 lat uzupełnić kompetencje np. poprzez studia podyplomowe w zakresie „cyberbezpieczeństwa”, bo za 5 lat o ten zakres powiększymy waszą odpowiedzialność ?

Kolejne pytanie to jak uzyskać efekt synergii pomiędzy działaniami MAiC w zakresie „cybersecurity” które np. w zakresie „Planu działania w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP” przyjętego przez Zespół zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet Rady Ministrów ds. Cyfryzacji (na marginesie dlaczego tak trudno go znaleźć na stronach MAiC a jest dostępny na witrynie 5 tys. gminy Jakubów jakubow.pl/wp-content/uploads/2015/06/Plan-działań-w-zakresie-zapewnienia-bezp) – wyglądający na naprawdę bardzo dobrze przygotowany (m.in. szkolenia dla wszystkich pracowników instytucji z zakresu bezpieczeństwa teleinformatycznego), z innymi działaniami – np. z nadal dostępnym na stronach ENISA Rządowym Programem Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cybe... ?
Czy może jednak nie warto się zastanowić aby ze względu na kwestię związane z bezpieczeństwem nie byłby wskazany powrót kompetencji dotyczących cyberbezpieczeństwa pod skrzydła Ministerstwa Spraw Wewnętrznych ?

Kolejnym prelegentem konferencji – bo wbrew pozorom ona jest głównym tematem ;-) był Andreas Könen, Wiceprezydent BSI Bundesamt für Sicherheit in der Informationstechnik (Państwowe Biuro Bezpieczeństwa Informacji), który w wystąpieniu „Solidna struktura bezpeczeństwa” przedstawił model zarządzania bezpieczeństwem przez BSI. Po mimo wielokrotnie przekraczających nasze możliwości zasobów w postaci zarówno budżetu jaki ludzi odpowiedzialnych za „cyberbezpieczeństwo” i tam zdarzają się spektakularne wpadki. Warto jednak podkreślić, że BSI posada ogólnopaństwowe statystyki dotyczące incydentów.
I tu nasuwa się pytanie jak to jest z incydentami w Polsce ? Kto (MAiC ?) posiada kompleksową wiedzę na temat incydentów ? Są wprawdzie CERTY, jest ARRAKIS http://www.cert.gov.pl/cer/system-arakis-gov/310,System-ARAKIS-GOV.html, ale jak wygląda „problem obsługi incydentów” z poziomu gminy ? Chyba nie najlepiej analizując zastanawiające (w kontekście bezpieczeństwa) wyniki raportu MAiC http://itsecurity24.info/?q=node/8 a przypomnijmy raport ten dotyczy roku 2013. W roku 2014 MAiC „straciło zainteresowanie” analizą incydentów i w edycji raportu „Wpływ cyfryzacji na działanie urzędów administracji publicznej w Polsce w 2014 r.” nie znalazłem informacji dotyczącej stwierdzonych incydentów. A szkoda. Bo incydenty wbrew pozorom mogą być mechanizmem zwiększającym ochronę – jednakże pod warunkiem, że zostanie stworzony system który działa niczym układ odpornościowy organizmu. Niestety obserwacje stanu faktycznego skłaniają do stwierdzenia, że w naszych instytucjach jest wręcz odwrotnie, ba działa wręcz mechanizm autocenzury, mechanizm ukrywania incydentów zamiast wymiany informacji o incydentach pomiędzy organizacjami który umożliwiłby ograniczenie eskalacji zagrożeń.

Niezwykle interesujące było wystąpienie Davida Wallace, Pierwszego Sekretarza, szef sekcji Politycznej Ambasady Brytyjska w Warszawie „Bezpieczeństwo oparte na zaufaniu czyli brytyjski model cyberbezpieczeństwa” który nakreślił struktury odpowiedzialne za zapewnienie ochrony „cyberprzestrzeni” jakie funkcjonują w Wielkiej Brytanii. Może warto wnikliwie im się przyjrzeć i przeanalizować na ile możliwa jest ich implementacja w Polsce? Brytyjczycy mają przecież niezwykła umiejętność standaryzowania dobrych rozwiązań czego najlepszym przykładem jest ITIL czy PRINCE2.

W "następnym slocie” konferencji odbyła się „Debata Strategiczna” p.t. „Organizacja systemu bezpieczeństwa ICT w sektorze publicznym w Polsce” w której wzięli udział przedstawiciele CERT’ów (MIL-CER, Orange Polska, MAC, CERT Polska, POL-CERT i CERT.GOV.PL). Podczas debaty przedstawiciele CERT’ów przedstawili co mogą a czego nie mogą w zakresie poprawy „cyberbezpieczeństwa”. Podstawowym problemem CERT’ów są jak zwykle – zasoby ludzkie które uniemożliwiają płynną obsługę wszystkich zgłoszeń. Niestety przedstawiciele CERT’ów potwierdzili obserwacje autora o dość słabym poziomie dotyczącym wykrywania incydentów – gdyż to najczęściej instytucje dowiadują się od CERTu, że mają incydent – a nie instytucje powiadamiają CERT …
Warto podkreślić słowa przedstawiciela CERTu Orange Polska, że żaden CERT nie obroni przed atakiem ukierunkowanym. Jak również to, że certy nie odpowiadają za bezpieczeństwo instytucji – to instytucje muszą zbudować systemy bezpieczeństwa.
Rekomendacją po debacie byłoby powoływanie CERT’ów w instytucjach finansów publicznych, jednakże nie na zasadzie jak z „pełno-mocnikami” w każdej gminie, ale może na zasadzie centów usług wspólnych których budowanie należało by zacząć już na szczeblu województw. No i najważniejsze – niezbędne są drożne i znane kanały komunikacji – tak aby wypracować powszechnie znany „112”w przypadku incydentów bezpieczeństwa teleinformatycznego.

Drugą część konferencji zamknęła Jennifer Byrne, Chief Security Officer for the Worldwide Public Sector division at Microsoft prezentując co robi Microsoft dla bezpieczeństwa instytucji sektora publicznego. A robi wbrew ogólnej niechęci dla monopolisty – całkiem sporo – czego efekt przełożony na realia w postaci programu SCP (Security Cooperation Program), którego jednym z elementów jest podnoszenie świadomości społecznej w zakresie bezpieczeństwa, informowanie o zagrożeniach w zakresie bezpieczeństwa teleinformatycznego oraz proaktywne przeciwdziałanie zagrożeniom – czego praktyczne i konkretne przykłady można zobaczyć chociażby na http://www.cert.gov.pl/cer/wiadomosci/wiadomosci-ogolne/733,Przewodnik-Z...

Od tej części konferencji rozpoczął się „horror” dla każdego uczestnika który chciałby wziąć udział we wszystkich interesujących go prezentacjach, gdyż konferencja została podzielona na dwie sesje równoległe menadżerską techniczną. Cóż nie pozostało nic innego jak „skakać” pomiędzy salami, dlatego też relacja od tego momentu jest już jak najbardziej wybiórcza ze względu na niemożliwość uczestniczenia we wszystkich wystąpieniach.
Rozpocząłem od przyjrzenia się wynikom z ankiety przeprowadzonej przez MAC wśród pełnomocników ds. ochrony cyberprzestrzeni. Wyniki ankiety przesłanej do owych 100 „odważnych” z których odpowiedziało 56 referowała Anna Podgórska-Buompane z MAiC. Cóż wyniki ankiety nie napawają optymizmem w szczególności w zakresie zadeklarowanego wykształcenia :-( . Pełnomocnicy mają tego świadomość zgłaszając potrzebę przede wszystkim szkoleń. Ciekawą informacją było to, że 27 urzędów zadeklarowało, iż posiada zespół CERT.

Zaplanowany i zrealizowany krótki czas dotyczący ankiety umożliwił mi częściowe uczestnictwo w równoległej sesji i wysłuchania fragmentu prezentacji Artur Barankiewicza z Orange Polska który w tej części opowiadał o stworzeniu przez Orange Polska zespołu Analiz i Strategii Bezpieczeństwa. Ważne przy tworzeniu takiego zespołu poza oczywiście kompetencjami (najważniejsze) są rzeczy z goła trywialne gdyż organizacyjne – aby stworzyć jedno stanowisko do zapewnienia ciągłości nadzoru w trybie 24/7/365 zgodnie z naszymi przepisami dotyczącymi prawa pracy niezbędne jest zaangażowanie … 6 (!) etatów. A z drugiej strony atakują automaty które zgodnie z doświadczeniem stworzonego zespołu – po „wystawieniu” komputera do publicznej sieci automatyczne skanowanie podatności następuje od 3 do 15 sekund.

Kolejne wystąpienie pod tytułem „Właściwe komunikowanie o potrzebach kierownictwu” niestety rozczarowało. Przedstawiciel Departamentu Bezpieczeństwa i Ochrony Informacji Ministerstwa Finansów omówił tylko strukturę organizacyjną Departamentu. Po mimo pytań z Sali dotyczących kluczowej sprawy jakim jest jakże trudny problem właściwej komunikacji w zakresie bezpieczeństwa, głównego tematu nawet „nie musnął”.

Michał Jaworski z Microsoft Polska przedstawił propozycję Microsoft dotyczącą trudnego tematu partnerstwa publiczno-prywatnego w zakresie cyberbezpieczeństwa. Było to niejako uzupełnienie wystąpienia Jennifer Byrne będące ofertą wspólnych działań Microsoft Polska i sektora public. Realnie oceniając Microsoft, ze względu na swój monopol technologiczny w wielu obszarach wykorzystywanego w urzędach oprogramowania jest naturalnym partnerem do rozmów, dobrze więc, że pojawiają się takie inicjatywy zawsze jednak należy pamiętać o zagrożeniu „vendor-lock”.

Ze względu na zazębiające się wydarzenia udało i się również wysłuchać fragmentu prezentacji Ewy Śniechowskiej z Palo Alto Networks która m.in. proponowała zmianę paradygmatu ochrony opartej na filtrowaniu ruchu na firewall’u będącym granicą pomiędzy siecią zewnętrzną i wewnętrzną na model w którym cały ruch sieciowy również ten generowany przez urządzenia wewnątrz sieci był filtrowany i analizowany pod kątem odchyleń które wskazywałyby na możliwość ruchu „nieautoryzowanego”.

Przemysław Krejza reprezentujący „Stowarzyszenie Instytut Informatyki Śledczej” w prezentacji „Jak być przygotowanym” przedstawił wytyczne do zbudowania Security Operations Center które są oparte o normę ISO27035 https://webstore.iec.ch/preview/info_isoiec27035%7Bed1.0%7Den.pdf jak również doświadczenia wynikające z dziedziny jaką jest informatyka śledcza. Podzielił się również wynikami badań Ponemon Institute, według których 78% ataków jest odkrywanych po … kilku miesiącach :-(

W kolejnej prezentacji Paweł Krawczyk realizujący projekty dla brytyjskiego sektora public, przedstawił doświadczenia wynikające z regulacji obowiązujących na tym rynku. Bardzo ciekawy jest model w którym organizacje chcące współpracować z sektorem public podlegają certyfikacji dzięki czemu postał katalog dostawców który w znacznym stopniu ułatwia wyłonienie zaufanych firm. Katalog jest oczywiście otwarty więc każdy podmiot może poddać się certyfikacji uprawniającej do realizacji zamówień. Model brytyjski zakłada również koordynacje w zakresie bezpieczeństwa projektów informatycznych na szczeblu centralnym – która objawia się wręcz przyporządkowaniem „opiekuna” do każdego projektu.

Trzecią część zakończył Maciej Gawroński, Partner, Bird & Bird LLP prezentując przekrojowo kwestię odpowiedzialności osób odpowiedzialnych za ogólnie pojęte „cyberbezpieczeństwa”. A jest się na czym pochylić, czego nie zawsze mają świadomość osoby odpowiedzialne na co dzień za ITC „zagrzebane pod stertami” zgłoszeń od „uży-szkodników”. Pamiętajmy – odpowiedzialność dotyczy szczególnej staranności za wykonywaną pracę.

Czwarta część to tzw. „sesja roundtables” której celem jest wymiana opinii i doświadczeń uczestników sesji na zadany temat. Model jest świetny, angażuje zarówno prowadzącego (moderatora) dyskusji jak i przede wszystkim uczestników. Miałem przyjemność dyskutować przy stoliku z dyskusją o przewrotnym tytule „Krajowe Ramy Interoperacyjności – czy ktoś jeszcze ich potrzebuje” oraz moderować temat „Wdrażanie ISO 27001 w warunkach urzędu”. Ponieważ sesje stolikowe były niezwykle ciekawe i owocne w przemyślenia – zapraszam do drugiej części relacji która ukaże się … wkrótce.

Podsumowując, konferencje, która zgromadziła ok 250 uczestników należy ocenić bardzo pozytywnie, zarówno merytorycznie, jak i organizacyjnie, za co gratulacje należą się firmie Evention - http://evention.pl/

Oczywiście ze względu na brak umiejętności bilokacji nie byłem w stanie uczestniczyć we wszystkich wydarzeniach, w związku z powyższym moja ocena jest oczywiście niepełna oraz jak najbardziej subiektywna.

__________________________________________________________
Foto https://pixabay.com/en/access-data-password-mask-matrix-694542/
License: CC0 Public Domain