IVRP.pl Strona Główna IVRP.pl
polityka - militaria - kultura - podróże

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  DownloadDownload

Poprzedni temat «» Następny temat
Cyberbezpieczeństwo - czy jego pozory?
Autor Wiadomość
Black^Widow 
Oberfeld-Hebel


Pomógł: 3 razy
Dołączył: 28 Wrz 2006
Posty: 4508
Skąd: DC (District Cracovia)
Wysłany: Pon 26 Mar, 2018 19:51   Cyberbezpieczeństwo - czy jego pozory?

Ustawa o cyberbezpieczeństwie to jedna z najbardziej przenoszonych w czasach rządu PiS-Koalicji Prawicy ustaw. Wydawać by się mogło że - jest t odziałanie słuszne - nic bowiem nie jest tak istotne jak mądre, wnikliwe i niezwykle wielowarstwowe (wielokierunkowe) przemyślenie podwalin dla tego typu aktów prawnych, ponieważ potem na ich podstawie będą powoływane do życia służby, siły i rozwiązania które w rzeczywisty sposób decydują na naszym narodowym poziomie bezpieczeństwa. Tak niezwykle ważnego, w dzisiejszych czasach i sytuacji geopoltycznej , kto wie czy nie najważniejszego. I nie sposób tutaj nie pochwalić działań obecnego rządu - tak chwałą że podjął to wyzwanie, deklarujac ponad dwa lata temu że zamierza kompletnie przebudować, a właściwie to - zbudować od podstaw nasze polskie bezpieczeństwo cybernetyczne. To bardzo ważna deklaracja wolitywna.

Jednak im dalej w las tym więcej drzew. Kiedy wraz z biegiem czasu przygladaliśmy (my obywatele oraz my zajmujacy się bezpieczeństwem na swoich odcinkach) się kształtowi powstającej Ustawy - parzyliśmy na prace legislacyjne z coraz większym dystansem oraz powiem wprost obawami. Żeby teraz nie być gołosłownym a z drugiej strony ując ten wpis w jakieś ramy pozwolę sobie zacytować kilku ekspertów branżowych :

fragmenty:
niebezpiecznik.pl napisał/a:

Kasy na cyberbezpieczeństwo w Polsce nie będzie, powiedziało Ministerstwo Finansów
Autor: Marcin Maj

Polska nie ma obecnie czegoś takiego jak “system cyberbezpieczeństwa”. Ustawa, która ma go stworzyć, od początku powstaje opornie, ale nawet po jej uchwaleniu nie będzie łatwo. Trzeba będzie stworzyć nowe struktury, a resort finansów nie widzi potrzeby dawania nowych pieniędzy.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa powstawała w mękach i w bólach jeszcze zanim zdymisjonowano Annę Streżyńską. Teraz Ministerstwo Cyfryzacji istnieje raczej w formie przetrwalnikowej i praktycznie nie ma polityka, którego można uznać za silnego przywódcę polskiej informatyzacji. Ustawa o cyberbezpieczeństwie jest raczej ważna, ale od początku powstawała w klimacie konfliktu na linii MC-MON, a teraz dodatkowe problemy chce dorzucić Ministerstwo Finansów.
Róbcie sobie cybery, byle nikt nie prosił o kasę!

Obecnie projekt o Krajowym Systemie Cyberbezpieczeństwa jest na etapie Komitetu ds. Europejskiej Rady Ministrów. I właśnie na tym etapie Ministerstwo Finansów przedstawiło uwagi, w których czytamy…

Cytat:
Należałoby podjąć działania aby koszty potrzebne na realizację zadań wynikających z wprowadzonych regulacji zostały sfinansowane w ramach limitu wydatków dla części 16 – KPRM i nie stanowiły podstawy do ubiegania się o dodatkowe środki z budżetu państwa na ten cel w roku bieżącym, jak i w kolejnych latach budżetowych.


Czyli według MF może sobie być bezpieczniej, ale nie może być drożej. Celowo zastosowaliśmy pogrubienie i podkreślenie. Zauważcie, że MF nie chce tylko uniknąć wydawania nowych środków. Ono nie chce nawet tworzenia podstaw do tego, by ktoś mógł się o te środki później ubiegać.

Tutaj moja osobista uwaga - prosze sobie porównac sytuacje w innych, wiodacych w cyberbezpieczeństwie krajów jak GB, USA Izrael itd ... kótre potrafią przeznaczyc nakłady wielomiliardowe (część nie została nigdy opublikowana ani oszacowana nawet) na budowę (fizyczna) nowych Jednostek Naukowo-wojskowych tkaich jak kampusy uniwersyteckie, instytuty badawczo-rozwojowe itp - oraz zatrudnienie w nich specjalnie wyselekcjonowanych ludzi tworzących rozmaite task-forces zajmujące się z jednej strony cyberochroną obiektów i systemów rządowych a z drugiej rozpracowywaniem i łamaniem zabezpieczeń podobnych systemów w innych krajach. O zespołach ściśle dedykownaych do wykonania konkretnych misji/akcji w stylu stux-net już nie wspomnę.
niebezpiecznik.pl napisał/a:

Policja i Straż graniczna również mają podjąć nowe działania “w ramach budżetów” i “bez konieczności ich dodatkowego zwiększania”. Zadania CSIRT-u przy MON mają być finansowane w ramach określonych wydatków obronnych, ale “nie powinny stanowić podstawy do ubiegania się o dodatkowe środki”. Najogólniej rzecz ujmując MF ma dwa rodzaje uwag do ustawy. Albo chce doprecyzowania skąd będą brane pieniądze (co jest zrozumiałe) albo chce zapewnień, że nie trzeba będzie uruchamiać żadnych dodatkowych środków (co może być zrozumiałe z perspektywy ministerstwa, ale chyba każdy zdaje sobie sprawę, że tworzenie nowych grup eksperckich wymaga nakładów finansowych). Czy na bezpieczeństwie należy oszczędzać? Zwłaszcza, kiedy różne kraje atakują inne kraje poprzez internet, paraliżując ich działanie poza internetem?
Pieniędzy nie ma nawet na podstawy systemu

O pracach nad ustawą rozmawialiśmy z pewnym ekspertem od bezpieczeństwa zbliżonym do sprawy. Czy jego zdaniem można zbudować w Polsce nową jakość cyberbezpieczeństwa bez wykładania pieniędzy?

Pieniędzy w budżecie nie ma nawet na podstawowe rzeczy, które wpisano w ustawę. Choć od dwóch lat nie jest tajemnicą, że termin jej wprowadzenia upływa w maju b.r. (jest to wymuszone terminem implementacji tzw. dyrektywy NIS) i MC jasno komunikowało konieczność zabezpieczenia środków na ten cel. Ulubioną mantrą MF jest najwyraźniej “zadania nie powinny stanowić podstawy do ubiegania się o dodatkowe środki”. Postawmy sprawę jasno – dotyczy to finansowania instytucji, które mają zadbać m.in. o analizę zagrożeń, reagowanie na poważne incydenty i ocenę ryzyka dla systemów wykorzystywanych do świadczenia kluczowych usług. Jak wiadomo administracja rządowa nie ma problemu z zatrudnieniem fachowców od bezpieczeństwa IT, więc bez problemu zarówno MON i ABW jak i potencjalnie kilka innych ministerstw – choćby energetyka czy transport – wygospodarują w ramach swoich środków dodatkowe kilkanaście czy kilkadziesiąt etatów dla wysoko wykwalifikowanych specjalistów, których na rynku jest przecież mnóstwo.

Trzeba tu zaznaczyć, że MF chętnie oddałoby kwestie bezpieczeństwa MON-owi, bo do niego trafiają duże pieniądze. Co na to ekspert?

Swoistym kuriozum jest zresztą propozycja MF aby cała koordynacja cyberbezpieczeństwa kraju trafiła pod MON (…) Jest to mantra będąca już wcześniej jedną z osi konfliktu na linii MON-MC. Podobnie można by argumentować, że pod MON należy włączyć cywilny wywiad, Straż Graniczną, Policję czy choćby TOPR – przecież wszyscy zajmują się bezpieczeństwem.

Tymczasem Ministerstwo Energii już oszacowało, że konieczne będzie utworzenie co najmniej 8 nowych stanowisk pracy w Ministerstwie Energii (zamiast proponowanych w projekcie 4 stanowisk). Ministerstwo Energii wspomina też o “planowanym do utworzenia sektorowym zespole cyberbezpieczeństwa „Energia”.[...]

W dalszej częsci naszpikowanego dokumentami (trescią samej Ustawy, dokumentów rządowych itp) artykułu możemy przeczytać jak wszechobecny zdaje się nasz pollski zmysł bałaganu i jednak trochę prywaty (bo niemal każde z ministerstw uważa się z najistotniejsze by o cyberbezpieczeństwie decydować (a przynajmniej próbować) - powoduje ze z horyzontu znikają najistotniejsze w tej sprawie kwestie (merytoryczne) a ich rolę-miejsce zastępują dziesiątki nic nie wnoszących papierków, które w teorii mówią "jak dobrze jest" ale w praktyce nie robią dosłownie nic. Ani do niczego - do żadnego działania - nikogo nie zmuszają
Oddaję znowu głos autorowi :

Cytat:
Tutaj znów oddajmy głos anonimowemu ekspertowi.

Ustawa powstaje od blisko dwóch lat w Ministerstwie Cyfryzacji i od początku starano się uświadomić innym resortom, że będą miały jakieś role i zachęcić je do udziału w konsultacjach. Nikogo to nie interesowało (poza MON i koordynatorem służb – to oddzielny temat i jego pokłosie znalazło się w projekcie :) ). Nagle, gdy projekt znalazł się w oficjalnym obiegu konsultacji, włączyło się typowe polskie myślenie typu “Mój resort jest wyjątkowy i najważniejszy, więc to ja będę koordynował cyberbezpieczeństwo w swoim sektorze. Na co mi jakieś tam inne CSIRTy, nie takie rzeczy robiłem ze szwagrem.” Z oczywistych względów, ani MON, ani CSIRT rządowy nie zrezygnują ze swoich zadań i obowiązku raportowania im incydentów więc potencjalnie powstanie bizantyjska struktura, w której każdy będzie robił na papierze wszystko (czyli w rzeczywistości nic). Potencjalnie, bo projektowana ustawa nie tworzy “sektorowych zespołów bezpieczeństwa”, a jedynie daje taką możliwość resortom na ich wyraźne żądanie.

Ekspert zwrócił uwagę, że ten sam problem ujawnia się w kwestiach o wiele prostszych, takich jak choćby ujednolicenie stron rządowych.

To “polskie piekiełko” i brak możliwości elementarnego porozumienia się co do koordynacji zadań bardzo dobrze ilustruje stan sieci i infrastruktury IT polskiej administracji rządowej. Każdy resort i urząd państwowy zatrudnia swoich administratorów, ma swoją witrynę, pocztę itp. Wszelkie próby scentralizowania serwisów są skutecznie sabotowane, choć w wielu krajach skutecznie udało się to zrobić z korzyścią zarówno dla funkcjonowania i budżetów urzędów, jak i dla czytelności z punktu widzenia obywatela. Teraz analogicznie w obszarze “cyber” idziemy w kierunku udzielnych księstw zamiast efektywnego i sprawnego działania.

Niełatwa droga do ustawy

Do tego wszystkiego dochodzi masa innych problemów, które ciągle są dyskutowane np. kwestia zgodności przetwarzania danych osobowych z RODO przez podmioty wymienione w ustawie. Jeśli spojrzymy na liczbę i charakter uwag to szybko dojdziemy do wniosku, że prace nad tą ustawą są trudne. Oczywiście zdajemy sobie sprawę, że ustawa nie została przyjęta przez Radę Ministrów, a po drodze do wejścia w życie jest jeszcze Sejm i Senat. Zwykle jednak ustawy tak techniczne niezbyt angażują posłów i potrafią przejść przez obie izby niemal niezauważenie. Dlatego to co zostanie wypracowane przed przyjęciem przez Radę Ministrów będzie miało duże znaczenie.

Jeśli ustawa w wielu miejscach ma zawierać zastrzeżenia, że nikt nie może nawet wnioskować o dodatkowe środki to przy wszystkich koniecznych zmianach instytucjonalnych można wątpić, czy nasze Cyberbezpieczeństwo będzie właściwie finansowane.

Dlatego lepiej myślcie jak samemu się zabezpieczyć, bo w mętliku niedofinansowanych sektorowych CSIRT-ów może być ciężko o fachową pomoc.
Będziesz musiał liczyć na siebie…


Na koniec tego, niezbyt optymistycznego podsumowania stanu polskiej rządowej myśli o bezpieczeństwie narodowym w cyberprzestrzeni - autor zapala jednak nikłe (Bo nikłe) ale swiatełko nadziei :

Cytat:

Możliwości samodzielnego “zmniejszania (cyber)ryzyka do akceptowalnego poziomu” jest kilka i nie zawsze oznacza to inwestycję w nowy sprzęt. Bo bezpieczeństwo to proces, nie produkt. Nie da się kupić 5 kilo nowego firewalla i mieć spokój na 3 lata. Dobry sprzęt oczywiście warto mieć, ale przede wszystkim potrzebni są wykwalifikowani, regularnie szkoleni ludzie — i to nie tylko sami techniczni profesjonaliści, ale także zwykli pracownicy, którzy nie klikają w co popadnie, bo wiedzą jakimi konsekwencjami dla firmy i dla ich życia prywatnego może to grozić. Powtarzamy to i pokazujemy na żywo od 8 lat na naszych szkoleniach zarówno dla administratorów sieci, programistów jak i bezpieczników tropiących incydenty w firmie i walczących ze złośliwym oprogramowaniem.

Oto sugerowane przez nas stanowiska, jakie powinny znajdować się w każdej firmie poważnie myślącej o bezpieczeństwie IT wraz ze szkoleniami, jakie obowiązkowo powinni przejść w ramach tych kompetencji:

Administrator sieci i systemów Linuksowych powinien wiedzieć jak zabezpieczyć styk sieci przed atakami oraz jak wykrywać zagrożenia pochodzące od użytkowników wewnątrz sieci. Musi wiedzieć jak poprawnie sieć monitorować i na ile sposobów ktoś może ją zaatakować (oraz gdzie szukać śladów ataku). Oraz ja kto wszystko ogarnąć proceduralnie. Tę wiedzę przekazuje w ramach praktycznych nasze szkolenie pt. Bezpieczeństwo Sieci Komputerowych (testy penetracyjne), które w 85% składa się z praktycznych labów, gdzie uczestnik atakuje i zabezpiecza różne serwery.
Administrator systemu Windows, jeśli firma korzysta z domeny. Taki administrator powinien wiedzieć jak bez dodatkowych kosztów, samymi mechanizmami już wbudowanymi w Windows można znacznie podnieść bezpieczeństwo tych systemów. A można. Znacznie. I za darmo. Na naszym szkoleniu pt. Bezpieczeństwo Systemów Windows tę wiedzę przekazuje wieloletni administrator sieci bankowych.
Programista, bo kluczowe jest pisanie bezpiecznych aplikacji. To jakich błędów nie popełniać i czym mogą one skutkować, a także z jakich narzędzi automatycznych można skorzystać aby samodzielnie badać bezpieczeństwo własnych aplikacji pokazujemy w ramach szkolenia Atakowanie i Ochrona Webaplikacji. Zapraszamy na nie również QA-ów.
Analityk złośliwego oprogramowania (często kompetencja już obecnego w firmie Programisty albo Administratora Sieci). Ponieważ codziennie pracownicy otrzymują e-mailem nowe złośliwe załączniki i niekiedy w nie klikają, trzeba posiadać podstawowe umiejętności szybkiej analizy malware, która odpowie na pytanie: czy ten plik jest złośliwy, jeśli tak, czy został użyty w masowym ataku czy w ataku ukierunkowanym tylko na naszą firmę, a jeśli to drugie, to jak on konkretnie działa i co robi. Odpowiedzi na te pytania są obowiązkowe, bo pozwalają podjąć odpowiednie kroki, które usuną zagrożenie z zainfekowanych systemów. To jak szybko i łatwo analizować złośliwe oprogramowania za pomocą kilkudziesięciu użytecznych narzędzi pokazujemy na szkoleniu z Analizy Malware.
Informatyk Śledczy (często kompetencja już obecnego w firmie Administratora Sieci). Taka osoba jest potrzebna aby mogła nie tylko zabezpieczyć cyfrowe ślady incydentu do postępowania przed sądem, ale również była w stanie poprawnie wykonać samodzielną analizę incydentu która odpowie na pytania co dokładnie się stało, co próbowano ukraść albo skasować i czy winny jest pracownik, czy atakujący z zewnątrz? por. . Tych kompetencji uczymy na szkoleniu Informatyka Śledcza (techniki służb), które jest prowadzone przez biegłego sądowego z wieloletnim doświadczeniem i najlepiej wyposażonym w Polsce laboratorium do analizy “IT Forensics”, który pracował przy największych polskich sprawach, gdzie zabezpieczano komputery i urządzenia mobilne przestępców.

Wszystkie szkolenia realizujemy regularnie w Warszawie, Krakowie a niekiedy także we Wrocławiu i Gdańsku. Listę najbliższych terminów powyższych szkoleń znajdziecie tutaj. Jeśli na któreś z powyższych szkoleń zapiszecie się do piątku, to podajcie podczas zapisu w polu uwagi hasło “cyberustawa bez cyberpieniędzy“, udzielimy wam 133,37 PLN rabatu. Rabat można w całości przekazać na dofinansowanie wybranego CSIRT-u, którego Ministerstwo Finansów pozbawi funduszy ;)

Mnie osobiście - szczególnie spodobało się na zakończenie (poza ewidentną reklamą natywnych szkoleń- skąd innad o wysokim poziomie merytorycznym) stwierdzenie:
Cytat:
podajcie podczas zapisu w polu uwagi hasło “cyberustawa bez cyberpieniędzy“, udzielimy wam 133,37 PLN rabatu. Rabat można w całości przekazać na dofinansowanie wybranego CSIRT-u, którego Ministerstwo Finansów pozbawi funduszy ;)

Cóż skoro nie da sie porozumieć - z (od)czynnikami decydenckimi normalnie - mozna próbować trafić humorem...

link do całości artykułu - oraz bezcennych, często, komentarzy (szczególnie tych z branzy)
https://niebezpiecznik.pl/post/16686/
_________________
po apelu policji skruszeni hakerzy odesłali skradzioną bazę mailem
 
 
delwin
członek zarządu organizacji powiatowej

Dołączył: 17 Lut 2007
Posty: 1016
Wysłany: Wto 27 Mar, 2018 21:28   

Na razie jest planowany papier - taki sobie skądinąd. Bez kasy jest bezużyteczny. Paradoksalnie dużo można zrobić bez inwestycji w sprzęt czy oprogramowanie a tylko poprzez wykorzystanie już posiadanych narzędzi. Wymagałoby to jednak masowego szkolenia w administracji publicznej o co jest trudno. Poziom cyberbezpieczeństwa w znanych mi kilku instytucjach jest żenujący. Pamiętam, że kiedyś "bezkosztowo" po znajomości pomagałem koledze jaki zorientował się po objęciu kierowniczego stanowiska w pewnym urzędzie jaki ma bajzel a coś mu świtało, że tak nie powinno być. Najbardziej mnie śmieszyło kiedy on korzystając z notatek ode mnie tłumaczył informatykom, że nie może być tak aby zostawiać w pełni działające porty USB na każdym stanowisku i że nie może być tak, że wszyscy użytkownicy logują się ten sam login i hasło...

A z punktu widzenia militarnego to cyberzagrożenia są na pierwszym miejscu - są groźniejsze (bo dużo bardziej prawdopodobne) niż atak Iskanderami...
 
 
Black^Widow 
Oberfeld-Hebel


Pomógł: 3 razy
Dołączył: 28 Wrz 2006
Posty: 4508
Skąd: DC (District Cracovia)
Wysłany: Czw 29 Mar, 2018 14:44   

delwin napisał/a:
Paradoksalnie dużo można zrobić bez inwestycji w sprzęt czy oprogramowanie a tylko poprzez wykorzystanie już posiadanych narzędzi. Wymagałoby to jednak masowego szkolenia w administracji publicznej o co jest trudno.
No nie tak całiem bez kasy - trzeba pamietać że nikt nie robi (Z reguły) nic za darmo, a szkolenia - w tym te naprawdę merytoryczne - swoje kosztują.. Poza tym, jak to można ładnie odmalować na pewnym obrazku, kiedy paniusie z sekretariatu (tajnego) na szkoleniu z security i bezpieczeństwa przesyłu danych, niejawnych, przyklejają sobie do monitorów w pracowni ogólnodostępnej hasła do systemu treningowego "na jutro, żeby nie zapomnieć" ...
Fantazja ? Ależ skąd,czysta praxis ... :)

Cytat:
Najbardziej mnie śmieszyło kiedy on korzystając z notatek ode mnie tłumaczył informatykom, że nie może być tak aby zostawiać w pełni działające porty USB na każdym stanowisku i że nie może być tak, że wszyscy użytkownicy logują się ten sam login i hasło...

:) OJ, poruszyłeś prawdziwy temat rzekę .... I to o długości równej przynajmniej połowy długości Nilu.
z ostatni tylko "rewelacji" mogę dorzucić takim kwiatkiem :

niebezpiecznik.pl napisał/a:

* Jedno hasło by wszystkimi rządzić – pomysł Ministerstwa Rozwoju
Autor: Marcin Maj

To istny popis “dobrych” praktyk. Ministerstwo rozesłało ono do jednostek samorządu pismo w sprawie ankiet dotyczących m.in. zaopatrzenia w wodę i kosztów pewnych inwestycji. W piśmie znalazła się instrukcja, aby na stronie z ankietami zalogować się określonym hasłem. Jednym hasłem dla wszystkich!

To hasło, które szczególnie mocne nie było, właścicie moglibyśmy odsłonić. I tak nie jest ono tajne. Będziemy jednak na tyle grzeczni, aby nie prowokować was do głupich żartów. A pożartować byście mogli bo do pisma załączono listę loginów dla poszczególnych urzędów.

[...]

Rozumiemy. Tak było łatwiej. Rozumiemy też, że zalogowanie się na stronę ankiety nie spowoduje ujawnienia jakichś supertajnych informacji. Niemniej rodzi to pewne zagrożenie dla płynności procesu i wiarygodności ankiet. Co gorsza Ministerstwo Rozwoju (!!!) utrwala w ten sposób bardzo niedobre praktyki.
źródło: https://niebezpiecznik.pl/post/jedno-haslo-by-wszystkimi-rzadzic-pomysl-ministerstwa-rozwoju/
to tylko jeden z naprawdę ostatnich tego typu "ekstra pomysłów" , sam mógłbym nie myśląc wiele dorzucić ich ze dwa tuziny (albo i pół kopy) z własnego podwórka. Ale one pokazuja coś innego - a minowicie ile by nie było głośnych i tych mniej (Acz nie mniej niebezpiecznych) wtop i wpadek podobnych do ostatniej afery Zuckerberga - to ludzka głupota a bardziej jeszcze naiwność i bezmyślność naprawdę nie będzie znała granic. Problem w tym ,że nie tylko ludzka, skoro nawet instytucje w sumie to powołane do tego żeby o bezpieczeństwo dbały - same padają jej ofiarą...

Albert Einstein powiedział kiedyś że "zna tylko dwie rzeczy które są nieskończone - Wszechswiat i ludzka głupota , choć co do tego pierwszego ma czasem wątpliwości" Ja, osobiście, dodał bym do tego jeszcze jedną - naiwność.
_________________
po apelu policji skruszeni hakerzy odesłali skradzioną bazę mailem
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,08 sekundy. Zapytań do SQL: 14