Uwagi do założeń strategii cyberbezpieczeństwa dla RP

Jeszcze do wtorku można składać uwagi do założeń strategii cyberbezpieczeństwa dla RP.


Ponieważ na tej bazie przygotowywana będzie strategia, która może wreszcie spowoduje jakiś widoczną poprawę cyberbezpieczeństwa, warto by dokument był możliwie kompletny. Załączam uwagi, które przesłałem do Ministerstwa Administracji i Cyfryzacji.



***

Cyberbezpieczeństwo osiąga się przede wszystkim poprzez działania prewencyjne. Strategia w znacznej mierze koncentruje się na detekcji, czyli wykrywaniu oraz korekcji, czyli reagowaniu na cyberzagrożenia. Cała sztuka powinna jednak polegać na tym by nie dopuszczać do tego by cyberincydenty miały wyraźny - negatywny wpływ na infrastrukturę. Dopiero w sytuacji gdy najważniejsze luki zostaną zamknięte warto inwestować w rozwiązania korekcyjne.
Prewencja polegać powinna na ustaleniu jasnych standardów bezpieczeństwa wykorzystywanych podczas projektów e-administracji oraz uporządkowaniu procesów w zakresie zarządzania bezpieczeństwem informacji, bez których nawet najlepsze rozwiązania techniczne będą nieskuteczne/bezużyteczne. W przypadku rozwiązań technicznych polecam rozważenie formalnego zaznaczenia istnienia oraz jakości materiałów przygotowanych przez organizację OWASP (Open Web Application Security Project) będący uznanym, międzynarodowym punktem odniesienia etycznych hakerów - pentesterów.
W przypadku rozwiązań organizacyjnych warto wzmocnić znaczenie rodzinie norm międzynarodowych serii ISO 27001, która jest już obecna w Rozporządzeniu KRI, niemniej w praktyce wdrażana bywa niezmiernie rzadko, wystarcza bowiem niczym nie podparta "deklaracja" zgodności z tą normą.
W tym momencie chcę zwrócić uwagę na to, że modyfikacja rozporządzenia KRI powinna być istotnym elementem strategii. Obecne rozporządzenie zawiera szereg luk skutecznie przyczyniających się do zmniejszania poziomu cyberbezpieczeństwa. Warto wspomnieć jedynie, że:
- rozporządzenie nie nakłada żadnego obowiązku na organizacje zamawiające nowe systemy informatyczne zapewniające, że będą one spełniać jakiekolwiek wymagania bezpieczeństwa
- potężne niezgodności z rozporządzeniem nie są żądnym problemem. Ponieważ wyniki przeprowadzanych audytów nie są brane pod uwagę w ramach kontroli zarządczej, często są obiektem zainteresowania wyłącznie audytora
- na audytorach zatrudnianych w jednostkach budżetowych często wywierana jest presja by ukrywać negatywne obserwacje
- nie są wprowadzone żadne wymagania konieczne do spełnienia przez audytorów wewnętrznych, w związku z czym zgodność potwierdzają osoby bez jakiegokolwiek technicznego doświadczenia ponieważ zaoferowali najtańszą usługę, kosztującą niekiedy dosłownie kilkaset/tysiąc PLN za organizację. Organizacje budżetowe dosłownie wyrzucają te pieniądze w błoto, gdyż raporty nie wnoszą żadnej wartości w pracę jednostki.

Tym samym dotykamy kolejnej luki w strategii - pominięcia bardzo istotnej roli tych mniejszych jednostek w zapewnianiu cyberbezpieczeństwa Państwa. Wspominają Państwo o ostatniej linii oporu, nie wolno zapominać o pierwszej z nich. Oczywiście takich jednostek nie będzie stać na tworzenie SOCów, niemniej ich codzienna praca powinna przynajmniej w znacznym stopniu utrudniać działania cyberprzestępców. A gdy bezpieczeństwo w tych kilku tysiącach mniejszych organizacji nie będzie zapewnione, 100 ekspertów naprawdę nie da rady temu skutecznie zaradzić.
Istotnym działaniem prewencyjnym jest też samo zabezpieczenie infrastruktury technicznej. Warto moim zdaniem wykonać ćwiczenia polegające na policzeniu ile a administracji publicznej znajduje się serwerowni i ile kosztuje ich utrzymanie. Pracując dla gmin/powiatów widziałem, że ich praca jest powtarzalna - przebiega zgodnie ze standardowymi procesami opisanymi w rozporządzeniach. Nie rozumiem dlaczego tego nie scentralizować?
Podobnie w administracji centralnej - poszczególne ministerstwa posiadają swoje serwerownie. niektóre potężne (np. Ministerstwa Finansów w Radomiu), posiadają spore wolne możliwości. Decyzja byłaby bardzo odważna, ale może zamiast marnotrawić środki na budowę i utrzymanie centrów danych poszczególnych jednostek, czas wreszcie rozważyć budowę chmury dedykowanej na potrzeby administracji publicznej? Tylko w ten sposób widzę możliwość, by grupa 100 ekspertów mogła wnieść jakąś rzeczywistą wartość.
Wreszcie zabrakło mi w strategii cyberbezpieczeństwa zwrócenia uwagi na tak istotny element jak Profil Zaufany, bez którego bezpieczeństwa trudno wyobrazić sobie dalszy rozwój e-usług. Bezpieczne uwierzytelnianie powinno stać się fundamentem dla cyberbezpieczeństwa Państwa.

Reasumując bardzo dobrze, że mają miejsce prace nad tym zagadnieniem, wydaje mi się jednak, że skoncentrowanie się jedynie na ochronie infrastruktury technicznej jest zbyt wąskie. Dokument ma pełnić rolę strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej, nie strategii ochrony infrastruktury cybernetycznej. Cyberbezpieczeństwo to nie tylko sieci i systemy, ale przede wszystkim sposób w jaki są one tworzone i wykorzystywane. Inaczej strategia będzie mocno niekompletna.  
Poniżej załączam jeszcze kilka bardziej operacyjnych uwag:
- cieszę się z propozycji stałego przeprowadzenia oceny ryzyka. Warto jednak określić co będzie jej celem. widziałem wiele analiz ryzyka, o których mogę powiedzieć tyle, że były. Wniosków z nic wyciągnąć się nie dało żadnych.
- podczas procesu zwalczania cyberataku pominięto 2 etapy: przed opracowaniem planu naprawczego warto rozpoznać bieżące możliwości ograniczenia incydentu (enkapsulacja). Zabrakło też kluczowego elementu - wyciągania wniosków z incydentów
- w kategoriach hierarchii zagrożeń reakcji zabrakło mi wskazania istotności takich obszarów jak obronność i bezpieczeństwo publiczne, żywność  i administracja centralna.
Next PostNowszy post Previous PostStarszy post Strona główna