Przez sieć co jakiś czas przelewa się fala dyskusji o
"nielegalności" wyszukiwania luk w systemach informatycznych. Polskie
prawo, w powszechnej opinii, penalizuje każdy taki przypadek.
Pokazywanie postów oznaczonych etykietą prawo. Pokaż wszystkie posty
Pokazywanie postów oznaczonych etykietą prawo. Pokaż wszystkie posty
26 października 2016
Nowe kierunki prac
W ubiegłym tygodniu Ministerstwo Gospodarki poprosiło szereg
organizacji o wsparcie w przygotowaniu uwag do dokumentu " Wielostronnej Platformy do spraw Standaryzacji Technologii
Informacyjno-Komunikacyjnych" w zakresie rekomendowanie standardów w celu
zapewnienia interoperacyjności rozwiązań i systemów wykorzystujących
technologie informacyjno-komunikacyjne. Nie będę szerzej komentować tego, że de
facto dostaliśmy 1 dzień na przygotowanie uwag do dokumentu, który koncentrował
się JEDYNIE na takich obszarach jak:
16 grudnia 2015
Projekt Rekomendacji Z dotyczącej zasad ładu wewnętrznego w bankach
Jeszcze przez kilka dni - do 23 grudnia mają miejsce publiczne konsultacje Rekomendacji Z KNF dotyczącej zasad ładu wewnętrznego w bankach.
Wysłałem dzisiaj swoje propozycje uzupełnień. Warto by nasze środowisko możliwie szeroko przyjrzało się temu zagadnieniu, gdyż z takimi Rekomendacjami przyjdzie nam przez kolejne lata funkcjonować. Uwagi można przesyłać na adres drb@knf.gov.pl
Wysłałem dzisiaj swoje propozycje uzupełnień. Warto by nasze środowisko możliwie szeroko przyjrzało się temu zagadnieniu, gdyż z takimi Rekomendacjami przyjdzie nam przez kolejne lata funkcjonować. Uwagi można przesyłać na adres drb@knf.gov.pl
17 października 2012
Publiczne konsultacje rekomendacji D
KNF ogłosił ostatnio publiczne konsultacje dla rekomendacji D.
Jest to ważna informacja dla wszystkich bezpieczników z bankowości. Szczególnie ważna, gdyż wygląda na to, że będzie zawierać sporo zmian. Kilka przykładowych, które szczególnie zwróciły mają uwagę to:
1.1 podkreślająca rolę rady nadzorczej w nadzorowaniu IT
4.3 podkreślająca współpracę IT i biznesu
5.2 wprowadzający separację obowiązków
5.9 wymagający aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego
7.11 podkreślający zasady zarządzania zmianą (w tym zmiany pilne i awaryjne)
9.5 wprowadzający odseparowane podsieci
9.8 zezwalający na sieć bezprzewodową w bankach
9.18 wymagający szyfrowania i uwierzytelniania podczas wykorzystywania drukarek sieciowych (choć tu mam wątpliwości czy nie powinno to bazować na analizie ryzyka. Nie każda drukarka sieciowa (moim zdaniem)musi oferować uwierzytelniania. A koszty wymiany są spore
10.6 de facto zezwalająca na przetwarzanie danych w modelu cloud computing
11.5 wymagający narzędzi automatyzujących zarządzanie uprawnieniami (w tym historycznymi
12.4 i 14 wymagający uświadamiania użytkowników w zakresie bezpieczeństwa
17.1 zarządzanie oprogramowaniem końcowych użytkowników
18.3 podkreślenie przydatności norm serii ISO 27000
18.4 podkreślenie konieczności integracji zarządzania bezpieczeństwem z narzędziami zarządzania ryzykiem operacyjnym
18.5 i 18.10 i 18.12 podkreślenie konieczności zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego
18.9 podkreślającego przydatność wymiany informacji o zagrożeniach oraz doświadczeń wynikających z analizy naruszeń bezpieczeństwa
20.7 sugerujący potrzebę wdrażania SIEM
22.4 sugerujący potrzebę korzystania z zewnętrznych usług audytu
Jak widzicie za jakiś czas naprawdę będzie ciekawie.
.
Jest to ważna informacja dla wszystkich bezpieczników z bankowości. Szczególnie ważna, gdyż wygląda na to, że będzie zawierać sporo zmian. Kilka przykładowych, które szczególnie zwróciły mają uwagę to:
1.1 podkreślająca rolę rady nadzorczej w nadzorowaniu IT
4.3 podkreślająca współpracę IT i biznesu
5.2 wprowadzający separację obowiązków
– funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania, administracji i użytkowania,5.4 podkreślająca kto tak naprawdę jest odpowiedzialny za bezpieczeństwo informacji
– funkcji administrowania środowiskiem teleinformatycznym od zarządzania jego bezpieczeństwem,
– funkcji administrowania sieciami teleinformatycznymi, bazami danych oraz systemami informatycznymi,
– funkcji audytu od pozostałych funkcji w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.
5.9 wymagający aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego
7.11 podkreślający zasady zarządzania zmianą (w tym zmiany pilne i awaryjne)
9.5 wprowadzający odseparowane podsieci
9.8 zezwalający na sieć bezprzewodową w bankach
9.18 wymagający szyfrowania i uwierzytelniania podczas wykorzystywania drukarek sieciowych (choć tu mam wątpliwości czy nie powinno to bazować na analizie ryzyka. Nie każda drukarka sieciowa (moim zdaniem)musi oferować uwierzytelniania. A koszty wymiany są spore
10.6 de facto zezwalająca na przetwarzanie danych w modelu cloud computing
11.5 wymagający narzędzi automatyzujących zarządzanie uprawnieniami (w tym historycznymi
12.4 i 14 wymagający uświadamiania użytkowników w zakresie bezpieczeństwa
17.1 zarządzanie oprogramowaniem końcowych użytkowników
18.3 podkreślenie przydatności norm serii ISO 27000
18.4 podkreślenie konieczności integracji zarządzania bezpieczeństwem z narzędziami zarządzania ryzykiem operacyjnym
18.5 i 18.10 i 18.12 podkreślenie konieczności zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego
18.9 podkreślającego przydatność wymiany informacji o zagrożeniach oraz doświadczeń wynikających z analizy naruszeń bezpieczeństwa
20.7 sugerujący potrzebę wdrażania SIEM
22.4 sugerujący potrzebę korzystania z zewnętrznych usług audytu
Jak widzicie za jakiś czas naprawdę będzie ciekawie.
.
3 lipca 2012
Docenienie norm w przepisach prawnych
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych doceniło fakt istnienia 2 bardzo ważnych norm z zakresu zarządzania IT i bezpieczeństwa informacji
Opisując minimalne wymagania dla systemów teleinformatycznych w paragrafie 15 czytamy:
1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.
2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury.
3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN-ISO lEC 20000-l i PN-ISO/lEC 20000-2
Z kolei w paragrafie 20 znajdują się następujące wymagania dotyczące zarządzania bezpieczeństwem informacji:
1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
a) zagrożenia bezpieczeństwa informacji,
b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
a) monitorowanie dostępu do informacji,
b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
a) dbałości o aktualizację oprogramowania,
b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
e) zapewnieniu bezpieczeństwa plików systemowych,
f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
3. Wymagania określone w t. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
1) PN-ISO/IEC 17799—w odniesieniu do ustanawiania zabezpieczeń;
2) PN-ISO/IEC 27005 — w odniesieniu do zarządzania ryzykiem;
3) PN-ISO/IEC 24762 — w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
Nie można nie zauważyć, że jest to krok w bardzo dobrym kierunku i zamyka (przynajmniej w zakresie przetwarzania rejestrów publicznych) dyskusje czy warto wdrażać systemy zarządzania zgodne z najlepszymi praktykami. Nie dość, że warto ze względu na stałe doskonalenie organizacji, to jeszcze będzie (w przynajmniej powinno to być) zauważone i docenione w trakcie różnego rodzaju audytów i kontroli. Warto bardziej szczegółowo przyjrzeć się rozporządzeniu, gdyż znajdują się tam jeszcze odniesienia do innych powszechnie wykorzystywanych standardów jak np. RFC
.
.
16 maja 2012
Nowelizacja UoDO
Zapoznałem się z projektem zmian.
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zmiany dotyczą zwolnienia z obowiązku rejestracji zbiorów baz danych i przeniesienia ciężaru prac związanych z utrzymywaniem rejestru na ABI. Zmiana idzie zdecydowanie w dobrą stronę. Przykłady, które znam, ale o których niestety nie powinienem pisać wskazują, że GIODO dławi się zgłoszeniami. Nie jest w stanie ich odpowiednio obsłużyć, no i przyznajmy szczerze - wartość dodana z faktu posiadania rejestru takich danych jest po prostu żadna. Lepiej niech porządkowaniem tych zagadnień w firmach zajmuje się niezależny i wykwalifikowany ABI (chętnie outsourcowany, po co utrzymywać niepotrzebne etaty), wprowadzający mechanizmy bezpieczeństwa bazując na efektach procesu szacowania ryzyka (tego niestety brakuje w nowelizacji i dyrektywie).
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zmiany dotyczą zwolnienia z obowiązku rejestracji zbiorów baz danych i przeniesienia ciężaru prac związanych z utrzymywaniem rejestru na ABI. Zmiana idzie zdecydowanie w dobrą stronę. Przykłady, które znam, ale o których niestety nie powinienem pisać wskazują, że GIODO dławi się zgłoszeniami. Nie jest w stanie ich odpowiednio obsłużyć, no i przyznajmy szczerze - wartość dodana z faktu posiadania rejestru takich danych jest po prostu żadna. Lepiej niech porządkowaniem tych zagadnień w firmach zajmuje się niezależny i wykwalifikowany ABI (chętnie outsourcowany, po co utrzymywać niepotrzebne etaty), wprowadzający mechanizmy bezpieczeństwa bazując na efektach procesu szacowania ryzyka (tego niestety brakuje w nowelizacji i dyrektywie).
25 stycznia 2012
Nowe regulacje dotyczące ochrony danych osobowych
Przed chwilą opublikowano projekty nowej unijnej dyrektywy dotyczącej ochrony danych osobowych. Mają one zastąpić niespójne regulacje obowiązujące w poszczególnych krajach UE, zmniejszyć biurokrację i przy okazji zagwarantować większą ochronę danych osobowych
Załączam wyciąg z komunikatu (pogrubienia moje)
Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny
Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat
Na zakończenie parę nowych/starych definicji
Załączam wyciąg z komunikatu (pogrubienia moje)
Najważniejsze zmiany wprowadzane przez reformę obejmują:
Jeden zestaw przepisów dotyczących ochrony danych osobowych obowiązujący w całej UE. Niepotrzebne wymogi administracyjne, takie jak obowiązek zawiadomienia ciążący na przedsiębiorstwach, zostaną zlikwidowane. Przyniesie to przedsiębiorstwom oszczędności rzędu ok. 2,3 mld EUR rocznie.
Zamiast obecnego obowiązku zgłoszenia przez wszystkie przedsiębiorstwa wszelkich działań w zakresie ochrony danych organom nadzorującym ochronę danych – który to wymóg spowodował niepotrzebną biurokrację i kosztuje przedsiębiorstwa 130 mln EUR rocznie, rozporządzenie przewiduje większą odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
Przykładowo przedsiębiorstwa i organizacje muszą powiadamiać krajowy organ nadzorczy o poważnych naruszeniach ochrony danych tak szybko, jak tylko jest to możliwe (jeżeli jest to wykonalne – w ciągu 24 godzin).
Organizacje będą się kontaktować tylko z jednym krajowym organem nadzorującym ochronę danych w tym państwie członkowskim UE, w którym posiadają główną siedzibę. Podobnie osoby fizyczne będą mogły kontaktować się z organem nadzorującym ochronę danych w swoim państwie, nawet jeżeli ich dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza UE. W przypadku gdy do przetwarzania danych konieczna jest zgoda, zostało wyjaśnione, że będzie ona musiała zostać wydana wyraźnie, a nie być domniemana.
Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych i będą mogły łatwiej przekazywać swoje dane osobowe od jednego usługodawcy do drugiego (prawo do przenoszenia danych). Poprawi to konkurencję między usługodawcami.
„Prawo do bycia zapomnianym” pomoże ludziom lepiej zarządzać ryzykiem związanym z ochroną danych w internecie: osoby fizyczne będą miały możliwość usunięcia swoich danych jeżeli nie będzie istnieć uzasadniona podstawa do ich zachowania.
Unijne przepisy muszą obowiązywać w przypadku gdy dane osobowe są przetwarzane zagranicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom UE.
Niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy na terytorium kraju. Zostaną one upoważnione do nakładania kar na przedsiębiorstwa naruszające unijne przepisy o ochronie danych. Kary te mogą sięgnąć 1 mln EUR lub 2% łącznych rocznych obrotów przedsiębiorstwa.
W nowej dyrektywie ogólne zasady ochrony danych zostaną zastosowane w odniesieniu do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Przepisy dyrektywy będą miały zastosowanie do przekazywania danych zarówno w kraju, jak i do transferów transgranicznych.
Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny
Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat
Na zakończenie parę nowych/starych definicji
'data subject' means an identified natural person or a natural person who can be.
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifiers or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;
'personal data' means any information relating to a data subject;
'processing' means any operation or set of operations which is performed upon
personal data or sets of personal data, whether or not by automated means, such as
collection, recording, organization, structuring, storage, adaptation or alteration,
retrieval, consultation, use, disclosure by transmission, dissemination or otherwise
making available, alignment or combination, restriction, erasure or destruction;
24 stycznia 2012
ACTA
Type się mówi o ACTA oraz atakach jakie miały miejsce w ostatnich dniach, że nie chciałem dorzucać swoich 3groszy. W sumie tym postem też za dużo nowego nie wniosę, ale pragnę zwrócić uwagę na artykuł Vagli, który przygotował ściągawkę dla dziennikarzy z pytaniami jakie mogliby zadać w temacie ACTA.
Ciekawe ile osób z tego skorzysta. Pytania są...bardzo zasadne i konkretne
Tu kilka przykładów, zapraszam na stronę autora po więcej...
Ciekawe ile osób z tego skorzysta. Pytania są...bardzo zasadne i konkretne
Tu kilka przykładów, zapraszam na stronę autora po więcej...
Dlaczego Ministerstwo Kultury i Dziedzictwa Narodowego nie publikuje w swoim serwisie dokumentów zawierających informacje publiczne i w jaki sposób Prezes Rady Ministrów chciałby to zmienić.
Czy premier wiedział o tym co podpisuje, kiedy podpisywał uchwałę pozwalającą na podpisanie ACTA przez Polskę (w tytule uchwały Rady Ministrów nie pojawia się ani angielskojęzyczny skrót, a długi tytuł: "Uchwała Rady Ministrów nr 216/2011 z dnia 25 listopada 2011 r. w sprawie udzielenia zgody na podpisanie Umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi między Unią Europejską i jej państwami członkowskimi, Australią, Kanadą, Japonią, Republiką Korei, Meksykańskimi Stanami Zjednoczonymi, Królestwem Marokańskim, Nową Zelandią, Republiką Singapuru, Konfederacją Szwajcarską i Stanami Zjednoczonymi Ameryki"
Jeśli premier wiedział, co podpisuje, a wcześniej brał udział w spotkaniach z internautami, na których ten temat kilka razy był podnoszony, to dlaczego nie zrealizował danej wcześniej obietnicy, że taka zgoda rządu na podpisanie traktatu nie będzie udzielona przed wyjaśnieniem z opinią publiczną wszystkich kontrowersji zgłaszanych przez polskie i europejskie organizacje pozarządowe od ponad 2 lat?
Czy toczą się obecnie jakieś ukryte przed oczami opinii publicznej negocjacje z udziałem rządu, dotyczące innych jeszcze porozumień międzynarodowych, które w jakikolwiek sposób mogą być związane z prawnymi aspektami obiegu informacji (w tym ochroną monopoli informacyjnych takich jak prawa autorskie) w społeczeństwie informacyjnym.
W jaki sposób wybrano podmioty, które poproszono o uwagi w konsultacjach społecznych dot. ACTA, które podobno się odbyły?
.
18 stycznia 2012
Cisza
.....................................................
...............................................
........................................
.................................
.........................
.................
.........
.....
.
Cisza
Cicho sza, cicho sza
SOPA nadchodzi, ACTA nadchodzi - choć może jednak nie nadejdą...
.
...............................................
........................................
.................................
.........................
.................
.........
.....
.
Cisza
Cicho sza, cicho sza
SOPA nadchodzi, ACTA nadchodzi - choć może jednak nie nadejdą...
.
20 grudnia 2011
Atak SCADA, którego nie było
Rzadko to robię, ale tym razem pozwolę sobie na dokładny przedruk czyjegoś tekstu. Bruce Schneier w grudniowym newsletterze napisał poniższy artykuł. A, że jak kiedyś pisałem IMMUSEC dostał pozwolenie na tłumaczenie o rozpowszechnianie polskiej wersji Crypto-gramu mam to poniekąd z pierwszej ręki. Pytanie jakie Bruce zapisał w ostatnim akapicie jest boleśnie istotne.
--
--
W zeszłym miesiącu pojawiło się doniesienie o włamaniu do systemu SCADA, który kontroluje pompy wodne w stanie Illinois. Pompy miały zostać zniszczone, a dokonać tego mieli prawdopodobnie Rosjanie. Potem okazało się, że wszystko jest nieporozumieniem..
Końcówka drugiego artykułu podnosi moim zdaniem najważniejsze:
Joe Weiss mówi, że był zszokowany tym, jak taki raport mógł zostać wydany bez wcześniejszego sprawdzenia i potwierdzenia zawartych w nim informacji.
„Jeśli nie możesz zaufać informacjom z centrum informacyjnego, to jaki jest sens posiadania takiego centrum rozsyłającego cokolwiek? I o to właśnie chodzi” powiedział Weiss. „Gdy czytasz ten raport, czytasz bardzo przerażające informacje. Jak Departament Bezpieczeństwa Krajowego mógł nie wspomnieć o tym, że te informacje są niesprawdzone?”
Rzeczniczka centrum informacyjnego zapytana dlaczego nie sprawdzono tych informacji i umieszczono je w raporcie odpowiedziała, że za to odpowiada Departament Bezpieczeństwa Krajowego i agencje odpowiedzialne za raport. Panią rzecznik Bond bardziej interesowało jak Weiss zdobył raport, którego kopii nigdy nie powinien zobaczyć.
„Bardzo obawiamy się wycieku kontrolowanych informacji” podkreśliła Bond. „Badamy wewnętrznie jak wydostały się te poufne i kontrolowane informacje oraz w jaki sposób dotarły do rąk użytkowników, którzy nie powinni ich dostać. I to jest nasz priorytet.”
Zauważcie, że problemem nie jest nagłośnienie nieistniejącego zagrożenia w poufnym raporcie, ale upublicznienie tego raportu. Nie jest ważne czy raport został upubliczniony, ale to, że nigdy nie został uznany za błędny. Jak wiele innych takich raportów służy do ustanawiania praw, które są tak samo błędne jak dane na podstawie których powstały?
http://www.wired.com/threatlevel/2011/11/hackers-destroy-water-pump/
http://www.wired.com/threatlevel/2011/11/water-pump-hack-mystery-solved/
6 listopada 2011
Korzystanie w pracy ze służbowego komputera...
Korzystanie w pracy ze służbowego komputera do celów prywatnych w pewnych okolicznościach może być traktowane jako ciężkie naruszenie podstawowych obowiązków pracownika orzekł Sąd Najwyższy.
Warto odnotować w pamięci (zewnętrznej) ten wyrok - może niekiedy okazać się pomocny...
Warto odnotować w pamięci (zewnętrznej) ten wyrok - może niekiedy okazać się pomocny...
Subskrybuj:
Posty (Atom)