Tekst źródłowy strony Dyskusja:16-02.01

Notatki do opinii.

Punkt 3.2 „System wczesnego ostrzegania i reagowania” przedstawia  założenia rozwiązań, będą przeznaczone do wykrywania zagrożeń sieciowych. 
# Jaki będzie  zakres monitorowania?
# Kto będzie miał dostęp do danych?
# Jakie będą koszty systemu?<br />
''W dokumencie strategicznym takich elementów nie będzie, nie ten poziom ogólności. Możemy jednak zwrócić uwagę na zagrożenia'' --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)<br />

2.4. Podsumowanie
"Żeby zadbać o cyberbezpieczeństwo należy jak najszybciej podjąć spójne i systemowe
działania, mające na celu monitorowanie i przeciwdziałanie zagrożeniom występującym
w cyberprzestrzeni oraz minimalizowanie skutków incydentów."

"warunkami efektywnej ochrony cyberprzestrzeni jest przyjęcie ram
prawnych krajowego systemu ochrony cyberprzestrzeni oraz wyznaczenie krajowego
organu koordynującego działania innych podmiotów w zakresie ochrony
cyberprzestrzeni."
<br />

Dlaczego monitorowanie jest wskazane jako pierwsze?
Czy krajowy organ koordynujący ma być remedium? <br />

''Żeby reagować najpierw trzeba zdiagnozować a monitoring jest elementem diagnostyki. Brakuje jednak większego nacisku na prewencję.''--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)<br />




Kilka innych pytań:
# Spójna architektura bezpieczeństwa (w skali całego kraju) - czy kto o tym pomyślał? 
# Dlaczego autorzy koncentrują się na reagowaniu na incydenty a nie na działaniach prewencyjnych?
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec?<br />
''Wykorzystano statystyki z 2014 bo były opublikowane w 2015. Za 2015 jeszcze nie ma. Myślę że niezbyt istotne jest czy to statystyki Symanteca, Eset-a czy innej firmy. Na samych statystykach nie opiera się prezentowana koncepcja. Ma to być jedynie wstęp, wskazujący że problem istnieje. Możemy oczywiście zapytać czy nie można było się oprzeć na statystykach instytucji niekomercyjnych takich jak CERT, które powinny w domyśle posiadać bardziej obiektywne i adekwatne do polskich warunków statystyki.'' --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)

Bezpieczeństwo to proces a nie produkt.<br />
==========================================================================================<br />
Generalnie dokument bardzo mi się podoba.<br />
Str. 3 – nie wymieniono zjawiska Crime as a service<br />
Str. 4 - odnośnie ryzyk brak jest też publikacji statystyk incydentów o które oprzeć można by analizę ryzyka<br />
Str. 6 – w p. 1 dodałbym „w tym procedur ich zgłaszania. Zdarzyło mi się zgłosić incydent do Cert Nasku – bez reakcji, chciałem zgłosić do Cert rządowego ale formularz i konieczność jego szyfrowania skutecznie mnie zniechęcił
W p. 3  Kategorii 1 dodałbym odbiór i oczyszczanie ścieków i nieczystości bytowych<br />
Str. 7 – nie bardzo rozumiem kategorię 3 – jakiego systemu, w kategorii 5 też oczekiwałbym sprecyzowania jakich serwisów i usług dotyczy<br />
Str. 11 lista punktowana – na pierwszym miejscu wstawiłbym „wykryj sprawdź i przekaż  informację o ataku….”<br />
Str. 12 – izolowanie systemu – należy zbadać czy izolowanie takie jest obecnie możliwe oraz oszacować koszty i czas niezbędny do wdrożenia odpowiednich mechanizmów<br />
Str. 17 – może zaproponować prawny obowiązek zgłaszania ataków („ciemne ataki”<br />
Alternatywny system łączności należy pochwalić<br />
Str. 20 „userfiendly” – czy naprawdę nie ma polskiego odpowiednika?<br />
Str. 21czy weryfikacja producentów tylko dla jednostek państwowych? A co z samorządami i przedsiębiorstwami infrastruktury krytycznej? W tym samym kontekście na str 31 mówi się już o instytucjach publicznych<br />
Str. 24 można sypnąć garścią wyników z badań KRI i zapowiedzieć przekazanie raportu w drugij połowie marca<br />
Str. 25 Należy podkreślić konieczność prezentowania informacji o zagrożeniach w czytelnej formie. Statystyki ARAKIS nie dla każdego są czytelne<br />
Uwagi generalne:<br />
Niejasne jest kto będzie tworzył LZR, szczególnie w instytucjach publicznych. Czy wszystkich? Badania wskazują że samorządy nie są w stanie realizować zapisów KRI a co dopiero tworzyć LZR.<br />
Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br />
Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)<br />
===============================================<br />
Polskie Towarzystwo Informatyczne z głęboką satysfakcją przyjmuje chęć szerokich konsultacji programów strategicznych Ministerstwa Cyfryzacji. Dokument „Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” przedstawia analizę stanu obecnego zgodną z naszymi obserwacjami, szczególnie w zakresie rozproszenia organizacyjnego jak i ułomności prawa.
We wstępie, celem zobrazowania problemu, przytoczono statystyki z roku 2014 opublikowane przez firmę Symantec. W naszej opinii znacznie korzystniej dla odbiorcy byłoby przedstawienie, aktualnych statystyk dotyczących w większym zakresie naszego kraju np. wykonanych przez Cert Polska. Przy uwagach odnoszących się do powszechnej dostępności narzędzia umożliwiającego tworzenie oprogramowania złośliwego przez osoby, które w praktyce nie mają żadnego przygotowania programistycznego zabrakło nam krótkiego omówienia zjawiska „Crime as a service”, które pozwala na zakup dedykowanego szkodliwego oprogramowania czy też usługi blokowania konkretnych usług sieciowych.
W opiniowanym dokumencie słusznie podkreślono znaczenie analizy ryzyka oraz zauważono brak spójności w ich szacowaniu. Pragniemy zwrócić uwagę, iż brak jest też publikacji odpowiednich statystyk incydentów, na podstawie których można by szacować ryzyko zagrożeń. 
W głównych założeniach budowy systemu ochrony cyberprzestrzeni RP na str. 6, w punkcie 1 umieszczono warunek „wypracowanie konkretnych struktur organizacyjnych odpowiedzialnych za obsługę incydentów”. Uważamy, że należałoby uzupełnić go o następujący fragment „w tym procedur ich zgłaszania”. Zdarzało się, iż, zgłoszony incydent do Cert Polska nie wywołał żadnej reakcji, zaś procedura zgłaszania incydentu do Rządowego Zespołu Reagowania na Incydenty Komputerowe ze względu na niejasny formularz oraz konieczność szyfrowania skutecznie zniechęca skutecznie zniechęca do jej stosowania. Kategorię 1 z punktu 3, uzupełnilibyśmy o sektor odpowiedzialny za odpady i nieczystości. Kategoria 3 jak i 5 wymaga naszym zdaniem doprecyzowania, o jaki system teleinformatyczny, serwis czy usługę chodzi. 
Za podstawą skutecznego zwalczania cyberataku przyjęto łańcuch wyszczególnionych na stronie 11 działań. Proponujemy zmianę ich kolejności, tak aby bezpośrednio po wykryciu ataku, następowało przekazanie informacji o nim w systemie powiadamiania. Nawet jeśli informacja ta została już wcześniej wprowadzona, to kolejna będzie wskazywała na zakres i zasięg ataku. Rozwiązanie te wiąże się jednak z koniecznością budowy systemu o dużej wydajności i dostępności.
Wyposażenie SOC lub LZR w kompetencje pozwalającą na izolowanie systemu lub jego części od cyberprzestrzeni w krytycznych przypadkach to pomysł wart uwagi. Czy przeprowadzono jednak odnośnie infrastruktury o krytycznym znaczeniu dla państwa badania odnośnie możliwości technicznej takiej izolacji oraz potencjalnego wpływu jaki wywarłaby na jej działanie?

W omawianym dokumencie wspomniano o problemach w ustalaniu progów wyzwolenia związanych z „ciemną liczbą” ataków. Pragniemy zwrócić uwagę, że równie wiele ataków pozostaje niezgłoszona choćby ze względu na utratę reputacji zaatakowanych organizacji. Należałoby naszym zdaniem wprowadzić rozwiązania prane obligujące dotknięte cyberatakiem organizacje do przekazywania odpowiednich informacji.

Uważamy, iż w oficjalnym dokumencie pisanym w języku polskim i przeznaczonym dla polskiego odbiorcy należy unikać zapożyczeń z języka angielskiego chyba że jest to niezbędne dla prawidłowego rozumienia. Wyraz „userfiendly” ma swój odpowiedni w języku polskim.

Omawiając aspekty prawne i finansowe (podrozdział 3.5), wspomina się o procesie weryfikacji producentów i stosowanych rozwiązań w ramach sieci teleinformatycznych organów administracji państwowej. Czy nie należałoby również włączyć w proponowane rozwiązanie jednostek samorządowych a nawet wszystkich organizacji infrastruktury krytycznej? W tym samym kontekście, w podrozdziale 4.5 Niezbędne zmiany kompetencyjne, organizacyjne i legislacyjne, na str 31 mówi się już o certyfikacji produktów informatycznych (sprzętu lub oprogramowania) stosowanych w systemach podmiotów sfery publicznej i w zainteresowanych podmiotach prywatnych. 

W podrozdziale 4.1. Proponowany podział kompetencji i struktury, proponuje się wydzielenie w podmiotach realizujących zadania publiczne, komórek organizacyjnych, podległych bezpośrednio kierownikowi podmiotu, których zadaniem będzie organizacja i utrzymywanie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami zawartymi w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Prowadzone przez Polskie Towarzystwo Informatyczne badania dotyczące wdrożenia przytoczonego rozporządzenia w jednostkach samorządowych wykazały, iż tylko nieliczne z nich wdrożyły system zarządzania bezpieczeństwem informacji. Raport z badań, który jest obecnie w opracowaniu, zostanie przekazany do Ministerstwa Cyfryzacji w drugiej połowie marca 2016 roku. 
Podrozdział 4.2. Organizacja systemu wczesnego ostrzegania i reagowania wspomina o dedykowanej stronie internetowej, zawierającej informacje o zagrożeniach, która powinna być również dla wszystkich użytkowników cyberprzestrzeni. Należy podkreślić zrozumiałość formy przekazu tych informacji. Obecnie dostępne statystyki systemu ARAKIS są dla przeciętnego internauty mało czytelne.
Niejasne jest kto będzie tworzył LZR. Nie widzimy możliwości aby w najbliższej przyszłości organizacje samorządowe poniżej szczebla powiatu były w stanie podołać temu zadaniu. Nie zauważyliśmy też aby w systemie ochrony cyberprzestrzeni jakąkolwiek rolę pełnili zwykli obywatele, którzy często znacznie szybciej doświadczają nieprawidłowości związanych z atakiem na instytucje publiczne. Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 18:37, 6 mar 2016 (CET)