Dyskusja:16-02.01: Różnice pomiędzy wersjami
Z WSTOIn
Linia 52: | Linia 52: | ||
Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br /> | Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br /> | ||
Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br /> | Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br /> | ||
− | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET) | + | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)<br /> |
+ | ===============================================<br /> | ||
+ | Polskie Towarzystwo Informatyczne z głęboką satysfakcją przyjmuje chęć szerokich konsultacji programów strategicznych Ministerstwa Cyfryzacji. Dokument „Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” przedstawia analizę stanu obecnego zgodną z naszymi obserwacjami, szczególnie w zakresie rozproszenia organizacyjnego jak i ułomności prawa. | ||
+ | We wstępie, celem zobrazowania problemu, przytoczono statystyki z roku 2014 opublikowane przez firmę Symantec. W naszej opinii znacznie korzystniej dla odbiorcy byłoby przedstawienie, aktualnych statystyk dotyczących w większym zakresie naszego kraju np. wykonanych przez Cert Polska. Przy uwagach odnoszących się do powszechnej dostępności narzędzia umożliwiającego tworzenie oprogramowania złośliwego przez osoby, które w praktyce nie mają żadnego przygotowania programistycznego zabrakło nam krótkiego omówienia zjawiska „Crime as a service”, które pozwala na zakup dedykowanego szkodliwego oprogramowania czy też usługi blokowania konkretnych usług sieciowych. | ||
+ | W opiniowanym dokumencie słusznie podkreślono znaczenie analizy ryzyka oraz zauważono brak spójności w ich szacowaniu. Pragniemy zwrócić uwagę, iż brak jest też publikacji odpowiednich statystyk incydentów, na podstawie których można by szacować ryzyko zagrożeń. | ||
+ | W głównych założeniach budowy systemu ochrony cyberprzestrzeni RP na str. 6, w punkcie 1 umieszczono warunek „wypracowanie konkretnych struktur organizacyjnych odpowiedzialnych za obsługę incydentów”. Uważamy, że należałoby uzupełnić go o następujący fragment „w tym procedur ich zgłaszania”. Zdarzało się, iż, zgłoszony incydent do Cert Polska nie wywołał żadnej reakcji, zaś procedura zgłaszania incydentu do Rządowego Zespołu Reagowania na Incydenty Komputerowe ze względu na niejasny formularz oraz konieczność szyfrowania skutecznie zniechęca skutecznie zniechęca do jej stosowania. Kategorię 1 z punktu 3, uzupełnilibyśmy o sektor odpowiedzialny za odpady i nieczystości. Kategoria 3 jak i 5 wymaga naszym zdaniem doprecyzowania, o jaki system teleinformatyczny, serwis czy usługę chodzi. | ||
+ | Za podstawą skutecznego zwalczania cyberataku przyjęto łańcuch wyszczególnionych na stronie 11 działań. Proponujemy zmianę ich kolejności, tak aby bezpośrednio po wykryciu ataku, następowało przekazanie informacji o nim w systemie powiadamiania. Nawet jeśli informacja ta została już wcześniej wprowadzona, to kolejna będzie wskazywała na zakres i zasięg ataku. Rozwiązanie te wiąże się jednak z koniecznością budowy systemu o dużej wydajności i dostępności. | ||
+ | Wyposażenie SOC lub LZR w kompetencje pozwalającą na izolowanie systemu lub jego części od cyberprzestrzeni w krytycznych przypadkach to pomysł wart uwagi. Czy przeprowadzono jednak odnośnie infrastruktury o krytycznym znaczeniu dla państwa badania odnośnie możliwości technicznej takiej izolacji oraz potencjalnego wpływu jaki wywarłaby na jej działanie? | ||
+ | |||
+ | W omawianym dokumencie wspomniano o problemach w ustalaniu progów wyzwolenia związanych z „ciemną liczbą” ataków. Pragniemy zwrócić uwagę, że równie wiele ataków pozostaje niezgłoszona choćby ze względu na utratę reputacji zaatakowanych organizacji. Należałoby naszym zdaniem wprowadzić rozwiązania prane obligujące dotknięte cyberatakiem organizacje do przekazywania odpowiednich informacji. | ||
+ | |||
+ | Uważamy, iż w oficjalnym dokumencie pisanym w języku polskim i przeznaczonym dla polskiego odbiorcy należy unikać zapożyczeń z języka angielskiego chyba że jest to niezbędne dla prawidłowego rozumienia. Wyraz „userfiendly” ma swój odpowiedni w języku polskim. | ||
+ | |||
+ | Omawiając aspekty prawne i finansowe (podrozdział 3.5), wspomina się o procesie weryfikacji producentów i stosowanych rozwiązań w ramach sieci teleinformatycznych organów administracji państwowej. Czy nie należałoby również włączyć w proponowane rozwiązanie jednostek samorządowych a nawet wszystkich organizacji infrastruktury krytycznej? W tym samym kontekście, w podrozdziale 4.5 Niezbędne zmiany kompetencyjne, organizacyjne i legislacyjne, na str 31 mówi się już o certyfikacji produktów informatycznych (sprzętu lub oprogramowania) stosowanych w systemach podmiotów sfery publicznej i w zainteresowanych podmiotach prywatnych. | ||
+ | |||
+ | W podrozdziale 4.1. Proponowany podział kompetencji i struktury, proponuje się wydzielenie w podmiotach realizujących zadania publiczne, komórek organizacyjnych, podległych bezpośrednio kierownikowi podmiotu, których zadaniem będzie organizacja i utrzymywanie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami zawartymi w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Prowadzone przez Polskie Towarzystwo Informatyczne badania dotyczące wdrożenia przytoczonego rozporządzenia w jednostkach samorządowych wykazały, iż tylko nieliczne z nich wdrożyły system zarządzania bezpieczeństwem informacji. Raport z badań, który jest obecnie w opracowaniu, zostanie przekazany do Ministerstwa Cyfryzacji w drugiej połowie marca 2016 roku. | ||
+ | Podrozdział 4.2. Organizacja systemu wczesnego ostrzegania i reagowania wspomina o dedykowanej stronie internetowej, zawierającej informacje o zagrożeniach, która powinna być również dla wszystkich użytkowników cyberprzestrzeni. Należy podkreślić zrozumiałość formy przekazu tych informacji. Obecnie dostępne statystyki systemu ARAKIS są dla przeciętnego internauty mało czytelne. | ||
+ | Niejasne jest kto będzie tworzył LZR. Nie widzimy możliwości aby w najbliższej przyszłości organizacje samorządowe poniżej szczebla powiatu były w stanie podołać temu zadaniu. Nie zauważyliśmy też aby w systemie ochrony cyberprzestrzeni jakąkolwiek rolę pełnili zwykli obywatele, którzy często znacznie szybciej doświadczają nieprawidłowości związanych z atakiem na instytucje publiczne. Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br /> | ||
+ | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 18:37, 6 mar 2016 (CET) |