Dyskusja:16-02.01: Różnice pomiędzy wersjami

Z WSTOIn
Skocz do: nawigacji, wyszukiwania
(redakcja i uzupełnienie)
Linia 1: Linia 1:
Notatki do opinii.
+
== Notatki do opinii ==
  
 
Punkt 3.2 „System wczesnego ostrzegania i reagowania” przedstawia  założenia rozwiązań, będą przeznaczone do wykrywania zagrożeń sieciowych.  
 
Punkt 3.2 „System wczesnego ostrzegania i reagowania” przedstawia  założenia rozwiązań, będą przeznaczone do wykrywania zagrożeń sieciowych.  
Linia 54: Linia 54:
 
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)<br />
 
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)<br />
 
===============================================<br />
 
===============================================<br />
Polskie Towarzystwo Informatyczne z głęboką satysfakcją przyjmuje chęć szerokich konsultacji programów strategicznych Ministerstwa Cyfryzacji. Dokument „Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” przedstawia analizę stanu obecnego zgodną z naszymi obserwacjami, szczególnie w zakresie rozproszenia organizacyjnego jak i ułomności prawa.
+
 
We wstępie, celem zobrazowania problemu, przytoczono statystyki z roku 2014 opublikowane przez firmę Symantec. W naszej opinii znacznie korzystniej dla odbiorcy byłoby przedstawienie, aktualnych statystyk dotyczących w większym zakresie naszego kraju np. wykonanych przez Cert Polska. Przy uwagach odnoszących się do powszechnej dostępności narzędzia umożliwiającego tworzenie oprogramowania złośliwego przez osoby, które w praktyce nie mają żadnego przygotowania programistycznego zabrakło nam krótkiego omówienia zjawiska „Crime as a service”, które pozwala na zakup dedykowanego szkodliwego oprogramowania czy też usługi blokowania konkretnych usług sieciowych.
+
== Projekt opinii ==
 +
 
 +
Polskie Towarzystwo Informatyczne w związku z zaopiniowaniem kolejnego programowego dokumentu Ministerstwa Cyfryzacji z satysfakcją ocenia fakt szerokich konsultacji takich materiałów.  
 +
 
 +
W odniesieniu do dokumentu „Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” stwierdzamy co następuje.
 +
 
 +
Założenia przedstawiają analizę stanu obecnego zgodną z naszymi obserwacjami, szczególnie w zakresie rozproszenia organizacyjnego jak i ułomności prawa. Proponowane w dalszych częściach dokumentu rozwiązania organizacyjne i legislacyjne likwidujące wyspowy charakter działań w zakresie cyberbezpieczeństwa zdecydowanie popieramy.  
 +
 
 +
Po rozważeniu przytoczonych statystyk z roku 2014 opublikowanych przez firmę Symantec i obrazujących wagę problemów cyberbezpieczeństwa uważamy, iż znacznie korzystniejszym  dla odbiorcy byłoby przedstawienie aktualnych statystyk dotyczących w większym zakresie naszego kraju, np. wykonanych przez CERT Polska.  
 +
 
 +
Przy uwagach odnoszących się do powszechnej dostępności narzędzia umożliwiającego tworzenie oprogramowania złośliwego zabrakło nam krótkiego omówienia zjawiska „przestępstwo jako usługa” (crime as a service), które pozwala na zakup dedykowanego szkodliwego oprogramowania czy też usługi blokowania konkretnych usług sieciowych.  
 +
 
 
W opiniowanym dokumencie słusznie podkreślono znaczenie analizy ryzyka oraz zauważono brak spójności w ich szacowaniu. Pragniemy zwrócić uwagę, iż brak jest też publikacji odpowiednich statystyk incydentów, na podstawie których można by szacować ryzyko zagrożeń.  
 
W opiniowanym dokumencie słusznie podkreślono znaczenie analizy ryzyka oraz zauważono brak spójności w ich szacowaniu. Pragniemy zwrócić uwagę, iż brak jest też publikacji odpowiednich statystyk incydentów, na podstawie których można by szacować ryzyko zagrożeń.  
W głównych założeniach budowy systemu ochrony cyberprzestrzeni RP na str. 6, w punkcie 1 umieszczono warunek „wypracowanie konkretnych struktur organizacyjnych odpowiedzialnych za obsługę incydentów”. Uważamy, że należałoby uzupełnić go o następujący fragment „w tym procedur ich zgłaszania”. Zdarzało się, iż, zgłoszony incydent do Cert Polska nie wywołał żadnej reakcji, zaś procedura zgłaszania incydentu do Rządowego Zespołu Reagowania na Incydenty Komputerowe ze względu na niejasny formularz oraz konieczność szyfrowania skutecznie zniechęca skutecznie zniechęca do jej stosowania. Kategorię 1 z punktu 3, uzupełnilibyśmy o sektor odpowiedzialny za odpady i nieczystości. Kategoria 3 jak i 5 wymaga naszym zdaniem doprecyzowania, o jaki system teleinformatyczny, serwis czy usługę chodzi.
 
Za podstawą skutecznego zwalczania cyberataku przyjęto łańcuch wyszczególnionych na stronie 11 działań. Proponujemy zmianę ich kolejności, tak aby bezpośrednio po wykryciu ataku, następowało przekazanie informacji o nim w systemie powiadamiania. Nawet jeśli informacja ta została już wcześniej wprowadzona, to kolejna będzie wskazywała na zakres i zasięg ataku. Rozwiązanie te wiąże się jednak z koniecznością budowy systemu o dużej wydajności i dostępności.
 
Wyposażenie SOC lub LZR w kompetencje pozwalającą na izolowanie systemu lub jego części od cyberprzestrzeni w krytycznych przypadkach to pomysł wart uwagi. Czy przeprowadzono jednak odnośnie infrastruktury o krytycznym znaczeniu dla państwa badania odnośnie możliwości technicznej takiej izolacji oraz potencjalnego wpływu jaki wywarłaby na jej działanie?
 
  
W omawianym dokumencie wspomniano o problemach w ustalaniu progów wyzwolenia związanych z „ciemną liczbą” ataków. Pragniemy zwrócić uwagę, że równie wiele ataków pozostaje niezgłoszona choćby ze względu na utratę reputacji zaatakowanych organizacji. Należałoby naszym zdaniem wprowadzić rozwiązania prane obligujące dotknięte cyberatakiem organizacje do przekazywania odpowiednich informacji.
+
W głównych założeniach budowy systemu ochrony cyberprzestrzeni RP na str. 6, w punkcie 1 umieszczono warunek „wypracowanie konkretnych struktur organizacyjnych odpowiedzialnych za obsługę incydentów”. Uważamy, że należałoby uzupełnić go o następujący fragment „w tym procedur ich zgłaszania”. Zdarzało się, że zgłoszony incydent do CERT Polska nie wywołał żadnej reakcji, zaś procedura zgłaszania incydentu do Rządowego Zespołu Reagowania na Incydenty Komputerowe ze względu na niejasny formularz oraz konieczność szyfrowania skutecznie zniechęcała skutecznie zniechęcała do jej stosowania.  
  
Uważamy, iż w oficjalnym dokumencie pisanym w języku polskim i przeznaczonym dla polskiego odbiorcy należy unikać zapożyczeń z języka angielskiego chyba że jest to niezbędne dla prawidłowego rozumienia. Wyraz „userfiendly” ma swój odpowiedni w języku polskim.
+
Kategorię 1 z punktu 3 według nas należy uzupełnić o sektor odpowiedzialny za odpady i nieczystości. Kategoria 3 jak i 5 wymaga naszym zdaniem doprecyzowania o jaki system teleinformatyczny, serwis czy usługę chodzi.  
  
Omawiając aspekty prawne i finansowe (podrozdział 3.5), wspomina się o procesie weryfikacji producentów i stosowanych rozwiązań w ramach sieci teleinformatycznych organów administracji państwowej. Czy nie należałoby również włączyć w proponowane rozwiązanie jednostek samorządowych a nawet wszystkich organizacji infrastruktury krytycznej? W tym samym kontekście, w podrozdziale 4.5 Niezbędne zmiany kompetencyjne, organizacyjne i legislacyjne, na str 31 mówi się już o certyfikacji produktów informatycznych (sprzętu lub oprogramowania) stosowanych w systemach podmiotów sfery publicznej i w zainteresowanych podmiotach prywatnych.  
+
Za podstawą skutecznego zwalczania cyberataku przyjęto łańcuch wyszczególnionych na stronie 11 działań. Proponujemy zmianę ich kolejności, tak aby bezpośrednio po wykryciu ataku następowało przekazanie informacji o nim w systemie powiadamiania. Nawet jeśli informacja ta została już wcześniej wprowadzona, to kolejna będzie wskazywała na zakres i zasięg ataku. Rozwiązanie te wiąże się jednak z koniecznością budowy systemu o dużej wydajności i dostępności. Wyposażenie SOC lub LZR w kompetencje pozwalającą na izolowanie systemu lub jego części od cyberprzestrzeni w krytycznych przypadkach to pomysł wart uwagi. W związku z tym uważamy, że końcowy dokument założeń powinien zawierać odniesienie do kwestii możliwości technicznych i wpływu obciążeniowego izolacji na infrastrukturę, np. jako stwierdzenie o konieczności przeprowadzenia dla infrastruktury o krytycznym znaczeniu dla państwa badania możliwości technicznej takiej izolacji oraz potencjalnego wpływu jaki wywarłaby taka izolacja na działanie tej infrastruktury.  
  
W podrozdziale 4.1. Proponowany podział kompetencji i struktury, proponuje się wydzielenie w podmiotach realizujących zadania publiczne, komórek organizacyjnych, podległych bezpośrednio kierownikowi podmiotu, których zadaniem będzie organizacja i utrzymywanie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami zawartymi w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Prowadzone przez Polskie Towarzystwo Informatyczne badania dotyczące wdrożenia przytoczonego rozporządzenia w jednostkach samorządowych wykazały, iż tylko nieliczne z nich wdrożyły system zarządzania bezpieczeństwem informacji. Raport z badań, który jest obecnie w opracowaniu, zostanie przekazany do Ministerstwa Cyfryzacji w drugiej połowie marca 2016 roku.  
+
W omawianym dokumencie wspomniano o problemach w ustalaniu progów wyzwolenia (uruchomienia) procedur i związanych z „ciemną liczbą” ataków. Pragniemy zwrócić uwagę, że równie wiele ataków pozostaje niezgłoszona choćby ze względu na chęć utrzymywania dzięki temu reputacji zaatakowanych organizacji. Należałoby naszym zdaniem rozważyć wprowadzenia dla jednostek administracji publicznej oraz innych organizacji istotnych dla cyberbezpieczeństwa państwa obowiązku prowadzenia jawnego rejestru incydentów cyberbezpieczeństwa, zawierającego na właściwym poziomie ogólności informacje m.in. o wykorzystanej podatności, jej przyczynach, skutkach i sposobach ich usunięcia oraz podjętych/zaplanowanych działaniach zapobiegawczych/naprawczych. Jest to konstrukcja zbieżna (poza jawnością) z wymaganiem p. A.16 ''Zarządzanie incydentami związanymi z bezpieczeństwem informacji'' załącznika do normy ISO 27001, wskazywanej jako referencyjna w założeniach. Konstrukcja taka według nas jest prosta do wdrożenia i może być wstępem do wdrożenia normy  27001 w całości, choć oczywiście wymóg jawności rejestru niewątpliwie byłby dla jednostek administracji jego cechą kłopotliwą. Jednocześnie byłby bodźcem do wyegzekwowania w administracji wymagań wskazanego dalej rozporządzenia RM z 12 kwietnia 2012 r., które generalnie nie jest respektowane.
Podrozdział 4.2. Organizacja systemu wczesnego ostrzegania i reagowania wspomina o dedykowanej stronie internetowej, zawierającej informacje o zagrożeniach, która powinna być również dla wszystkich użytkowników cyberprzestrzeni. Należy podkreślić zrozumiałość formy przekazu tych informacji. Obecnie dostępne statystyki systemu ARAKIS są dla przeciętnego internauty mało czytelne.
+
 
Niejasne jest kto będzie tworzył LZR. Nie widzimy możliwości aby w najbliższej przyszłości organizacje samorządowe poniżej szczebla powiatu były w stanie podołać temu zadaniu. Nie zauważyliśmy też aby w systemie ochrony cyberprzestrzeni jakąkolwiek rolę pełnili zwykli obywatele, którzy często znacznie szybciej doświadczają nieprawidłowości związanych z atakiem na instytucje publiczne. Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br />
+
Omawiając aspekty prawne i finansowe (podrozdział 3.5), wspomina się o procesie weryfikacji producentów i stosowanych rozwiązań w ramach sieci teleinformatycznych organów administracji państwowej. Uważamy, iż należy włączyć w proponowane rozwiązanie jednostki samorządowe, a nawet wszystkie organizacje infrastruktury krytycznej.  Jest to zasadne, gdyż w tym samym kontekście, w podrozdziale 4.5 ''Niezbędne zmiany kompetencyjne, organizacyjne i legislacyjne'' na str. 31 mówi się już o certyfikacji produktów informatycznych (sprzętu lub oprogramowania) stosowanych w systemach podmiotów sfery publicznej i w zainteresowanych podmiotach prywatnych.
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 18:37, 6 mar 2016 (CET)
+
 
 +
Podrozdział 4.1 ''Proponowany podział kompetencji i struktury'' określa wymóg wydzielenia w podmiotach realizujących zadania publiczne komórek organizacyjnych podległych bezpośrednio kierownikowi podmiotu, których zadaniem będzie organizacja i utrzymywanie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami zawartymi w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Oznacza to m.in., co zresztą jest też podkreślane w innych miejscach założeń, wdrażanie wymagań norm ISO serii 27000. Podejście takie zdecydowanie popieramy pomimo tego, że respektowanie w administracji tego rozporządzenia jest znikome i jeszcze oczekuje na dobre zmiany. Prowadzone przez Polskie Towarzystwo Informatyczne badania dotyczące wdrożenia przytoczonego rozporządzenia w jednostkach samorządowych wykazały, iż tylko nieliczne z nich wdrożyły system zarządzania bezpieczeństwem informacji. Raport ze wspomnianych badań, obecnie w opracowaniu, zostanie przekazany do Ministerstwa Cyfryzacji w drugiej połowie marca 2016 roku.  
 +
 
 +
Podrozdział 4.2 ''Organizacja systemu wczesnego ostrzegania i reagowania'' wspomina o dedykowanej stronie internetowej, zawierającej informacje o zagrożeniach, która powinna być dostępna również dla wszystkich użytkowników cyberprzestrzeni. Popierając takie oczywiste rozwiązanie podkreślamy konieczność zapewnienia zrozumiałości formy przekazu tych informacji, gdyż np. obecnie dostępne statystyki systemu ARAKIS są dla przeciętnego internauty mało czytelne.  
 +
 
 +
W odniesieniu do przewidzianych przez założenia tworzenia komórek Lokalny Zespół Reagowania stwierdzamy, iż niejasne jest kto będzie je powoływał, więc należy to doprecyzować. Ze swej strony nie widzimy możliwości aby w najbliższej przyszłości organizacje samorządowe poniżej szczebla powiatu były w stanie podołać temu zadaniu.
 +
 
 +
Według naszej opinii w systemie ochrony cyberprzestrzeni nie przewidziano jakiejkolwiek roli zwykłych obywatele, w tym hakerów (rozumianych jako pasjonatów komputerowych), którzy często znacznie szybciej doświadczają lub wykrywają nieprawidłowości związane z atakiem na instytucje publiczne. Z tego względu powinien być utworzony obywatelski centralny punkt zgłaszania odkrytych podatności.
 +
 
 +
W zakończeniu naszej opinii zwracamy uwagę na wartą podkreślenia troskę o polską terminologię w dokumencie państwowym i maksymalnie szerokie stosowanie w opiniowanym dokumencie założeń polskich określeń zamiast literalnych angielskich, co spełnia też pozytywną dla języka ojczystego rolę słowotwórczości normatywnej. Oczywiście zdajemy sobie sprawę z trudnością takiego podejścia, zwłaszcza dla określeń najnowszych, więc tym bardziej jest to godne poparcia. Dlatego też proponujemy, aby odważniej porzucać określenia połowicznie polskie, czyli „mail” i stosować określenia „mejl”, jak też używać określenia „program złośliwy” zamiast „malware” i „użytkowniko-przyjazny” zamiast „userfriendly”.
 +
 
 +
<br />
 +
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 18:37, 6 mar 2016 (CET)<br>
 +
--[[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 23:14, 7 mar 2016 (CET)

Wersja z 22:14, 7 mar 2016