Dyskusja:16-02.01: Różnice pomiędzy wersjami

Z WSTOIn
Skocz do: nawigacji, wyszukiwania
 
Linia 1: Linia 1:
Notatki do opinii.
+
== Notatki do opinii ==
  
 
Punkt 3.2 „System wczesnego ostrzegania i reagowania” przedstawia  założenia rozwiązań, będą przeznaczone do wykrywania zagrożeń sieciowych.  
 
Punkt 3.2 „System wczesnego ostrzegania i reagowania” przedstawia  założenia rozwiązań, będą przeznaczone do wykrywania zagrożeń sieciowych.  
 
# Jaki będzie  zakres monitorowania?
 
# Jaki będzie  zakres monitorowania?
 
# Kto będzie miał dostęp do danych?
 
# Kto będzie miał dostęp do danych?
# Jakie będą koszty systemu?
+
# Jakie będą koszty systemu?<br />
 +
''W dokumencie strategicznym takich elementów nie będzie, nie ten poziom ogólności. Możemy jednak zwrócić uwagę na zagrożenia'' --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)<br />
  
 
2.4. Podsumowanie
 
2.4. Podsumowanie
Linia 18: Linia 19:
  
 
Dlaczego monitorowanie jest wskazane jako pierwsze?
 
Dlaczego monitorowanie jest wskazane jako pierwsze?
Czy krajowy organ koordynujący ma być remedium?  
+
Czy krajowy organ koordynujący ma być remedium? <br />
 +
 
 +
''Żeby reagować najpierw trzeba zdiagnozować a monitoring jest elementem diagnostyki. Brakuje jednak większego nacisku na prewencję.''--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)<br />
 +
 
  
  
Linia 25: Linia 29:
 
# Spójna architektura bezpieczeństwa (w skali całego kraju) - czy kto o tym pomyślał?  
 
# Spójna architektura bezpieczeństwa (w skali całego kraju) - czy kto o tym pomyślał?  
 
# Dlaczego autorzy koncentrują się na reagowaniu na incydenty a nie na działaniach prewencyjnych?
 
# Dlaczego autorzy koncentrują się na reagowaniu na incydenty a nie na działaniach prewencyjnych?
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec?
+
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec?<br />
 +
''Wykorzystano statystyki z 2014 bo były opublikowane w 2015. Za 2015 jeszcze nie ma. Myślę że niezbyt istotne jest czy to statystyki Symanteca, Eset-a czy innej firmy. Na samych statystykach nie opiera się prezentowana koncepcja. Ma to być jedynie wstęp, wskazujący że problem istnieje. Możemy oczywiście zapytać czy nie można było się oprzeć na statystykach instytucji niekomercyjnych takich jak CERT, które powinny w domyśle posiadać bardziej obiektywne i adekwatne do polskich warunków statystyki.'' --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)
  
Bezpieczeństwo to proces a nie produkt.
+
Bezpieczeństwo to proces a nie produkt.<br />
 +
==========================================================================================<br />
 +
Generalnie dokument bardzo mi się podoba.<br />
 +
Str. 3 – nie wymieniono zjawiska Crime as a service<br />
 +
Str. 4 - odnośnie ryzyk brak jest też publikacji statystyk incydentów o które oprzeć można by analizę ryzyka<br />
 +
Str. 6 – w p. 1 dodałbym „w tym procedur ich zgłaszania. Zdarzyło mi się zgłosić incydent do Cert Nasku – bez reakcji, chciałem zgłosić do Cert rządowego ale formularz i konieczność jego szyfrowania skutecznie mnie zniechęcił
 +
W p. 3  Kategorii 1 dodałbym odbiór i oczyszczanie ścieków i nieczystości bytowych<br />
 +
Str. 7 – nie bardzo rozumiem kategorię 3 – jakiego systemu, w kategorii 5 też oczekiwałbym sprecyzowania jakich serwisów i usług dotyczy<br />
 +
Str. 11 lista punktowana – na pierwszym miejscu wstawiłbym „wykryj sprawdź i przekaż  informację o ataku….”<br />
 +
Str. 12 – izolowanie systemu – należy zbadać czy izolowanie takie jest obecnie możliwe oraz oszacować koszty i czas niezbędny do wdrożenia odpowiednich mechanizmów<br />
 +
Str. 17 – może zaproponować prawny obowiązek zgłaszania ataków („ciemne ataki”<br />
 +
Alternatywny system łączności należy pochwalić<br />
 +
Str. 20 „userfiendly” – czy naprawdę nie ma polskiego odpowiednika?<br />
 +
Str. 21czy weryfikacja producentów tylko dla jednostek państwowych? A co z samorządami i przedsiębiorstwami infrastruktury krytycznej? W tym samym kontekście na str 31 mówi się już o instytucjach publicznych<br />
 +
Str. 24 można sypnąć garścią wyników z badań KRI i zapowiedzieć przekazanie raportu w drugij połowie marca<br />
 +
Str. 25 Należy podkreślić konieczność prezentowania informacji o zagrożeniach w czytelnej formie. Statystyki ARAKIS nie dla każdego są czytelne<br />
 +
Uwagi generalne:<br />
 +
Niejasne jest kto będzie tworzył LZR, szczególnie w instytucjach publicznych. Czy wszystkich? Badania wskazują że samorządy nie są w stanie realizować zapisów KRI a co dopiero tworzyć LZR.<br />
 +
Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br />
 +
Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br />
 +
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)<br />
 +
===============================================<br />
 +
 
 +
== Projekt opinii ==
 +
 
 +
Polskie Towarzystwo Informatyczne w związku z zaopiniowaniem kolejnego programowego dokumentu Ministerstwa Cyfryzacji z satysfakcją ocenia fakt szerokich konsultacji takich materiałów.
 +
 
 +
W odniesieniu do dokumentu „Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” stwierdzamy co następuje.
 +
 
 +
Założenia przedstawiają analizę stanu obecnego zgodną z naszymi obserwacjami, szczególnie w zakresie rozproszenia organizacyjnego jak i ułomności prawa. Proponowane w dalszych częściach dokumentu rozwiązania organizacyjne i legislacyjne likwidujące wyspowy charakter działań w zakresie cyberbezpieczeństwa zdecydowanie popieramy.
 +
 
 +
Po rozważeniu przytoczonych statystyk z roku 2014 opublikowanych przez firmę Symantec i obrazujących wagę problemów cyberbezpieczeństwa uważamy, iż znacznie korzystniejszym  dla odbiorcy byłoby przedstawienie aktualnych statystyk dotyczących w większym zakresie naszego kraju, np. wykonanych przez CERT Polska.
 +
 
 +
Przy uwagach odnoszących się do powszechnej dostępności narzędzia umożliwiającego tworzenie oprogramowania złośliwego zabrakło nam krótkiego omówienia zjawiska „przestępstwo jako usługa” (crime as a service), które pozwala na zakup dedykowanego szkodliwego oprogramowania czy też usługi blokowania konkretnych usług sieciowych.
 +
 
 +
W opiniowanym dokumencie słusznie podkreślono znaczenie analizy ryzyka oraz zauważono brak spójności w ich szacowaniu. Pragniemy zwrócić uwagę, iż brak jest też publikacji odpowiednich statystyk incydentów, na podstawie których można by szacować ryzyko zagrożeń.
 +
 
 +
W głównych założeniach budowy systemu ochrony cyberprzestrzeni RP na str. 6, w punkcie 1 umieszczono warunek „wypracowanie konkretnych struktur organizacyjnych odpowiedzialnych za obsługę incydentów”. Uważamy, że należałoby uzupełnić go o następujący fragment „w tym procedur ich zgłaszania”. Zdarzało się, że zgłoszony incydent do CERT Polska nie wywołał żadnej reakcji, zaś procedura zgłaszania incydentu do Rządowego Zespołu Reagowania na Incydenty Komputerowe ze względu na niejasny formularz oraz konieczność szyfrowania skutecznie zniechęcała do jej stosowania.
 +
 
 +
Kategorię 1 z punktu 3 według nas należy uzupełnić o sektor odpowiedzialny za odpady i nieczystości. Kategoria 3 jak i 5 wymaga naszym zdaniem doprecyzowania o jaki system teleinformatyczny, serwis czy usługę chodzi.
 +
 
 +
Za podstawą skutecznego zwalczania cyberataku przyjęto łańcuch wyszczególnionych na stronie 11 działań. Proponujemy zmianę ich kolejności, tak aby bezpośrednio po wykryciu ataku następowało przekazanie informacji o nim w systemie powiadamiania. Nawet jeśli informacja ta została już wcześniej wprowadzona, to kolejna będzie wskazywała na zakres i zasięg ataku. Rozwiązanie te wiąże się jednak z koniecznością budowy systemu o dużej wydajności i dostępności. Wyposażenie SOC lub LZR w kompetencje pozwalającą na izolowanie systemu lub jego części od cyberprzestrzeni w krytycznych przypadkach to pomysł wart uwagi. W związku z tym uważamy, że końcowy dokument założeń powinien zawierać odniesienie do kwestii możliwości technicznych i wpływu obciążeniowego izolacji na infrastrukturę, np. jako stwierdzenie o konieczności przeprowadzenia dla infrastruktury o krytycznym znaczeniu dla państwa badania możliwości technicznej takiej izolacji oraz potencjalnego wpływu jaki wywarłaby taka izolacja na działanie tej infrastruktury. 
 +
 
 +
W omawianym dokumencie wspomniano o problemach w ustalaniu progów wyzwolenia (uruchomienia) procedur i związanych z „ciemną liczbą” ataków. Pragniemy zwrócić uwagę, że równie wiele ataków pozostaje niezgłoszona choćby ze względu na chęć utrzymywania dzięki temu reputacji zaatakowanych organizacji. Należałoby naszym zdaniem rozważyć wprowadzenia dla jednostek administracji publicznej oraz innych organizacji istotnych dla cyberbezpieczeństwa państwa obowiązku prowadzenia jawnego rejestru incydentów cyberbezpieczeństwa, zawierającego na właściwym poziomie ogólności informacje m.in. o wykorzystanej podatności, jej przyczynach, skutkach i sposobach ich usunięcia oraz podjętych/zaplanowanych działaniach zapobiegawczych/naprawczych. Jest to konstrukcja zbieżna (poza jawnością) z wymaganiem p. A.16 ''Zarządzanie incydentami związanymi z bezpieczeństwem informacji'' załącznika do normy ISO 27001, wskazywanej jako referencyjna w założeniach. Konstrukcja taka według nas jest prosta do wdrożenia i może być wstępem do wdrożenia normy  27001 w całości, choć oczywiście wymóg jawności rejestru niewątpliwie byłby dla jednostek administracji jego cechą kłopotliwą. Jednocześnie byłby bodźcem do wyegzekwowania w administracji wymagań wskazanego dalej rozporządzenia RM z 12 kwietnia 2012 r., które generalnie nie jest respektowane.
 +
 
 +
Omawiając aspekty prawne i finansowe (podrozdział 3.5), wspomina się o procesie weryfikacji producentów i stosowanych rozwiązań w ramach sieci teleinformatycznych organów administracji państwowej. Uważamy, iż należy włączyć w proponowane rozwiązanie jednostki samorządowe, a nawet wszystkie organizacje infrastruktury krytycznej.  Jest to zasadne, gdyż w tym samym kontekście, w podrozdziale 4.5 ''Niezbędne zmiany kompetencyjne, organizacyjne i legislacyjne'' na str. 31 mówi się już o certyfikacji produktów informatycznych (sprzętu lub oprogramowania) stosowanych w systemach podmiotów sfery publicznej i w zainteresowanych podmiotach prywatnych.
 +
 
 +
Podrozdział 4.1 ''Proponowany podział kompetencji i struktury'' określa wymóg wydzielenia w podmiotach realizujących zadania publiczne komórek organizacyjnych  podległych bezpośrednio kierownikowi podmiotu, których zadaniem będzie organizacja i utrzymywanie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami zawartymi w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Oznacza to m.in., co zresztą jest też podkreślane w innych miejscach założeń, wdrażanie wymagań norm ISO serii 27000. Podejście takie zdecydowanie popieramy pomimo tego, że respektowanie w administracji tego rozporządzenia jest znikome i jeszcze oczekuje na dobre zmiany. Prowadzone przez Polskie Towarzystwo Informatyczne badania dotyczące wdrożenia przytoczonego rozporządzenia w jednostkach samorządowych wykazały, iż tylko nieliczne z nich wdrożyły system zarządzania bezpieczeństwem informacji. Raport ze wspomnianych badań, obecnie w opracowaniu, zostanie przekazany do Ministerstwa Cyfryzacji w drugiej połowie marca 2016 roku.
 +
 
 +
Podrozdział 4.2 ''Organizacja systemu wczesnego ostrzegania i reagowania'' wspomina o dedykowanej stronie internetowej, zawierającej informacje o zagrożeniach, która powinna być dostępna również dla wszystkich użytkowników cyberprzestrzeni. Popierając takie oczywiste rozwiązanie podkreślamy konieczność zapewnienia zrozumiałości formy przekazu tych informacji, gdyż np. obecnie dostępne statystyki systemu ARAKIS są dla przeciętnego internauty mało czytelne.
 +
 
 +
W odniesieniu do przewidzianych przez założenia tworzenia komórek Lokalny Zespół Reagowania stwierdzamy, iż niejasne jest kto będzie je powoływał, więc należy to doprecyzować. Ze swej strony nie widzimy możliwości aby w najbliższej przyszłości organizacje samorządowe poniżej szczebla powiatu były w stanie podołać temu zadaniu.
 +
 
 +
Według naszej opinii w systemie ochrony cyberprzestrzeni nie przewidziano jakiejkolwiek roli zwykłych obywatele, w tym hakerów (rozumianych jako pasjonatów komputerowych), którzy często znacznie szybciej doświadczają lub wykrywają nieprawidłowości związane z atakiem na instytucje publiczne. Z tego względu powinien być utworzony obywatelski centralny punkt zgłaszania odkrytych podatności.
 +
 
 +
W zakończeniu naszej opinii zwracamy uwagę na wartą podkreślenia troskę o polską terminologię w dokumencie państwowym i maksymalnie szerokie stosowanie w opiniowanym dokumencie założeń polskich określeń zamiast literalnych angielskich, co spełnia też pozytywną dla języka ojczystego rolę słowotwórczości normatywnej. Oczywiście zdajemy sobie sprawę z trudnością takiego podejścia, zwłaszcza dla określeń najnowszych, więc tym bardziej jest to godne poparcia. Dlatego też proponujemy, aby odważniej porzucać określenia połowicznie polskie, czyli „mail” i stosować określenia „mejl”, jak też używać określenia „program złośliwy” zamiast „malware” i „użytkowniko-przyjazny” zamiast „userfriendly”.
 +
 
 +
<br />
 +
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 18:37, 6 mar 2016 (CET)<br>
 +
--[[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 23:14, 7 mar 2016 (CET)

Aktualna wersja na dzień 06:32, 8 mar 2016