RELACJA 2017

Fundamenty cyberbezpieczeństwa: współdziałanie sektorowe i wymiana informacji

Budowa krajowego systemu cyberbezpieczeństwa w Polsce oraz rola, jaką mają do odegrania tutaj jednostki administracji publicznej, stanowiły centrum dyskursu trzeciej edycji konferencji CyberGOV. Przedstawiciele sektora publicznego debatowali o kluczowych zagrożeniach a także możliwościach postepowania i obowiązkach poszczególnych instytucji w przypadku wykrycia naruszenia bezpieczeństwa. Przypadkowo ciekawy kontekst dla konferencji stworzył mający miejsce kilka dni wcześniej atak ransomware WannaCry, który zainfekował – według danych Europolu – ponad 200 tys. komputerów w 150 krajach.

Na początku mają br. rząd przyjął strategię cyberbezpieczeństwa. Obecnie pod kierunkiem Ministra Cyfryzacji trwają prace grupy roboczej składającej się z przedstawicieli organów administracji rządowej nad opracowaniem planu działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

„Przygotowywany jest katalog przedsięwzięć, które są niezbędne do zrealizowania przez poszczególne podmioty po to, żeby strategia rzeczywiście przyniosła oczekiwane rezultaty. Ten katalog jest obecnie na ukończeniu. Oczywiście z tymi działaniami wiążą się w kolejnym kroku odpowiednie inwestycje. Dlatego kolejnym krokiem będzie wspólne przekonanie Rady Ministrów do zaakceptowania wykazu przedsięwzięci i zaplanowania odpowiednich środków” – mówił otwierając konferencję Karol Okoński, Podsekretarz stanu w Ministerstwie Cyfryzacji.

Jednocześnie Karol Okoński zwracał uwagę, że w obliczu takich zagrożeń jak WannaCry, administracja publiczna nie może działać w pojedynkę. Dlatego będzie stawiać na współpracę i wymianę informacji w różnych obszarach i płaszczyznach. Ministerstwo chce współdziałać z biznesem w ramach Partnerstwa Publiczno-Prywatnego. Działania w tym obszarze podejmuje już Narodowe Centrum Cyberbezpieczeństwa działające przy NASK, które ma pełnić funkcję hubu informacyjnego. Niezwykle istotna jest także współpraca pomiędzy sektorem cywilnym a wojskowym a także na polu europejskim.

„Ostatecznie powinniśmy do tego dążyć, żeby wymieniać skutecznie informacje we wszystkich tych płaszczyznach. Cel jest jeden i oczywisty: zapewnienie obywatelom i instytucjom bezpieczeństwa a także podniesienie poczucia tego bezpieczeństwa” – podsumowywał Karol Okoński.

Systemy wymiany i zbierania informacji

O realizacji planów, konkretnych działaniach i architekturze systemów opowiedział natomiast Piotr Januszewicz, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Mówił przede wszystkim o budowanym Zintegrowanym Systemie Bieżącego Zarządzania Bezpieczeństwem Cyberprzestrzeni, który ma wspomagać podejmowanie kluczowych decyzji, dzięki temu, że pozwoli na wizualizację bezpieczeństwa, dynamiczną i statyczną ocenę ryzyka, korelowanie zdarzeń oraz zarządzanie dokumentami. Opowiadał również o Rządowym Klastrze Bezpieczeństwa, Krajowym Systemie Oceny i Certyfikacji, systemie łączności na potrzeby Systemu Kierowania Bezpieczeństwem Narodowym.

Odnosił się także do wyzwaniach legislacyjnych i edukacyjnych. Musimy przygotować się na niedobory w zakresie ekspertów ds. cyberbezpieczeństwa. „Szacunki pokazują, że w Europie będzie ich brakować od 800 tys. do miliona. Nie oszacowaliśmy jeszcze dokładnie, ilu ludzi będzie brakować w Polsce” – mówił Piotr Januszewicz. „Wiemy, że ludzie wykształceni w przygotowywanym przez nas systemie będą odchodzili. Chcemy jednak by zostawali w administracji publicznej minimum przez kilka lat” – dodawał Piotr Januszewicz.

Duże zainteresowanie wzbudziło wystąpienie Pawła Nogowicza, reprezentującego Polskie Towarzystwo Informatyczne, który piętnował typowe błędy w podejściu do cyberbezpieczeństwa i przedstawiał pozytywne rekomendacje. Prezentując „krajobraz zagrożeń”, pokazując rodzaje incydentów, których liczba spada a których rośnie, opisując ewolucję zagrożeń w najbliższej przyszłości, podkreślał jednocześnie, że w Polsce większość incydentów nie jest zgłaszana. Przyczyn obecnego stanu rzeczy dopatrywał się głównie w mentalności, ale także w złych wyborach technologicznych i nieprzemyślanych wdrożeniach a także braku edukacji. „Potrzebna jest restrykcyjna polityka bezpieczeństwa egzekwowana na poziomie regulaminów, procedur oraz technologii IT” – podsumowywał Paweł Nogowicz.

Tradycyjnie już CyberGOV to dobra okazja dla przedstawicieli administracji publicznej do zapoznania się z podejściem do zagadnień związanych z cyberbezpieczeństwem za granicą. O priorytetach USA w tym obszarze mówił prof. Trey Herr z Belfer Center for Science and International Affairs działającego w ramach Harvard Kennedy School, współpracujący z władzami USA, podkreślając znaczenie niedawnego executive order wydanego przez Prezydenta Donalda Trumpa. „Priorytetami USA są działania w zakresie poprawy bezpieczeństwa infrastruktury krytycznej, synergia działania agencji NSA oraz wojskowego CYBERCOM oraz modernizacja rządowych systemów IT” – mówił Trey Herr. W zakresie globalnej polityki cyberbezpieczeństwa podkreślał, że administracja amerykańska stawia na współdzielenie obciążeń z swoimi sojusznikami.

Prowokacyjne pytanie postawił Sven Sakkov, dyrektor Centrum Doskonalenia Obrony przed Cyberatakami (CCDCOE) NATO z Estonii: Czy czeka nas cyberwojna? Jego zdaniem działania w cyberprzestrzeni z pewnością będą integralnym elementem prowadzonych działań wojennych. Nie widać bowiem powodów, dla których państwa w stanie wojny miałyby wyłączyć ten obszar z prowadzonych działań. Sven Sakkov mówił także o przenikaniu obszaru działań militarnych w cyberprzestrzeni z obszarem cywilnym, wojnie informacyjnej oraz możliwości wpływania przez inne państwa na sytuację społeczno-polityczną.

Bezpieczeństwo papierowe i realne niebezpieczeństwa

Podczas CyberGOV 2017 odbyły się dwie debaty panelowe. Najpierw przedstawiciele różnych jednostek publicznych rozmawiali o cyberzagrożeniach dla urzędów i instytucji, alokowaniu środków oraz strategicznych obszarach działań. Uczestnicy dyskusji zgadzali się co do złudnego poczucia bezpieczeństwa, jakie daje tworzenie dokumentów zawierających politykę bezpieczeństwa w ramach danej organizacji, jeśli nie idą za tym praktyczne działania a samej polityki regularnie nie poddaje się testowaniu. „Nie można tworzyć polityki bezpieczeństwa po to, żeby nie przyczepił się NIK. Ostatecznym celem jest zwiększenie bezpieczeństwa. W ramach Narodowego Programu Ochrony Infrastruktury Krytycznej wymuszamy na kilkuset instytucjach, żeby w swoich planach ciągłości działania uwzględniały bezpieczeństwo teleinformatyczne” – mówił podczas debaty dr Krzysztof Malesa, Zastępca Dyrektora w Rządowym Centrum Bezpieczeństwa.

Podczas drugiej debaty przedstawiciele NC Cyber, Policji oraz Prokuratury rozmawiali o tym jak cyberbezpieczeństwo wygląda w praktyce, m.in. jak dostosowują się do tego, żeby zwiększyć szybkość reagowania na zgłoszenia o incydentach. „Dostosowujemy strukturę Policji do zagrożeń. Pod koniec 2016 r. powstało w Komendzie Głównej odrębne biuro, które na bieżąco zajmuje się najbardziej poważnymi cyberprzestępstwami. Wcześniej, bo już w 2013 roku odpowiednie struktury powstały na szczeblu wojewódzkim. Jesteśmy na drodze, do tego, żeby skutecznie działać. Niemniej konieczne jest także przeformułowanie istniejących regulacji prawnych. Szczegółowych zmian, które trzeba dokonać jest naprawdę wiele” – mówił nadkomisarz Jarosław Cholewiński, Naczelnik Wydziału Operacyjnego Biura do Walki z Cyberprzestępczością Komendy Głównej Policji.

Kwestia odpowiedzialności

Księgowa, która przebywała na urlopie macierzyńskim dostaje pilny e-mail, wyglądający na wysłany przez dyrektora. Z treści korespondencji wynika, że musi ona wykonać natychmiastowy przelew za granicę na kwotę 80 tys. euro. Oczywiście jest to próba wyłudzenia pieniędzy przez cyberprzestępców i pracownik, pomimo, że przebywa na urlopie i nie ma aktywnego dostępu do systemu księgowego, natychmiast informuje o ataku instytucję, w której pracuje. Takich incydentów będzie z czasem będzie przybywać, a ich formy będą coraz bardziej wyrafinowane i skuteczniejsze. W ilu przypadkach pracownikom zabraknie czujności i doświadczenia, żeby prawidłowo postąpić?

Historię tę przytoczyła dr hab. Katarzyna Chałubińska-Jentkiewicz, zastępca dyrektora w Narodowym Instytucie Audiowizualnym, ilustrując nią swój wykład na temat odpowiedzialności za naruszenia bezpieczeństwa i wyciek danych w instytucji publicznej.

Zdaniem dr Katarzyny Chałubińskiej-Jentkiewicz istotne problemy wiążące się z odpowiedzialności za zaniedbania w dziedzinie bezpieczeństwa łączą się z coraz powszechniej stosowaną koncepcją Bring Your Own Device (BYOD). „Kto powinien decydować o tym czy wirus komputerowy na urządzeniu pracownika to jego sprawa osobista, czy też problem zatrudniającej go instytucji, w przypadku gdy sprzęt zgodnie z umową jest użytkowany także w domu w celach prywatnych. Czy blokując komputer użytkownika lub usuwając z niego pewne dane nie wchodzimy w przestrzeń prywatną? Odpowiedzi na te pytania są trudne” – zauważa doktor hab. Katarzyna Chałubińska-Jentkiewicz.

Prelegentka zwróciła również uwagę na istotny problem związany z jurysdykcją. Sprawy cyberprzestępczości pomimo, że w większości przypadków zgłaszane na policję, są praktycznie zawsze umarzane przez prokuraturę. Wynika to z faktu, że cyberprzestępcy niezwykle rzadko działają z kraju, w którym dokonywane jest przestępstwo, a ponieważ zgodnie z umowami międzynarodowymi obowiązuje jurysdykcja terytorialna, czyli przestępstwo ścigane jest na terytorium, na którym zostało ono dokonane, to postępowanie kończy się zwykle umorzeniem przez prokuraturę w Polsce, bowiem nasze organy ścigania mają małe możliwości ustalenia tożsamości i ujęcia przestępców za granicą.

Polska zieloną wyspą?

Jakub Syta, Dyrektor Biura Zarządzanych Usług Bezpieczeństwa w Exatel, swoje wystąpienie rozpoczął od skomentowania ostatnich ataków wirusa Ransomware wyłudzającego okup od zaatakowanych organizacji państwowych i prywatnych na całym świecie. Atak dotyczył zarówno wielkich jak i małych instytucji: szpitali, urzędów państwowych, szkół, uniwersytetów, przedsiębiorstw państwowych i prywatnych. Polskie instytucje nie ucierpiały na tym ataku w ogóle, pomimo, że liczba aktywnych urządzeń podatnych na zagrożenie wysoce uprawdopodabniała taką możliwość. Według danych dostępnych w chwili powstawania tego artykułu na całym świecie zaatakowanych zostało 226 tys. komputerów. Na czele listy znajdują się takie kraje jak Federacja Rosyjska (ponad 70 tys. zarażonych urządzeń), Ukraina, Indie i Tajwan. Polska okazała się być zieloną wyspą na mapie ataków wykonanych przez cyberprzestępców. „Nie wyciągałbym z tego faktu żadnych wniosków. Szczególnie przestrzegałbym przed tezą, że jesteśmy bezpieczni i nic nam nie grozi ze strony cyberprzestępców” – przestrzegał Jakub Syta.

Dyrektor Biura Zarządzanych Usług Bezpieczeństwa w Exatel w szczególności przestrzegał uczestników konferencji przed syndromem papierowego bezpieczeństwa. „Dokumenty stworzone na potrzeby spełnienia wymogów formalnych, które opisują m.in. polityki bezpieczeństwa na bardzo ogólnym poziomie, schowane głęboko do szuflady ani nas nie zabezpieczą przed atakiem, ani nie ułatwią usuwania jego skutków” – ostrzegał Jakub Syta. Dyrektor podkreślił rolę zarówno SOC – Security Operation Center jak i jednostek operacyjnych czuwających nad cyberbezpieczeństwem – CERT. Wysiłek organizacyjny instytucji powinien zostać skoncentrowany na zapewnienie tym jednostkom właściwych zasobów pozwalających działać zarówno prewencyjnie jak i reagować na incydenty.

Jak zarządzać?

Krzysztof Politowski, Główny Specjalista, Departament Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, w swoim wystąpieniu „Modele organizacji bezpieczeństwa informacji w jednostkach administracji publicznej” omówił kwestie zarządzania bezpieczeństwem informacji w urzędach. Prelegent zwrócił uwagę na rolę poszczególnych stanowisk pracowników związanych z bezpieczeństwem, takich jak Pełnomocnik ds. Ochrony Informacji Niejawnych, Administrator Bezpieczeństwa Informacji, zwanego również „ABI”, Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni oraz Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji – zauważając, że jedynie ścisła współpraca wszystkich tych osób jest w stanie zapewnić właściwy poziom przygotowania organizacji na cyberzagrożenia. „Jeżeli nie zapewnimy właściwej współpracy w ramach zespołów i ekspertów zajmujących się bezpieczeństwem wówczas pojawiają się luki w kompetencjach lub poszczególne jednostki powielają swoje zadania” – przestrzega Krzysztof Politowski.

Pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych zadawali w swoim wystąpieniu Adam Mizerski – Prezes Stowarzyszenia ISACA Katowice oraz Piotr Filip Sawicki – Prezes Zarządu, ISACA Warsaw. Prelekcja w dużej części odwoływała się do dokumentu „Podstawowe pytania o bezpieczeństwo informacji w jednostkach sektora finansów publicznych” obejmując kluczowe kwestie w obszarze bezpieczeństwa w szczególności przeznaczone dla kierowników jednostek administracji rządowej, organów władzy ustawodawczej, władzy sądowniczej i samorządu terytorialnego. Jak zauważył Adam Mizerski bardzo często problemem jest niedostateczna wiedza potrzebna do diagnozowania potencjalnych luk w systemie bezpieczeństwa – „Często to brak dostatecznej wiedzy i przygotowania kierownictwa stanowi problem” – podkreślał Adam Mizerski. „Dlatego ISACA opracowała dokument zawierający najważniejsze pytania dotyczące kwestii bezpieczeństwa” – uzupełnia myśl Filip Sawicki.

Jak zadawać właściwe pytania?

Oceniając stopień zapewnienia bezpieczeństwa teleinformatycznego w jednostce jej kierownik powinien regularnie zadawać szczegółowe pytania osobom odpowiedzialnym za poszczególne obszary bezpieczeństwa informacji. Bez właściwego obiegu informacji między kierownictwem, a ludźmi odpowiedzialnymi za poszczególne zadania w obszarze bezpieczeństwa nie jest możliwa skuteczna ochrona przed zagrożeniami.

Wypada mieć nadzieję, że dzięki wzrostowi świadomości dotyczącej zagrożeń uda się poprawić stan bezpieczeństwa polskich instytucji i lepiej chronić je przed cyberprzestępczością. Oby eksperci wyciągnęli właściwe wnioski z ostatnich ataków wirusa Ransomware, a decydenci odpowiedzialni za bezpieczeństwo nie ulegli pokusie zbagatelizowania problemów bezpieczeństwa tylko dlatego, że incydenty te tym razem szczęśliwie ominęły polskie instytucje.

Prawdziwe bezpieczeństwo to wiedza, doświadczenie i przećwiczona gotowość do szybkiego reagowania – a nie papierowe plany i procedury.