wtorek, 28 marca 2017

Szkice do uwag... uzupełnienie


Po XX Międzynarodowej Konferencji TAPT, gdzie mówiłem o celach strategicznych małe uzupełnienie obrazka o uchwalone i przyjęte Krajowe Ramy Polityki Cyberbezpieczeństwa (czyli kolejną wersję tego samego dokumentu, jeszcze lepszą, ale... ;)).

Szkice do uwag o nowej Strategii Cyberbezpieczenstwa RP


Zgodnie z obietnicą poniżej kilka (nieuporządkowanych) uwag na temat niedawno ogłoszonej „Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2021” (jakiś większy tekst się pisze). 

Przede wszystkim wypada zaznaczyć, że sam dokument stanowi postęp – jeśli idzie o wartość merytoryczną – zarówno w porównaniu z wcześniejszymi „strategicznymi” dokumentami administracji państwowej dotyczącymi cyberbezpieczeństwa, jak i z poprzednimi wersjami publikowanymi i przekazywanymi do publicznych konsultacji przez Ministerstwo Cyfryzacji w 2016 roku, natomiast poniżej zebrałem tylko kilka uwag krytycznych.


Pierwszym, co daje się zauważyć jest podtrzymanie trendu wydłużania okresu planowania strategicznego (poprzednie Rządowe Programy Ochrony Cyberprzestrzeni były odpowiednio: 3 i pięcioletnie, obecna „Strategia…” miała być pierwotnie również pięcioletnia. Biorąc pod uwagę wątpliwości, o których poniżej, nie jest to właściwy trend. Niepokojącą rzeczą jest krótki (choć i tu należy odnotować poprawę w stosunku do niektórych wcześniejszych sytuacji) czas przeznaczany na konsultacje społeczne: na zapoznanie się z obszernym (z górą dwa i pół arkusza wydawniczego) dokumentem „Założeń…” i przygotowanie stanowiska w ramach konsultacji ewentualni zainteresowani mieli zaledwie dwa tygodnie, potem nastąpił półroczny okres przerwy i opublikowanie projektu (tym razem liczącego tylko nieco ponad jeden arkusz wydawniczy), na konsultacje społeczne którego przeznaczono zaledwie tydzień. Po zakończeniu konsultacji nastąpiła kolejna przerwa, po której – 1. marca 2017 r. – Ministerstwo Cyfryzacji poinformowało o zakończeniu prac Międzyresortowej grupy roboczej nad projektem Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022. Zatem Ministerstwo, w którym "Strategią..." zajmują się - jak mniemam - zespoły zawodowców w ramach ich czasu pracy, pracuje pół roku nad czymś, co organizacje społeczne i osoby prywatne mają przeanalizować w tydzień czy dwa. Owszem: łatwiej jest krytykować niż budować, ale jeśli krytyka ma być twórcza, a nie sprowadzać się do punktowania błędów, to czasu powinno być więcej. Tym bardziej, że mowa o planach na długi horyzont czasowy.

O pojęciu cyberbezpieczeństwa (i o nadużywaniu prefiksu cyber-) powiedziano już wystarczająco wiele złego warto zatem zastanowić się nad drugiem z występujących w tytule pojęć: strategii. Występuje ono zarówno w naukach o obronności, jak i w naukach o zarządzaniu i w jednych i drugich oznacza sztukę wytyczania i realizacji celów długoterminowych (odpowiednio: polityki militarnej bądź działalności organizacji). Od Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2017-2020 można zatem oczekiwać przede wszystkim sformułowania owych celów. Rzeczywiście omawiana „Strategia…” formułuje cel ogólny („Zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych”) i cztery cele szczegółowe: 
  • Cel szczegółowy 1: Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa.
  • Cel szczegółowy 2: Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom.
  • Cel szczegółowy 3: Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni.
  • Cel szczegółowy 4: Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa. 
Cel ogólny sformułowany w strategii budzi szereg wątpliwości. Z jednej strony wygląda on raczej nie na cel, ale na coś w rodzaju wizji bezpiecznego państwa, a przynajmniej jego aspektu informatycznego, z drugiej łączy w sobie bezpieczeństwo różnych podmiotów, a przecież oczywiste jest, że niejednokrotnie zwiększenie bezpieczeństwa jednego z interesariuszy pociąga za sobą zmniejszenie bezpieczeństwa innych. Nawet zresztą jeśli uznać, że takie konflikty nie zaistnieją, bądź będą miały charakter pozorny albo istotny tylko w perspektywie krótkookresowej, to – w sytuacji ograniczonej dostępności środków – należałoby jasno zadeklarować, bezpieczeństwo której z tak określonych grup podmiotów będzie dla realizatorów „Strategii…” priorytetowe. Warto przywołać w tym kontekście na przykład stanowisko Polski w ankiecie przeprowadzonej latem 2016 roku przez przewodniczącą Radzie Unii Europejskiej Słowację, dotyczącej opinii i rekomendacji na temat tego, jak ich organy ścigania radzą sobie z napotykanym szyfrowaniem danych (tekst źródłowy: https://www.asktheeu.org/en/request/3347/response/11727/attach/12/Encryption%20questionnaire%20PL.pdf czy ostatnie próby nowelizacji Kodeksu Karnego i działania w sprawie art 269b - raz zaostrzające maksymalną karę a później, dodające - wreszcie - kontratyp czynu zabronionego obejmujący pentesterów). Zarzutem w stosunku do "Strategii..." jest zatem, że nie sposób wyczytać z niej jaki będzie kierunek polityki  (liberalny czy restrykcyjny) państwa w stosunku do praw i wolności swoich obywateli i walki z ich naruszaniem.
Cele szczegółowe są sformułowane sposób mało czytelny i lektura "Strategii..." nie pomaga w ich zrozumieniu. Dla przykładu: Cel szczegółowy 4 został potraktowany bardzo zdawkowo i opisany  niezrozumiałym językiem. Już pierwsze dwa zdania: W obliczu wszechobecnych procesów globalizacyjnych i związanych z nimi współzależności państw, międzynarodowa współpraca jest kluczowa dla osiągnięcia bezpieczeństwa globalnej cyberprzestrzeni. Realizując te zadania na poziomie europejskim Polska zintensyfikuje działania na rzecz zapewnienia bezpieczeństwa Jednolitego Rynku Cyfrowego jako motoru wzrostu gospodarczego i innowacyjności budzą szereg wątpliwości. O jakich zadaniach mowa? Ani globalizacja ani współpraca międzynarodowa to nie są przecież zadania ale zjawiska. Jednolity Rynek Cyfrowy to nie jest rzecz, miejsce, czy nawet instytucja, ale strategia Komisji Europejskiej, w której  przedstawione zostały inicjatywy mające na celu uczynienie z Unii Europejskiej zintegrowanego cyfrowo obszaru gospodarczego, zdolnego do konkurowania na globalnym rynku cyfrowym. Bezpieczeństwo owego rynku, to zatem – literalnie – bezpieczeństwo strategii. Literalnie rzecz ujmując mowa jest zatem o strategii bezpieczeństwa strategii.  
Podobne wątpliwości budzi lektura celu szczegółowego 3. Co to jest jest „potencjał narodowy”? Czyje kompetencje mają być zwiększane i w jaki sposób? Rozdział 7 zamiast odpowiedzi na te pytania zawiera kilka nazw (huby innowacyjności, Naukowy Klaster Cyberbezpieczeństwa, Cyberpark Enigma, złota setka itd.), a przecież użycie – nawet bardzo efektownej nazwy (a "złota setka" jest nazwą tyleż efektowną co humorystyczną) – nie wyjaśnia istoty zjawiska. Dla przykładu: „W ramach rozwoju kompetencji powstanie program Cyberpark Enigma dysponujący potencjałem pozwalającym konkurować na europejskim rynku specjalistycznych usług z zakresu teleinformatyki. Projekt zakłada odtworzenie i rozbudowę kompetencji w obszarze budowy zdolności do kompleksowego wytwarzania urządzeń i oprogramowania wykorzystywanych we wszystkich gałęziach przemysłu”. Niestety nie bardzo wiadomo czym ma być ów program (np. spółką, firmą państwową, urzędem), kto z kim ma konkurować, czemu zresztą w zakresie zapewniania bezpieczeństwa ma w ogóle mieć miejsce konkurencja, co to jest odtworzenie kompetencji i w jakich okolicznościach te kompetencje (i czyje) zostały utracone czy upośledzone, aby teraz zachodziła konieczność ich odtwarzania, czym są urządzenia, które mogą znaleźć zastosowanie we wszelkich dziedzinach przemysłu i dlaczego przemysłu, a nie na przykład handlu czy usług?
Stosując znane podejście SMART (Specific, Measurable, Achievable, Realistic, Time-related) można - niestety - skonstatować, żaden z celów nie jest mierzalny, co więcej, „Strategia…” nie proponuje żadnego miernika, który mógłby służyć do weryfikacji jej realizacji. Poszczególne cele są zresztą w dużej mierze nieskonkretyzowane (a przynajmniej napisane sposób utrudniający ich zrozumienie). W związku z tym trudno mówić o tym, czy są one osiągalne (zapewne nawet zakup jednego programu antywirusowego jakoś tam wzmacnia zdolność do przeciwdziałania "cyberzagorżeniom", ale to chyba za mało jak na plany strategiczne). Można też obawiać się o ich realistyczność (jeśli na przykład "Strategia..." powtarza po ostatnim "Rządowym Programie..." postulaty, których nie udało się zrealizować - choćby powołania pełnomocników ds ochrony cyberprzestrzeni - to chyba byłoby dobrze poświęcić chwilę czasu na analizę, dlaczego poprzednikom się nie udało...), odnośnie do czasu realizacji, to -  poza horyzontem prognozy oraz okresem sześciu miesięcy na przygotowanie planu wdrożenia strategii, nie wyznaczono żadnych terminów dla realizacji poszczególnych celów. Pozostaje mieć nadzieję, że lepiej będzie to wyglądało w owym zapowiedzianym planie wdrożenia "Strategii...".
Mimo wszystko obecną „Strategię…” można ocenić jako pewien postęp, zarówno w stosunku do poprzednich Rządowych Programów Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, jak i w stosunku do jej własnych poprzednich stadiów rozwojowych. Obawiam się jednak, że ten postęp jest stanowczo zbyt mały.

poniedziałek, 13 marca 2017

Ś†P profesor Józef Penc

Zmarł ś†p profesor Józef Penc. Recenzował moje pierwsze dwie książki, do napisania pierwszej zresztą mnie namówił, przez cały czas dopingował i wspierał. Requiem aeternam dona ei, Domine.
https://web.facebook.com/oiz.p.lodz/photos/a.612048335489980.1073741826.203729922988492/1594269637267840/?type=3

sobota, 29 października 2016

Trust me. I am an engineer.

Właśnie zdałem egzamin dyplomowy i tym samym ukończyłem studia - lepiej późno niż wcale ;) - II stopnia magistersko-inżynierskie w Wyższej Szkole Informatyki i Umiejętności, na kierunku Informatyka, na specjalności Zarządzanie Infrastrukturą Sieciową. W związku z tym garść refleksji, dość nieuporządkowanych:

1. Doświadczenie znalezienia się po drugiej stronie biurka, po kilkunastu latach nauczania studentów jest bardzo cenne (swoją drogą równolegle miałem przez semestr wykłady na Politechnice Warszawskiej, zresztą na kierunku informatyka, co było dość paradoksalne). Realia życia, studiowania i nauczania przez te wszystkie lata nieco się zmieniły, z czego sobie chyba nie wszyscy (po obu stronach akademickiej katedry) zdają sprawę. Taka zmiana roli jest pouczająca (intelektualnie i moralnie).

2. Rozpoczynając studia (w trybie online) byłem przeciwnikiem koncepcji zdalnego nauczania. Dość mocno kojarzyła mi się ona (nie bez podstaw, mających korzenie w mojej burzliwej przeszłości nauczycielskiej) z eliminacją dydaktyka z procesu dydaktycznego Po zastosowaniu e-learningu na sobie jestem jego wielkim zwolennikiem. Myślę nadal, że nie powinno się w ten sposób robić pierwszego kierunku studiów, bo tryb online wymaga pewnej dojrzałości, (samodzielne planowanie pracy, poszukiwania źródeł, rozwiązywanie problemów itd., no i ogólne obycie z „kulturą akademicką”) i dyscypliny, natomiast dla zdobywania wykształcenia uzupełniającego jest to tryb wręcz wymarzony. Zachęcam i polecam (wszystkim, którzy mają jaką-taką samodyscyplinę albo przynajmniej upór, bo bez tego się nie da).

3. (Mało odkrywcze): nawet po 20 latach uprawiania jakiegoś zawodu można się czegoś w jego ramach nauczyć. Szczerze mówiąc: całkiem sporo można się nauczyć (a lepiej nie myśleć, ile jeszcze do nauczenia się zostało).

4. Studia obecnie są rzeczywiście łatwiejsze, choć z drugiej strony może po tych wszystkich latach uprawiania (zawodu i nauki) łatwiej się studiuje, natomiast skrajne głosy poddające w wątpliwość wartość wykształcenia („dzisiejszego”, „w szkole prywatnej”, „online” etc. do wyboru) są przesadzone. Patrz punkt wyżej. Poza tym, co powtarzałem również udzielając się jako dydaktyk w różnych - czasem dziwnych - miejscach, normalny nauczyciel to samo umie i tak samo umie nauczyć niezależnie od tego, gdzie akurat uczy.

5. W przypadku gdy kandydat na studenta chciałby skorzystać z możliwości uznania jakiejś cząstki swojego dotychczasowego wykształcenia (formalnego lub nieformalnego), warto wiedzieć, że podejście różnych uczelni do takiej sytuacji jest czasami, hmmm, zgoła ekstraordynaryjne. W szczególności, że łatwiej/taniej/szybciej/sensowniej jest uzyskać takowe uznanie na uczelni, która w ogóle nie uznaje wykształcenia nieformalnego, niż na takiej, która taką możliwością ma, że łatwiej to zrobić na studiach drugiego stopnia niż na studiach stopnia pierwszego, na uczelni obcej niż znajomej itd. Wniosek: trzeba bardzo dokładnie zaplanować nie tylko, co się chce studiować, ale i gdzie. Trzeba się w ramach tego planowania (a w zasadzie ramach rozpoznania sytuacji jeszcze przed planowaniem) nachodzić i nagadać, co zajmuje kilka tygodni czy nawet miesięcy. Czasami okazać się też może, że najprościej jest jakiegoś przedmiotu nie mieć uznanego w taki czy inny sposób (na podstawie wykształcenia formalnego czy nieformalnego), tylko po prostu na niego zapisać, zaliczyć i zdać co trzeba. W końcu jeśli się na czymś znamy, to nie powinno to stwarzać jakichś większych problemów, a tłumaczenie i udowadnianie co i jak może być długotrwałe i stresujące.

6. Fakt pójścia na studia w wieku, hmmm, mocno pobalzakowskim i pomimo posiadania doktoratu jest znacznie lepiej zrozumiały w środowiskach korporacyjnych, niż w naukowych. Przy ocenie „komercyjnego” CV kryterium posiadania formalnego wykształcenia z danej dziedziny jest - jak wynika z moich doświadczeń - mocno brane pod uwagę. Nie jest istotne, że samemu wypromowałeś magistrów czy inżynierów liczonych na tuziny: nie jesteś inżynierem, więc komputer cię odrzucił (kto ma czas na czytanie setek i tysięcy napływających zgłoszeń?). Z kolei na uczelni liczy się najwyższy z posiadanych stopni (ew. tytuł). Zdobywanie jakiegoś innego wykształcenia (niższego czy równego obecnie posiadanemu) jest po prostu stratą czasu, ewentualnie dziwnym hobby, nikt przecież nie używa tytułów „kwadratowy magister” ani „profesor do sześcianu”.

7. Nie ma już (póki co?) minimów programowych dla poszczególnych przedmiotów. Pozostały nazwy. Pod tą samą nazwą kryć się mogą skrajnie różne rzeczy. Jednym z najtrudniejszych (subiektywnie, dla mnie jako studenta) przedmiotów do zaliczenia w czasie studiów był przedmiot, którego sam niegdyś uczyłem bodaj dziesięć lat (Technologie Sieciowe). Tyle, że ja (jako wykładowca) koncentrowałem się nad logiczną architekturą i koncepcjami protokołów warstw wyższych, a ja (jako student) musiałem się przegryźć przez fizyczne (a więc i elektrotechniczne) aspekty kodowania sygnału w warstwach niższych. Gdy dwóch mówi to samo to nie zawsze jest to samo, jak wiadomo. Poza tym patrz punkt 3.

8. Na studia trzeba mieć czas. Jeśli nie masz czasu na studiowanie to nie idź na studia. Inna rzecz, że czas potrafi się znakomicie skrócić, a niespodziewane zdarzenia potrafią go porwać, więc wszelkie oszacowanie posiadanego czasu może się okazać przeszacowane (w drugą stronę to nie chce jakoś działać, przynajmniej nie na większą skalę). Tym bardziej, jeśli więc spodziewasz się, że czasu mieć nie będziesz, to nie idź na studia, bo na studia trzeba mieć czas, a jak się czasu nie ma, to szkoda czasu.

9. Studiowanie to jest bardzo pozytywne doświadczenie. Trust me. I am an engineer.

piątek, 28 października 2016

I uzupełnienie

A więc (jak napisał Uważny Czytelnik - dziękuję!): szczepienie OPV - bo o nim mowa w roku 2003 było dokonywane trzykrotnie: 6/7 miesiąc życia, 16-18 miesiąc życia, 6 rok życia. W ten sposób liczby się rzeczywiście będą zgadzać: 12 zachorowań na mniej-więcej 15-16,5 milionów dawek (czyli 5-5,5 milionów dzieci, bo każde otrzymuje trzy dawki) to jest trochę mniej niż jedno zachorowanie na milion dawek, ale nie przesadzajmy - nie jedno na 2-4 miliony. Przy jednym na dwa miliony byłoby zachorowań siedem-dziewięć, przy jednym na cztery - trzy-pięć. Pomylić się cztery razy to oczywiście lepiej niż dwanaście, ale ciągle to nie jest to co być powinno.

Słowo o procentach (a w zasadzie o ppm-ach)

Pamiętacie, Drodzy Czytelnicy, jak pisałem o szczepionkach? Otóż moją wątpliwość wzbudził tam fragment dotyczący częstości powikłań poszczepiennych w przypadku Polio. Otóż dziś uważna Czytelniczka (dziekuję!) doniosła mi, że link, który podałem linkuje do czegoś zupełnie innego. Rzeczywiście organizacja strony się zmieniła. Obecnie właściwy link jest http://szczepienia.pzh.gov.pl/main.php?p=3&id=46&sz=142&to=szczepionka, ale przy okazji przedmiot kontrowersji wyparował. Na szczęście Internet nie zapomina. Tak strona wyglądała w marcu 2016:
A tak wygląda obecnie (październik 2016):
Fragment o szczepionce OPV po prostu zniknął. W zasadzie słusznie, choć pozostawienie informacji, że szczepionka IPV jest BEZPIECZNIEJSZA skłania do pytania: a OD CZEGO mianowicie? 

Ale...

ale przecież problem nie znika razem z wyciętym tekstem: jeśli w Polsce odnotowano w przypadku IPV zachorowania"2-3  na 1 milion podanych dawek" to taki opis niesie ze sobą (ułomną, ale zawsze) informację o liczności próby. Nawet jeśli przyjąć, że to przeliczenie na miliony jest tylko formalne (choć podówczas nie powinno się pisać o milionie PODANYCH dawek ale "w przeliczeniu na HIPOTETYCZNY milion dawek"). Otóż gdyby odnotowano tylko jedno zachorowanie, to aby ono się zaokrąglało do 2,5 milionowych musiano by podać około 400 tysięcy szczepionek (przy mniejszej liczebności należałoby je przeliczyć na 3 zachorowania na milion, przy większej - na dwa na milion - - oczywiście z dokładnością do zaokrągleń stąd "około 400 tysięcy").
Zatem, bo - jak pisałem - dzieci, które w tamtym czasie ukończyły szósty rok życia było niespełna pięć i pół miliona, na szczepionkę OPV przypadałoby w najlepszym razie coś koło pięciu milionów dzieci, a zatem owe 12 przypadków przypadałoby nie na niespełna 5 i pół ale na około 5 milionów czyli co najmniej 2,4 raza na milion, co daje jeszcze większy błąd, niż poprzednio szacowałem. Słusznie, że ten tekst niewidzialna ręka drukarskiego chochlika usunęła, ale...

Wiktor Suworow pisał kiedyś ciepło o naukowcach, którzy zarywając noce szyfrują proste dane procentami i o tym, co wynika z podawania procentów od niewiadomej. Otóż powyższe jest dobitną egzemplifikacją tego, co Suworow pisał. Bardzo chciałbym zobaczyć dane pierwotne ("surowe") dotyczące liczby sczepień i powikłań, a już przeliczyć to sobie na procenty, promile czy ppm-y dałbym jakoś radę. 

Aha: wszelkie znaki firmowe na zrzutach ekranów zacytowanych powyżej mają oczywiście charakter informacyjny i nie mam z nimi nic wspólnego

piątek, 7 października 2016

Piszę o polityce



Ministerstwo Cyfryzacji opublikowało dokument zatytułowany „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2016-2020”. Dokument jest rozwinięciem opublikowanych 23 lutego br. „Założeń strategii cyberbezpieczeństwa dla Rzeczpospolitej Polskiej” i w stosunku do nich zawiera szereg zmian, przy czym – co trzeba podkreślić – są to zmiany zdecydowanie na lepsze i uwzględniające uwagi, jakie były do nich zgłaszane. Krótki czas przeznaczony na konsultacje społeczne uniemożliwił mi niestety zarówno głębszą analizę jak i zadbanie o właściwą formę, stąd dość luźny charakter poniższych notatek, które w odpowiedzi na zaproszenie do konsultacji społecznych „Strategii…” pozwoliłem sobie napisać.

1.   W stosunkowo krótkiej historii zainteresowania państwa zagadnieniami bezpieczeństwa informacji w sieciach teleinformatycznych można zauważyć stałą tendencję do opracowywania rozmaitych planów i strategii. Jak do tej pory kolejne rządy przygotowały dwa rządowe programy ochrony cyberprzestrzeni Rzeczypospolitej Polskiej (odpowiednio na lata 2009-2011 oraz  2011-2016), Ministerstwo Administracji i Cyfryzacji w 2013 roku przygotowało Politykę Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, zaś Biuro Bezpieczeństwa Narodowego – Doktrynę Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Warto jednocześnie zauważyć, że z tej obfitości dokumentów operujących na stosunkowo wysokim stopniu abstrakcji nie wynikały odpowiednie działania w sferze realnej. Wystarczy wspomnieć na przykład informację NIK o wynikach kontroli realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP[1]. Pierwszym i narzucającym się pytaniem, musi być zatem pytanie o zasadność opracowywania kolejnego „strategicznego” dokumentu, według tej samej metody, niezależnie od tego wskazane wydaje się, aby omawiany dokument odniósł się przynajmniej do wspomnianych wcześniej „Polityki…” i „Doktryny…”, jednoznacznie deklarując, czy pozostają one w mocy, czy może są uznane za nieaktualne.

2.    Pierwszym rzucającym się w oczy mankamentem omawianego dokumentu jest operowanie źle zdefiniowanymi pojęciami „cyberbezpieczeństwa” i „bezpieczeństwa cyberprzestrzeni”. Pojęcie „cyberprzestrzeni”, szeroko krytykowane było w literaturze przedmiotu[2], a jego użycie w omawianej „Strategii…” (podobnie zresztą jak w powołanych wcześniej: programach, polityce i strategii) utrudnia jej zrozumienie. Dokument definiuje wprawdzie bezpieczeństwo cyberprzestrzeni państwa, czyni to jednak w sposób wątpliwy. Dla Autorów dokumentu bezpieczeństwo cyberprzestrzeni państwa to:

„zapewnienie zdolności do:
1) realizacji funkcji Państwa,
2) zapewnienie ludności i przedsiębiorcom niezbędnych dostaw towarów i usług,
3) niezakłóconego dostępu i korzystania z sieci Internet,
– w sytuacji gdy realizacja wymienionych aktywności zależna jest od cyberprzestrzeni”.

Pomijając już ewidentny błąd językowy[3], można zastanawiać się czy od jakiejkolwiek przestrzeni może cokolwiek zależeć. Wobec braku definicji „cyberprzestrzeni” należałoby bowiem przyjąć definicję ustawową[4], która definiuje cyberprzestrzeń jako:

„przestrzeń przetwarzania i wymiany informacji tworzoną przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.), wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami”,

a więc – jak się zdaje – na podobieństwo przestrzeni powietrznej czy morskiej, jakiś obszar zajmowany przez ludzi i urządzenia – i to nie wszystkie urządzenia działające w Internecie czy jakimś jego fragmencie, ale jedynie, te których dotyczy Ustawa o informatyzacji.
Warto w tym miejscu przywołać definicje z normy międzynarodowej ISO/IEC 27032, która cyberbezpieczeństwo definiuje jako zachowanie poufności, dostępności i integralności (przy czym można brać pod uwagę również inne właściwości bezpieczeństwa informacji jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność) w cyberprzestrzeni (a więc analogicznie jak definiuje się bezpieczeństwo informacji w normie ISO/IEC 27000), zaś cyberprzestrzeń jako złożone środowisko będące rezultatem nie mających materialnej formy interakcji pomiędzy ludźmi, oprogramowaniem i usługami w Internecie realizowanymi poprzez urządzenia techniczne i sieci do niego podłączone.
Oczywiście stosowanie norm jest dobrowolne (jakkolwiek odwołania do norm z serii ISO/IEC 27k znajdują się w omawianej „Strategii…” w kilku miejscach, byłoby więc nie od rzeczy, żeby sam dokument się do nich stosował), niemniej wprowadzanie kolejnej własnej definicji niespójnej ani z definicją ustawową ani z definicją zawartą w normach wymagałoby dogłębnego rozważenia i opracowania definicji naprawdę dobrej jakości. Definicja zawarta w omawianym dokumencie niestety wydaje się takiej jakości nie mieć, przy czym nie jest to jedynie kwestia leksykalna, nie bardzo bowiem wiadomo czego w zasadzie ma dotyczyć strategia, co ma być zapewnione, co ma być chronione i przed czym.

3.  Mocno wątpliwym pomysłem jest zarówno samo odwołanie się w dokumencie do modelu referencyjnego łączenia systemów otwartych, jak i sposób, w jaki to uczyniono. Przede wszystkim model ISO/OSI zdefiniowany został w normie ISO/IEC 7498-1 w celu opisu sposobu łączenia systemów otwartych (a więc przekazywania informacji pomiędzy nimi), nie zaś do celów organizacji bezpieczeństwa, ponadto współczesne sieci komputerowe pracują głównie w oparciu o protokoły stosu TCP/IP, które – ze względu na łączenie poszczególnych funkcji – lepiej opisuje model znany jako DoD (Departamentu Obrony USA). Jeśli jednak nawet przyjąć model ISO/OSI za punkt wyjścia należałoby go powoływać poprawnie:
·      model ISO/OSI składa się z siedmiu warstw konceptualnych (fizycznej, łącza danych, sieci, transportu, sesji, prezentacji i aplikacji), w czasie gdy powołany dokument na stronie ósmej prezentuje sześciowarstwową piramidę (składającą się z warstw: warstwa fizyczna sieci, transmisja poprawianie danych, sieć – routing drogi połączeniowe, sesje kojarzenie aplikacji, przetwarzanie danych, aplikacje) z umieszczonym na wierzchołku zapisem „Oprogramowanie antywirusowe”.
·      Warstwa fizyczna modelu ISO/OSI nie jest „miejscem”, w który znajdują się media transmisyjne, te bowiem należałoby umieścić „pod” modelem (zob. rysunek poniżej), podobnie jak aplikacje (programy) znajdują się konceptualnie „nad” warstwą aplikacji.



Rysunek 12 z normy ISO/IEC 7491:1994 (E).
Niejasności te powodują, że trudno mówić o rzeczywistym powiązaniu omawianego dokumentu z modelem ISO/OSI.
Drugą kwestią, którą należałoby w tym miejscu rozważyć jest kwestia błędów ludzkich i ataków socjotechnicznych (np. phishing, scam), które przebiegają bez nadużyć natury technicznej w procesie łączenia systemów otwartych, za to niewątpliwie stanowią poważne zagrożenie dla (dowolnie rozumianego) cyberbezpieczeństwa. Adekwatność wykorzystania modelu ISO/OSI jest więc w tym zakresie bardzo wątpliwa.

4.     Niejasne są uwagi na temat bezpieczeństwa danych. Dokument wspomina jedynie, że:

„Bezpieczeństwo danych musi być rozpatrywane w dwóch aspektach:
1) bezpośredniej ochrony danych, zależnej od polityki bezpieczeństwa i narzędzi
zastosowanych do ochrony tych danych;
2) budowy architektury zwiększającej to bezpieczeństwo”

opatrując to rysunkiem, który niewiele wyjaśnia (poza tym, że dane i ich kopie mają być zwielokrotnione i archiwizowane). Bezpieczeństwo danych oczywiście należałoby rozpatrywać biorąc pod uwagę ich dostępność, poufność i integralność zaś samo zwielokrotnienie, o ile oczywiście może poprawić dostępność, o tyle może rodzić zagrożenia dla poufności i integralności danych. Zdecydowanie należałoby poruszanemu zagadnieniu poświęcić nieco więcej miejsca, podobnie jak zagadnieniu klastrów bezpieczeństwa, co do których trudno zrozumieć czym w zasadzie mają być i w jakim aspekcie (organizacyjnym, technicznym) mają się skupiać.

5.   Na znacznie lepiej dopracowane wyglądają części dokumentu poświęcone tej części krajowego systemu cyberbezpieczeństwa, która ma dotyczyć „reagowania na zagrożenia w cyberprzestrzeni”. Warto jednak przy okazji zauważyć, że omawiany dokument bardzo mocno skupia się na organizacji współdziałania zespołów CERT i budowie krajowego systemu reakcji na zdarzenia (włącznie z – chyba zbyt szczegółowym jak na dokument strategiczny – rozpisaniem schematów planowanego systemu), wspominając dość pobieżnie o działaniach jakie należałoby podjąć zanim incydenty wystąpią (szkolenia, badania) i niemal milczeniem pomijając aspekty związane z kryminalizacją przestępczości komputerowej (zarówno odnośnie do stosunkowo niskiej skuteczności ścigania tego rodzaju przestępstw jak i budzącego wiele wątpliwości brzmienia przepisów penalizujących poszczególne rodzaje przestępstw „Strategia…” milczy). Dokument koncentruje się na działalności organizacyjnej, wspominając jedynie mimochodem o działalności prawodawczej (planowana ustawa o krajowym systemie cyberbezpieczeństwa), czy o ekonomicznym aspekcie planowanych działań, a przecież choćby postulowana w dokumencie budowa systemów zarządzania bezpieczeństwem informacji i elementów systemów zarządzania ciągłością działania (w postaci planów ciągłości działania BCP) jest zdaniem czaso- i kosztochłonnym. Nawet w średniej wielkości organizacji komercyjnej pracochłonność takiego zadania należy szacować na kilka osobolat, o ile ma powstać funkcjonujący ISMS czy BCMS, a nie „rozwiązanie papierowe”.


6.  Na marginesie można zwrócić uwagę na błędy edytorskie (np. „bezpiczeństwo” zamiast „bezpieczeństwo” – s. 20, “systemami państwowym” – s. 6), które nie powinny znaleźć się w dokumencie na tym etapie jego tworzenia oraz na miejscami wątpliwą stylistykę dokumentu. Dla przykładu:
·      „technologie narodowe” (s.5) - technologia to 1. «metoda przeprowadzania procesu produkcyjnego lub przetwórczego» bądź 2. «dziedzina techniki zajmująca się opracowywaniem nowych metod produkcji wyrobów lub przetwarzania surowców»[5], jak się wydaje naród nie prowadzi jako całość w specyficzny dla siebie sposób procesów produkcyjnych ani nie rozwija dziedzin techniki;
·      „poziom strategiczno-polityczny” (s. 5) należałoby co najmniej sprecyzować, o jakim podziale na poziomy mowa, czy rozumianym tak jak  naukach o zarządzaniu (strategia-taktyka-poziom operacyjny), czy może tak jak w naukach o wojskowości (strategia-operacja-taktyka). Sam dokument (s. 8) mówi z kolei „trzech płaszczyznach: strategicznej, operacyjnej i technicznej”, pomijając wspomniany poziom strategiczno-polityczny;
·      „transgraniczny punkt wymiany Internetu IXP” – powinno być „ punkt wymiany ruchu internetowego IXP”
·      „bezpieczny i nieprzerwany” (s. 4 i 5) – ciągłość działania jest jednym z elementów bezpieczeństwa, nawet zdefiniowanego tak, jak to uczynili Autorzy omawianego dokumentu na jego czwartej stronie, stąd „nieprzerwany” jest tu użyte w sposób nadmiarowy;
·      „Każda osoba korzystająca z zasobów w cyberprzestrzeni musi być świadoma zagrożeń, jakie mogą̨ ją spotkać lub sama może je stworzyć, gdy w nieodpowiedzialny sposób będzie z tych zasobów korzystała” (s. 7) – powinno być „które może spowodować, jeśli w niewłaściwy sposób”;
·      Z języka dokumentu nie zawsze wynika, co w zasadzie zostanie wykonane. Można wnosić, że pewne działania będą podjęte – np. „uruchomiony będzie system szkoleń dla organów ścigania i wymiaru sprawiedliwości” zaś pewne – byłoby dobrze, gdyby były wykonane np. „Powinien zostać opracowany i wdrożony system motywowania i podnoszenia kwalifikacji personelu odpowiedzialnego za infrastrukturę teleinformatyczną”.

Rekapitulując: niektóre fragmenty omawianego dokumentu budzą poważne wątpliwości, podczas gdy inne sprawiają wrażenie opracowanych w sposób staranny i przemyślany. „Strategia…” wdaje się koncentrować na reakcji na incydenty bezpieczeństwa informacji i na organizacyjnej roli administracji państwowej, znacznie mniej miejsca poświęcając aspektom związanym z zapobieganiem powstawaniu takich incydentów, ich kryminalizacji, roli prawodawczej państwa, czy systemowemu podejściu do zarządzania bezpieczeństwem informacji.




[1] Informacja NIK o wynikach kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP, NIK, 2015, kpb-4101-002-00/2014, nr ewid. 42/2015/p/14/043/kpb, https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf
[2] Zob. np.: Liderman K.: o zagrożeniach dla skutecznej ochrony informacji, Przetwarzanej w sieciach i systemach teleinformatycznych, powodowanych nowomową, Konferencja „Cyberspace 2009”. 15.10.2009, Kosiński J.: Paradygmaty cyberprzestępczości, Difin, Warszawa 2015, s. 31, warto wreszcie przytoczyć opinię z analizy sejmowej [Mróz M.: Informacja nt. pojęcia cyberprzestrzeni oraz bezpieczeństwa i zagrożenia cyberprzestrzeni wprawie międzynarodowym i w ustawodawstwie wybranych państw demokratycznych (w zw. Z Drukiem sejmowym nr 4355.), Warszawa, 22 lipca 2011 r., Druk sejmowy nr 1757] mianowicie, że pojęcie „cyberprzestrzeń” w prawie międzynarodowym, prawie Unii Europejskiej i w ustawodawstwie narodowym poszczególnych państw przywoływane jest rzadko, a w tekstach o treści ściśle normatywnej – jedynie sporadycznie.
[3] powinno być odpowiednio: 1. Zapewnienie zdolności do realizacji[…]; 2. Zapewnienie […] dostaw […]; 3. Zapewnienie niezakłóconego dostępu […], bowiem tak, jak jest należałoby czytać np. „zapewnienie zdolności do zapewnienia ludności i przedsiębiorcom niezbędnych dostaw[…]”.
[4] Ustawa z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw (Dz.U. 2011 nr 222 poz. 1323).
[5] http://sjp.pwn.pl/sjp/technologia;2577699.html

czwartek, 29 września 2016

Jak to jest z tym doktoratem?

Na stronie Poradni Językowej PWN http://sjp.pwn.pl/slowniki/dr-n-hum-mgr-in%C5%BC-Wies%C5%82aw-Chudy.html znajduje się stanowisko owej poradni odnośnie do zapisu „dr inż”. Autorka twierdzi mianowicie, że zapis "dr inż." odpowiada doktorowi nauk technicznych, co budzi moje wątpliwości. Jak mi się wydaje, tak jest w języku angielskim (Dr.-Ing John Doe to ktoś inny niż Dr. John Doe Ph.D., MEng - ten drugi magisterium robił z inżynierii, a doktorat z jakichś innych nauk), natomiast niekoniecznie w języku polskim, gdzie doktorat jest stopniem naukowym, zaś inżynier (bądź magister inżynier) jest tytułem zawodowym. Nie doktoryzuje się przecież tytułu inżyniera, który zresztą można uzyskać również na kierunkach nietechnicznych. Na przykład można zostać inżynierem (bądź magistrem inżynierem) na kierunku zarządzanie i marketing, a następnie zrobić doktorat nauk ekonomicznych w zakresie nauk o zarządzaniu (na uczelni technicznej bądź nietechnicznej - dalej umownie "na politechnice" bądź "na uniwersytecie"). Według tego, co sugeruje Poradnia, w zależności od miejsc: uzyskania owego doktoratu i ukończenia studiów, absolwent musiałby używać rozmaitych wariantów skrótów:
  • dr inż - po ukończeniu studiów jednolitych z tytułem mgr inż. zarządzania i doktoracie z nauk ekonomicznych w zakresie nauk o zarządzaniu (obu "na politechnice")
  • dr inż., mgr - po ukończeniu studiów I stopnia z tytułem inż. zarządzania ("na politechnice"), dowolnych studiów II stopnia kończących się nadaniem tytułu magistra ("na uniwersytecie") i doktoracie z nauk ekonomicznych w zakresie nauk o zarządzaniu "na politechnice"
  • dr, inż. - po ukończeniu studiów inżynierskich na kierunku zarządzanie "na politechnice", a następnie studiów II stopnia na tym samym kierunku (ale już "na uniwersytecie") i doktoracie też "na uniwersytecie"
  • dr, mgr inż. - po ukończeniu studiów jednolitych z tytułem mgr inż. zarządzania "na politechnice" i doktoracie "na uniwersytecie"
  • dr, mgr, inż. - powinna wpisać sobie osoba, która doktorat zrobiła "na uniwersytecie" z innej dyscypliny niż odpowiadająca kierunkowi studiów inżynierskich i magisterskich (np. magister nauk matematycznych, inżynier nauk o zarządzaniu, który zdobył doktorat z nauk technicznych)
  • poszkodowany poniekąd były doktor, który uzyskał "na politechnice" doktorat z nauk technicznych będąc magistrem inżynierem zarządzania również "po politechnice" (w końcu nie ma studiów III stopnia kończących się nadaniem stopnia doktora i tytułu zawodowego inżyniera, nie mógłby więc być "dr inż.") - musiałby pisać się "dr, mgr inż." podobnie jak "humanista", który doktoryzował się "na uniwersytecie".

Liczba możliwych kombinacji i stopień skomplikowania rósłby oczywiście w przypadku osób mających kilka fakultetów (ukończonych kilka kierunków na studiach I lub II stopnia) bądź kilka doktoratów. Również przy habilitacji (której nie trzeba przecież zdobyć z dyscypliny, w której się było doktorem, ani w tej, w której się kończyło studia pierwszego, bądź drugiego stopnia) i przy profesurze (również nie ma obowiązku kontynuowania dyscypliny, z której profesor się niegdyś habilitował) problem by się pojawiał. W miarę rozwoju naukowego inżynier pisałby przed nazwiskiem "inż" raz z przecinkiem, a raz bez (gdyby doktorat robił z dyscypliny nieinżynierskiej, a już habilitację albo profesurę z tej samej dyscypliny, z której pracę inżynierską).
Ponadto tytuły zawodowe uzyskuje się po ukończeniu studiów na jakimś kierunku, który to kierunek nie zawsze może być łatwo i jednoznacznie przypisany obszarowi dyscyplin naukowych (np zarządzanie leży zarówno w zakresie nauk humanistycznych, jak i nauk ekonomicznych, informatyka - nauk technicznych i nauk matematycznych itd.), no i stopnie i tytuły naukowe uzyskuje się z dyscyplin naukowych, a tytuły zawodowe - z odpowiednich kierunków studiów. Można być inżynierem architektem krajobrazu, ale nie da się być doktorem architektem krajobrazu. Czy magister inżynier marketingu i zarządzania zostanie doktorem inżynierem (bez przecinka), po doktoracie z nauk ekonomicznych w zakresie nauk o zarządzaniu, czy również po doktoracie z nauk ekonomicznych w zakresie ekonomii (bo nie można być doktorem nauk ekonomicznych w zakresie marketingu)?
Wydaje się, że tego rodzaju zjawisk i zapisów się w praktyce nie spotyka, raczej przyjęty jest zapis "dr inż" nawet jeśli doktorat jest uzyskany w naukach innych niż tytuł inżyniera.

Napisałem do Poradni (choć tam jest barbarzyński limit na długość pytania). Oczywiście odpowiedzią się podzielę...