piątek, 7 października 2016

Piszę o polityce



Ministerstwo Cyfryzacji opublikowało dokument zatytułowany „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2016-2020”. Dokument jest rozwinięciem opublikowanych 23 lutego br. „Założeń strategii cyberbezpieczeństwa dla Rzeczpospolitej Polskiej” i w stosunku do nich zawiera szereg zmian, przy czym – co trzeba podkreślić – są to zmiany zdecydowanie na lepsze i uwzględniające uwagi, jakie były do nich zgłaszane. Krótki czas przeznaczony na konsultacje społeczne uniemożliwił mi niestety zarówno głębszą analizę jak i zadbanie o właściwą formę, stąd dość luźny charakter poniższych notatek, które w odpowiedzi na zaproszenie do konsultacji społecznych „Strategii…” pozwoliłem sobie napisać.

1.   W stosunkowo krótkiej historii zainteresowania państwa zagadnieniami bezpieczeństwa informacji w sieciach teleinformatycznych można zauważyć stałą tendencję do opracowywania rozmaitych planów i strategii. Jak do tej pory kolejne rządy przygotowały dwa rządowe programy ochrony cyberprzestrzeni Rzeczypospolitej Polskiej (odpowiednio na lata 2009-2011 oraz  2011-2016), Ministerstwo Administracji i Cyfryzacji w 2013 roku przygotowało Politykę Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, zaś Biuro Bezpieczeństwa Narodowego – Doktrynę Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Warto jednocześnie zauważyć, że z tej obfitości dokumentów operujących na stosunkowo wysokim stopniu abstrakcji nie wynikały odpowiednie działania w sferze realnej. Wystarczy wspomnieć na przykład informację NIK o wynikach kontroli realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP[1]. Pierwszym i narzucającym się pytaniem, musi być zatem pytanie o zasadność opracowywania kolejnego „strategicznego” dokumentu, według tej samej metody, niezależnie od tego wskazane wydaje się, aby omawiany dokument odniósł się przynajmniej do wspomnianych wcześniej „Polityki…” i „Doktryny…”, jednoznacznie deklarując, czy pozostają one w mocy, czy może są uznane za nieaktualne.

2.    Pierwszym rzucającym się w oczy mankamentem omawianego dokumentu jest operowanie źle zdefiniowanymi pojęciami „cyberbezpieczeństwa” i „bezpieczeństwa cyberprzestrzeni”. Pojęcie „cyberprzestrzeni”, szeroko krytykowane było w literaturze przedmiotu[2], a jego użycie w omawianej „Strategii…” (podobnie zresztą jak w powołanych wcześniej: programach, polityce i strategii) utrudnia jej zrozumienie. Dokument definiuje wprawdzie bezpieczeństwo cyberprzestrzeni państwa, czyni to jednak w sposób wątpliwy. Dla Autorów dokumentu bezpieczeństwo cyberprzestrzeni państwa to:

„zapewnienie zdolności do:
1) realizacji funkcji Państwa,
2) zapewnienie ludności i przedsiębiorcom niezbędnych dostaw towarów i usług,
3) niezakłóconego dostępu i korzystania z sieci Internet,
– w sytuacji gdy realizacja wymienionych aktywności zależna jest od cyberprzestrzeni”.

Pomijając już ewidentny błąd językowy[3], można zastanawiać się czy od jakiejkolwiek przestrzeni może cokolwiek zależeć. Wobec braku definicji „cyberprzestrzeni” należałoby bowiem przyjąć definicję ustawową[4], która definiuje cyberprzestrzeń jako:

„przestrzeń przetwarzania i wymiany informacji tworzoną przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.), wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami”,

a więc – jak się zdaje – na podobieństwo przestrzeni powietrznej czy morskiej, jakiś obszar zajmowany przez ludzi i urządzenia – i to nie wszystkie urządzenia działające w Internecie czy jakimś jego fragmencie, ale jedynie, te których dotyczy Ustawa o informatyzacji.
Warto w tym miejscu przywołać definicje z normy międzynarodowej ISO/IEC 27032, która cyberbezpieczeństwo definiuje jako zachowanie poufności, dostępności i integralności (przy czym można brać pod uwagę również inne właściwości bezpieczeństwa informacji jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność) w cyberprzestrzeni (a więc analogicznie jak definiuje się bezpieczeństwo informacji w normie ISO/IEC 27000), zaś cyberprzestrzeń jako złożone środowisko będące rezultatem nie mających materialnej formy interakcji pomiędzy ludźmi, oprogramowaniem i usługami w Internecie realizowanymi poprzez urządzenia techniczne i sieci do niego podłączone.
Oczywiście stosowanie norm jest dobrowolne (jakkolwiek odwołania do norm z serii ISO/IEC 27k znajdują się w omawianej „Strategii…” w kilku miejscach, byłoby więc nie od rzeczy, żeby sam dokument się do nich stosował), niemniej wprowadzanie kolejnej własnej definicji niespójnej ani z definicją ustawową ani z definicją zawartą w normach wymagałoby dogłębnego rozważenia i opracowania definicji naprawdę dobrej jakości. Definicja zawarta w omawianym dokumencie niestety wydaje się takiej jakości nie mieć, przy czym nie jest to jedynie kwestia leksykalna, nie bardzo bowiem wiadomo czego w zasadzie ma dotyczyć strategia, co ma być zapewnione, co ma być chronione i przed czym.

3.  Mocno wątpliwym pomysłem jest zarówno samo odwołanie się w dokumencie do modelu referencyjnego łączenia systemów otwartych, jak i sposób, w jaki to uczyniono. Przede wszystkim model ISO/OSI zdefiniowany został w normie ISO/IEC 7498-1 w celu opisu sposobu łączenia systemów otwartych (a więc przekazywania informacji pomiędzy nimi), nie zaś do celów organizacji bezpieczeństwa, ponadto współczesne sieci komputerowe pracują głównie w oparciu o protokoły stosu TCP/IP, które – ze względu na łączenie poszczególnych funkcji – lepiej opisuje model znany jako DoD (Departamentu Obrony USA). Jeśli jednak nawet przyjąć model ISO/OSI za punkt wyjścia należałoby go powoływać poprawnie:
·      model ISO/OSI składa się z siedmiu warstw konceptualnych (fizycznej, łącza danych, sieci, transportu, sesji, prezentacji i aplikacji), w czasie gdy powołany dokument na stronie ósmej prezentuje sześciowarstwową piramidę (składającą się z warstw: warstwa fizyczna sieci, transmisja poprawianie danych, sieć – routing drogi połączeniowe, sesje kojarzenie aplikacji, przetwarzanie danych, aplikacje) z umieszczonym na wierzchołku zapisem „Oprogramowanie antywirusowe”.
·      Warstwa fizyczna modelu ISO/OSI nie jest „miejscem”, w który znajdują się media transmisyjne, te bowiem należałoby umieścić „pod” modelem (zob. rysunek poniżej), podobnie jak aplikacje (programy) znajdują się konceptualnie „nad” warstwą aplikacji.



Rysunek 12 z normy ISO/IEC 7491:1994 (E).
Niejasności te powodują, że trudno mówić o rzeczywistym powiązaniu omawianego dokumentu z modelem ISO/OSI.
Drugą kwestią, którą należałoby w tym miejscu rozważyć jest kwestia błędów ludzkich i ataków socjotechnicznych (np. phishing, scam), które przebiegają bez nadużyć natury technicznej w procesie łączenia systemów otwartych, za to niewątpliwie stanowią poważne zagrożenie dla (dowolnie rozumianego) cyberbezpieczeństwa. Adekwatność wykorzystania modelu ISO/OSI jest więc w tym zakresie bardzo wątpliwa.

4.     Niejasne są uwagi na temat bezpieczeństwa danych. Dokument wspomina jedynie, że:

„Bezpieczeństwo danych musi być rozpatrywane w dwóch aspektach:
1) bezpośredniej ochrony danych, zależnej od polityki bezpieczeństwa i narzędzi
zastosowanych do ochrony tych danych;
2) budowy architektury zwiększającej to bezpieczeństwo”

opatrując to rysunkiem, który niewiele wyjaśnia (poza tym, że dane i ich kopie mają być zwielokrotnione i archiwizowane). Bezpieczeństwo danych oczywiście należałoby rozpatrywać biorąc pod uwagę ich dostępność, poufność i integralność zaś samo zwielokrotnienie, o ile oczywiście może poprawić dostępność, o tyle może rodzić zagrożenia dla poufności i integralności danych. Zdecydowanie należałoby poruszanemu zagadnieniu poświęcić nieco więcej miejsca, podobnie jak zagadnieniu klastrów bezpieczeństwa, co do których trudno zrozumieć czym w zasadzie mają być i w jakim aspekcie (organizacyjnym, technicznym) mają się skupiać.

5.   Na znacznie lepiej dopracowane wyglądają części dokumentu poświęcone tej części krajowego systemu cyberbezpieczeństwa, która ma dotyczyć „reagowania na zagrożenia w cyberprzestrzeni”. Warto jednak przy okazji zauważyć, że omawiany dokument bardzo mocno skupia się na organizacji współdziałania zespołów CERT i budowie krajowego systemu reakcji na zdarzenia (włącznie z – chyba zbyt szczegółowym jak na dokument strategiczny – rozpisaniem schematów planowanego systemu), wspominając dość pobieżnie o działaniach jakie należałoby podjąć zanim incydenty wystąpią (szkolenia, badania) i niemal milczeniem pomijając aspekty związane z kryminalizacją przestępczości komputerowej (zarówno odnośnie do stosunkowo niskiej skuteczności ścigania tego rodzaju przestępstw jak i budzącego wiele wątpliwości brzmienia przepisów penalizujących poszczególne rodzaje przestępstw „Strategia…” milczy). Dokument koncentruje się na działalności organizacyjnej, wspominając jedynie mimochodem o działalności prawodawczej (planowana ustawa o krajowym systemie cyberbezpieczeństwa), czy o ekonomicznym aspekcie planowanych działań, a przecież choćby postulowana w dokumencie budowa systemów zarządzania bezpieczeństwem informacji i elementów systemów zarządzania ciągłością działania (w postaci planów ciągłości działania BCP) jest zdaniem czaso- i kosztochłonnym. Nawet w średniej wielkości organizacji komercyjnej pracochłonność takiego zadania należy szacować na kilka osobolat, o ile ma powstać funkcjonujący ISMS czy BCMS, a nie „rozwiązanie papierowe”.


6.  Na marginesie można zwrócić uwagę na błędy edytorskie (np. „bezpiczeństwo” zamiast „bezpieczeństwo” – s. 20, “systemami państwowym” – s. 6), które nie powinny znaleźć się w dokumencie na tym etapie jego tworzenia oraz na miejscami wątpliwą stylistykę dokumentu. Dla przykładu:
·      „technologie narodowe” (s.5) - technologia to 1. «metoda przeprowadzania procesu produkcyjnego lub przetwórczego» bądź 2. «dziedzina techniki zajmująca się opracowywaniem nowych metod produkcji wyrobów lub przetwarzania surowców»[5], jak się wydaje naród nie prowadzi jako całość w specyficzny dla siebie sposób procesów produkcyjnych ani nie rozwija dziedzin techniki;
·      „poziom strategiczno-polityczny” (s. 5) należałoby co najmniej sprecyzować, o jakim podziale na poziomy mowa, czy rozumianym tak jak  naukach o zarządzaniu (strategia-taktyka-poziom operacyjny), czy może tak jak w naukach o wojskowości (strategia-operacja-taktyka). Sam dokument (s. 8) mówi z kolei „trzech płaszczyznach: strategicznej, operacyjnej i technicznej”, pomijając wspomniany poziom strategiczno-polityczny;
·      „transgraniczny punkt wymiany Internetu IXP” – powinno być „ punkt wymiany ruchu internetowego IXP”
·      „bezpieczny i nieprzerwany” (s. 4 i 5) – ciągłość działania jest jednym z elementów bezpieczeństwa, nawet zdefiniowanego tak, jak to uczynili Autorzy omawianego dokumentu na jego czwartej stronie, stąd „nieprzerwany” jest tu użyte w sposób nadmiarowy;
·      „Każda osoba korzystająca z zasobów w cyberprzestrzeni musi być świadoma zagrożeń, jakie mogą̨ ją spotkać lub sama może je stworzyć, gdy w nieodpowiedzialny sposób będzie z tych zasobów korzystała” (s. 7) – powinno być „które może spowodować, jeśli w niewłaściwy sposób”;
·      Z języka dokumentu nie zawsze wynika, co w zasadzie zostanie wykonane. Można wnosić, że pewne działania będą podjęte – np. „uruchomiony będzie system szkoleń dla organów ścigania i wymiaru sprawiedliwości” zaś pewne – byłoby dobrze, gdyby były wykonane np. „Powinien zostać opracowany i wdrożony system motywowania i podnoszenia kwalifikacji personelu odpowiedzialnego za infrastrukturę teleinformatyczną”.

Rekapitulując: niektóre fragmenty omawianego dokumentu budzą poważne wątpliwości, podczas gdy inne sprawiają wrażenie opracowanych w sposób staranny i przemyślany. „Strategia…” wdaje się koncentrować na reakcji na incydenty bezpieczeństwa informacji i na organizacyjnej roli administracji państwowej, znacznie mniej miejsca poświęcając aspektom związanym z zapobieganiem powstawaniu takich incydentów, ich kryminalizacji, roli prawodawczej państwa, czy systemowemu podejściu do zarządzania bezpieczeństwem informacji.




[1] Informacja NIK o wynikach kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP, NIK, 2015, kpb-4101-002-00/2014, nr ewid. 42/2015/p/14/043/kpb, https://www.nik.gov.pl/plik/id,8764,vp,10895.pdf
[2] Zob. np.: Liderman K.: o zagrożeniach dla skutecznej ochrony informacji, Przetwarzanej w sieciach i systemach teleinformatycznych, powodowanych nowomową, Konferencja „Cyberspace 2009”. 15.10.2009, Kosiński J.: Paradygmaty cyberprzestępczości, Difin, Warszawa 2015, s. 31, warto wreszcie przytoczyć opinię z analizy sejmowej [Mróz M.: Informacja nt. pojęcia cyberprzestrzeni oraz bezpieczeństwa i zagrożenia cyberprzestrzeni wprawie międzynarodowym i w ustawodawstwie wybranych państw demokratycznych (w zw. Z Drukiem sejmowym nr 4355.), Warszawa, 22 lipca 2011 r., Druk sejmowy nr 1757] mianowicie, że pojęcie „cyberprzestrzeń” w prawie międzynarodowym, prawie Unii Europejskiej i w ustawodawstwie narodowym poszczególnych państw przywoływane jest rzadko, a w tekstach o treści ściśle normatywnej – jedynie sporadycznie.
[3] powinno być odpowiednio: 1. Zapewnienie zdolności do realizacji[…]; 2. Zapewnienie […] dostaw […]; 3. Zapewnienie niezakłóconego dostępu […], bowiem tak, jak jest należałoby czytać np. „zapewnienie zdolności do zapewnienia ludności i przedsiębiorcom niezbędnych dostaw[…]”.
[4] Ustawa z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw (Dz.U. 2011 nr 222 poz. 1323).
[5] http://sjp.pwn.pl/sjp/technologia;2577699.html

1 komentarz:

  1. kazdorazowo wdrożony system bezpieczeństwa informacji ISO 27001 wspiera 3 zasadnicze elementy kazdego bezpeiczenstwa danych i informacji: dostepnosci, integralnosci i poufnosci. Zadbanie o własna integralnosc danych nie moze dopuszczac modyfikacji i usuwania danych przez niewlasciwe jednostki, dostepnosc to definiuje kto moze a kto nie, i poufnosc = dostep tyllko dla tych co powinni wiedziec. Dla firm oprocz wdrozonego i certyfikowanego systemu zapewnienia bezpieczeństwa informacji proponuje sie na wszystkich serwisach www wdrożenie szyfrowanego protokołu HTTPS. Dobrze, że zmiany idą na lepsze, że zachowuje isię przy kazdej mozliwej okazji. Nasze dane to nasza wartosc w każdej organizacji.

    OdpowiedzUsuń