pobierz - BIP MC

Opinia
OPINIA
ProjektuchwałyRadyMinistrów
wsprawieStrategiiCyberbezpieczeństwaRPna
lata2016–2020
MichałRzepka,06.10.2016
CYBERBEZPIECZEŃSTWORP 1
Bezpieczeństwoiprywatność
1. Nomenklatura
Wdokumencienieustrzeżonosięnieścisłościterminologicznych.Określeniatakiejak
„strategia”(więcejwnastępnymparagrafie),wszystkiesłowazprzedrostkiemcyber-
(„cyberprzestrzeń”, „cyberbezpieczeństwo”), „klaster bezpieczeństwa” nie są
zdefiniowane,iwłaściwieniewiadomocoznaczą–możnajewięcrozumiećjedynie
potocznie. Najbardziej chyba rażącym sformułowaniem są ‘ataki cybernetyczne’. Z
kontekstuwynika,żeautoromchodzićmożeoatakinasystemyteleinformatyczne.
‘Cybernetyczny’oznaczatyleco‘mającyzwiązekzcybernetyką’–możnaoczywiście
rozpatrywaćscenariuszeatakówzmetodamicybernetyki-ibyłobytojaknajbardziej
pożądane,przyczymdokumentskupiasięjedynienawąskim–sieciowym(więcejw
punkcie3)zakresiecyberbezpieczeństwa,acóżtudopieromówićocybernetyce?
2. Strategiana3lata?
Strategia,wswojejnaturzejestczymśdługofalowym12.Wątpliwościbudziwięcjuż
sam tytuł dokumentu – „Strategia Cyberbezpieczeństwa RP na lata 2016-2020”.
Pomijającsamfakt,żerok2016masięjużkukońcowi(aprzecieżdopierojesteśmy
naetapiekonsultacji),działańocharakterzestrategicznymnieplanujesięnaokres
kilku lat – planowanie krótkoterminowe ma swoje miejsce w działaniach na
poziomie taktycznym, czasami operacyjnym. Koniecznym jest zatem przygotowanie
strategii nowoczesnej, obejmującej przewidywane przyszłe zagrożenia w rozsądnie
długimczasie.
3. Przygotowywaniedopoprzedniejwojny–modelOSIiinne
anachronizmy
Model OSI, jak stwierdzono w rozdziale trzecim Strategii, jest jedynie punktem
wyjścia.Należypamiętać,żemodeltentotylkopewienabstraktopisującystrukturę
komunikacjisieciowej–cyberbezpieczeństwopowinnobyćzaśujęteznacznieszerzej
– skupianie się li tylko na komunikacji sieciowej jest w dziedzinie
cyberbezpieczeństwaanachronizmem.
W strategii cyberbezpieczeństwa RP niedowartościowany jest czynnik ludzki,
element podstawowy w nowoczesnym podejściu do bezpieczeństwa. Wyraźnie
brakujerównieżmetodysystemowej,wrozumieniucybernetyki3.
Pominięto też zupełnie zagadnienia wojny informacyjnej i roli propagandy,
przynajmniejwzakresiustykuzcyberbezpieczeństwem.
1
https://pl.wikipedia.org/wiki/Strategia_(państwa)“kierunekizakresdziałania,którypaństwozamierzaprzyjąć
wdługimterminie,abyosiągnąćswojeceleizyskaćprzewagępolityczną”
2
https://pl.wikipedia.org/wiki/Strategia_(sztuka_wojenna)“(…)Strategia–ogólnie–toprzewidywaniew
znacznieodległymczasiesprawnajważniejszych,najistotniejszych(głównych,podstawowych)którepozwolą
utrzymaćdanypodmiotnapozycjiniegorszejlublepszejniżwyjściowa.”
3
Ometodziesystemowej-MazurM.,1976,Pojęciesystemuirygoryjegostosowania.[w:]MateriałySzkoły
PodstawInżynieriiSystemównr2,KomitetBudowyMaszynPAN,Orzysz.–wwersjionlinedostępnena
http://www.autonom.edu.pl/artykuly/system-mm.doc
2 CYBERBEZPIECZEŃSTWORP
Opinia
Niedostatecznie zaakcentowano wsparcie dla innowacyjności i rozwoju polskich
technologiibezpieczeństwaITwsektorzekomercyjnym,amatonietylkoznaczenie
gospodarcze,aleprzedewszystkim(kontr)wywiadowcze.Trudnobowiemwyobrazić
sobie, aby zagraniczne produkty (kupowane często za ogromne sumy) nie
umożliwiały pozyskiwania cennych danych (poprzez „wady” celowe czy też nie)
obcymsłużbom4.
Co do schematów - Rysunek 1. Nie jest jasny – sprawia wrażenie naukowego, ale
stanowi jedynie pomieszanie z poplątaniem. Nie wiadomo co to są za „obszary
cyberbezpieczeństwa”,aniczemusamdiagrammasłużyć.
4. Dane,informacja,wiedza
Dokument jest w bardzo wstępnej fazie i niestety pełen jest ogólników –
charakterystycznym jest że nie ma w nim praktycznie żadnych „twardych” danych
liczbowych,tj.jakichkolwiekkonkretów.Przykładowo,nastroniesiódmej“WPolsce
liczba urządzeń umożliwiających korzystanie z Internetu, będących w dyspozycji
osób prywatnych, szacowana jest na dziesiątki milionów. “ – jeśli już mówimy o
szacunkach, to potrzebna by był jakiś stopień dokładności – ‘dziesiątki milionów’
oznacza od 20 milionów w górę. Brak też odniesień do jakichkolwiek innych
dokumentów posiadających dane konkretne. Przykładowo, byłoby pożądanym aby
przeanalizować:
• Środki(budżet)przeznaczaneprzezposzczególnepaństwa(przynajmniej
OECDikrajeoaspiracjachmocarstwowych)nacyberbezpieczeństwoiwojnę
informacyjną
• Liczbęznanychincydentówbezpieczeństwawostatnichlatach
• Szacunkicodoniezauważonych/niezgłoszonychincydentówbezpieczeństwa
• Estymacjęskaliirodzajówzagrożeńprzyszłych
• Pozycję(siłę)naukipolskiejnapolucyberbezpieczeństwaiwdziedzinachz
tymzwiązanych
• Możliwościtechnologicznepolskichfirmprodukującychrozwiązania
związanezcyberbezpieczeństwem
Rzeczjasna,jestjeszczewieleobszarów,którychanalizadostarczyłabyinformacjico
dokoniecznychkierunkówdziałań.Niedasięplanowaćstrategiczniebeztejwiedzy.
5. Współpracazagraniczna
WspółpracazagranicznatonietylkoUE.Pamiętaćnależy,żewiększośćzdarzeńzwiązanychz
cyberbezpieczeństwem (spektakularne ataki, incydenty bezpieczeństwa, badania z zakresu
bezpieczeństwa,branżowekonferencjenanajwyższympoziomieitd.)odbywasiępozaUnią
Europejską.
Kluczowym działaniem we współpracy zagranicznej powinno być przejmowanie
doświadczenia z innych krajów, na polach gdzie odniesiono sukcesy (z podkreśleniem
4
Oczywiściebynajmniejnieoznaczato,żepolskiesystemybyłybyodtakichwadwolne–aledlaczegóżbynie
podnieśćpoprzeczkizagranicznymadwersarzom?
CYBERBEZPIECZEŃSTWORP 3
Bezpieczeństwoiprywatność
przejmowania doświadczenia, a nie kupowania czegokolwiek), a w przypadku porażek –
wyciągnięciewnioskówiimplementacjaprzeciwdziałań.
6. Jakrobiątoinni,jakzrobićtojeszczelepiej
Odnośnie złotej setki – nie będzie chyba pomyłką stwierdzić, że niemal wszyscy wysoko
wykwalifikowaniekspercids.bezpieczeństwapracująpozainstytucjamipublicznymi,ajużw
szczególnościpozaadministracjąpaństwową–powodówjestwiele,przyczymniepowinno
być niespodzianką, że specjaliści owi pracują na wysokopłatnych stanowiskach w sektorze
komercyjnymbądźbadawczym,bardzoczęstozagranicą.
Dlategoposzukiwaniawramachadministracjipaństwowejniemająwiększegosensu.
Pragnąłbym przytoczyć przykład z doświadczeń osobistych: jako wykładowca i mentor5
rządowego programu cyberbezpieczeństwa „Best of the Best” 6 w Korei Południowej,
organizowanego przez Korea IT Research Institute7mam unikalną (jako jeden z bardzo
niewielu obcokrajowców) możliwość wglądu w program kształcenia przyszłych liderów
cyberbezpieczeństwawjednymznajbardziejrozwiniętychkrajówświata.
Program „Best of the Best” realizowany jest od 2012 roku, w trybie corocznym (obecnie
mamy piątą edycję). Organizowana jest ogólnonarodowa rekrutacja, gdzie liczą się tylko i
wyłącznie kompetencje. Młodzi ludzie (głównie studenci czołowych uniwersytetów, ale
zdarzająsię–całkiemczęsto–genialniuczniowieszkółśrednich)przejśćmusząprzezproces
selekcji,wktórymspośródtysięcyaplikującychwyłaniasię140najlepszychkandydatów.
Wybrani – a są to ludzie z całego kraju – przenoszeni są do Centrum Szkolenia w Seulu
(zapewnione jest zakwaterowanie, sprzęt, wysokie stypendium) gdzie w miesiącach LipiecSierpieńprzechodząprzezintensywnycyklwykładów,zróżnychdziedzinbezpieczeństwa.
Następnie, przez kolejne 4 miesiące, w zespołach 3-4 osobowych młodzi specjaliści
przygotowują projekty związane z cyberbezpieczeństwem (najczęściej rozwiązania –
wynalazki techniczne). Każdy z zespołów ma własnego mentora (bądź mentorów),
oferującegowsparcie,doradztwo,koneksje.
Mentorzy(częstozarazemwykładowcyprogramu)toelitacyberbezpieczeństwawkraju–są
wśród nich profesorowie wiodących uniwersytetów, czołowi specjaliści z najlepszych
koreańskich firm zajmujących się cyberbezpieczeństwem, znani koreańscy hakerzy jak i
wreszcie wysoko postawieni dyrektorowie wielkich przedsiębiorstw koreańskich (Samsung,
Hyundai,Lotteetc.).Celemjestzapewnieniemłodymludziomodpowiedniegowykształcenia
inastawieniadobezpieczeństwa,azarazemisiecikontaktów.
Ponadto,nawykładygościnnezapraszanisąświatowejsławyekspercizcałegoświata,m.in.
ztakichfirmjakGoogle,Microsoft,Twitter.
Zwrócićuwagęteżnależynadużybudżet,pozwalającynapozyskanieniemalwszystkiegoco
potrzebnedobadańbezpieczeństwairealizacjiprojektów–np.CentrumSzkolenioweobok
5
https://www.kitribob.kr/intro/mentor
https://www.kitribob.kr/
7
http://www.kitri.re.kr/
6
4 CYBERBEZPIECZEŃSTWORP
Opinia
salwykładowychposiadatzw.warroom,gdzieprowadzisięsymulacje(proszęwybaczyćto
słowo)„cyberbitew”.
Doobszarów,którymizajmująsięstudenci,należąm.in:
• Analizapodatności
• Ochronainformacji
• Inżynieriawsteczna
• Bezpieczeństwomobilne
• SecurityConsulting
• Cyberbepieczeństwoauwarunkowaniaprawne
• Informatykaśledcza(digitalforensics)
• Bezpieczeństwo poszczególnych działów/technologii: fizyczne, systemów
finansowych,Cloud,IoT,gieronline(tosporaczęśćprzemysłu)itd.
• Zastosowaniamilitarne(„cyberżołnierze”)
Zdecydowana większość tak wykształconych, młodych ekspertów znajduję później pracę
bądź to w czołowych koreańskich firmach, bądź to w koreańskiej armii/policji, bądź w
instytucjach rządowych. Osobnym tematem (wykraczającym poza zakres tego krótkiego
dokumentu) jest patriotyzm młodych Koreańczyków – a wychowanie patriotyczne jest też
jednymzelementówprogramu.
Studenci i alumni programu mogą poszczycić się też prawdziwymi osiągnieciami na scenie
międzynarodowej, wygrywając (bądź zdobywając wysokie miejsca) na najbardziej znanych
konkursachhakerskich8.Pokazujeto,żeprogramprzynosiefekty,itobardzoszybko.
Tymczasem,wPolsce–którasłynieprzecieżzwieluzdolnychinformatykówispecjalistówz
zakresubezpieczeństwa-dotejporyniestworzonożadnegoprogramuabymócwykorzystać
teponadprzeciętnemożliwościdladobrakraju.Wsytuacjigdyzdolnamłodzieżniemagdzie
się kształcić (programy uniwersyteckie obejmują bezpieczeństwo w bardzo niewielkim
stopniu), ani nie są zapewnione odpowiednie możliwości rozwoju poza systemem edukacji
następuje(itonietylkozpowodówfinansowych)drenażmózgówiodpływnajzdolniejszych
młodychspecjalistówdopodmiotówzagranicznychróżnejmaści–cooczywiścieosłabiakraj,
awzmacniaprzeciwnikówiichgospodarki.
Patrzącna„złotąsetkę”ztejperspektywy,wydajesięonabłędemstrategicznym.Najpierw
zadbaćnależyoprawdziwyrozwójdlanajzdolniejszych,abypóźniejmoglionisłużyćpaństwu
polskiemu–niezaśnaodwrót(biorącpracownikówadministracjinaszkolenia).
Wniosek: kandydatów do „złotej setki” trzeba szukać corocznie metodą oddolną, wśród
‘hobbystów’, na uniwersytetach a nawet już w szkołach średnich, a nie w urzędach i
administracji.
A wracając do programu „Best of the Best” – dlaczego nie pójść w takim kierunku?
Oczywiścieprogramtenmożnabydostosowaćdopolskichwarunkówijeszczegoulepszyć,
boakuratnapolukreatywności(indywidualnej)mamywiększe,niżwAzji,możliwości.
8
http://english.donga.com/List/3/all/26/411253/1
CYBERBEZPIECZEŃSTWORP 5
Bezpieczeństwoiprywatność
7. Cojestsłuszne?
Wartoteżwspomnieć,żewdokumenciebrakjakichkolwiekmetodinarzędziewaluacjicodo
poprawnościstrategiiijejzałożeń–słowem–strategiamożebyćpoprawna,aleniemana
todowodu.
8. Dobrykierunek
Oczywiście,pomimowymienionychniedociągnięćibraków,samakoncepcjakompleksowej
strategiicyberbezpieczeństwa,jakteżifaktpoddaniajejpublicznymkonsultacjomsągodne
pochwały.Pozwalatomiećnadzieję,żenaszePaństwo–wreszcie–zmierzawdobrym
kierunku,ibezpieczeństwoniebędzietylkofrazesem.
6 CYBERBEZPIECZEŃSTWORP
Łączęwyrazyszacunku,
MichałRzepka
Opinia
9. Oautorze
MichałRzepka–specjalistads.bezpieczeństwazwieloletnimdoświadczeniem.Pracował
jako inżynier bezpieczeństwa i lider projektu SARA (System Automatycznego
Raportowania i Administracji Bezpieczeństwem Infrastruktury) w Poznańskim Centrum
Superkomputerowo-Sieciowym, a następnie w sektorze komercyjnym (głównie dla
klientów w krajach nordyckich) jako konsultant do spraw bezpieczeństwa IT.
Rokrocznie przeprowadza przynajmniej 50 testów bezpieczeństwa sieci, aplikacji i
systemów. Od 2012r. mieszka w Korei Południowej, biorąc udział (w charakterze
mentora i wykładowcy) w elitarnym programie szkolenia specjalistów
cyberbezpieczeństwa,organizowanymnazlecenierządukoreańskiego.
Okazyjniewygłaszawykładynt.cyberbezpieczeństwa,m.in.naKoreaUniversity.
10. Informacjekontaktowe
MSHac-MSHConsulting
[email protected]
Koreancustomers:+821072821337
EUcustomers: +48616311137
Businessreg.number:144-02-18842
Officeaddress:
68-13,Jeongja-dong,Bundang-gu,
Seongnam-si,Kyonggi-do,SouthKorea
CYBERBEZPIECZEŃSTWORP 7