pobierz - BIP MC
Transkrypt
pobierz - BIP MC
Opinia OPINIA ProjektuchwałyRadyMinistrów wsprawieStrategiiCyberbezpieczeństwaRPna lata2016–2020 MichałRzepka,06.10.2016 CYBERBEZPIECZEŃSTWORP 1 Bezpieczeństwoiprywatność 1. Nomenklatura Wdokumencienieustrzeżonosięnieścisłościterminologicznych.Określeniatakiejak „strategia”(więcejwnastępnymparagrafie),wszystkiesłowazprzedrostkiemcyber- („cyberprzestrzeń”, „cyberbezpieczeństwo”), „klaster bezpieczeństwa” nie są zdefiniowane,iwłaściwieniewiadomocoznaczą–możnajewięcrozumiećjedynie potocznie. Najbardziej chyba rażącym sformułowaniem są ‘ataki cybernetyczne’. Z kontekstuwynika,żeautoromchodzićmożeoatakinasystemyteleinformatyczne. ‘Cybernetyczny’oznaczatyleco‘mającyzwiązekzcybernetyką’–możnaoczywiście rozpatrywaćscenariuszeatakówzmetodamicybernetyki-ibyłobytojaknajbardziej pożądane,przyczymdokumentskupiasięjedynienawąskim–sieciowym(więcejw punkcie3)zakresiecyberbezpieczeństwa,acóżtudopieromówićocybernetyce? 2. Strategiana3lata? Strategia,wswojejnaturzejestczymśdługofalowym12.Wątpliwościbudziwięcjuż sam tytuł dokumentu – „Strategia Cyberbezpieczeństwa RP na lata 2016-2020”. Pomijającsamfakt,żerok2016masięjużkukońcowi(aprzecieżdopierojesteśmy naetapiekonsultacji),działańocharakterzestrategicznymnieplanujesięnaokres kilku lat – planowanie krótkoterminowe ma swoje miejsce w działaniach na poziomie taktycznym, czasami operacyjnym. Koniecznym jest zatem przygotowanie strategii nowoczesnej, obejmującej przewidywane przyszłe zagrożenia w rozsądnie długimczasie. 3. Przygotowywaniedopoprzedniejwojny–modelOSIiinne anachronizmy Model OSI, jak stwierdzono w rozdziale trzecim Strategii, jest jedynie punktem wyjścia.Należypamiętać,żemodeltentotylkopewienabstraktopisującystrukturę komunikacjisieciowej–cyberbezpieczeństwopowinnobyćzaśujęteznacznieszerzej – skupianie się li tylko na komunikacji sieciowej jest w dziedzinie cyberbezpieczeństwaanachronizmem. W strategii cyberbezpieczeństwa RP niedowartościowany jest czynnik ludzki, element podstawowy w nowoczesnym podejściu do bezpieczeństwa. Wyraźnie brakujerównieżmetodysystemowej,wrozumieniucybernetyki3. Pominięto też zupełnie zagadnienia wojny informacyjnej i roli propagandy, przynajmniejwzakresiustykuzcyberbezpieczeństwem. 1 https://pl.wikipedia.org/wiki/Strategia_(państwa)“kierunekizakresdziałania,którypaństwozamierzaprzyjąć wdługimterminie,abyosiągnąćswojeceleizyskaćprzewagępolityczną” 2 https://pl.wikipedia.org/wiki/Strategia_(sztuka_wojenna)“(…)Strategia–ogólnie–toprzewidywaniew znacznieodległymczasiesprawnajważniejszych,najistotniejszych(głównych,podstawowych)którepozwolą utrzymaćdanypodmiotnapozycjiniegorszejlublepszejniżwyjściowa.” 3 Ometodziesystemowej-MazurM.,1976,Pojęciesystemuirygoryjegostosowania.[w:]MateriałySzkoły PodstawInżynieriiSystemównr2,KomitetBudowyMaszynPAN,Orzysz.–wwersjionlinedostępnena http://www.autonom.edu.pl/artykuly/system-mm.doc 2 CYBERBEZPIECZEŃSTWORP Opinia Niedostatecznie zaakcentowano wsparcie dla innowacyjności i rozwoju polskich technologiibezpieczeństwaITwsektorzekomercyjnym,amatonietylkoznaczenie gospodarcze,aleprzedewszystkim(kontr)wywiadowcze.Trudnobowiemwyobrazić sobie, aby zagraniczne produkty (kupowane często za ogromne sumy) nie umożliwiały pozyskiwania cennych danych (poprzez „wady” celowe czy też nie) obcymsłużbom4. Co do schematów - Rysunek 1. Nie jest jasny – sprawia wrażenie naukowego, ale stanowi jedynie pomieszanie z poplątaniem. Nie wiadomo co to są za „obszary cyberbezpieczeństwa”,aniczemusamdiagrammasłużyć. 4. Dane,informacja,wiedza Dokument jest w bardzo wstępnej fazie i niestety pełen jest ogólników – charakterystycznym jest że nie ma w nim praktycznie żadnych „twardych” danych liczbowych,tj.jakichkolwiekkonkretów.Przykładowo,nastroniesiódmej“WPolsce liczba urządzeń umożliwiających korzystanie z Internetu, będących w dyspozycji osób prywatnych, szacowana jest na dziesiątki milionów. “ – jeśli już mówimy o szacunkach, to potrzebna by był jakiś stopień dokładności – ‘dziesiątki milionów’ oznacza od 20 milionów w górę. Brak też odniesień do jakichkolwiek innych dokumentów posiadających dane konkretne. Przykładowo, byłoby pożądanym aby przeanalizować: • Środki(budżet)przeznaczaneprzezposzczególnepaństwa(przynajmniej OECDikrajeoaspiracjachmocarstwowych)nacyberbezpieczeństwoiwojnę informacyjną • Liczbęznanychincydentówbezpieczeństwawostatnichlatach • Szacunkicodoniezauważonych/niezgłoszonychincydentówbezpieczeństwa • Estymacjęskaliirodzajówzagrożeńprzyszłych • Pozycję(siłę)naukipolskiejnapolucyberbezpieczeństwaiwdziedzinachz tymzwiązanych • Możliwościtechnologicznepolskichfirmprodukującychrozwiązania związanezcyberbezpieczeństwem Rzeczjasna,jestjeszczewieleobszarów,którychanalizadostarczyłabyinformacjico dokoniecznychkierunkówdziałań.Niedasięplanowaćstrategiczniebeztejwiedzy. 5. Współpracazagraniczna WspółpracazagranicznatonietylkoUE.Pamiętaćnależy,żewiększośćzdarzeńzwiązanychz cyberbezpieczeństwem (spektakularne ataki, incydenty bezpieczeństwa, badania z zakresu bezpieczeństwa,branżowekonferencjenanajwyższympoziomieitd.)odbywasiępozaUnią Europejską. Kluczowym działaniem we współpracy zagranicznej powinno być przejmowanie doświadczenia z innych krajów, na polach gdzie odniesiono sukcesy (z podkreśleniem 4 Oczywiściebynajmniejnieoznaczato,żepolskiesystemybyłybyodtakichwadwolne–aledlaczegóżbynie podnieśćpoprzeczkizagranicznymadwersarzom? CYBERBEZPIECZEŃSTWORP 3 Bezpieczeństwoiprywatność przejmowania doświadczenia, a nie kupowania czegokolwiek), a w przypadku porażek – wyciągnięciewnioskówiimplementacjaprzeciwdziałań. 6. Jakrobiątoinni,jakzrobićtojeszczelepiej Odnośnie złotej setki – nie będzie chyba pomyłką stwierdzić, że niemal wszyscy wysoko wykwalifikowaniekspercids.bezpieczeństwapracująpozainstytucjamipublicznymi,ajużw szczególnościpozaadministracjąpaństwową–powodówjestwiele,przyczymniepowinno być niespodzianką, że specjaliści owi pracują na wysokopłatnych stanowiskach w sektorze komercyjnymbądźbadawczym,bardzoczęstozagranicą. Dlategoposzukiwaniawramachadministracjipaństwowejniemająwiększegosensu. Pragnąłbym przytoczyć przykład z doświadczeń osobistych: jako wykładowca i mentor5 rządowego programu cyberbezpieczeństwa „Best of the Best” 6 w Korei Południowej, organizowanego przez Korea IT Research Institute7mam unikalną (jako jeden z bardzo niewielu obcokrajowców) możliwość wglądu w program kształcenia przyszłych liderów cyberbezpieczeństwawjednymznajbardziejrozwiniętychkrajówświata. Program „Best of the Best” realizowany jest od 2012 roku, w trybie corocznym (obecnie mamy piątą edycję). Organizowana jest ogólnonarodowa rekrutacja, gdzie liczą się tylko i wyłącznie kompetencje. Młodzi ludzie (głównie studenci czołowych uniwersytetów, ale zdarzająsię–całkiemczęsto–genialniuczniowieszkółśrednich)przejśćmusząprzezproces selekcji,wktórymspośródtysięcyaplikującychwyłaniasię140najlepszychkandydatów. Wybrani – a są to ludzie z całego kraju – przenoszeni są do Centrum Szkolenia w Seulu (zapewnione jest zakwaterowanie, sprzęt, wysokie stypendium) gdzie w miesiącach LipiecSierpieńprzechodząprzezintensywnycyklwykładów,zróżnychdziedzinbezpieczeństwa. Następnie, przez kolejne 4 miesiące, w zespołach 3-4 osobowych młodzi specjaliści przygotowują projekty związane z cyberbezpieczeństwem (najczęściej rozwiązania – wynalazki techniczne). Każdy z zespołów ma własnego mentora (bądź mentorów), oferującegowsparcie,doradztwo,koneksje. Mentorzy(częstozarazemwykładowcyprogramu)toelitacyberbezpieczeństwawkraju–są wśród nich profesorowie wiodących uniwersytetów, czołowi specjaliści z najlepszych koreańskich firm zajmujących się cyberbezpieczeństwem, znani koreańscy hakerzy jak i wreszcie wysoko postawieni dyrektorowie wielkich przedsiębiorstw koreańskich (Samsung, Hyundai,Lotteetc.).Celemjestzapewnieniemłodymludziomodpowiedniegowykształcenia inastawieniadobezpieczeństwa,azarazemisiecikontaktów. Ponadto,nawykładygościnnezapraszanisąświatowejsławyekspercizcałegoświata,m.in. ztakichfirmjakGoogle,Microsoft,Twitter. Zwrócićuwagęteżnależynadużybudżet,pozwalającynapozyskanieniemalwszystkiegoco potrzebnedobadańbezpieczeństwairealizacjiprojektów–np.CentrumSzkolenioweobok 5 https://www.kitribob.kr/intro/mentor https://www.kitribob.kr/ 7 http://www.kitri.re.kr/ 6 4 CYBERBEZPIECZEŃSTWORP Opinia salwykładowychposiadatzw.warroom,gdzieprowadzisięsymulacje(proszęwybaczyćto słowo)„cyberbitew”. Doobszarów,którymizajmująsięstudenci,należąm.in: • Analizapodatności • Ochronainformacji • Inżynieriawsteczna • Bezpieczeństwomobilne • SecurityConsulting • Cyberbepieczeństwoauwarunkowaniaprawne • Informatykaśledcza(digitalforensics) • Bezpieczeństwo poszczególnych działów/technologii: fizyczne, systemów finansowych,Cloud,IoT,gieronline(tosporaczęśćprzemysłu)itd. • Zastosowaniamilitarne(„cyberżołnierze”) Zdecydowana większość tak wykształconych, młodych ekspertów znajduję później pracę bądź to w czołowych koreańskich firmach, bądź to w koreańskiej armii/policji, bądź w instytucjach rządowych. Osobnym tematem (wykraczającym poza zakres tego krótkiego dokumentu) jest patriotyzm młodych Koreańczyków – a wychowanie patriotyczne jest też jednymzelementówprogramu. Studenci i alumni programu mogą poszczycić się też prawdziwymi osiągnieciami na scenie międzynarodowej, wygrywając (bądź zdobywając wysokie miejsca) na najbardziej znanych konkursachhakerskich8.Pokazujeto,żeprogramprzynosiefekty,itobardzoszybko. Tymczasem,wPolsce–którasłynieprzecieżzwieluzdolnychinformatykówispecjalistówz zakresubezpieczeństwa-dotejporyniestworzonożadnegoprogramuabymócwykorzystać teponadprzeciętnemożliwościdladobrakraju.Wsytuacjigdyzdolnamłodzieżniemagdzie się kształcić (programy uniwersyteckie obejmują bezpieczeństwo w bardzo niewielkim stopniu), ani nie są zapewnione odpowiednie możliwości rozwoju poza systemem edukacji następuje(itonietylkozpowodówfinansowych)drenażmózgówiodpływnajzdolniejszych młodychspecjalistówdopodmiotówzagranicznychróżnejmaści–cooczywiścieosłabiakraj, awzmacniaprzeciwnikówiichgospodarki. Patrzącna„złotąsetkę”ztejperspektywy,wydajesięonabłędemstrategicznym.Najpierw zadbaćnależyoprawdziwyrozwójdlanajzdolniejszych,abypóźniejmoglionisłużyćpaństwu polskiemu–niezaśnaodwrót(biorącpracownikówadministracjinaszkolenia). Wniosek: kandydatów do „złotej setki” trzeba szukać corocznie metodą oddolną, wśród ‘hobbystów’, na uniwersytetach a nawet już w szkołach średnich, a nie w urzędach i administracji. A wracając do programu „Best of the Best” – dlaczego nie pójść w takim kierunku? Oczywiścieprogramtenmożnabydostosowaćdopolskichwarunkówijeszczegoulepszyć, boakuratnapolukreatywności(indywidualnej)mamywiększe,niżwAzji,możliwości. 8 http://english.donga.com/List/3/all/26/411253/1 CYBERBEZPIECZEŃSTWORP 5 Bezpieczeństwoiprywatność 7. Cojestsłuszne? Wartoteżwspomnieć,żewdokumenciebrakjakichkolwiekmetodinarzędziewaluacjicodo poprawnościstrategiiijejzałożeń–słowem–strategiamożebyćpoprawna,aleniemana todowodu. 8. Dobrykierunek Oczywiście,pomimowymienionychniedociągnięćibraków,samakoncepcjakompleksowej strategiicyberbezpieczeństwa,jakteżifaktpoddaniajejpublicznymkonsultacjomsągodne pochwały.Pozwalatomiećnadzieję,żenaszePaństwo–wreszcie–zmierzawdobrym kierunku,ibezpieczeństwoniebędzietylkofrazesem. 6 CYBERBEZPIECZEŃSTWORP Łączęwyrazyszacunku, MichałRzepka Opinia 9. Oautorze MichałRzepka–specjalistads.bezpieczeństwazwieloletnimdoświadczeniem.Pracował jako inżynier bezpieczeństwa i lider projektu SARA (System Automatycznego Raportowania i Administracji Bezpieczeństwem Infrastruktury) w Poznańskim Centrum Superkomputerowo-Sieciowym, a następnie w sektorze komercyjnym (głównie dla klientów w krajach nordyckich) jako konsultant do spraw bezpieczeństwa IT. Rokrocznie przeprowadza przynajmniej 50 testów bezpieczeństwa sieci, aplikacji i systemów. Od 2012r. mieszka w Korei Południowej, biorąc udział (w charakterze mentora i wykładowcy) w elitarnym programie szkolenia specjalistów cyberbezpieczeństwa,organizowanymnazlecenierządukoreańskiego. Okazyjniewygłaszawykładynt.cyberbezpieczeństwa,m.in.naKoreaUniversity. 10. Informacjekontaktowe MSHac-MSHConsulting [email protected] Koreancustomers:+821072821337 EUcustomers: +48616311137 Businessreg.number:144-02-18842 Officeaddress: 68-13,Jeongja-dong,Bundang-gu, Seongnam-si,Kyonggi-do,SouthKorea CYBERBEZPIECZEŃSTWORP 7