Polska nie ma obecnie czegoś takiego jak “system cyberbezpieczeństwa”. Ustawa, która ma go stworzyć, od początku powstaje opornie, ale nawet po jej uchwaleniu nie będzie łatwo. Trzeba będzie stworzyć nowe struktury, a resort finansów nie widzi potrzeby dawania nowych pieniędzy.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa powstawała w mękach i w bólach jeszcze zanim zdymisjonowano Annę Streżyńską. Teraz Ministerstwo Cyfryzacji istnieje raczej w formie przetrwalnikowej i praktycznie nie ma polityka, którego można uznać za silnego przywódcę polskiej informatyzacji. Ustawa o cyberbezpieczeństwie jest raczej ważna, ale od początku powstawała w klimacie konfliktu na linii MC-MON, a teraz dodatkowe problemy chce dorzucić Ministerstwo Finansów.

Róbcie sobie cybery, byle nikt nie prosił o kasę!

Obecnie projekt o Krajowym Systemie Cyberbezpieczeństwa jest na etapie Komitetu ds. Europejskiej Rady Ministrów. I właśnie na tym etapie Ministerstwo Finansów przedstawiło uwagi, w których czytamy…

Należałoby podjąć działania aby koszty potrzebne na realizację zadań wynikających z wprowadzonych regulacji zostały sfinansowane w ramach limitu wydatków dla części 16 – KPRM i nie stanowiły podstawy do ubiegania się o dodatkowe środki z budżetu państwa na ten cel w roku bieżącym, jak i w kolejnych latach budżetowych.

Czyli według MF może sobie być bezpieczniej, ale nie może być drożej. Celowo zastosowaliśmy pogrubienie i podkreślenie. Zauważcie, że MF nie chce tylko uniknąć wydawania nowych środków. Ono nie chce nawet tworzenia podstaw do tego, by ktoś mógł się o te środki później ubiegać.

Jeśli przejrzycie sobie wskazany dokument to znajdziecie podobne szczegółowe uwagi np. minister energii ma wyznaczyć organ odpowiedzialny za cyberbezpieczeństwo firm z tego sektora, ale według MF w ustawie powinien być zapis, że minister zrobi to wszystko w ramach limitu wydatków. Bez konieczności jego zwiększania.

Policja i Straż graniczna również mają podjąć nowe działania “w ramach budżetów” i “bez konieczności ich dodatkowego zwiększania”. Zadania CSIRT-u przy MON mają być finansowane w ramach określonych wydatków obronnych, ale “nie powinny stanowić podstawy do ubiegania się o dodatkowe środki”. Najogólniej rzecz ujmując MF ma dwa rodzaje uwag do ustawy. Albo chce doprecyzowania skąd będą brane pieniądze (co jest zrozumiałe) albo chce zapewnień, że nie trzeba będzie uruchamiać żadnych dodatkowych środków (co może być zrozumiałe z perspektywy ministerstwa, ale chyba każdy zdaje sobie sprawę, że tworzenie nowych grup eksperckich wymaga nakładów finansowych). Czy na bezpieczeństwie należy oszczędzać? Zwłaszcza, kiedy różne kraje atakują inne kraje poprzez internet, paraliżując ich działanie poza internetem?

Pieniędzy nie ma nawet na podstawy systemu

O pracach nad ustawą rozmawialiśmy z pewnym ekspertem od bezpieczeństwa zbliżonym do sprawy. Czy jego zdaniem można zbudować w Polsce nową jakość cyberbezpieczeństwa bez wykładania pieniędzy?

Pieniędzy w budżecie nie ma nawet na podstawowe rzeczy, które wpisano w ustawę. Choć od dwóch lat nie jest tajemnicą, że termin jej wprowadzenia upływa w maju b.r. (jest to wymuszone terminem implementacji tzw. dyrektywy NIS) i MC jasno komunikowało konieczność zabezpieczenia środków na ten cel. Ulubioną mantrą MF jest najwyraźniej “zadania nie powinny stanowić podstawy do ubiegania się o dodatkowe środki”. Postawmy sprawę jasno – dotyczy to finansowania instytucji, które mają zadbać m.in. o analizę zagrożeń, reagowanie na poważne incydenty i ocenę ryzyka dla systemów wykorzystywanych do świadczenia kluczowych usług. Jak wiadomo administracja rządowa nie ma problemu z zatrudnieniem fachowców od bezpieczeństwa IT, więc bez problemu zarówno MON i ABW jak i potencjalnie kilka innych ministerstw – choćby energetyka czy transport – wygospodarują w ramach swoich środków dodatkowe kilkanaście czy kilkadziesiąt etatów dla wysoko wykwalifikowanych specjalistów, których na rynku jest przecież mnóstwo.

Trzeba tu zaznaczyć, że MF chętnie oddałoby kwestie bezpieczeństwa MON-owi, bo do niego trafiają duże pieniądze. Co na to ekspert?

Swoistym kuriozum jest zresztą propozycja MF aby cała koordynacja cyberbezpieczeństwa kraju trafiła pod MON (…) Jest to mantra będąca już wcześniej jedną z osi konfliktu na linii MON-MC. Podobnie można by argumentować, że pod MON należy włączyć cywilny wywiad, Straż Graniczną, Policję czy choćby TOPR – przecież wszyscy zajmują się bezpieczeństwem.

Tymczasem Ministerstwo Energii już oszacowało, że konieczne będzie utworzenie co najmniej 8 nowych stanowisk pracy w Ministerstwie Energii (zamiast proponowanych w projekcie 4 stanowisk). Ministerstwo Energii wspomina też o “planowanym do utworzenia sektorowym zespole cyberbezpieczeństwa „Energia”. O co tu chodzi?

CSIRT-y, zespoły dla sektorów i podsektorów…

Być może pamiętacie, że pierwotny projekt ustawy przewidywał stworzenie CSIRT-ów, czyli Zespółów Reagowania na Incydenty Bezpieczeństwa Komputerowego. Miały być trzy takie zespoły: CSIRT NASK, CSIRT MON i CSIRT GOV. Na późniejszym etapie pojawił się pomysł utworzenia dodatkowych CSIRT-ów “sektorowych” co może mieć trojakie skutki:

skomplikuje cały system,

raczej nie ułatwi zmieszczenia się w dotychczasowych budżetach,

zwiększy ryzyko, że CSIRT-y będą dublować swoje kompetencje.

To ciekawe, że nawet Ministerstwo Energii zwróciło uwagę na niejasny podział kompetencji między CSIRT NASK i CSIRT GOV, ale najwyraźniej nie ma nic przeciwko zespołom sektorowym.

W najnowszym projekcie (zob. dokument z 15.02.2018) “sektorowy zespół cyberbezpieczeństwa” jest zdefiniowany jako “zespół ustanowiony przez organ właściwy dla danego sektora lub podsektora wymienionego w załączniku do ustawy, odpowiedzialny za obsługę lub wsparcie obsługi incydentów w danym sektorze lub podsektorze”.

Organami właściwymi dla różnych sektorów są: minister energii, minister transportu, minister ds. gospodarki morskiej, minister finansów, minister zdrowia, minister właściwy ds. gospodarki wodnej (sic!), minister obrony i minister cyfryzacji. Jeśli każdy stworzy po jednym zespole sektorowym to zrobi się 8 dodatkowych “sektorowych CSIRT-ów”, a na tym może się nie skończyć. Nie jest wykluczone nawet tworzenie zespołów reagowania dla “podsektorów”. W ramach ciekawostki dodajmy, że załącznik do ustawy wymienia 11 podsektorów.

Tutaj znów oddajmy głos anonimowemu ekspertowi.

Ustawa powstaje od blisko dwóch lat w Ministerstwie Cyfryzacji i od początku starano się uświadomić innym resortom, że będą miały jakieś role i zachęcić je do udziału w konsultacjach. Nikogo to nie interesowało (poza MON i koordynatorem służb – to oddzielny temat i jego pokłosie znalazło się w projekcie :)). Nagle, gdy projekt znalazł się w oficjalnym obiegu konsultacji, włączyło się typowe polskie myślenie typu “Mój resort jest wyjątkowy i najważniejszy, więc to ja będę koordynował cyberbezpieczeństwo w swoim sektorze. Na co mi jakieś tam inne CSIRTy, nie takie rzeczy robiłem ze szwagrem.” Z oczywistych względów, ani MON, ani CSIRT rządowy nie zrezygnują ze swoich zadań i obowiązku raportowania im incydentów więc potencjalnie powstanie bizantyjska struktura, w której każdy będzie robił na papierze wszystko (czyli w rzeczywistości nic). Potencjalnie, bo projektowana ustawa nie tworzy “sektorowych zespołów bezpieczeństwa”, a jedynie daje taką możliwość resortom na ich wyraźne żądanie.

Ekspert zwrócił uwagę, że ten sam problem ujawnia się w kwestiach o wiele prostszych, takich jak choćby ujednolicenie stron rządowych.

To “polskie piekiełko” i brak możliwości elementarnego porozumienia się co do koordynacji zadań bardzo dobrze ilustruje stan sieci i infrastruktury IT polskiej administracji rządowej. Każdy resort i urząd państwowy zatrudnia swoich administratorów, ma swoją witrynę, pocztę itp. Wszelkie próby scentralizowania serwisów są skutecznie sabotowane, choć w wielu krajach skutecznie udało się to zrobić z korzyścią zarówno dla funkcjonowania i budżetów urzędów, jak i dla czytelności z punktu widzenia obywatela. Teraz analogicznie w obszarze “cyber” idziemy w kierunku udzielnych księstw zamiast efektywnego i sprawnego działania.

Niełatwa droga do ustawy

Do tego wszystkiego dochodzi masa innych problemów, które ciągle są dyskutowane np. kwestia zgodności przetwarzania danych osobowych z RODO przez podmioty wymienione w ustawie. Jeśli spojrzymy na liczbę i charakter uwag to szybko dojdziemy do wniosku, że prace nad tą ustawą są trudne. Oczywiście zdajemy sobie sprawę, że ustawa nie została przyjęta przez Radę Ministrów, a po drodze do wejścia w życie jest jeszcze Sejm i Senat. Zwykle jednak ustawy tak techniczne niezbyt angażują posłów i potrafią przejść przez obie izby niemal niezauważenie. Dlatego to co zostanie wypracowane przed przyjęciem przez Radę Ministrów będzie miało duże znaczenie.

Jeśli ustawa w wielu miejscach ma zawierać zastrzeżenia, że nikt nie może nawet wnioskować o dodatkowe środki to przy wszystkich koniecznych zmianach instytucjonalnych można wątpić, czy nasze Cyberbezpieczeństwo będzie właściwie finansowane.

Dlatego lepiej myślcie jak samemu się zabezpieczyć, bo w mętliku niedofinansowanych sektorowych CSIRT-ów może być ciężko o fachową pomoc.

Będziesz musiał liczyć na siebie…

Możliwości samodzielnego “zmniejszania (cyber)ryzyka do akceptowalnego poziomu” jest kilka i nie zawsze oznacza to inwestycję w nowy sprzęt. Bo bezpieczeństwo to proces, nie produkt. Nie da się kupić 5 kilo nowego firewalla i mieć spokój na 3 lata. Dobry sprzęt oczywiście warto mieć, ale przede wszystkim potrzebni są wykwalifikowani, regularnie szkoleni ludzie — i to nie tylko sami techniczni profesjonaliści, ale także zwykli pracownicy, którzy nie klikają w co popadnie, bo wiedzą jakimi konsekwencjami dla firmy i dla ich życia prywatnego może to grozić. Powtarzamy to i pokazujemy na żywo od 8 lat na naszych szkoleniach zarówno dla administratorów sieci, programistów jak i bezpieczników tropiących incydenty w firmie i walczących ze złośliwym oprogramowaniem.

Oto sugerowane przez nas stanowiska, jakie powinny znajdować się w każdej firmie poważnie myślącej o bezpieczeństwie IT wraz ze szkoleniami, jakie obowiązkowo powinni przejść w ramach tych kompetencji:

Administrator sieci i systemów Linuksowych powinien wiedzieć jak zabezpieczyć styk sieci przed atakami oraz jak wykrywać zagrożenia pochodzące od użytkowników wewnątrz sieci. Musi wiedzieć jak poprawnie sieć monitorować i na ile sposobów ktoś może ją zaatakować (oraz gdzie szukać śladów ataku). Oraz ja kto wszystko ogarnąć proceduralnie. Tę wiedzę przekazuje w ramach praktycznych nasze szkolenie pt. Bezpieczeństwo Sieci Komputerowych (testy penetracyjne), które w 85% składa się z praktycznych labów, gdzie uczestnik atakuje i zabezpiecza różne serwery.

powinien wiedzieć jak zabezpieczyć styk sieci przed atakami oraz jak wykrywać zagrożenia pochodzące od użytkowników wewnątrz sieci. Musi wiedzieć jak poprawnie sieć monitorować i na ile sposobów ktoś może ją zaatakować (oraz gdzie szukać śladów ataku). Oraz ja kto wszystko ogarnąć proceduralnie. Tę wiedzę przekazuje w ramach praktycznych nasze szkolenie pt. Bezpieczeństwo Sieci Komputerowych (testy penetracyjne), które w 85% składa się z praktycznych labów, gdzie uczestnik atakuje i zabezpiecza różne serwery. Administrator systemu Windows , jeśli firma korzysta z domeny. Taki administrator powinien wiedzieć jak bez dodatkowych kosztów , samymi mechanizmami już wbudowanymi w Windows można znacznie podnieść bezpieczeństwo tych systemów. A można. Znacznie. I za darmo. Na naszym szkoleniu pt. Bezpieczeństwo Systemów Windows tę wiedzę przekazuje wieloletni administrator sieci bankowych.

, jeśli firma korzysta z domeny. Taki administrator powinien wiedzieć jak , samymi mechanizmami już wbudowanymi w Windows można znacznie podnieść bezpieczeństwo tych systemów. A można. Znacznie. I za darmo. Na naszym szkoleniu pt. Bezpieczeństwo Systemów Windows tę wiedzę przekazuje wieloletni administrator sieci bankowych. Programista , bo kluczowe jest pisanie bezpiecznych aplikacji. To jakich błędów nie popełniać i czym mogą one skutkować, a także z jakich narzędzi automatycznych można skorzystać aby samodzielnie badać bezpieczeństwo własnych aplikacji pokazujemy w ramach szkolenia Atakowanie i Ochrona Webaplikacji. Zapraszamy na nie również QA-ów.

, bo kluczowe jest pisanie bezpiecznych aplikacji. To jakich błędów nie popełniać i czym mogą one skutkować, a także z jakich narzędzi automatycznych można skorzystać aby samodzielnie badać bezpieczeństwo własnych aplikacji pokazujemy w ramach szkolenia Atakowanie i Ochrona Webaplikacji. Zapraszamy na nie również QA-ów. Analityk złośliwego oprogramowania (często kompetencja już obecnego w firmie Programisty albo Administratora Sieci). Ponieważ codziennie pracownicy otrzymują e-mailem nowe złośliwe załączniki i niekiedy w nie klikają, trzeba posiadać podstawowe umiejętności szybkiej analizy malware, która odpowie na pytanie: czy ten plik jest złośliwy, jeśli tak, czy został użyty w masowym ataku czy w ataku ukierunkowanym tylko na naszą firmę, a jeśli to drugie, to jak on konkretnie działa i co robi. Odpowiedzi na te pytania są obowiązkowe, bo pozwalają podjąć odpowiednie kroki, które usuną zagrożenie z zainfekowanych systemów. To jak szybko i łatwo analizować złośliwe oprogramowania za pomocą kilkudziesięciu użytecznych narzędzi pokazujemy na szkoleniu z Analizy Malware.

(często kompetencja już obecnego w firmie Programisty albo Administratora Sieci). Ponieważ codziennie pracownicy otrzymują e-mailem nowe złośliwe załączniki i niekiedy w nie klikają, trzeba posiadać podstawowe umiejętności szybkiej analizy malware, która odpowie na pytanie: czy ten plik jest złośliwy, jeśli tak, czy został użyty w masowym ataku czy w ataku ukierunkowanym tylko na naszą firmę, a jeśli to drugie, to jak on konkretnie działa i co robi. Odpowiedzi na te pytania są obowiązkowe, bo pozwalają podjąć odpowiednie kroki, które usuną zagrożenie z zainfekowanych systemów. To jak szybko i łatwo analizować złośliwe oprogramowania za pomocą kilkudziesięciu użytecznych narzędzi pokazujemy na szkoleniu z Analizy Malware. Informatyk Śledczy (często kompetencja już obecnego w firmie Administratora Sieci). Taka osoba jest potrzebna aby mogła nie tylko zabezpieczyć cyfrowe ślady incydentu do postępowania przed sądem, ale również była w stanie poprawnie wykonać samodzielną analizę incydentu która odpowie na pytania co dokładnie się stało, co próbowano ukraść albo skasować i czy winny jest pracownik, czy atakujący z zewnątrz? por. . Tych kompetencji uczymy na szkoleniu Informatyka Śledcza (techniki służb), które jest prowadzone przez biegłego sądowego z wieloletnim doświadczeniem i najlepiej wyposażonym w Polsce laboratorium do analizy “IT Forensics”, który pracował przy największych polskich sprawach, gdzie zabezpieczano komputery i urządzenia mobilne przestępców.

Wszystkie szkolenia realizujemy regularnie w Warszawie, Krakowie a niekiedy także we Wrocławiu i Gdańsku. Listę najbliższych terminów powyższych szkoleń znajdziecie tutaj. Jeśli na któreś z powyższych szkoleń zapiszecie się do piątku, to podajcie podczas zapisu w polu uwagi hasło “cyberustawa bez cyberpieniędzy“, udzielimy wam 133,37 PLN rabatu. Rabat można w całości przekazać na dofinansowanie wybranego CSIRT-u, którego Ministerstwo Finansów pozbawi funduszy ;)

Szef rządu dość niespodziewanie ustanowił Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Będzie nim sekretarz stanu albo podsekretarz stanu w Ministerstwie Obrony Narodowej, co może mieć pewien wpływ na powstającą ustawę o krajowym systemie cyberbezpieczeństwa.

Wczoraj w Dzienniku Ustaw opublikowano już Rozporządzenie Prezesa Rady Ministrów w tej sprawie.

Rozporządzenie wchodzi w życie dzisiaj i stanowi, że:

Pełnomocnik będzie prowadził analizy i ocenę stanu cyberbezpieczeństwa na podstawie zagregowanych danych i wskaźników opracowanych przy udziale organów administracji rządowej oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego działających w MON, ABW i NASK.

Pełnomocnik będzie opracowywał nowe rozwiązania w zakresie zapewnienia cyberbezpieczeństwa na poziomie krajowym. Będzie też opiniował projekty aktów prawnych i koordynował działania prowadzone przez organy administracji rządowej. Jego zadaniem będzie też… uwaga… inicjowanie krajowych ćwiczeń z zakresu cyberbezpieczeństwa.

W porozumieniu z innymi ministrami pełnomocnik ma współpracować z innymi organizacjami i państwami, a także wspierać badania naukowe i rozwój technologii z zakresu cyberbezpieczeństwa.

Co bardzo istotne, pełnomocnik będzie opiniował projekty dokumentów rządowych, w tym projekty aktów prawnych, dotyczące cyberbezpieczeństwa. Zgadujemy, że pierwszym z opiniowanych dokumentów będzie… projekt ustawy o krajowym systemie cyberbezpieczeństwa, do którego MON już wcześniej miało wiele uwag.

Przeczytaj także: