Głównym problemem w zakresie bezpieczeństwa informacji w administracji publicznej nie jest brak uregulowań prawnych, lecz brak jasnej polityki i strategii działania oraz brak wiedzy, zarówno wśród decydentów, jak i osób odpowiedzialnych za bezpieczeństwo.

Przy analizie wyników badania Computerworld pozytywne wrażenie robi fakt coraz powszechniejszego stosowania systemów antywirusowych. Należy łączyć to z olbrzymią liczbą ataków sieciowych, których przy masowym dostępie do sieci Internet doświadczają również urzędy administracji publicznej. Duża liczba publikacji prasowych, w szczególności w magazynach poświęconych tematyce teleinformatycznej, wpłynęła na większe upowszechnienie wiedzy o zagrożeniach i sposobach ochrony. Nie bez znaczenia pozostaje też fakt większej dostępności środków ochrony, w szczególności programowych zabezpieczeń antywirusowych, zapór sieciowych, aplikacji do szyfrowania danych przechowywanych na dyskach twardych i nośnikach przenośnych oraz szyfrowania wiadomości poczty elektronicznej. Co istotne, większość z tych mechanizmów zabezpieczających wbudowywana jest w najnowsze wersje systemów operacyjnych i są one włączane domyślnie, bez potrzeby podejmowania dodatkowych działań ze strony najczęściej niedoświadczonych użytkowników.

Mały stopień wykorzystania sprzętowych rozwiązań zabezpieczających wynika z ich większych kosztów, a ponadto z mylnego przeświadczenia, że wymagają one bardzo specjalizowanej wiedzy. Analiza dostępnych na rynku urządzeń sieciowych pokazuje, że za kwotę do 1300 zł można nabyć markowe urządzenia, które pełniąc rolę ruterów/przełączników sieciowych umożliwiają zestawianie do 100 tuneli wirtualnej sieci prywatnej (VPN), posiadają sprzętowe mechanizmy zapory sieciowej, translacji adresów sieciowych, strefy zdemilitaryzowanej oraz dysponują zaimplementowanymi silnymi algorytmami kryptograficznymi.

Niski stopień wykorzystania systemów wykrywania włamań (IDS) i systemów ochrony przed włamaniami (IPS) wynika najprawdopodobniej z przekonania kierowników jednostek organizacyjnych, często wbrew opinii administratorów systemów, że rozwiązania te są zbyt kosztowne i nieadekwatne do wartości informacji przetwarzanych przez daną jednostkę, co objawia się częstym stwierdzeniem "kto chciałby się włamywać po nasze informacje". Postawa taka, poza tym że jest całkowicie błędna, wskazuje na brak świadomości kierowników jednostek organizacyjnych dotyczącej aktualnych celów i metod włamań sieciowych. Koordynowana bardzo często działalność przestępców internetowych została już określona mianem "podziemia internetowego", którego cele rozciągają się od zarobkowania na dystrybucji niechcianej korespondencji (spamu), poprzez dystrybucję nielegalnego oprogramowania, utworów muzycznych i filmowych, kradzież informacji i danych, aż do kierowanych ataków na przeciwników politycznych i aktów mieszczących się w definicji cyberterroryzmu. Najczęściej więc serwery administracji publicznej nie będą celem ataków, których skutkiem ma być kradzież informacji (mających głównie cechy informacji publicznej) - kardynalnym efektem ma być negatywny wpływ na wizerunek (ośmieszenie) lub niejawne przejęcie kontroli nad serwerami danej instytucji (nadanie statusu "Zombie" w sieci przejętych komuterów - Botnet) w celu ich wykorzystania do prowadzenia ataków rozproszonych na inne wyznaczone cele (ataki DDoS).

Dziwić może tak mały stopień wykorzystania mechanizmów kryptograficznej ochrony poczty elektronicznej, a to ona najczęściej jest źródłem bardzo wielu informacji umożliwiających penetrację sieci wewnętrznych. Jako standardowe zabezpieczenie wykorzystywane są mechanizmy logowania do środowiska systemowego. Współczesne oprogramowanie serwerów wymusza stosowanie mechanizmów logowania, umożliwia monitoring oraz kontrolę jakości haseł, i tu należy upatrywać przyczyny powszechności stosowania tych mechanizmów. Na tym tle zaskakujący jest brak powszechności szyfrowania danych przechowywanych w komputerach - od kilku lat dostępne są rozwiązania systemowe i bezpłatne oprogramowanie umożliwiające szyfrowanie zawartości wydzielonych partycji, tworzenie bezpiecznych kontenerów czy szyfrowanie całej zawartości dysku. W kolejnym badaniu należałoby zapytać o stosowanie szyfrowania danych w komputerach przenośnych, które coraz częściej padają łupem złodziei.

Obawy i oczekiwania

Trudno mówić o społeczeństwie informacyjnym bez realizacji podstawowych usług administracji elektronicznej. Społeczne oczekiwania, rozbudzane co pewien czas przez media i dostawców rozwiązań technicznych, nie przełożyły się dotychczas na powszechność systemów obsługi obywateli, a w przypadku aktualnie dostępnych rozwiązań ich bezpieczeństwo polega na stosowaniu protokołu SSL/TLS bez silnego uwierzytelnienia użytkowników.

Niepokoi brak zaufania do skuteczności organów ścigania. Pozytywne doświadczenia w ściganiu przestępczości komputerowej powinny być częściej eksponowane przez media, które szukając sensacyjnych tematów, często stają się narzędziem w rękach "wschodzących gwiazd hakerstwa", pokazujących niedoskonałości w zabezpieczeniach atakowanych stron czy systemów w imię fałszywie argumentowanej pomocy w likwidowaniu podatności. Czy tak samo akceptowalne byłoby zachowanie naszego sąsiada, który argumentując troską o nasze bezpieczeństwo dokonałby próby wyłamania naszych drzwi widząc spróchniałą ich framugę?

Ciekawe są oczekiwania dotyczące roli podmiotów administracji publicznej w kształtowaniu polityki bezpieczeństwa informacji. Równorzędne wskazanie, że rolę wiodącą powinien odgrywać Minister MSWiA lub każdy urząd samodzielnie, może świadczyć o tym, że dotychczasowe działania administracji w tym zakresie są niewystarczające. Głównym problemem nie jest brak uregulowań ustawowych czy przepisów wykonawczych, które w związku ze swoją specyfiką nie mogą być zbyt szczegółowe, ale konieczność prowadzenia realnych i jak najbardziej dostępnych działań uświadamiających, przeznaczonych dla osób kierujących organami administracji, organami, które w ciągu kilku najbliższych lat będą w dużej mierze zależne od dostępności bezpiecznej infrastruktury teleinformatycznej, wykorzystywanej do świadczenia usług dla obywateli i przedsiębiorców.

Kontynuacja dyskusji o "wiodącej roli" MSWiA, służb ochrony państwa (odpowiedzialnych jedynie za ochronę informacji niejawnych), dyskusja o nadrzędności CERT GOV PL (ABW) nad CERT Polska (NASK) i brak konkretnej strategii działań w dziedzinie bezpieczeństwa cyberprzestrzeni może prowadzić do uzyskiwania w kolejnych badaniach Computerworld odpowiedzi wskazujących na zagubienie administratorów systemów i "schizofrenicznych" działań w stylu "Panu Bogu świeczkę, a diabłu ogarek" - czyli unikanie zgłoszeń incydentów do CERT GOV PL (bo po co na siebie donosić - zawsze można mieć przecież postawiony zarzut niedopełnienia obowiązków) i szukanie realnej pomocy w niezależnym (całe szczęście) zespole CERT Polska, który funkcjonując od 12 lat zdobył zaufanie zespołów z innych państw i organizacji: FIRST, Terena TF-CSIRT i NATO.

Infrastruktura do dyspozycji

Uczestnicząc w przygotowaniu pytań ankiety badania Computerworld, byłem bardzo ciekaw konfrontacji odpowiedzi z odpowiedziami z ankiety prowadzonej w ramach prac, działającego pod przewodnictwem prezesa UKE, międzyresortowego zespołu do spraw opracowania programu zapewnienia łączności na potrzeby administracji publicznej, systemu kierowania bezpieczeństwem narodowym, bezpieczeństwem i porządkiem publicznym oraz na potrzeby ratownictwa. Przygotowany przez Władzę Wdrażającą Programy Europejskie (WWPE) raport z analizy ankiet identyfikujących zasoby infrastruktury teleinformatycznej administracji publicznej, liczący 399 stron, jest wyselekcjonowanym zbiorem odpowiedzi na pytania ankiety inwentaryzacyjnej udzielonych przez ponad 800 jednostek organizacyjnych w okresie od 9 lipca do 9 listopada 2007 r., wraz z wnioskami wynikającymi z analizy przeprowadzonej przez WWPE. Zawarte tam informacje stanowią największy dostępny zbiór danych o systemach teleinformatycznych administracji szczebla centralnego i wojewódzkiego. Raport ten stanowi zarazem najbardziej obszerne z dotychczas opracowanych zestawień identyfikujących elementy infrastruktury, które powinny być klasyfikowane do zasobów Krytycznej Infrastruktury Teleinformatycznej.

Z raportu tego w szczególności wynika, że infrastruktura sieciowa oraz urządzenia dostępowe wykorzystywane przez administrację publiczną pozostają w dyspozycji wielu podmiotów. W ramach administracji rządowej występuje duże zróżnicowanie, zarówno wśród operatorów komercyjnych, zapewniających łączność w ramach sieci publicznych, jak również wśród dysponentów wchodzących w skład administracji rządowej odpowiedzialnych za utrzymanie systemów (zarówno łączności telefonicznej, jak i transmisji danych).

Do wymiany danych wykorzystywane są głównie sieci budowane w oparciu o Internet lub bazujące na usługach teletransmisji oferowanych przez operatorów telekomunikacyjnych. Niektóre z instytucji rozpoczęły wykorzystywanie technologii transmisji bezprzewodowej (z wykorzystaniem standardu WiFi i WiMAX). Niezbędne jest opracowanie zaleceń bezpieczeństwa dla stosowania przez administrację rządową bezprzewodowej transmisji danych - zalecenia takie zostały już opracowane i opublikowane przez wiele państw.

Zabezpieczenia sieci wewnętrznych przed dostępem do sieci publicznej realizowane są na wiele sposobów. Widać brak spójnej polityki zabezpieczania i podłączania sieci lokalnych instytucji szczebla centralnego i wojewódzkiego do sieci publicznej Internet. Podłączenia do sieci Internet realizowane są na przykład poprzez zapory sieciowe (m.in. PIX, ISA Server) lub router z listą dostępu (tzw. access list). Są jednostki, które wykazały separację galwaniczną sieci lokalnej, co de facto oznacza brak łączności z siecią Internet, poza wydzielonymi, pojedynczymi stanowiskami. Z punktu widzenia dążenia do rozszerzania usług realizowanych poprzez sieć Internet (a nie sieci resortowe) sytuacja taka oznacza, iż wymagane jest określenie polityk bezpieczeństwa oraz wprowadzenie monitoringu bezpieczeństwa systemów (sieci) administracji podłączonych do sieci Internet. W tym zakresie potrzebne jest wypracowanie podstaw prawnych, odpowiedniego modelu polityki bezpieczeństwa oraz zaproponowanie metodyki monitorowania poziomu bezpieczeństwa systemów administracji rządowej.

W połączeniach sieciowych dominuje protokół TCP/IP, co ułatwia zastosowanie coraz dostępniejszych szyfratorów IP, które zapewniają ochronę przekazywanych danych, niezależnie od ich formatu. Wśród usług służących wymianie danych najczęściej powtarzały się poczta elektroniczna oraz portale informacyjne. Występowały również usługi przesyłania plików (FTP) oraz usługi katalogowe. W ankietach nie wskazano jednak miejsc przechowywania serwerów świadczących te usługi, więc trudno jest stwierdzić, na ile powszechne jest korzystanie z zewnętrznych usług kolokacji i hostingu w profesjonalnych serwerowniach zapewniających bezpieczeństwo fizyczne i sieciowe. Stąd wynika konieczność opracowania wymagań bezpiecznego przechowywania serwerów usług transmisji danych.

Duże zróżnicowanie systemów operacyjnych wynika z braku spójnej polityki administracji rządowej w tym zakresie. Sytuacja taka może stwarzać duży problem przy próbach wdrażania globalnych systemów aplikacyjnych dedykowanych dla konkretnego systemu operacyjnego. Istnieje możliwość opracowywania aplikacji niezależnych od systemu operacyjnego, na przykład pracujących w środowisku przeglądarki internetowej. Nie rozwiązuje to jednak całkowicie problemu, gdyż po pierwsze, nie wszystkie aplikacje (pod kątem wymagań funkcjonalnych) mogą mieć taki charakter, a po drugie - ich stosowanie będzie wymagało użycia skuteczniejszych środków ochrony dla zapewnienia podstawowego poziomu bezpieczeństwa w zakresie m.in. autoryzacji źródła aplikacji czy autentyczności aplikacji.

Podpułkownik Robert Kośla, do roku 2006 zastępca dyrektora Departamentu Bezpieczeństwa TeleInformatycznego ABW, następnie oddelegowany do wykonywania funkcji zastępcy dyrektora ds. Systemu Informacyjnego Schengen (SIS) i Systemu Informacji Wizowej (VIS), we Władzy Wdrażającej Programy Europejskie MSWiA.