Mechanizmy dotyczące kontroli integralności również są warte zachodu. To elementarz bezpieczeństwa w przypadku ochrony krytycznych systemów i należy tylko żałować, że taka rekomendacja musi być publikowana. Co prawda, zmiana integralności systemów rządowych prawie zawsze jest szybko wykrywana przez społeczność internetową, niemniej warto się o tym dowiedzieć ze swoich systemów kontroli, a nie z internetowych serwisów informacyjnych lub forów hakerskich.

Ochrona poczty i dostęp po VPN

Wszystkie zalecenia dotyczące ochrony poczty elektronicznej są tak oczywiste, że aż dziwi, iż wprowadza się je dopiero teraz. Dodam tylko, że dziś podstawowym mechanizmem pracy stał się również dostęp do poczty poprzez urządzenia mobilne. O jego bezpieczeństwo przy tej okazji też koniecznie trzeba zadbać. Pozostaje jednak pytanie, jak to zrobić i czy się uda? Zalecenia te, w odróżnieniu od poprzednich, dotyczą w praktyce niemal wszystkich pracowników domeny gov.pl. Łatwo napisać, trudniej zrobić. Jeśli ma się udać, wiąże się to z programem szkoleniowym na dużą skalę. Wbrew pozorom, przekonanie użytkowników sieci do bezpiecznych zachowań nie jest zadaniem łatwym. Wie o tym dobrze rząd australijski, który w kosztach implementacji zabezpieczeń szacuje skłonność użytkowników do akceptacji rozwiązań bezpieczeństwa.

Zobacz również:

• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Cyberwojna trwa na Bliskim Wschodzie

Wdrażanie zaleceń i wytycznych publikowanych przez CERT.GOV.PL to pomysł bardzo dobry. Ale kolejny raz należy uświadomić sobie, że przygotowanie takich publikacji nie jest zadaniem trywialnym. Wiąże się z poważnym projektem polegającym na przygotowaniu zestawu konfiguracji "startowych" i tych, potrzebnych do stałego utrzymania bezpieczeństwa systemu. To naprawdę dużo pracy. Stwierdzeniem o istnieniu rekomendacji sprawy nie załatwimy, bo one powinny dopiero powstać! Warto się zastanowić, czy rekomendacja MAiC w tym zakresie nie powinna brzmieć: "należy bezwzględnie stworzyć zestaw zaleceń i wytycznych z zakresu bezpieczeństwa IT dla administratorów systemów w domenie gov.pl".

ABW a rządowy CERT

No i wreszcie sprawa reagowania na incydenty. Zgłaszanie incydentów do zespołu CERT.GOV.PL jest jak najbardziej słuszne. Tylko czy to na pewno będzie działać? Pytanie należy postawić wprost - Jaka jest skłonność pracowników administracji państwowej do zgłaszania incydentów to zespołu, który funkcjonuje w strukturach ABW? Obawiam się, że niezbyt duża. Te incydenty w dużej mierze ujawniają słabości techniczne i proceduralne w instytucjach, w których doszło do ataku. Trudno uwierzyć w to, że akurat chętnie będzie to zgłaszane do ABW, w pewien sposób donosząc na siebie.

ABW odgrywa bardzo istotną rolę w zapewnieniu bezpieczeństwa Państwa, ale to nie znaczy że jest predysponowane do realizacji wszystkich zdań, które powinny towarzyszyć rządowemu zespołowi typu CERT. Zadania, które związane są ze swobodną wymianą informacji i sprawną koordynacją - często opartą o działania podejmowane ad hoc - wymagają dużej elastyczności. Bazują one również na wypracowanym modelu wzajemnego zaufania. Zespół pracujący w strukturach, które muszą działać i kontaktować się ze światem zewnętrznym wg bardzo ścisłych procedur, ma bardzo utrudnione zadanie w tej materii. To są czasami zadania niewykonalne dla tak sformalizowanej i specyficznej instytucji. Do dziś na stronach CERT-u rządowego nie można znaleźć informacj o tych atakach. A taka informacja z pewnością znaleźć się powinna. Znam dobrze osoby pracujące w zespole CERT.GOV.PL i nie mam wątpliwości co do ich fachowości i chęci do współpracy, ale wiem dobrze, że to za mało. Konieczność formalnego i ścisłego działania oraz współpraca z tymi, którzy z natury rzeczy podchodzą do takiej współpracy w sposób bardzo formalny i ostrożny, nie sprzyjają możliwości skutecznej jej realizacji niektórych z zadań CERT-owych.

Ulokowanie rządowego zespołu CERT w strukturach służb specjalnych jest unikatowe co najmniej w skali europejskiej. Znany mi jest tylko jeden podobny przypadek - Norwegia, ale tam to działanie wygląda zupełnie inaczej. Inne doświadczenia, inne warunki działania, inna kultura organizacyjna, budżetowa i polityczna, a przedstawiciele tego zespołu są otwarci na współpracę ze środowiskiem CERT-ów od lat uczestnicząc w międzynarodowych spotkaniach i dzieląc się wiedzą i doświadczeniami. Protoplaści umiejscowienia rządowego zespołu CERT w strukturach ABW postawi przed tym zespołem zadanie bardzo trudne do wykonania, jeśli w ogóle możliwe. Warto nad tą decyzją pochylić się raz jeszcze, a doświadczenia z ataków związanych z ACTA są doskonałym materiałem pomagającym w tej decyzji. Weźmy przykład z państw takich jak Estonia czy Korea Południowa, które po podobnych problemach w sieci wypracowały modelowe rozwiązania, często przywoływane i chwalone przez innych. Dlaczego nie mogłoby być tak samo w Polsce?

Mirosław Maj jest założycielem i prezesem Fundacji Bezpieczna Cyberprzestrzeń. Wcześniej kierował zespołem CERT Polska w NASK.