Rząd o bezpiecznym WWW

Opracowanie systemowego rozwiązania do filtracji i blokowania internetowych treści staje się jednym z wyzwań dla środowiska ekspertów ds. bezpieczeństwa.

Głos w tej sprawie zabiera również - działający w strukturach - CERT Polska. Zespół reagowania na zdarzenia naruszające bezpieczeństwo w sieci opracował własną koncepcję, którą na początku roku prezentował przedstawicielom administracji. "Jest to punkt wyjścia, a nie końcowe rozwiązanie. Stawiamy na samoregulację środowiska operatorów telekomunikacyjnych, ze zwróceniem uwagi na konieczność nadzoru z zewnątrz nad tym, co wypracują" - podkreśla Mirosław Maj, kierownik CERT Polska. Podczas październikowej konferencji NASK - Secure 2009 - organizatorzy przeprowadzili panel dyskusyjny, dotyczący problemu blokowania i filtracji w Internecie. Wnioski zostaną spisane w dokumencie, który będzie podsumowaniem opinii środowiska ekspertów bezpieczeństwa, które również będą brane pod uwagę w dyskusji nad kształtem przyszłych rozwiązań.

Blokowane treści

Audyt rządowych WWW

Rządowy CERT.GOV.PL prowadzi aktywnie poszukiwanie podatności w serwisach internetowych administracji publicznej. Podczas konferencji Secure 2009 zaprezentowano wyniki audytu przeprowadzonego w ciągu ostatnich 12 miesięcy. Sprawdzono 117 witryn 72 jednostek administracji rządowej. Wykryto łącznie 1729 podatności - 655 podatności oznaczono jako krytyczne, 20 stwarzało wysokie zagrożenie, 800 niskie, a 250 miało charakter informacyjny. "Sprawdzanie szczelności witryn administracji jest procesem ciągłym, administratorzy są zapraszani do udziału i powiadamiani o planowanym audycie" - mówi ekspert rządowego CERT. Wykrywane luki znajdowano na ogół w oprogramowaniu firm trzecich [np. służącym do zarządzania treścią (CMS)] i błędnych konfiguracjach.

Mechanizmy blokujące i filtrujące stosuje w Europie już kilka krajów, m.in. Włochy i Wlk. Brytania. Obydwa modele łączy cel ograniczania treści, związanych z wykorzystywaniem dzieci i stojącego za tym potężnego biznesu przestępczego, który w Internecie rozrósł się do ogromnych rozmiarów. Różnice występują ze względu na odmienne uwarunkowania prawne i kulturowe. Model włoski jest restrykcyjny i szybko powiększa katalog blokowanych treści, np. o zagraniczne serwisy bukmacherskie. W modelu brytyjskim stworzono organizację, która ma zapanować nad tym - Internet Watch Foundation. Jest to ciało pozarządowe, jednak blisko współpracujące z administracją. Ma prawo decydować, co blokować, ale wzbudza dyskusję na temat kryteriów, którymi się kieruje.

"Kontrowersje są nieuniknione" - przyznaje Mirosław Maj. "Na gruncie polskim musimy również rozstrzygnąć, czego powinno dotyczyć filtrowanie i blokowanie, kto o tym powinien decydować od strony organizacyjnej i kontrolnej, jakie będą procedury odwoławcze, jak nie przekroczyć wrażliwej granicy cenzury: czy filtrowane mają być treści pedofilskie, na co jest największe społeczne przyzwolenie, czy rasistowskie i ksenofobiczne, co już ociera się o cenzurę" - wyjaśnia Mirosław Maj.

Obok administracji, pracami nad projektem żywotnie zainteresowani będą operatorzy telekomunikacyjni, którzy będą musieli się do potencjalnych uregulowań przygotować i mają również na ten temat własne opinie. Najwięksi zapewne przyjmą postawę dostosowania się do ustalonych reguł, nie chcąc narażać się na zarzut nadużywania rynkowej pozycji. Mniejsi zapewne będą dążyć do działań samoregulacyjnych. "Postulat równowagi pomiędzy tym, co powinno być regulowane odgórnie a tym, co powinno ulegać samoregulacji, pojawia się w czasie dyskusji bardzo często" - mówi Mirosław Maj. Istotnym założeniem projektu jest, aby zasoby podlegające przyszłej filtracji lub blokowaniu podzielone zostały kontekstowo, czyli np. na treści pedofilskie oraz czysto technologiczne - związane z botnetami, wirusami, phishingiem itp. "Proponowany przez nas model rozdziela te dwie kategorie. Ochrona przed przestępcami jest niewątpliwie konieczna, ingerencja w treści to sprawa bardziej delikatna. Chcemy opracować platformę wsparcia dla operatorów w zwalczaniu obydwu kategorii zasobów" - zapowiada kierownik CERT Polska.

Wirusowa prognoza pogody

Projekt o zasięgu europejskim, w który zaangażował się CERT Polska, to FISHA (Framework for Information SHaring and Alerting). Jest to element szerszego programu Komisji Europejskiej - Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks, w którym bierze udział również węgierski CERT oraz niemiecki instytut badawczy Centre z Uniwersytetu Gelsenkirchen. "FISHA ma sprawić, aby system ostrzegania o sieciowych zagrożeniach stał się spójny i skutecznie docierał do końcowych użytkowników domowych oraz pracowników małych i średnich przedsiębiorstw" - tłumaczy Mirosław Maj.