Rząd o bezpiecznym WWW
- Andrzej Maciejewski,
- 09.11.2009
Opracowanie systemowego rozwiązania do filtracji i blokowania internetowych treści staje się jednym z wyzwań dla środowiska ekspertów ds. bezpieczeństwa.
Głos w tej sprawie zabiera również - działający w strukturach NASK - CERT Polska. Zespół reagowania na zdarzenia naruszające bezpieczeństwo w sieci opracował własną koncepcję, którą na początku roku prezentował przedstawicielom administracji. "Jest to punkt wyjścia, a nie końcowe rozwiązanie. Stawiamy na samoregulację środowiska operatorów telekomunikacyjnych, ze zwróceniem uwagi na konieczność nadzoru z zewnątrz nad tym, co wypracują" - podkreśla Mirosław Maj, kierownik CERT Polska. Podczas październikowej konferencji NASK - Secure 2009 - organizatorzy przeprowadzili panel dyskusyjny, dotyczący problemu blokowania i filtracji w Internecie. Wnioski zostaną spisane w dokumencie, który będzie podsumowaniem opinii środowiska ekspertów bezpieczeństwa, które również będą brane pod uwagę w dyskusji nad kształtem przyszłych rozwiązań.
Blokowane treści
Rządowy CERT.GOV.PL prowadzi aktywnie poszukiwanie podatności w serwisach internetowych administracji publicznej. Podczas konferencji Secure 2009 zaprezentowano wyniki audytu przeprowadzonego w ciągu ostatnich 12 miesięcy. Sprawdzono 117 witryn 72 jednostek administracji rządowej. Wykryto łącznie 1729 podatności - 655 podatności oznaczono jako krytyczne, 20 stwarzało wysokie zagrożenie, 800 niskie, a 250 miało charakter informacyjny. "Sprawdzanie szczelności witryn administracji jest procesem ciągłym, administratorzy są zapraszani do udziału i powiadamiani o planowanym audycie" - mówi ekspert rządowego CERT. Wykrywane luki znajdowano na ogół w oprogramowaniu firm trzecich [np. służącym do zarządzania treścią (CMS)] i błędnych konfiguracjach.
"Kontrowersje są nieuniknione" - przyznaje Mirosław Maj. "Na gruncie polskim musimy również rozstrzygnąć, czego powinno dotyczyć filtrowanie i blokowanie, kto o tym powinien decydować od strony organizacyjnej i kontrolnej, jakie będą procedury odwoławcze, jak nie przekroczyć wrażliwej granicy cenzury: czy filtrowane mają być treści pedofilskie, na co jest największe społeczne przyzwolenie, czy rasistowskie i ksenofobiczne, co już ociera się o cenzurę" - wyjaśnia Mirosław Maj.
Obok administracji, pracami nad projektem żywotnie zainteresowani będą operatorzy telekomunikacyjni, którzy będą musieli się do potencjalnych uregulowań przygotować i mają również na ten temat własne opinie. Najwięksi zapewne przyjmą postawę dostosowania się do ustalonych reguł, nie chcąc narażać się na zarzut nadużywania rynkowej pozycji. Mniejsi zapewne będą dążyć do działań samoregulacyjnych. "Postulat równowagi pomiędzy tym, co powinno być regulowane odgórnie a tym, co powinno ulegać samoregulacji, pojawia się w czasie dyskusji bardzo często" - mówi Mirosław Maj. Istotnym założeniem projektu jest, aby zasoby podlegające przyszłej filtracji lub blokowaniu podzielone zostały kontekstowo, czyli np. na treści pedofilskie oraz czysto technologiczne - związane z botnetami, wirusami, phishingiem itp. "Proponowany przez nas model rozdziela te dwie kategorie. Ochrona przed przestępcami jest niewątpliwie konieczna, ingerencja w treści to sprawa bardziej delikatna. Chcemy opracować platformę wsparcia dla operatorów w zwalczaniu obydwu kategorii zasobów" - zapowiada kierownik CERT Polska.
Wirusowa prognoza pogody
Projekt o zasięgu europejskim, w który zaangażował się CERT Polska, to FISHA (Framework for Information SHaring and Alerting). Jest to element szerszego programu Komisji Europejskiej - Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks, w którym bierze udział również węgierski CERT oraz niemiecki instytut badawczy Internet Security Centre z Uniwersytetu Gelsenkirchen. "FISHA ma sprawić, aby system ostrzegania o sieciowych zagrożeniach stał się spójny i skutecznie docierał do końcowych użytkowników domowych oraz pracowników małych i średnich przedsiębiorstw" - tłumaczy Mirosław Maj.