Cyberbezpieczeństwo Polski budowane od podstaw – Filarami bezpiecznej cyberprzestrzeni są kompetencje, krajowa certyfikacja i współpraca zainteresowanych stron. Rządowe plany wzmocnienia cyberbezpieczeństwa Polski są ambitne, kompleksowe, pełne rozmachu i zakładają współdziałanie wielu stron. Paradoksalne, dla dystrybutorów IT, jest to powód do przyjmowania ich z rezerwą. Zwłaszcza, że dotychczasowa praktyka administracji publicznej przy realizowaniu projektów ICT nie nastraja do optymizmu. O planach wzmocnienia cyberbezpieczeństwa Polski rozmawiają:
- Piotr Januszewicz, dyrektor departamentu cyberbezpieczeństwa w ministerstwie cyfryzacji.
- Anna Armata, Business Development Manager w dziale systemów sieciowych Veracomp.
- Arkadiusz Możdżeń, członek zarządu ds. rozwoju i CTO w S4E.
- Rafał Owczarek, IBM Business Development Manager w Avnet.
Jaką rolę odgrywają kompetencje dystrybutora, który chce uczestniczyć w realizowaniu Strategii Cyberbezpieczeństwa Polski
Piotr Januszewicz (PJ): Kompetencje dystrybutora, ale i producenta są kluczowe. Dlatego będziemy dążyć do wdrożenia takiego modelu edukacji akademickiej i doskonalenia zawodowego, który zapewni odpowiednie do wyzwań kwalifikacje. Uczelnie będą zachęcane, by rozwijać specjalizacje interdyscyplinarne m.in. zarządzanie bezpieczeństwem informacji, ochronę danych osobowych, ochronę własności intelektualnej w Internecie oraz kwestie związane z rozwojem nowych technologii i jego pochodnymi. W szeroko rozumianej edukacji eksperckiej, aby przeciwdziałać cyberprzestępczości, wzmocnimy system szkoleń dla pracowników podmiotów istotnych dla bezpieczeństwa cyberprzestrzeni, dla przedstawicieli organów ścigania i wymiaru sprawiedliwości.
To kompetencje mają zapewnić bezpieczeństwo systemom ICT w procesie ich budowy, eksploatacji i wycofywania zapewniony. Potrzebny jest tzw. bezpieczny łańcuch dostaw, czyli system składający się z podsystemów produkcji, dystrybucji, transportu, magazynowania i recyklingu komponentów systemów ICT. W kompetencjach technologicznych należy postawić na pierwszym miejscu na bezpieczeństwo.
Anna Armata (AA): Choć dystrybutor pracuje z partnerami, nieraz ma też kontakt z klientem końcowym. Oferuje przecież wiele marek, zatem musi je nie tylko znać, lecz również posiadać kompetencje, by je właściwie adresować. Niejednokrotnie dystrybutor uczestniczy w projektowaniu zamawianego rozwiązania i wspiera integratora. Wartością dodaną, jaką oferuje, jest właśnie wiedza techniczna o produktach i umiejętność dopasowania ich do potrzeb zamawiającego. To wszystko sprawia, że doświadczenie, aktualna wiedza techniczna, znajomość trendów, umiejętności, to warunki, od których zależy powodzenie działania integratora.
Arkadiusz Możdżeń (AM): Podstawowe znaczenie ma poznanie potrzeb i wymagań zamawiającego. Oczywiście znając Strategię dystrybutor ma już orientację co do zamiaru, jaki ma być realizowany. Jednak lepiej jest, gdy ma do czynienia z ośrodkiem koordynującym jej realizację – ośrodkiem reprezentującym strategiczną wizję, kontrolującym plan realizacji i czuwającym nad szczegółowymi działaniami, które warunkują wypełnienie owego planu. Miejmy nadzieję, że tym ośrodkiem będzie właśnie ministerstwo cyfryzacji. Jednak na razie wciąż czekamy na „Plan działań na rzecz wdrożenia Strategii”, na przyjęcie go przez rząd i zatwierdzenie budżetu wydatków na konkretne już działania.
Jeśli idzie o kompetencje dystrybutora to muszą one być nieustannie podnoszone. Rozwój technologii jest tak szybki, że bez ciągłej aktualizacji wiedzy i umiejętności łatwo stracić kompetencje niezbędne do tego, by nadążyć za potrzebami rynku. Dobrze, że na wstępie do realizacji Strategii podniesiono kwestię certyfikacji. Do tej pory nie była ona akcentowana w zamówieniach publicznych. Dystrybutorzy stosowali więc certyfikację wymaganą przez producentów i pochodzącą na ogół ze świata zachodniego – w przypadku systemów bezpieczeństwa certyfikację z Izraela czy Wielkiej Brytanii.
Rafał Owczarek (RO): Kompetencje zazwyczaj są budowane w ściśle określonych obszarach, my doradzamy, by przystępując do budowy systemów bezpieczeństwa IT przygotować się na udział w procesie nieustannych zmian. Pułapką byłoby uznanie zadania za wykonane tylko po zaimplementowaniu danego systemu, który gwarantuje bezpieczeństwo „od – do”. Podstawą efektywności jest poprawna implementacja, ale tylko wstęp, po którym należy system monitorować, aktualizować stosownie do potrzeb firmy i zmieniającego się otoczenia. Mając na uwadze efektywność i złożoność projektów cyberbezpieczeństwa budujemy z partnerami kanały ciągłej wzajemnej wymiany informacji o podatnościach systemów w ich najsłabszych ogniwach. Wymiana informacji jest nie tylko lokalna, ale również globalna, co oznacza, że informacje o incydentach w Chinach mają pomóc nam odpowiednio przygotować szyki obronne. Do tego potrzebne jest nawiązanie współpracy producenta danego rozwiązania z dystrybutorem i jego partnerami oraz stały kontakt i wymiana bieżących informacji.
PJ: Kompetencje architektoniczne i technologiczne to dwie różne sprawy. Te drugie są ściśle powiązane z dostawcą technologii i to on ma własny system certyfikacji i wartościowania kompetencji dotyczących jego produktu. Wspomnianemu łańcuchowi dostaw trzeba zapewnić wysoką jakość dzięki ocenie i certyfikacji produktów. Priorytetowe będzie tu stworzenie krajowego systemu oceny, co będzie sprzyjać uzyskaniu narodowej niezależności w wymiarze sprzętowym, programistycznym i kryptologicznym. Z uwagi na procesy globalizacyjne niezbędne jest bowiem włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach.
Kompetencje architektoniczne polegają zaś na tym, że architekt ma – mówiąc w przenośni – dobrać najlepsze klocki i z nich zbudować potrzebny dom. W tym zakresie chcemy określić kompetencje i stworzyć certyfikat dla architektów, który określi wymagania dotyczące również znajomości prawa. Uważam, że edukację w zakresie cyberbezpieczeństwa należy rozpoczynać już na etapie wczesnoszkolnym. Bezpieczne korzystania z cyberprzestrzeni wymaga zmian w podstawach programowych nauczania uczniów i kształcenia podyplomowego nauczycieli, a także kursów doszkalających dla nauczycieli informatyki. Równolegle, we współpracy z partnerami społecznymi i akademickimi, trzeba podjąć systemowe uwrażliwianie społeczeństwa na zagrożenia płynące z cyberprzestrzeni, m.in. kampanie społeczne dzieci, rodziców, seniorów, itd.
Celem podnoszenia kompetencji w obszarze cyberbezpieczeństwa planuje się powołanie Naukowego Klastra Cyberbezpieczeństwa, czyli platformy naukowej uczelni wyższych i ośrodków naukowo-badawczych. Istotna będzie budowa systemu wsparcia przedsięwzięć badawczo-rozwojowych w dziedzinie cyberbezpieczeństwa.
Strategia przewiduje stworzenie na uczelniach technicznych sieci laboratoriów, które zostaną wpięte w Narodowe Centrum Cyberbezpieczeństwa (NCC) i będą prowadziły prace przede wszystkim w obszarze cyberbezpieczeństwa. Przy czym na zajęcia w takich laboratoriach powinni uczęszczać nie tylko studenci informatyki, ale i innych kierunków technicznych, bo taka jest tendencja, że rozwiązania informatyczne zaczynają być obecne wszędzie. Pierwsze tego rodzaju laboratorium już powstało na Politechnice Warszawskiej. NCC już teraz, na mocy stosowanych umów, współpracuje z ponad trzydziestoma podmiotami krajowymi i zagranicznymi, głównie prywatnymi (np. bankami) w obszarze cyberbezpieczeństwa i na bieżąco wymienia z nimi informacje o wektorach ataków, które zostały wykryte. NCC będzie przekazywać do akademickich laboratoriów aktualne przykłady ataków hakerskich, by na tej podstawie studenci się uczyli, jak bronić cyberprzestrzeń. Po ukończeniu takich studiów, które w dużym stopniu są nasycone praktycznymi ćwiczeniami, absolwenci będą wysoko wykwalifikowanymi specjalistami ds. cyberbezpieczeństwa. Kolejna sprawa to stworzenie najbardziej uzdolnionym studentom możliwości rozwijania kariery naukowej, jako atrakcyjnej, także finansowo, drogi zawodowej. Ogromną tu rolę do odegrania mają instytucje, np. Narodowe Centrum Badań i Rozwoju (NCBiR), które może uruchomi granty zachęcające uzdolnionych studentów do rozwoju. Jeśli wspomniane laboratoria akademickie zaczną z powodzeniem tworzyć zabezpieczenia przed rozpoznanymi wektorami ataków to staną się też ośrodkami zainteresowania ze strony partnerów NCC, którzy będą skłonni wspierać finansowo uczelnie, by w zamian otrzymać dobre zabezpieczenia. Zbudowanie wspomnianego systemu edukacji i badań oznaczałoby przezwyciężenie obecnego stanu, w którym wielu zdolnych, młodych ludzi marnuje swój potencjał, bo np. przygotowując doktorat muszą z konieczności wykonywać różne „chałtury”, by móc wiązać koniec z końcem.
Jak jest obecnie przy zamówieniach publicznych? Czy zamawiający rzeczywiście koncentrują się na produktach i usługach, czy również wymagają kompetencji?
AM: Od 1999 r. zajmuję się IT. Z moich doświadczeń wynika, że określenie przez zamawiającego swoich potrzeb dotyczących eksploatacji systemów ma znaczenie krytyczne i odgrywa coraz większą rolę. Jednak w praktyce dużo jest bałaganiarstwa. W latach 2007–2013 w zamówieniach publicznych mało uwagi przywiązywano do zabezpieczenia eksploatacji rozwiązań. Nie zastanawiano się, jakie środki należy zarezerwować na utrzymanie i zabezpieczenie rozwiązań. Dostawcy udzielali gwarancji na 5 lat, ale zamawiający nie zastanawiali się co będzie potem, nie przykładali wagi do tego, co gwarancja powinna obejmować. Takie podejście wciąż pokutuje. Przykładem jest atak WannaCry. Przecież, gdyby administratorzy zaktualizowali swoje systemy, korzystając z dostępnych „łat”, to zasięg infekcji byłby o wiele mniejszy. Trzeba jednak dodać, że świadomość rośnie i obecnie na etapie zamówienia, bardziej niż jeszcze 5–10 lat temu, przewiduje się utrzymanie rozwiązania w działaniu.
PJ: Raz jeszcze odwołam się do pojęcia bezpiecznego łańcucha dostaw. O systemie teleinformatycznym trzeba myśleć począwszy od strategii świadczenia usług, przez proces projektowy i przekazanie do eksploatacji, ale tu, wbrew utrwalonemu podejściu, praca się nie kończy. Już na starcie trzeba dokładnie przemyśleć eksploatację. Mało tego – trzeba też mieć koncepcję na wycofanie systemu z eksploatacji. Jeden z dużych banków wciąż utrzymuje pewne systemy rodem z lat 70.tych poprzedniego wieku, bo – jako ogromna organizacja – ma duże, zbyt duże trudności z ustaleniem planu wycofania ich z eksploatacji. A przecież systemy ICT są użytkowane już od 50 lat i stworzono dobre praktyki, czy metodyki zarządzania systemami teleinformatycznymi. Niestety, zamawiający nie zważają na nie i uczą się dopiero na własnych błędach, co jest bardzo kosztowne. Trzeba przyznać, że przyjęcie poprawnych założeń wycofanie systemu z eksploatacji jest bardzo trudnym zadaniem. O wiele łatwiej jest zaprojektować i wdrożyć system. Przy okazji Strategii przyjmujemy, że trzeba zmienić ten paradygmat i już od początku bardzo poważnie myśleć o końcu eksploatacji projektowanych rozwiązań.
AA: Nastawianie się przez dystrybutora wyłącznie na produkt czy usługę na szczęście jest już przeszłością. Administratorzy nie patrzą dziś punktowo – zamawiając rozwiązanie starają się uwzględniać zarządzanie nim w okresie eksploatacji. Biorą pod uwagę spełnienie wymogów prawnych i konieczność integracji nowego systemu z już wykorzystywanymi. By sprostać wszystkim tym wyzwaniom przy formułowaniu zamówienia trzeba mieć odpowiednie kompetencje. Zdarza się, że po stronie użytkownika są one niewystarczające i wtedy większa jest rola dystrybutora, jego partnerów, a także producenta (vendora), by go wesprzeć. W tym kontekście warto zauważyć, że rośnie znaczenie wyspecjalizowanych doradców. I to nie może dziwić, bo systemy są coraz bardziej złożone i ogromnym wyzwaniem po stronie zamawiającego jest trafne określenie wymogów dotyczących ich cyberbezpieczeństwa.
PJ: Warto podkreślić, że Naukowa i Akademicka Sieć Komputerowa (NASK) rozbudowuje dział edukacyjny. Korzystając z szerokopasmowych łączy chcemy dotrzeć do każdej ze szkół z pokaźną ofertą różnego typu szkoleń i ćwiczeń dostępnych online, a także z propozycją e–learningu prowadzonego przez szkoleniowców NASK, CERT POLSKA i innych instytucji. Oczywiście nie zabraknie propozycji wsparcia dla samych nauczycieli, by zobaczyli, że istnieją realne alternatywy dla nauczania aplikacji Paint, czyli spełniania minimum programowego.
Im większa organizacja tym inny i bardziej złożony model zarządzania działem IT. Duże podmioty stać na zespół kompetentnych informatyków. W mniejszych organizacjach jest tendencja, by możliwie małym kosztem uzyskać wsparcie IT. I tu pojawiają się szanse dla outsourcerów.
Czy dotychczasowe doświadczenia dystrybutorów obsługi sektora publicznego nastrajają ich optymistycznie przed wejściem Strategii w fazę realizacji?
AA: W działaniach Ministerstwa Cyfryzacji widać spójne podejście i cel, który wyznacza prace resortu, by krok po kroku zmierzały do jego osiągnięcia. Na tyle, na ile znamy Strategię, możemy powiedzieć, że zapowiada się projekt o wyjątkowo doniosłym znaczeniu dla całej branży. To wrażenie jest tym większe, że obecne poczynania są najwyraźniej konsekwencją wyciągnięcia wniosków z niedociągnięć w przeszłości. Dystrybutorowi nie pozostaje więc nic innego, jak zaprezentować się partnerom publicznym jako skarbnica wiedzy.
AM: Może niepokoić to, że projekty dotyczące strategii wychodzą z kilku źródeł – z BBN–u, z ministerstw cyfryzacji i obrony. Z doświadczenia wiadomo, że to nie jest najlepsza wróżba. Za dobrym projektem powinna stać jeden podmiot dysponujący mocą sprawczą i mający uprawnienia do zajęcia pozycji nadrzędnej. Na razie pozostajemy w fazie projektowej i oczekujemy, że rząd swoimi decyzjami ją zakończy, by przejść do fazy realizacji.
RO: Przy okazji naszej debaty dochodzi do zderzenia przedstawicieli biznesu i sektora publicznego. Do podobnej dyskusji doszło podczas Forum Ekonomicznego w Krynicy. Punktem wspólnym obu debat jest zgodnie podnoszony postulat, by budować platformy wymiany wiedzy o cyberzagrożeniach, jako wstęp do skoordynowanych działań obronnych. Warto mieć świadomość, że część działań dotyczących realizacji tej Strategii będzie wykonywana w sposób poufny. Dobrym prognostykiem co do realizacji Strategii jest fakt, że Polska bardzo dobrze wypada we wspólnych ćwiczeniach dotyczących cyberbezpieczeństwa przeprowadzanych pod auspicjami NATO.
Dobrze, ale czy dystrybutor jest tu dobrym adresatem? Czy można się do niego zwrócić o zaoferowanie bezpieczeństwa IT?
RO: Takie zapytania z rynku trafiają do dystrybutora. Co my z nimi robimy? Można zacząć na przykład od przeszkolenia kadry. Oczywiście trzeba posiadać jak najszerszy zakres produktów oraz usług. Nie sposób w dzisiejszych czasach nie dysponować odpowiednimi kompetencjami, często w pierwszej kolejności ma je dystrybutor oraz wendor. Nowym trendem są kompleksowe usługi mające za podstawę oprogramowanie kognitywne – również w zakresie cyberbezpieczeństwa. Nie polegają one wyłącznie na dostarczeniu oprogramowania ale również na udzielaniu rekomendacji przygotowanych na podstawie analizy ogromnych zbiorów informacji pochodzących z wielu różnych źródeł (np. Watson for cybersecurity). IBM pomaga organizacjom poddając analizie ich aktualne środowisko i wskazując słabe punkty, ograniczając tym samym ich podatność na ataki. Ostatnio widoczne jest, że jednym z głównych wektorów ataków jest użytkownik wewnętrzny, czyli wykorzystanie przechwyconej tożsamości (użytkownika). W tej sytuacji może okazać się, że jeśli firma nie posiada zaawansowanego systemu monitorowania zdarzeń wewnątrz własnej infrastruktury to najlepiej zlecić taką ochronę wyspecjalizowanemu dostawcy zewnętrznemu. IBM na co dzień realizuje taką ochronę w oparciu o własne centra operacyjne rozłożone po całym świecie i dzięki nim nieustannie trwa analiza krytycznych zagrożeń – nawet jeśli w jednej strefie czasowej specjaliści kończą swą pracę to w innej następuje kontynuacja pracy oraz zapewnia nieprzerwane wsparcie wsparcie dla swoich klientów. Poza tym IBM dzieli się swoją wiedzą i rekomendacjami nie tylko ze swoimi klientami, ale także z administracją publiczną i wyspecjalizowanymi organizacjami pozarządowymi. W tej praktyce widać zaangażowanie, które odpowiednio wykorzystane pomoże w osiągnięciu sukcesu dla klientów starających się sprostać nadciągającym wyzwaniom . Warto podkreślić, że wpisuje się to doskonale z wymogami nowego Unijnego rozporządzenia o ochronie danych osobowych – GDPR. Znajdujemy tam np. wymóg takiego projektowania systemów, by na każdym etapie chroniły one prywatność danych osobowych osób zamieszkujących tereny UE (privacy by design) i zapewniały odpowiednie zabezpieczenie przed wykorzystaniem przez podmioty nieuprawnione.
AA: Dystrybutorom najlepiej współpracuje się z firmami, które – mówiąc w pewnym uproszczeniu – wiedzą czego chcą. Natomiast innym, niemającym dogłębnego rozeznania aktualnej sytuacji, proponujemy szkolenia jako wstęp do podjęcia współpracy przy uruchomieniu cyberbezpieczństwa jako procesu, bo nie jest już ono punktowym gaszeniem pożarów. Trzeba przyznać, że cały czas staramy się budować świadomość tego, że bycie online to nie tylko same korzyści, ale też realne zagrożenia. Bardzo często komputer używany służbowo, a potem do celów prywatnych, staje się celem ataku, którego skutki dotykają użytkownika tego urządzenia, ale też organizację, do której należy.
AM: Doświadczamy trudności, z jakimi borykają się działy IT w organizacjach, gdy próbują przekonać zarządy do zadbania o bezpieczeństwo środowisk IT. W praktyce cyberbezpieczeństwo nie jest traktowane priorytetowo. Również w mniejszości są dostawcy Internetu, którzy obok udostępniania sieci oferują swoim klientom tzw. Parasol ochronny. W tym kontekście szkody, jakie wyrządził w świecie atak WannaCry, na gruncie polskim nie był incydentem o znaczeniu krytycznym, który doprowadził do przełomu. Niestety nie obalił stereotypów, które stoją za brakiem wychodzenia z zdezaktualizowanych technologii, np. za dalszym użytkowaniem systemu Windows XP.
Czy w kontekście niefrasobliwego podchodzenia do cyberbezpieczeństwa na gruncie polskim realizacja Strategii może doprowadzić do potrzebnego i pożądanego przełomu?
AM: Wszyscy sobie tego życzymy, ale na razie jest to wciąż manifestacja dobrych chęci. Również zapowiedź rozpoczęcia w 2018 r. budżetowania działań zmierzających do realizacji Strategii też jest zamiarem. Z kolei warto przypomnieć, że podobne zamiary są ogłaszane w Strategii już po raz trzeci od połowy 2015 r. Tymczasem realia są poniżej oczekiwań, o czym świadczy choćby brak skoordynowanej akcji informacyjnej dotyczącej WannaCry. Również budżetowanie konkretnych działań i zaawansowanie realizacji konkretnych projektów budzą wątpliwości – rok 2018 może być początkiem realizacji Strategii, ale wciąż nie mamy pewności, czy faktycznie do tego dojdzie. Strony CERT–u czy NCC, ze względu na swoją zawartość merytoryczną, powinny powszechnie należeć do ulubionych, od której rozpoczynamy korzystanie z zasobów sieci.
AA: Obok zapowiedzi mamy już do czynienia z faktami, jak utworzenie laboratorium przy Politechnice Warszawskiej, plan wdrożenia Strategii, który ma uzyskać akceptację rządu, by od 2018 r. wejść w fazę realizacji, zataczająca coraz szersze kręgi praktyka wymiany informacji o incydentach, czy w końcu uciekający czas na wydatkowanie środków unijnych z perspektywy 2013–2020. Poziom zagrożeń, wysublimowanie ataków są już tak duże, że nie sposób dalej tkwić w nieświadomości. Nie jest tak, że mamy na co dzień do czynienia z archaiczną rzeczywistością, a rząd przymierza się do budowy Las Vegas na pustkowiu. Z pewnością brakuje nam jakiegoś przełącznika, który uruchomiłby oczekiwany proces, choć wiele wskazuje na to, że będzie nim Strategia. Zmiany zachodzące na poziomie centralnym z pewnością doprowadzą do wypracowania innego podejścia. Wymuszać ją będą też przepisy, jak głośno dyskutowane rozporządzenie GDPR.
Debatę prowadził i opracował: Krzysztof Polak, redaktor naczelny magazynu IT Reseller.
IT Reseller zaprasza w listopadzie br. na kontynuację debaty:
“Co ze Strategią Cyberbezpieczeństwa Polski w pół roku po jej przyjęciu przez rząd?”
