NOWY KWARTALNIK O ENERGII, GOSPODARCE I NOWYCH TECHNOLOGIACH polish energy brief

Dwa CERT-y-jedna cyberprzestrzeń-Łukasz Kister

Opinie i komentarze 5 marca 2012, 12:36
<p style="text-align: justify;"><a rel="attachment wp-att-603" href="http://www.jagiellonski.pl/?attachment_id=603"><img class="alignleft size-full wp-image-603" title="Łukasz Kister" src="http://www.jagiellonski.pl/wp-content/uploads/2011/06/Łukasz-Kister2.jpg" alt="" width="235" height="298" /></a>Niedawna spektakularna porażka naszego kraju w cyberprzestrzeni stała się przedmiotem szczególnego zainteresowania Instytutu Jagiellońskiego. Zaniepokojeni słabością struktur administracji publicznej na zagrożenia płynące z Internetu pozwoliliśmy sobie na zajęcie oficjalnego stanowiska oraz liczne medialne wystąpienia w tym temacie.  Jednym z komentarzy do zaistniałej sytuacji kryzysowej był artykuł mojego autorstwa „Zielona wyspa okazała się bezbronna!” („GF”, nr 4/2012, s. 2). Zawarte w nim wskazanie CERT Polska jako instytucji powołanej do ochrony naszej cyberprzestrzeni wywołało bardzo ostrą reakcję ze strony Naukowej i Akademickiej Sieci Komputerowej (NASK), w strukturach, której funkcjonuje ten Zespół. Dyrektor NASK w oficjalnym piśmie do Redakcji Gazety zażądał sprostowania („GF, nr 6/2012, s.2). W piśmie tym, jak również w opublikowanym sprostowaniu, wskazuje on  na istnienie w naszym kraju dwóch Zespołów CERT, pierwszego - rządowego w strukturach Departamentu Bezpieczeństwa Teleinformatycznego ABW (DBTI), i drugiego w strukturach NASK’u. Ponadto wskazuje ich zupełnie odmienne role. Z tego powodu zobowiązany jestem PT Czytelnikom „GF” zaprezentować i wyjaśnić zawiłości dwóch CERT’ów, i mojego niedopuszczalnego błędu merytorycznego. Ponadto niniejszy tekst stanowi krok wyprzedzający dla kolejnego żądania NASK w tym samym zakresie, a mogącego nastąpić po publikacji w ostatnim numerze „GF” artykułu innego z ekspertów Instytutu Jagiellońskiego, Eryka Kłossowskiego, pt. „Spisek grup wpływu”.</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;"><strong>CERT vs. CERT – o co tu chodzi?</strong></p> <p style="text-align: justify;">Czym jest spowodowana taka ostra reakcja Kierownictwa CERT Polska? Dlaczego tak mocno odżegnuje się ono od swojej publicznej misji, rządowej podległości, a szczególnie współodpowiedzialności za bezpieczeństwo informacyjne państwa? Skąd taka ostra reakcja na powiązanie z „bliźniaczą” komórką w strukturach ABW? O co tu chodzi z tymi dwoma CERT’ami?</p> <p style="text-align: justify;">By ponownie nie zostać oskarżonym o błędy merytoryczne i braki w wiedzy, pozwolę sobie na wierne przedstawienie informacji prezentowanych na oficjalnych stronach tych komórek. Najlepszym rozwiązaniem będzie tu forma tabeli pozwalającej na ustalenie różnic i podobieństw, wraz z niezbędnymi, ale wyróżnionymi uwagami.</p> <p style="text-align: justify;">&nbsp;</p> <table border="0" cellspacing="0" cellpadding="0"> <tbody> <tr> <td width="307" valign="top"><strong>CERT Polska (NASK)</strong></td> <td width="307" valign="top"><strong>CERT (ABW)</strong></td> </tr> <tr> <td width="307" valign="top">CERT  Polska (Computer Emergency Response Team – [<strong>Zespół Reagowania na Incydenty Komputerowe</strong> – tłum. autora<strong>]</strong>) jest zespołem <strong>powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet</strong>. CERT Polska działa od 1996 roku (…). <strong>Zespół CERT Polska działa w strukturach Naukowej i Akademickiej Sieci Komputerowej</strong>.  (…) [<strong>NASK jest Instytutem Badawczym podległym i nadzorowanym przez Ministra Nauki i Szkolnictwa Wyższego</strong> – przyp. aut.]</td> <td width="307" valign="top">Rządowy <strong>Zespół Reagowania na Incydenty Komputerowe</strong> CERT.GOV.PL został powołany w dniu 1 lutego 2008 roku. <strong>Podstawowym zadaniem zespołu  jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami</strong>, (…). <strong>Zespół CERT.GOV.PL funkcjonuje w ramach Departamentu Bezpieczeństwa Teleinformatycznego ABW</strong>.</td> </tr> <tr> <td width="307" valign="top"><span style="text-decoration: underline;">Do głównych zadań zespołu należy:</span> -          <strong>rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci</strong>; -          <strong>alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń</strong>; -          … -          <strong>prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego</strong>; -          <strong>prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu</strong>; -          …</td> <td width="307" valign="top"><span style="text-decoration: underline;">Do zakresu świadczonych przez CERT.GOV.PL usług należy:</span> -          <strong>koordynacja reagowania na incydenty publikacja alertów i ostrzeżeń</strong>; -          <strong>obsługa i analiza incydentów</strong> (w tym gromadzenie dowodów realizowane przez zespół biegłych sądowych); -          <strong>publikacja powiadomień</strong> (biuletynów zabezpieczeń); -          <strong>koordynacja reagowania na luki w zabezpieczeniach</strong>; -          …</td> </tr> </tbody> </table> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;">Tak więc już najprostsza analiza treści zawartych na oficjalnych stronach „bliźniaków” daje możliwość syntetycznej – jak to na analizę przystało, prezentacji tych tak eksponowanych przez NASK różnic.</p> <p style="text-align: justify;"><strong>Pierwsza różnica</strong>. Oba CERT’y, to Zespoły Reagowania na Incydenty Komputerowe, z tym, że jeden dodał sobie przydomek „Rządowy”, a drugi nie, choć formalnie i tak jest instytucją rządową podległą Ministrowi Nauki i Szkolnictwa Wyższego. Z tym, że ten „nie rządowy” (proszę nie mylić z „nierządem”) jest o ponad dekadę starszy.</p> <p style="text-align: justify;"><strong>Druga różnica</strong>. Kluczowym zadaniem obu CERT’ów jest reagowanie, zapewnianie i rozwijanie bezpieczeństwa w cyberprzestrzeni naszego kraju. Niemniej jednak „starszy brat” ma reagować na zagrożenia w całej sieci Internet, a „młodszy” wyłącznie w obszarze administracji publicznej. Mając jednak na uwadze założenia sieciowości i braku wyraźnych granic oddzielających w sieci administrację od „nie administracji”, wydaje się, że główne zakresy ich działań się znacząco pokrywają.</p> <p style="text-align: justify;"><strong>Trzecia różnica</strong>. Szczegółowe zadania i role „bliźniaków” także nie różnią się w praktyce, a wyłącznie w użytych do ich opisania zwrotach. Zresztą już sama nazwa obu Zespołów, nie pozostawia wątpliwości co do obszaru ich zadań.</p> <p style="text-align: justify;">Na żadnej ze stron „bliźniaków” nie można znaleźć danych osób kierujących bezpieczeństwem polskiego Internetu – tak właśnie wygląda „pełna transparentność instytucji publicznych”. Skądinąd wiadomo jednak, że CERT podlega Departamentowi Bezpieczeństwa Teleinformatycznego  (DBTI) ABW, zaś dyrektorem NASK, któremu podlega CERT Polska jest... były dyrektor DBTI ABW.</p> <p style="text-align: justify;"><strong>Czy ABW nie narusza praw własności?</strong></p> <p style="text-align: justify;">Bardzo ostra i zdecydowana reakcja Dyrektora NASK nakazująca wyraźny rozdział pomiędzy rządowym CERT’em, a „jego” CERT’em Polska, nasuwa pytanie: czy ABW nazywając jedną ze swoich komórek nazwą łudząco podobną do istniejącej już komórki, nie narusza praw własności przemysłowej? CERT Polska jako organizacja starsza, ma prawo pierwszeństwa ochrony. Najwłaściwszą reakcją na naruszanie ich dobrego imienia  winno być nie oskarżanie mnie o niekompetencję, ale zwrócenie się do ABW o zmianę nazwy swojego Zespołu. Przecież rządowy CERT, to także instytucja polska, reprezentujące jednocześnie rząd i najważniejszą służbę specjalną, a tym samym trudne będą do uniknięcia dalsze niekompetentne pomyłki.</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;"><strong>CERT Polska vs. Anonymous</strong></p> <p style="text-align: justify;">Zarówno na oficjalnej stronie CERT Polska (nie mylić z CERT), w piśmie Dyrektora NASK, jak również w opublikowanym sprostowaniu czytamy, że jest to Zespół odpowiedzialny za reagowanie na zdarzenia naruszające bezpieczeństwo w Internecie. Czyżby ataki na strony administracji rządowej takim naruszeniem nie były?  Jaka w związku z tym była reakcja CERT Polska?</p> <p style="text-align: justify;">Co z działaniami na rzecz bezpieczeństwa sieci Internet? Gdzie było monitorowanie, reakcja, ostrzeganie użytkowników?</p> <p style="text-align: justify;">&nbsp;</p> <p style="text-align: justify;"><strong>Podsumowanie</strong></p> <p style="text-align: justify;">Najlepszym podsumowaniem tej krótkiej analizy naszego cyberbezpieczeństwa i lekceważenia problemu przez administrację publiczną jest ostatnie zachowanie przedstawiciela CERT Polska. W dniu 10 lutego, na prywatną skrzynkę mailową Eryka Kłossowskiego przyszła wiadomość od pracownika tego Zespołu, w którym odnosi się on do wspomnianego już artykułu pytając w sposób następujący: „Czy posiada Pan jakieś informacje o włamaniach na strony ABW lub na naszą (CERT Polska) witrynę? Jeśli tak, będę wdzięczny za podzielenie się z nami, bo do tej pory fakt ten nam najwyraźniej umknął...”.</p> <p style="text-align: justify;">Oczywiście, podobnie jak wyżej, przyznajemy się do błędu wynikającego z odruchowego pomylenia CERT Polska z CERT. Co do zaś ataków na strony ABW, to oczywiście wierzymy rzecznikowi naszego rządu i także twierdzimy, że nie miały miejsce żadne ataki hackerskie, a wyłącznie nadmierne zainteresowanie obywateli stronami internetowymi władz. Ufamy także, że to dobrze, że login i hasło dostępu do strony Kancelarii Premiera to odpowiednio „admin” i „admin1”, bo w ten sposób władza nie odgradza się od obywateli. To, że ABW przeniosło na jakiś czas własny serwis na publiczny hosting, również jest szerszym otwarciem się na społeczeństwo. Przepraszamy za nieuprawnione wprowadzanie poczucia zagrożenia w cyberprzestrzeni. Chyba, że mówimy o dwóch różnych cyberświatach?!</p> <p style="text-align: justify;"><em>Pierwotnie artykuł opublikowano w Gazecie Finansowej, nr 8/2012. </em></p>
Projekt i wykonanie: Sebastian Safian
Używamy cookies w celach funkcjonalnych, aby ułatwić użytkownikom korzystanie z witryny oraz w celu tworzenia anonimowych statystyk serwisu. Jeżeli nie blokujesz plików cookies, to zgadzasz się na ich używanie oraz zapisanie w pamięci urządzenia.
Polityka Prywatności   
OK