Jak zmniejszyć ryzyko cyfrowej katastrofy?


07-02-2015 13:25:30

Jak zmniejszyć ryzyko cyfrowej katastrofy?

Na to pytanie próbowali odpowiedzieć paneliści II Sesji Plenarnej „Cyberbezpieczeństwo i bezpieczeństwo informacyjne”, którą prowadził dr inż. Andrzej M. Wilk, przewodniczący Sekcji Technik Informacyjnych SEP.

Płk. rezerwy Piotr Januszewicz, pracownik Narodowego Centrum Kryptologii, współtwórca Centrum Bezpieczeństwa Cybernetycznego Sił Zbrojnych, przedstawił uwarunkowania zewnętrzne: amerykański program szpiegowski PRISM administrowany przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA), dokonania Edwarda Snowdena, zmasowany atak hackerów przeciwko Estonii w 2007 r. To I liga totalnej inwigilacji, do której zaliczył jeszcze Google’a, Facebooka oraz Microsoft i Intela. II liga to pospolici przestępcy, którzy zmienili technologię: nie chodzą z łomem, tylko włamują się do systemu.

W Biurze Bezpieczeństwa Narodowego jest opracowywana „Doktryna Cyberbezpieczeństwa RP” - dokument, który nie tylko określi cele strategiczne Polski w cyberprzestrzeni, ale także zdiagnozuje „środowiska bezpieczeństwa”. Wskaże zadania operacyjne i najważniejsze etapy działań na drodze do powstania w pełni ukształtowanego systemu cyberbezpieczeństwa RP.

Oprócz istniejącego Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL (Computer Emergency Response Team) w resorcie obrony narodowej utworzono System Reagowania na Incydenty Komputerowe SRnIK RON, który koordynuje zapobieganie, wykrywanie i reagowanie w systemach i sieciach teleinformatycznych resortu obrony narodowej.

Wojska cybernetyczne?

Jesteśmy w tyle jeśli chodzi o technologie, ale rozwiązania prawne mamy dobre – zaznaczył mówca. Poza ochroną i obroną zasobów własnych niezbędne są działania ofensywne (Narodowy ośrodek przeciwdziałający atakom w cyberprzestrzeni) i współpraca z UE. Niezbędne jest kształcenie kadr i przeciwdziałanie odpływowi młodzieży, która jest „bardzo dobrym produktem eksportowym”. Ludzie szybko adaptują się, jednak potrzeba instytucji zdolnych do interpretacji warunków działania.

Prof. dr hab. n. mat. inż. Jerzy Gawinecki, dziekan Wydziału Cybernetyki WAT, zaczął od stwierdzenia, że z każdego komputera na świecie można dokonać ataku cybernetycznego. Pierwszy miał miejsce w 1982 r., podczas wojny w Iraku. Stąd idea utworzenia wojsk cybernetycznych zdolnych do obrony i ataku, jak amerykańska NSA, która zatrudnia głownie matematyków.

Dziś widoczne jest silne dążenie krajów do ochrony swojej cyberprzestrzeni. Jednakże dobrze wykształceni matematycy w Polsce się nudzą i wyjeżdżają za granicę. Trzeba przyciągnąć pasjonatów, którzy mogą cały czas siedzieć przy komputerze.

Konieczna jest współpraca podmiotów państwowych i prywatnych. Dwa lata temu MON powołało Narodowe Centrum Kryptologii — jednostkę zajmującą się badaniami i wdrażaniem rozwiązań kryptograficznych na potrzeby polskiej administracji publicznej i wojska. Problemem są certyfikacja i akredytacja systemów informatycznych. Chodzi o wdrożenie narzędzi do sił zbrojnych czy gospodarki narodowej.

Obronić sieci

- Nie ma bezpieczeństwa bez kontroli na wszystkich poziomach – zauważył prowadzący Sesję.

Tomasz Czaplak, prezes Zarządu Fundacji Instytutu Strategii Polskiej (ISP), którego wspierał Adam Woźniak, wspomniał o utworzonym w 2011 r. przez Wojskową Akademię Techniczną, Polską Akademię Nauk i ISP Konsorcjum w sprawie wspólnej realizacji „Programu standaryzacji i wdrożenia homogenicznego systemu teleinformatycznego na potrzeby zarządzania bezpieczeństwem państwa w stanach kryzysowych, w tym zarządzania bezpieczeństwem polskich sieci energetycznych” oraz zleconym w 2012 r. opracowaniu ekspertyzy dotyczącej „Homogenicznego systemu teleinformatycznego na potrzeby zarządzania bezpieczeństwem państwa w stanach kryzysowych”. Nie ma bezpiecznej technologii bez bezpiecznej sieci.

Prof. dr hab. inż. Marek Amanowicz, członek Rady Wydziału Elektroniki WAT, nawiązując do poprzedniej sesji plenarnej, jako priorytet uznał zapewnienie cyberbezpieczeństwa systemu elektroenergetycznego – przede wszystkim w sterowaniu i zarządzaniu. Decydującymi elementami są wytwarzanie i przesyłanie energii. Nie można użyć firewallu, bo np. przestaniemy sterować elektrownią. W USA jest podmiot odpowiedzialny za bezpieczeństwo sieci przesyłowych. W Polsce własne programy mają PSE i spółki dystrybucyjne. NCBR firmuje projekt dotyczący infrastruktury przesyłowej na poziomie laboratoryjnym - system monitorujący tego typu zagrożenia jest testowany w sieciach PSE.

Dr Przemysław Ligenza, wiceprezes Urzędu Dozoru Technicznego, powiedział o podpisanym z Basell Orlen Polyolefins Sp. z o.o. porozumieniu i podjęciu wspólnych działań prowadzących do podnoszenia poziomu bezpieczeństwa instalacji eksploatowanych w Płocku oraz o realizowaniu przez Europol Gaz najbardziej ambitnego w Polsce projektu ochrony przeciwpożarowej w kilku tłoczniach.

Jak na razie prąd jest, a cyberterroryzm to nihil novi. To spostrzeżenie nie powinno osłabiać naszej czujności. Podsumowując, Andrzej M. Wilk stwierdził, że bezpieczeństwo techniczne państwa zapewniające ochronę wszystkim obywatelom to schody, przed którymi właśnie stoimy. Oby nie okazały się za strome.

Jerzy Bojanowicz

 

 

 

Od lewej: Przemysław Ligenza, Piotr Januszewicz, Andrzej Wilk, Adam Woźniak, Tomasz Czaplak, Marek Amanowicz i Jerzy Gawinecki.

Regulacje prawne związane z bezpieczeństwem cybernetycznym: ustawa z 30.08.2011 r. zmieniająca ustawę o stanie wojennym, z 18.04.2012 r. o stanie klęski żywiołowej, zarządzenie Prezesa Rady Ministrów z 12.10.11 r. (wykaz przedsięwzięć i procedur systemu zarządzania kryzysowego), uchwała Rady Ministrów z 25.06.2013 r. dotycząca „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” i Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016.

Komentuje Waldemar Rukść

14-15
Aktualny numer WSZYSTKIE
eNOT.pl - Portal Naczelnej Organizacji Technicznej | eNOT.pl