Aplikacja RSO - będą ostrzeżenia przed cyberzagrożeniami

[ichito]

Aplikacja Regionalny System Ostrzegania (RSO) to raczej udany i w miarę często wykorzystywany projekt, którego pomysłodawcą jest Ministerstwo Administracji i Cyfryzacji. Posiada sporo możliwości, o których poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

a w niedługiej już przyszłości ma wzbogacić się o interesujące, ważne i być może nawet skuteczne funkcje, które w wywiadzie dla Interii zapowiedziała minister Anna Streżyńska. mają dotyczyć m.in. powiadomień na temat cyberzagrożeń. Więcej informacji w linku poniżej, a część informacji jako cytat

[Aby zobaczyć linki, zarejestruj się tutaj]

Przechodząc do cyberbezpieczeństwa. Czy ostatnie ataki ransomware, które przetoczyły się przez cały świat, uwidoczniły jakieś dziury w systemie, wskazały na problemy z przepływem informacji między poszczególnymi instytucjami publicznymi? Sygnały o zagrożeniu docierały tylko z sektora prywatnego.
- Administracja z naturalnych przyczyn nie wyrywa się z pośpiesznymi informacjami. Można łatwo i zupełnie niepotrzebnie wprowadzić panikę. W przypadku WannaCry w Polsce nie wydarzyło nic, co uzasadniałoby podjęcie szerokiej akcji informacyjnej. Monitorowaliśmy sytuację. Incydent nas praktycznie ominął. W przypadku ataku Petya było trochę gorzej. To również nie był atak skierowany bezpośrednio w Polskę - celem była Ukraina. Ale jeśli firmy miały powiązania z tamtejszymi przedsiębiorstwami, robak się faktycznie rozpowszechniał. Nie było to masowe, ale kilkanaście firm zostało dotkniętych. Trudno jednak mówić o masowym zagrożeniu. Żaden z tych incydentów nie dotknął natomiast krytycznej infrastruktury państwa.
Nie dotknął, bo nie było szkód mimo ataku, czy w ogóle nie doszło do próby forsowania zabezpieczeń?
- Nie było prób ingerencji w krajowe systemy. Intencje atakujących były zupełnie inne. Wirus rozpowszechniał się takimi drogami, przez które nie przedostałby się do naszych systemów finansowych ani infrastruktury krytycznej. Nie może to jednak nas usypiać, bo ataki są coraz częstsze. Różnego rodzaju incydentów z zakresu cyberbezpieczeństwa jest nawet kilka tysięcy tygodniowo. Mają bardzo różną wagę: część to wirusy, fałszywe alarmy, oszustwa w sieci. Część rzeczywiście ma potencjał stworzenia zagrożenia dla sieci lub urządzeń. Mamy 50 milionów urządzeń końcowych w Polsce. Każde z nich, jeśli nie jest odpowiednio zabezpieczone, może zostać przechwycone i stać się potencjalnym źródłem zagrożenia. Dlatego podstawowa cyber-higiena powinna dotyczyć każdego obywatela. Po stronie rządu ważne są natomiast procedury czyli sposób, w jaki państwo reaguje jeśli zachodzi taka konieczność. Jeśli przychodzą sygnały z poszczególnych CERT-ów, to w razie potrzeby wszyscy stają na baczność. Obserwują, co się dzieje i w razie potrzeby reagują. Przy czym proszę pamiętać, że ABW ma swój CERT, MON swój, a MC - swój. Tak samo prywatne firmy - mają CERT-y sektorowe. Wszystkie ze sobą współpracują. Ważne jest nie tylko stwierdzenie czy poszczególne incydenty mają charakter rozprzestrzeniający się i stanowią zagrożenie, ale również szybkie informowanie odpowiednich służb o rodzaju zdarzenia. Jeżeli jest to atak, który narasta, ABW musi o nim jak najszybciej wiedzieć, bo chroni infrastrukturę organizacyjną państwa, czyli jego organy. Ministerstwo Cyfryzacji musi być poinformowane o zagrożeniu, bo koncertujemy się głównie na biznesie i obywatelu. Tak samo MON, gdyż ma swoje systemy krytyczne. Często tak jest, że incydenty mają na celu przejęcie bazy danych albo uzyskanie dostępu do pieniędzy i skierowane są przeciw zwykłym ludziom. Ilość miejsc, gdzie informacja musi się natychmiast pojawić jest naprawdę duża. Wymiana danych, ocena tego, co się dzieje w danym momencie, decyzyjność, dalsze kroki - to wszystko wymaga współpracy na wielu poziomach.
Współpraca teraz układa się dobrze?
- Zawsze była dobra. Problemem była raczej koordynacja. U nas w CERT Polska, który działa w strukturach Naukowej i Akademickiej Sieci Komputerowej (NASK) mamy zlokalizowane Narodowe Centrum Cyberbezpieczeństwa (NCCyber). Jeżeli dzieje się coś niepokojącego wszyscy, zarówno administracja publiczna jak i biznes, od razu są informowani o potencjalnym zagrożeniu. Natychmiast budowane są zabezpieczenia. Do wypracowania są natomiast ścieżki informowania o zdarzeniu np. pani premier, by i ona natychmiast wiedziała, że coś się dzieje i w razie potrzeby mogła podjąć decyzje. Brakowało też szybkiego sposobu dotarcia do ludności. W ostatnich dniach porozumieliśmy się jednak z MSWiA, by wykorzystać w tym celu Regionalny System Ostrzegania. To aplikacja, która działa na smartfonach. Na razie jest słabo wykorzystywana. Można się z niej dowiedzieć o nadchodzącej burzy lub innych zagrożeniach. Chcemy rozwijać ten system i rozszerzać jego funkcjonalność o publikowanie również informacji o zagrożeniach w sieci.
Każdy będzie mieć dostęp do informacji?
- O to właśnie chodzi. Pod warunkiem, że zainstaluje aplikację. Załóżmy, że w Internecie pojawi się zagrożenie - użytkownicy systemu dostaną na telefony tzw. powiadomienie push. Będziemy to rozwiązanie promować, by coraz więcej ludzi z niego korzystało. Mówimy o dobrym i szerokim sposobie dotarcia do ludzi. Można ostrzegać przed wieloma zagrożeniami i prócz informacji o katastrofach przekazywać też wiadomości o zagrożeniach w sieci. Sam system do tej pory był trochę niedopieszczony i zaniedbany więc zamierzamy się nad nim pochylić, rozwinąć i nakłonić ludzi do korzystania z niego.
W przypadku ataków zwierzchnictwo nad sytuacją kryzysową przejmie premier?
- Premier Szydło podjęła decyzję, że w przypadku zagrożenia w cyberprzestrzeni, Rządowe Centrum Bezpieczeństwa weźmie na siebie zarządzanie kryzysem. Tym samym zdefiniowano sposób przekazywania informacji o zagrożeniu: wszystkie ministerstwa i odpowiednie służby będą informowane przez RCB. Nawet jeśli informacja pochodzi z Ministerstwa Cyfryzacji, najpierw trafia do RCB, a stamtąd jest następnie rozsyłana dalej, także do najwyższych władz państwa. Ważne, by tego rodzaju informacje były sprawnie dostarczane.
Kompetencje cyberbezpieczeństwa są dobrze rozlokowane?
- Tak, nawet bardzo dobrze. Podzieliliśmy obowiązki tak, by pokryć całe spektrum wzajemnych interesów i wyzwań. Wyrazem tego podziału jest dokument "Krajowe Ramy Polityki Cyberbezpieczeństwa", czyli popularna strategia cyberbezpieczeństwa. Teraz jest przekuwana w ustawę, która najpóźniej w maju 2018 r. powinna zostać przyjęta. Spora część jest już napisana.

Prywatnie już bardziej...zastanawiają mnie dwie rzeczy głównie:
- czego naprawdę będą dotyczyć powiadomienia...jakiego typu zagrożeń...czy pojedynczych zaawansowanych ataków celowanych (APT) na infrastrukturę rządową?...finansową?...czy może wycieku danych z serwerów tych instytucji?...czy ataków na zwykłych "Kowalskich"?
- druga to kompetencje naszej pani Premier i jej gabinetu...jakoś sceptycznie na to patrzę i jeśli już nawet zakładam kompetencje, to mam wątpliwości do szybkości reakcji i wydawania decyzji.