Reklama.
Reklama.
Reklama.
„Koncepcja zadań preparacyjnych”
26 stycznia 2015, 09:31·3 minuty czytania
Publikacja artykułu: 26 stycznia 2015, 09:31Reklama.
Fragment, który posłużył mi za tytuł zaczerpnąłem z opublikowanego ostatnio przez BBN dokumentu pt. „Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej”. Za tą poważną fasadą kryje się 17-stronicowe opracowanie (w rzeczywistości tekst to 12 stron bo należy odjąć dwie strony tytułowe, spis treści itd.). Nie ilość jednak jest ważna a jakość. Zanim przyjrzymy się jego treści jeszcze chwila o formie.
Doktryna jest w zasadzie połączeniem analizy SWOT zagadnienia cyberbezpieczeństwa z bardzo ogólnym planem działania. Język jest dramatycznie przerysowany, momentami śmieszny, długimi fragmentami niezrozumiały. Takie sformułowania jak „cyfryzowane zadania państwa” czy „wymiar transsektorowy” powodują, że źle się go czyta. Wbrew pozorom to istotna usterka, bo mocno ogranicza krąg odbiorców. Trudno włączyć całe społeczeństwo w realizację jakiegoś projektu (a to jeden z postulatów tego dokumentu) jeśli przekaz jest hermetyczny. Szerokie dotarcie do społeczeństw jest tym istotniejsze, że ten dokument jest w zasadzie publicystyką.
Publicystyką? Tak, bo nie ma żadnej wiążące mocy, ani nawet podstawy prawnej. To w istocie analiza opublikowana przez BBN w ramach obszaru kompetencyjnego Prezydenta RP. Choć BBN chwali się, że dokument został kierunkowo rozpatrzony i zaakceptowany na posiedzeniu Rady Bezpieczeństwa Narodowego to sama rada ma tylko i wyłącznie kompetencje doradcze. Kompetencje w rozumieniu formalno-prawnym bo czy obecny skład rady ma wiedzę pozwalającą na skuteczne doradztwo w zakresie cyberbezpieczeństwa to mam wątpliwości…
Dokument sprawia wrażenie pisanego przez osoby, które, choć mają doświadczenie w obszarze bezpieczeństwa, to nie rozumieją czym jest cyberprzestrzeń. Rozróżnienie na cyberprzestrzeń znajdującą się w granicach Polski i tą poza granicami wydaje się abstrahować kompletnie od rozwoju technologii chmurowych. Problemem dla wszystkich, którzy chcieliby poważnie traktować opublikowany dokument jest także definicja celu jako zapewnienia „akceptowalnego poziomu bezpieczeństwa”. Konia z rzędem temu kto będzie wstanie wyjaśnić co kryje się za tym sformułowaniem.
W kilku miejscach tego dokumentu pojawia się także postulat zapewnienia dostępu do kodów źródłowych zakupywanych rozwiązań jako drogi do „informatycznego panowania nad nimi”. Choć znajomość kodów źródłowych jest korzystana (najbardziej wtedy gdy mamy także prawo do ich modyfikacji a co za tym idzie także integracji zakupionych rozwiązań z innymi produkowanymi w Polsce) to nie gwarantuje ona obrony przed cyberatakami. Współczesne system informatyczne są na tyle złożone, że znalezienie w nich błędu często graniczy z niemożliwością, a co dopiero mówić o celowo ukrytych lukach. Ponadto, oprogramowanie to tylko jedno ze źródeł potencjalnych zagrożeń. Drugim jest sprzęt (np. procesory), o których w dokumencie nie ma ani słowa.
Pomimo dość krytycznego stosunku do tego dokumentu kilka rzeczy muszę uznać za pozytywne. W kilku miejscach pojawia się postulat włączenia społeczeństwa w proces cyberobrony poprzez m.in. podniesienie świadomości zagrożeń i wiedzy dziedzinowej. To ważne, bo bardzo wiele ataków (najczęściej tych inicjowanych przez organizacje przestępcze) żeruje na niskich kompetencjach obywateli. Na marginesie dokument proponuje także cyberwolontariat w służbie obronności – to bardzo ciekawa koncepcja, ale zobaczymy jak Minister Obrony Narodowej (zresztą także członek RBN) ją zrealizuje w praktyce.
Kolejnym ciekawym pomysłem jest powołanie centrów kompetencji przy ministerstwach, które mogłyby służyć pomocą w sytuacjach awaryjnych. Choć koncepcja aby centra działały silosowo może budzić pewne obawy jeśli chodzi o ich jakość i możliwości reakcji, to zbudowanie cywilnych kompetencji w zakresie cyberbezpieczeństwa – niezależnych od tych, które pozostają w dyspozycji np. ABW – można znacząco poprawić bezpieczeństwo systemów administracji państwowej. Otwartym pozostaje natomiast pytanie o dostarczenie wsparcia dla samorządów
w zakresie ochrony systemów informatycznych. Z wyjątkiem trzech, czterech największych miast samorządów lokalnych nie będzie stać na budowę takich centrów u siebie.
To dobrze, że Prezydent RP interesuje się problemem cyberbezpieczeństwa. Jeszcze lepiej, gdyby to zainteresowanie przybierało formę bardziej strawną dla obywateli. I tego i sobie i Bronisławowi Komorowskiemu życzę.
Doktryna jest w zasadzie połączeniem analizy SWOT zagadnienia cyberbezpieczeństwa z bardzo ogólnym planem działania. Język jest dramatycznie przerysowany, momentami śmieszny, długimi fragmentami niezrozumiały. Takie sformułowania jak „cyfryzowane zadania państwa” czy „wymiar transsektorowy” powodują, że źle się go czyta. Wbrew pozorom to istotna usterka, bo mocno ogranicza krąg odbiorców. Trudno włączyć całe społeczeństwo w realizację jakiegoś projektu (a to jeden z postulatów tego dokumentu) jeśli przekaz jest hermetyczny. Szerokie dotarcie do społeczeństw jest tym istotniejsze, że ten dokument jest w zasadzie publicystyką.
Publicystyką? Tak, bo nie ma żadnej wiążące mocy, ani nawet podstawy prawnej. To w istocie analiza opublikowana przez BBN w ramach obszaru kompetencyjnego Prezydenta RP. Choć BBN chwali się, że dokument został kierunkowo rozpatrzony i zaakceptowany na posiedzeniu Rady Bezpieczeństwa Narodowego to sama rada ma tylko i wyłącznie kompetencje doradcze. Kompetencje w rozumieniu formalno-prawnym bo czy obecny skład rady ma wiedzę pozwalającą na skuteczne doradztwo w zakresie cyberbezpieczeństwa to mam wątpliwości…
Dokument sprawia wrażenie pisanego przez osoby, które, choć mają doświadczenie w obszarze bezpieczeństwa, to nie rozumieją czym jest cyberprzestrzeń. Rozróżnienie na cyberprzestrzeń znajdującą się w granicach Polski i tą poza granicami wydaje się abstrahować kompletnie od rozwoju technologii chmurowych. Problemem dla wszystkich, którzy chcieliby poważnie traktować opublikowany dokument jest także definicja celu jako zapewnienia „akceptowalnego poziomu bezpieczeństwa”. Konia z rzędem temu kto będzie wstanie wyjaśnić co kryje się za tym sformułowaniem.
W kilku miejscach tego dokumentu pojawia się także postulat zapewnienia dostępu do kodów źródłowych zakupywanych rozwiązań jako drogi do „informatycznego panowania nad nimi”. Choć znajomość kodów źródłowych jest korzystana (najbardziej wtedy gdy mamy także prawo do ich modyfikacji a co za tym idzie także integracji zakupionych rozwiązań z innymi produkowanymi w Polsce) to nie gwarantuje ona obrony przed cyberatakami. Współczesne system informatyczne są na tyle złożone, że znalezienie w nich błędu często graniczy z niemożliwością, a co dopiero mówić o celowo ukrytych lukach. Ponadto, oprogramowanie to tylko jedno ze źródeł potencjalnych zagrożeń. Drugim jest sprzęt (np. procesory), o których w dokumencie nie ma ani słowa.
Pomimo dość krytycznego stosunku do tego dokumentu kilka rzeczy muszę uznać za pozytywne. W kilku miejscach pojawia się postulat włączenia społeczeństwa w proces cyberobrony poprzez m.in. podniesienie świadomości zagrożeń i wiedzy dziedzinowej. To ważne, bo bardzo wiele ataków (najczęściej tych inicjowanych przez organizacje przestępcze) żeruje na niskich kompetencjach obywateli. Na marginesie dokument proponuje także cyberwolontariat w służbie obronności – to bardzo ciekawa koncepcja, ale zobaczymy jak Minister Obrony Narodowej (zresztą także członek RBN) ją zrealizuje w praktyce.
Kolejnym ciekawym pomysłem jest powołanie centrów kompetencji przy ministerstwach, które mogłyby służyć pomocą w sytuacjach awaryjnych. Choć koncepcja aby centra działały silosowo może budzić pewne obawy jeśli chodzi o ich jakość i możliwości reakcji, to zbudowanie cywilnych kompetencji w zakresie cyberbezpieczeństwa – niezależnych od tych, które pozostają w dyspozycji np. ABW – można znacząco poprawić bezpieczeństwo systemów administracji państwowej. Otwartym pozostaje natomiast pytanie o dostarczenie wsparcia dla samorządów
w zakresie ochrony systemów informatycznych. Z wyjątkiem trzech, czterech największych miast samorządów lokalnych nie będzie stać na budowę takich centrów u siebie.
To dobrze, że Prezydent RP interesuje się problemem cyberbezpieczeństwa. Jeszcze lepiej, gdyby to zainteresowanie przybierało formę bardziej strawną dla obywateli. I tego i sobie i Bronisławowi Komorowskiemu życzę.
Reklama.