Byłam na Security Case Study, jako wolontariuszka. Wróciłam z 2 użądleniami przez jedną, wystraszoną bardziej niż ja, już „świętej pamięci” osę. Zyskałam kilka kontaktów, odnowiłam kilka starych, słowem – opłacało się jechać.
Jeśli chodzi o same wydarzenie- składało się z 1 dnia warsztatów (których nie widziałam na oczy – przygotowywaliśmy salę) oraz dwóch dni wykładów (których już – nierzadko kątem ucha ale jednak, wysłuchałam). Wykłady były prowadzone w formule case study (której osobiście nie preferuję – wolę gdy opisy sytuacji są obrazkiem dla przedstawianej wiedzy, a nie na odwrót)- ale znalazło się również kilka bardzo techicznych prezentacji, nieco się z tej konwencji wyłamujących. Aż szkoda, że nie będzie streamingu, choć pewnie z wielu talków pojawią się slajdy i whitepapery (jak już się pojawią, podlinkuję).
W wielu miejscach wracano do przedstawionego raportu NIK, który wywołał chyba najwięcej dyskusji. Okazało się, że jesteśmy totalnie bezradni jeżeli chodzi o cyberbezpieczeństwo (dobrze, że mamy parę zdecentralizowanych certów i masę partyzantki). Ale to nie jest najgorsze. Jak słuchałam pomysłów na rozwiązanie owych problemów, to normalnie włos mi się jeżył na głowie i wszędzie indziej.
Jednym z mrożących krew w żyłach pomysłów było stworzenie jednego – państwowego centrum reagującego na incydenty (w kontekście certa wszystkich certów – podejrzewam). Jeżeli całość będzie polegała na koordynacji każdej z ekip – (jakiś bank spraw do których certy mogłyby wrzucać przypadki do analizy i reakcji – oraz mogłyby informować o tym – jakimi sprawami się zajmują w danym czasie) to spoko. Będzie lepsze zarządzanie zasobami specjalistów – nie będą w jednym czasie siedzieć nad tym samym problemem i dublować swoich wysiłków – co dodatkowo skróci czas reakcji na incydenty i poprawi bezpieczeństwo. Ale jeżeli całość miałaby się opierać na kontrolach, przymusach, „centralnym sterowaniu”, jeszcze przez rządy – to może to nie wypalić. Trochę nie to środowisko. Poza tym takie centralne sterowanie mogłoby doprowadzić do sytuacji, że botnety czy malware stworzony przez rząd i jego sojuszników trafi do kolejki gdzieś bardzo daleko i nie będzie przed nim obrony. Zupełnie też nie wiadomo co by było z podmiotami, które są w ramach struktur państwowych, a zajęłyby się jakimś problemem poza kolejnością – czy za takie nieposłuszeństwo spotkałaby ich jakaś kara? Pisałam o przyśpieszeniu – ale jeżeli całość byłaby centralnie sterowana, mogłoby dojść do sytuacji blokowania działania w oczekiwaniu na rozkazy z góry, zamiast zajęcia się problemem od razu po tym, jak zostanie on zaobserwowany.Także musiałaby być tu jakaś hybrydyzacja jeśli już, tzn że niech sobie będzie taki UBERcert, ale niech on nie będzie nadrzędny względem wszystkich certów (tzn niech one wszystkie zachowają autonomię działania) – samo poddaństwo mogłoby być wymagane tylko przy większych alarmach. Coś jak mamy w straży pożarnej – tam gdzie się da, działają lokalne jednostki (czyli ci, którzy jako pierwsi wzięli problem – a nawet jako kolejni, jeśli ich on ciekawi chociażby), ale przy grubszej sprawie bierze się coraz kolejne jednostki angażując w miarę możliwości jak największą ilość sił. I tu mogliby zgłaszać zapotrzebowanie do takiego UBERcertu a ten by puścił request do wszystkich i ktoś by mógł dołączyć. Ok, i ten plan ma jeszcze luki – trzeba by było to jakoś na prawdę mądrze zrobić, żeby ułatwić a nie utrudnić tym ludziom pracę. Przy braku struktur odgórnych bowiem wytworzył się niezły, zdecentralizowany system pomniejszych świetnie działających komórek, a ludzie w nich pracujący się znają zwykle. Także to działa.
Nie mniej (jak nie bardziej) mrożącym krew w żyłach pomysłem jest dołączenie ochrony cyberbezpieczeństwa RP ministerstwu administracji i cyfryzacji. Najdziwniejsze, że większość osób na SCS była tego zdania (a przynajmniej głosujący). Moim zdaniem to powinno leżeć w kompetencjach MONu. Dlaczego nie MAiC? Chociażby dlatego, że oni mają już masę kompetencji. Odpowiadają za cyberbezpieczeństwo w kontekście administracji publicznej (wybory, „źródło”, peselki), ale również za sprawy łączności (chociażby dostępność sieci, uke, poczty, telefony, e-urzędy, wejścia do lekarza na pesel i takie tam), lub żeby było ciekawiej, za sprawy obyczajowe (jak stowarzyszenia i związki wyznaniowe). Niezła mieszanka wybuchowa, co? Tylko że jeśli mówimy o bezpieczeństwie- nie ważne czy jest tam cyber czy nie, powinien tu mieć więcej do gadania MON. Panowie z wojska i okolic się po prostu nie pierdzielą. Działania są szybkie i skoordynowane. Ludzie w tej gałęzi są bardziej przygotowani do obsługi sytuacji kryzysowych niż panie z urzędów i mają w tym doświadczenie. A ludzie MON mieli z łącznością do czynienia znacznie dłużej i mają większą historię z tym związaną (od zawsze wykorzystywali ją w warunkach bojowych – w tym do ataku i obrony)- więc można się spodziewać – że spośród struktur rządowych tam najszybciej znaleźć gotowe rozwiązania i już przeszkolonych fachowców. Szybciej też o skuteczne reakcje na sytuacje niecierpiące zwłoki. Z tego powodu uważam naciski na panią z MAiCu za bezzasadne i kierowane do niewłaściwej osoby. Acz ze względu na zakres działań z pewnością oba ministerstwa powinny ze sobą współpracować. A państwo z MAiC mają w tym dużo doświadczenia, co widać chociażby po projekcie zintegrowanego systemu opieki zdrowotnej (komp u każdego lekarza – zdalne recepty i L4, przy wizycie wystarczy pesel)- gdzie z pewnością musieli współpracować z Ministerstwem Zdrowia, NFZ i ZUSem.
Jeśli chodzi o centralizację czegokolwiek w państwie – nigdy nam to dobrze nie wyszło. Takie struktury wymagają masy korespondencji i procedur a więc i pieniędzy na nowe budynki, stanowiska, panie przy biurku przerzucające papiery czy maile, kogoś tworzącego bazy… Należy się zastanowić, czy nasz kraj ma takie pieniążki. Chociaż, jeżeli by ukrócić biurokrację i przenieść panie z jednego stołka na inny, czemu nie:)
Dobra, może napiszę w przyszłości ciąg dalszy – obecnie wpis robi się już zbyt długi.