pobierz - ministerstwo cyfryzacji

RPW/110651/2016 P
Data:2016-10-14
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji
Warszawa, dn. 07.10.2016 r.
KIGEiT/1108/10/2016
Sz. P. Anna Strezynska
Minister
Ministerstwo Cyfryzacji
ul. Krolewska 27
00-060 Warszawa
Dotyczy: projektu uchwaty Rady Ministrow w sprawie Strategii Cyberbezpieczenstwa
RP na
lata 2016-2020
Niniejszym, dzialaj^c w imieniu Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji
[dalej ,^GEiT'
lub ,/zAa"] przedstawiam stanowisko w sprawie konsultowanego /^rojektu
uchwaly Rady Ministrow w sprawie Strategii Cyberbezpieczenstwa RP na lata 2016-2020.
Na wst^pie KIGEIT wyraza podzi^kowania za mozliwosc przedstawienia stanowiska w tak
waznej sprawie, jak^ jest opracowanie strategii cyberbezpieczenstwa RP. Przekazana strategia
odnosi si? nie tylko do ochrony cyberprzestrzeni z punktu widzenia interesow administracji
publicznej, ale
rowniez wskazuje zaleznosc pomi^dzy bezpieczenstwem
systemow
niezb^dnych do nieprzerwanego swiadczenia istotnych funkcji panstwa, a bezpiecznym
funkcjonowaniem w sieci przedsi?biorc6w i obywateli. Nie mamy wqtpliwosci, ze rosn^ce
zagrozenia zwi^zane z cyberbezpieczenstwem maj^ wplyw na dzialalnosc, w tym koszty
funkcjonowania, wszystkich podmiotow nowoczesnej gospodarki, w tym przedsi^biorcow
telekomunikacyjnych.
Ponizej przedstawiamy uwagi KIGEiT dotycz^ce przedstawionego
projektu Strategii
cyberbezpieczenstwa RP.
Uwagi ogolne
Na wst^pie zwracamy uwag?, ze w przedstawionym dokumencie brakuje informacji o
relacjach przygotowanej Strategii...
do rozporz^dzenia elDAS (Rozporz^dzenie w sprawie
identyfikacji elektronicznej i uslug zaufania w odniesieniu do transakcji elektronicznych na
ul. St^pirtska 22/30, 00-739 Warszawa, tel.: +48 22 8510309, 8406522, fax: +48 22 8510300, e-mail: [email protected]
http://www.kigeit.org.pi; NIP 5260029121 Konto: BG2 BNP PARIBAS O/Warszawa nr: 52 1600 1374 0003 0052 2279 1001
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji
rynku wewn^trznym oraz uchylaj^ce dyrektyw^ 1999/93AVE). Ponadto naszym zdaniem w
przedstawionym dokumencie brak jest bezposredniego wskazania, w jaki sposob Strategia...
ma poprawic bezpieczenstwo w systemach z dost^pem do danych biometrycznych lub
zabezpieczonych takimi danymi.
Naszym zdaniem w Strategii... z jednej strony podkreslono, jak wazne jest zabezpieczenie
wszystkich pimktow dost^pu do sieci oraz uswiadamianie uzytkownikow o mozliwych
zagrozeniach, a z drugiej w Strategii... brak jest konkretnych rozwi^zan w tym zakresie. Co
wi^cej, brak w ogole informacji o tym w jaki sposob przeci^tny uzytkownik moze wejsc w
interakcje z tym systemem (np. sprawdzic czy jego dane zostaly wykradzione albo znajdujq
si^ w zagrozonym systemie). Ostatni przypadek wyplywu danych z PESEL pokazal ze nie ma
nawet jak sprawdzic czy dane obywatela zostaiy skradzione.
KIGEiT stoi na stanowisku, ze Strategia... powinna zawierac harmonogram wdrozenia
poszczegolnych etapow i dzialah, a takze wskazania podmiotu odpowiedzialnego za
realizacj?. Wnosimy rowniez o wskazanie srodkow finansowych niezb^dnych do
zrealizowania strategii.
Ponadto zwracamy uwag?, ze bezdyskusyjnym faktem jest lawinowy wzrost liczby
cyberatakow, liczby charakterystyk tych atakow oraz pojawianie si? nowych podatnosci
wynikaj^cych z gwahownego rozwoju i zastosowari:
- technologii mobilnych,
- przetwarzania w chmurze,
- sieci spolecznosciowych,
- Intemetu Rzeczy.
Powyzsze powoduje, ze projektuj^c system bezpieczenstwa nalezy uwzgl^dnic nie tylko
problemy biez^ce, ale takze kierunki rozwoju zagrozen, poniewaz dzisiejsze zabezpieczenia
b^d^ zupelnie nieodpome na ataki jutra. Dlatego Izba wnosi, zeby Strategia
Cyberbezpieczenstwa RP nie byla zamkni^ta, tzn. zeby funkcjonowaia w ramach
mechanizmow elastycznego jej modyfikowania tak, aby mozna byio zachodz^ce na swiecie
zmiany szybciej uwzgl^dniac w systemach bezpieczenstwa.
Zwracamy rowniez uwag?, ze w wymiarze strategicznym rola Ministerstwa Cyfiryzacji zostala
zdefiniowana jako uslugowo-doradcza dla pozostalych uczestnikow systemu bezpieczenstwa
Panstwa. Jednostka odpowiadaj^ca za standaryzacj?, dobre praktyki, obowi^zkowe
wymagania minimalne polityk bezpieczenstwa bylaby jednak nie tylko duzo skuteczniejsza,
ale przyczynilaby si? do poprawy jakosci bezpieczenstwa cybemetycznego kraju. Taka
struktura organizacyjna miaiaby duzo wi?kszy wplyw na szczelnosc i efektywnosc
krajowego systemu bezpieczenstwa, gdyby jednostka odpowiedzialna miala mozliwosci do
np. ustalania obowi^zuj^cych
minimalnych wymagan w zakresie bezpieczenstwa,
audytowania stosowania si? do zalecen i wymogow defmiowanych przez Strategi?
Bezpieczenstwa RP i dokumenty pochodne (rozporz^dzenia).
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji
KIGEiT zwraca uwag?, ze aby w wymiarze operacyjno- technicznym system bezpieczenstwa
fimkcjonowal efektywnie, niezb^dne b^dzie takze wypracowanie mechanizmow sprz^zen
zwrotnych w zakresie przekiadania doswiadczeri i wiedzy pozyskanej przez uczestnikow
systemow bezpieczenstwa (np. CERT-y) na rekomendacje i zalecenia do natychmiastowego
wdrozenia w instytucjach i przedsi^biorstwach obj^tych Strategic.
T Twagi do tekstu
W Strategii... mowa jest o powszechnym wdrozeniu w jednostkach administracjipublicznej
i
podmiotach niepublicznych narz^dzi sluzqcych zapobieganiu zagrozeniom bezpieczenstwa w
cyberprzestrzeni. Naszym zdaniem w tym miejscu Strategia... powinna zostac rozbudowana
w ten sposob, aby zapobieganie oznaczalo nie tylko wczesne wykrywanie atakow, lecz
rowniez aby zapobieganie zagrozeniom oznaczalo uzywanie urz^dzeh i oprogramowania,
ktore chroni^ dane i posiadaj^ zaimplementowane rozwi^ania bezpieczenstwa.
Nast^pnie w Strategii... jest mowa o wprowadzaniu
na rynek urzqdzen i
oprogramowania.
Wnosimy o rozbudowanie tego poj^cia o dzialania polegaj^ce na wdrazanie gotowych
urzqdzen. Naszym zdaniem poj^cie minimalny poziom bezpieczenstwa rowniez zostalo uzyte
nieprawidiowo. Proponujemy uzyc bardziej stanowczych poj^c: np. poziomu bezpieczenstwa
„adekwatnego do rodzaju przetwarzanych danych i scenariuszy
uzycia urzqdzen i
oprogramowania", „wynikaj^cego z analizy ryzyka".
Ponizej przedstawiamy szczegolowe uwagi dotycz^ce projektu:
1) W przygotowanej Strategii...,
na rysunkach i w opisach, niespojnie stosowane s^
nazwy CSIRT i CERT.
2) Brak opisu zadan, zaleznosci i podzialu odpowiedziainosci pomi^dzy CERTami,
SOCam. Naszym zdaniem uzupelnienie w tym zakrsie jest niezb^dne aby mozliwe
bylo zestandaryzowanie sposobu dziatania i wymiany informacji.
3) Rysunek 1 - to nie jest model ISO/OSI
4) Punkt 4.1, pdpkt 4, str.l6, wymienia CSIRT'y sektorowe. Brak jest informacji o
innych CSIRTach pokazanych na rysunku 4. Tu rowniez wyst^puje niespojnosc na
poziomie nazewnictwa CSIRT, CERT.
5) Na rysunku 4 czas pracy Zespolow SOC w instytucjach oraz LZR wskazany jest jako
8/5, a w cz^sci Wymiar Operacyjny na stronie 12 wspomniane jest ze „...praca
pozostalych elementow uzalezniona b^dzie od oceny ryzyka dokonanego w sektorach
funkcjonalnych". Wnosimy o wprowadzenie odpowiednich poprawek.
6) Rysunek 4 wskazuje, ze zespoly SOC powinny bye ulokowane w instytucjach. Tam
gdzie jest to uzasadnione ze wzgl^du na koszty czy brak odpowiednich kompetencji
powinna bye mozliwosc skorzystania z uslug podmiotow zewn^trznych. Przy czym,
dia zachowania bezpieczenstwa i suwerennosci powinny to bye podmioty spelniaj^ce
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji
okreslone kryteria np. posiadac swiadectwo bezpieczenstwa przemyslowego na
odpowiednim poziomie.
7) Na rysunku 6 przedstawiona jest koncepcja rz^dowego klastra bezpieczenstwa, w
dokumencie nie ma opisu czym jest Siec Administracji Rz^dowej i jak ma bye
realizowana. Wydaje si?, ze powimia to bye wysokowydajna, bezpieczna, wydzielona
siec teleinformatyczna i^cz^ca ze sob^ podmioty publiczne i instytucje rz^dowe.
Pozwalaj^ca na wymian? informacji bez koniecznosci routowania polqczen przez siec
Internet.
8) Strona 18 „Kiastry bezpieczenstwa". Zwracamy uwag? na brak zdefmiowania poj^cia
klastrow bezpieczenstwa - jest to termin nowy, ktory w mysl Strategii b^dzie stanowil
jedn^ z istotnych elementow calego systemu. Dokument nie tylko nie defmiuje jaki
charakter maj^ posiadac klastry, ale rowniez nie wskazuje podmiotow skladowych w
sektorze prywatnym wchodz^cych w sklad klastra (co wydaje si? bye specyficznym
rozwi^zaniem bior^c pod uwag? istotn^ rol? sektorowych dostawcow ushig
kluczowych w calym systemic). Wyj^tkiem jest Naukowy Akademicki Klaster
Cyberbezpieczenstwa.
9) Klastry bezpieczenstwa - wnosimy o szerokie uzasadnienie jaki sens maj^ inne klastry
oprocz rz^dowego zawieraj^cego infrastruktur? krytyczn^ oraz kto b?dzie te klastry
organizowal.
10) Odnoszqc si? do zbierania danych z IXP - wnosimy o wprowadzenia zasad kto i w
jaki sposob to b?dzie robit oraz odpowiedz na pytanie, co z POI do operator©w Tierl.
11) Zwracamy uwag? na brak zdefiniowanego poj?cia cyberbezpieczenstwo - proba
dookreslenie tego terminu zostala podj?ta jedynie w Doktrynie Cyberbezpieczenstwa
Rzeczypospolitej Polskiej z 2015. Bior^c pod uwag? fakt, ze powstaj^ca Strategic...
ma stanowic fundament systemu cyberbezpieczenstwa w RP, definicja ta powinna bye
przeredagowana bior^c pod uwag? fakt, ze Doktryna nie zakladala implementacji
dyrektywy NIS.
12) W Strategii... na stronie 6 w pkt. 1 w zdaniu „1. ochronie w cyberprzestrzeni istotnych
funkcj'i Panstwa, tzn. zapewnienia dostaw energii, uslug bankowych, transportu,
ochrony zdrowia itd.;" nalezy dodac „ustug telekomunikacyjnych".
Uslugi
telekomunikacyjne s^ podstawowym elementem dzialania sieci Internet, w z w i ^ k u z
tym powinny bye zaliczone od grupy uslug maj^cych istotne znaczenie dla Panstwa.
13) Na stronie 6 w pkt. 3a ustalono „ i a . zapewnieniu skoordynowanej
ochrony
cyberprzestrzeni RP juz na transgranicznych punktach wymiany Internetu (IXP/\ W
ocenie Izby przeprowadzenie skoordynowanej ochrony cyberprzestrzeni RP w sytuacji
gdy punkty wymiany ruchu s^ zlokalizowane poza obszarem RP, jest niemozliwe do
realizacji lub b?dzie w i ^ a l o si? z bardzo duzymi kosztami, trudnymi dzisiaj do
oszacowania. Naszym zdaniem pkt 3a wymaga usuni?cia.
14) Na stronie 7 w pkt. 7 ustalono: „7. wprowadzeniu standardow dotyczqcych technologii
w zakresie bezpieczenstwa teleinformatycznego.'\
Standardy technologii powinny
miec odwoianie do powszechnie obowi^zuj^cych mi?dzynarodowych standardow w
zakresie bezpieczenstwa. Jednoczesnie niezb?dne jest zachowanie elastycznosc
sektora prywatnego we wdrazaniu konkretnych norm i kolejnosci ich wdrazania.
15) Strona 8 wykres „Powiqzanie warstw modelu OSI z obszarami
cyberbezpieczenstwa".
Proponujemy zastosowanie modelu OSI z 7 warstwami (i uwzgl?dnienie warstwy
transportowej) i oddzielenie dziaiania oprogramowania antywirusowego dla warstwy
fizycznej (oprogramowanie antywirusowe nie dziala w warstwie fizycznej).
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji
16) Strona 9 wykres „Struktura h-ajowego systemu cyberbezpieczenstwa". Zwracamy
uwag? na brak spojnosci pomi^dzy rys. 2 przedstawiaj^cym Struktur? krajowego
systemu cyberbezpieczenstwa a rys. 4. Z rys. 2 wynika, ze CERT Telekomunikacyjny
b^dzie uczestniczyl w wymianie informacji wyl^cznie z CERT Narodowym,
natomiast rys. 4 wskazuje na wymian? informacji przede wszystkim z CERTami
sektorowymi (np. POL-CERT).
17) Strona 13 wykres „Trzypoziomwy system ochrony cyberprzestrzeni'. Nie jest jasna
rola operatorow telekomunikacyjnych w warstwie „Systemu wczesnego ostrzegania".
KIGEiT zwraca uwag?, ze caly ci^zar zwiqzanych z detekcj^ w cyberprzestrzeni nie
powinien opierac si? na sektorze telekomunikacyjnym. Dzialania te powinny dotyczyc
wszystkich podmiotow bior^cych udzial w tworzeniu wartosci w sieci Internet.
18) Strona 17 ,Jiola
NCCyber'\
Obowi^zki regulacyjne wobec operatorow
telekomunikacyjnych w zakresie bezpieczenstwa powinny zostac skoncentrowane w
jednym podmiocie. Niezb?dne jest podj?cie decyzji w Strategii czy t? rol? b?dzie
pelnic NCCyber czy UKE. Podzial komunikacji incydentow oraz dzialari w zakresie
bezpieczenstwa na te dwie instytucje negatywnie wplynie na sposob realizacji zadan
w zakresie bezpieczenstwa Panstwa.
19) Strona 20 wykres „Bezpieczenstwo
danych". Mozna odniesc wrazenie, iz
przedstawiony schemat nie odnosi si? do kwestii bezpieczenstwa danych, a jedynie
moze swiadczyc o dost?pnosci danych.
20) Strona 23 ,JCrajowy system monitorowania ryzyka". Wskazanie na ujednolicenie
metodyki przeprowadzania analizy ryzyka - wprowadzenie jednego „wzoru" doprowadzi do mniejszej miarodajnosci badan bior^c pod uwag? fakt, ze pewne
modele przeprowadzania analizy dedykowane s^ dla konkretnych sektorow lub
struktury organizacyjnej.
21) Brak jest w Strategii definicji elementow szczegolnie istotnych dla jej realizacji,
komponentow systemu wymagaj^cych szczegolnej ochrony lub wsparcia jak np.
infrastruktura krytyczna, dane medyczne, osobowe, wlasnosc intelektualna, projekty i
patenty, informacje handlowe, dane finansowe, inwestycyjne, wywiadowcze, itp.
Wnosimy o uzupelnienie Strategii... w tym zakresie.
22) Sugerujemy, zeby w miar? swojego rozwoju Strategia wprowadzala priorytetyzacj?
dzialan, gdyz nie wszystkie elementy wymagaj^ tego samego poziomu
bezpieczenstwa, szczegolnie w perspektywie czasowej. Przyklad: Skuteczny atak na
polsk^ energetyk? powoduj^cy jej paraliz, w perspektywie juz kilkudniowej moze
trwale uniemozliwic funkcjonowanie panstwa i jego instytucji, doprowadzic do
zamieszek i ogolnie poj?tej anarchii. Ryzykowne wydaje si? pozostawienie dbalosci o
ten obszar rozdzielnym podmiotom (chociaz w ramach branzowego klastra
bezpieczenstwa), ktore mog^ przyj^c rozne zalozenia dla standardow bezpieczenstwa i
czasu ich wprowadzenia. Jednym z rozwi^zah dla redukcji takiego zagrozenia jest
wprowadzenie regulacji okreslaj^cej minimalne poziomy
bezpieczenstwa
(analogicznie do Rekomendacji D dla sektora bankowego).
Prezes Zarz^du
Stefan Kamihski