Bezpieczeństwo systemów FBI, czy w Polsce są takie raporty?

Problemy bezpieczeństwa naszych organów ścigania nie są osamotnione, chociaż skala problemów w Polsce i USA jest pewnie nieco inna. Government Accountability Office opublikowało raport na temat bezpieczeństwa sieci stosowanej przez FBI. Podobno nie jest kolorowo. Czy w Polsce przygotowuje się takie raporty (i publikuje się je w taki sposób, by każdy mógł się z nimi zapoznać) na temat zabezpieczeń infrastruktury stosowanej przez organy ścigania? Myślę, że taki raport mógłby być interesujący, a fakt jego udostępnienia społeczeństwu świadczyłby chyba o stanie demokratycznej kontroli nad organami władzy publicznej (brak raportu, jeśli istotnie takich raportów nie ma, też o tym świadczy). Przypuszczam jednak, że byłyby też takie wektory przeciwdziałania publikacji, które uznawałyby ją za danie terrorystom do ręki użytecznych narzędzi.

Chodzi o raport nr GAO-07-368 z 24 maja 2007 roku, który nosi tytuł Information Security: FBI Needs to Address Weaknesses in Critical Network (PDF, 30 stron), jest też krótka notatka prezentująca raport.

Z raportu przedstawionego p. F. Jamesowie Sensenbrennerowie Jr. z Izby Reprezentantów wynika, że infrastruktura FBI (critical internal network) ma szereg wad, które nie dość dobrze chronią poufność, integralność czy dostępność informacji. Konfiguracja zasobów pozwala na dostęp do treści przez osoby nieuprawnione (to prevent unauthorized insider access and ensure system integrity), nie wprowadzono w pełni zasad autoryzacji dostępu, by przeciwdziałać dostępowi nieuprawnionemu, nie wprowadzono takich zasad identyfikacji użytkowników systemu, który pozwalałby następnie stwierdzić, ze osoby uzyskujące dostęp do zasobów istotnie musiały (z jakichś powodów) taki dostęp do danych zasobów uzyskać, nie zastosowano wystarczających środków kryptograficznych, które zabezpieczałyby wrażliwe informacje w sieci FBI, nie zastosowano wystarczających metod monitorowania zdarzeń systemowych, takich jak logowanie czy inne monitorowanie zdarzeń w systemie, nie dość dobrze chroniony jest też fizyczny dostęp, nie dokonuje się dość często aktualizacji oprogramowania (innymi słowy - nie "łata się" serwerów dość często). Generalnie GAO - chyba można tak powiedzieć - wytknęło FBI szereg błędów w stosowaniu czy kreowaniu polityki bezpieczeństwa informacyjnego, a właściwie wskazano nawet brak istnienia stosownych procedur, które należałoby wprowadzić, jeśli infrastruktura, z której korzysta FBI miałaby być uznana za bezpieczną.

IDG w tekście FBI zganione za brak zabezpieczeń przedstawia reakcje FBI:

Przedstawiciele FBI uzyskali wgląd do raportu jeszcze przed jego publikacją - w wydanym przez instytucję oświadczeniu czytamy, iż nie neguje ona co prawda większości błędów, wskazanych przez GAO, jednak znacznym nadużyciem jest stwierdzenie, że infrastruktura informatyczna FBI jest "otwarta na atak wewnętrzny". Oczywiście, rzecznik Federalnego Biura Śledczego zapewniał, że wszelkie uchybienia zostaną w najbliższym czasie poprawione.

W Polsce mieliśmy ostatnio kilka sytuacji, w których publiczność mogła wyrobić sobie zdanie na temat bezpieczeństwa informatycznej infrastruktury organów ścigania, ale nie trafiłem na żaden spójny raport dotyczący tego zagadnienia. Można sądzić tylko po pewnych odpryskach medialnych informacji...

W Opolu korzystają z p2p (por. Polskie piekiełko: Sejm udostępnia filmy i (po miesiącu) stenogram z publicznego wysłuchania), co ma wpływ - jak sądzę - na poziom bezpieczeństwa zasobów sieci policyjnej. Wcześniej ważna dyskusja rozpoczęła się (i padły w niej ważne stwierdzenia) przy okazji jednego z programów, wyemitowanych w TVN: Dyskusja o bezpieczeństwie systemów... Policji.

Atak DDoS na serwery Policji to inna bajka (por. Ewentualny atak serwerów Policji uważam za głupotę i nieodpowiedzialność); przed takim atakiem w wykonaniu botnetów nie obroniły się nawet wybitnie dobrze zabezpieczone Sieci (por. Kto żabą wojuje...) chociaż infrastruktura przygotowuje się już poważnie i "systemowo" do odpierania takich ataków (por. Znów był atak na Sieć).

Mnie ciekawi czy w Polsce ktoś zastanawia się nad wprowadzeniem zasad monitorowania kto i po co do danych sięgał oraz czy miał w tym jakiś uzasadniony interes (a systemy Policji mają coraz więcej informacji). Czy też może jest tak, że przed jakąś "końcówką" systemu siada sobie człowiek, przychodzi mu do głowy, by przejrzeć bazę, zadaje pytanie, dostaje odpowiedź, kiwa głową albo wzrusza ramionami i idzie sobie dalej popijając kawę, i nikt nie wie kto i co sprawdził, czy miał prawo sięgnąć do tych zasobów i co robi dalej z tymi informacjami, które wyjął z systemu. Zwłaszcza w czasach, gdy padają pomysły zdalnego monitorowania komputerów użytkowników Sieci (por. Koń jaki jest, nie każdy widzi, czyli niemieckie prace nad projektem "Federal trojan"). Przecież nie ma co udawać, że takie historie jak opisana w tekście Spytaj policjanta, on ci prawdę powie nie miały miejsca.

A jak będą sprawdzane uprawnienia do przeglądania takich zasobów jak te przechowywane w Systemie Informacyjnym Schengen II lub Systemie Informacji Wizowej (por. MasterPlan SIS II i VIS PL)?

Czytaj również:

• Hasło na dziś: Infrastruktura Krytyczna Państwa
• IKP: spotkanie z przedsiębiorcami - operatorami infrastruktury
• Czy "własne" serwisy internetowe administracji publicznej działają legalnie?