Rzecznik pyta w sprawie bezpieczeństwa krytycznej infrastruktury

Otóż i Rzecznik Praw Obywatelskich wystąpił do Szefa Agencji Bezpieczeństwa Wewnętrznego w sprawie zagrożenia bezpieczeństwa sieci teleinformatycznych urzędów państwowych w Polsce. A wszystko w związku z doniesieniami mediów i medialnymi komentarzami na temat braku dostatecznych zabezpieczeń przed atakami na infrastrukturę teleinformatyczną państwa. Ja sam zaproszony wczoraj do programu "To był dzień na świecie", który emitowany jest na antenie Polsat News, odpowiedziałem dziennikarzowi, który stwierdził, że władze nie chcą odpowiadać na pytania o stan naszego cyberbezpieczeństwa, że nie należy się poddawać i pytać dalej. Chodzi o publicznie dostępne raporty dotyczące naszej infrastruktury (por. Bezpieczeństwo systemów FBI, czy w Polsce są takie raporty?). Okazało się, że dziennikarzy wyprzedził Rzecznik Praw Obywatelskich. I dobrze.

Jak wiadomo sprawa związana jest z cyberatakiem na infrastrukturę teleinformatyczną Gruzji i uprzejmym gestem Kancelarii Prezydenta RP, która udostępniła Gruzji polską stronę do publikacji depesz (oraz pewnie jeszcze inne zasoby, o czym niewiele wiemy, podobnie jak nie wiem nadal na jakiej formalnej zasadzie administracja publiczna jednego państwa, Głowa tego państwa, może udzielić wsparcia tego typu) - o tym wszystkim było w tekście Gruzja: Wojna elektroniczna - potwierdzono atak na infrastrukturę teleinformatyczną i w kolejnych komentarzach pod nim.

Tymczasem Rzecznik Praw Obywatelskich zaniepokoił się doniesieniami Dziennika i postanowił zareagować. W Sieci dostępne jest Wystąpienie RPO do Szefa ABW w sprawie zagrożenia bezpieczeństwa sieci teleinformatycznych urzędów państwowych w Polsce z 20 sierpnia (PDF). Rzecznik Napisał w tym wystąpieniu co następuje:

Doniesienia mediów wskazują na poważne zagrożenia bezpieczeństwa sieci teleinformatycznych urzędów państwowych w Polsce, między innymi, poprzez możliwość zakłócania i blokowania ich serwerów internetowych.

Należy zauważyć, iż tego rodzaju zagrożenia miały miejsce w Estonii, a także w ostatnich dniach w Gruzji podczas konfliktu zbrojnego, gdzie doszło do zakłócania stron internetowych organów państwowych przy pomocy serwerów znajdujących się na terytoriach innych państw.

Niewątpliwie tego rodzaju działania uniemożliwiają prawidłowe funkcjonowanie organów państwa, a także przekazywanie komunikatów władz za pomocą serwerów rządowych.

Niepokój budzą informacje zamieszczone w „Dzienniku" z dnia 19 sierpnia br., w tym także cytowana wypowiedź p. Piotra Niemczyka, byłego wiceszefa polskiego wywiadu, wskazujące na brak dostatecznych zabezpieczeń przed tego rodzaju zagrożeniami, a także, iż Polska nie zgłosiła udziału w powołanym przez NATO w kwietniu 2008 r. Centrum Doskonalenia Cyberobronności.

W związku z powyższym, uprzejmie proszę o poinformowanie mnie, czy badane są źródła informacji pojawiających się na forach internetowych, które w okresie napięć politycznych, zwłaszcza podczas ostatniej wizyty Prezydenta Rzeczypospolitej Polskiej i innych przedstawicieli władz Państwa w Gruzji, noszą cechy informatycznej propagandy.

Jednocześnie, mając na względzie moje konstytucyjne powinności w zakresie szeroko rozumianych praw i wolności obywateli w tym gwarancji zapewnienia im bezpieczeństwa, zważywszy na możliwość naruszenia nie tylko prawidłowego funkcjonowania sieci teleinformatycznych urzędów państwowych, ale także systemów komunikacji, bankowego i innych, zarządzanych za pomocą sieci komputerowych, zwracam się z uprzejmą prośbą o poinformowanie mnie, czy systemy elektroniczne w Polsce posiadają stosowne zabezpieczenia przed tego rodzaju zagrożeniami mającymi istotny wpływ na stan bezpieczeństwa Państwa.

Będę także zobowiązany za przedstawienie mi stanowiska Agencji Bezpieczeństwa Wewnętrznego odnośnie obecnego stanu bezpieczeństwa Państwa w zakresie ochrony przed bezprawnymi działaniami w cyberprzestrzeni, a także, czy odnotowano tego rodzaju przypadki i jaka jest skala zagrożeń w tej materii.

Warto też odesłać do artykułu Dziennika, tj. do tekstu Polski internet zagrożony, który stał się powodem pytania Rzecznika Praw Obywatelskich. Przeczytać tam można m.in.:

Eksperyment DZIENNIKA był prosty. Wykorzystaliśmy ogólnodostępne narzędzie do testowania podatności serwisów na atak hakerski udostępnione przez Internet Assigned Numbers Authority (IANA) - amerykańską instytucję zarządzającą domenami. Strony BBN, MON, MSZ i kilku innych instytucji odpowiedzialnych za bezpieczeństwo otrzymały czerwone światło, czyli najwyższy stopień zagrożenia, i są wysoce narażone są na tzw. cache poisoning inaczej nazywany zatruwaniem DNS. "Uogólniając: polega to na takim wykorzystaniu serwerów i zapamiętywanych przez nie informacji, by można było podmienić stronę na fałszywą wprowadzoną przez hakera" - mówi DZIENNIKOWI ekspert NASK Zbigniew Jasiński.

A wspomniany w pytaniu RPO Piotr Niemczyk miał Dziennikowi powiedzieć, że "w Agencji Bezpieczeństwa Wewnętrznego pracuje ledwie kilka osób zajmujących się bezpieczeństwem w sieci".

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

ta szkoda, po której Polak mądry...

maniak713's picture

Może potrzebna jest jakaś duża i głośna "wpadka", żeby ktoś się tematem zajął? Tak jak w USA, gdzie przez wiele lat zabezpieczenia sieci rządowych były praktycznie żadne i dopiero kolejne włamania doprowadziły do konkretnych działań?

Z drugiej strony, nie jest jakoś rozgłaszane, jak zorganizowane są te sieci i systemy. Może przecież być tak, że oficjalne serwery (np prezydent.pl) stoją w firmie hostingowej albo kolokacyjnej i włamanie do nich (np atak spowodowany publikacją materiałów gruzińskich) nie wpłynie na działanie urzędów - poza ewentualnym wstydem, że ktoś na oficjalnej stronie umieścił jakieś obraźliwe hasła.

A tak w ogóle, to czy jest w Polsce jakaś agencja zajmująca się bezpieczeństwem teleinformatycznym instytucji rządowych jakoś tak całościowo? Coś jak NSA? Do tej pory wydawało mi się, ze to jedno z zadań ABW... a tu się okazało, że chyba nie.

I tak i nie

Owszem - zajmować się stanem infrastruktury należy, ale informować o nim imho nie wolno. Nie chciałbym, żeby władze obcych krajów miały dostęp do informacji o dziurach. Crackerzy to jedno, ale zwykli szpiedzy to co innego. Atak na/przez sieć może przyjść do głowy państwu chcącemu wywrzeć na Polskę presji kiedy dowie się jakie są jej słabe punkty.

Myślę, że kto ma wiedzieć, ten wie

VaGla's picture

Myślę, że kto ma wiedzieć, ten wie (przed atakiem działa wywiad, w tym biały wywiad, zbierający informacje z dostępnych i legalnych źródeł; nie wie zaś opinia publiczna, a wiedzieć - moim zdaniem - powinna. Taka wojna cybernetyczna nie polega jedynie na podmianie lub DDoSowaniu stron internetowych. Prawdziwy atak (ten bardziej niebezpieczny) poszedłby na infrastrukturę sterującą siecią bankową, siecią energetyczną, łącznością. W wielu przypadkach jest to infrastruktura prywatna (nie państwowa). Dlatego w pracach nad infrastrukturą krytyczną państwa biorą udział obok policji również przedsiębiorstwa teleinformatyczne czy telekomunikacyjne... Strony internetowe stoją obok tej, najważniejszej infrastruktury... Ale jeszcze w tym wątku kilka linków:

--
[VaGla] Vigilant Android Generated for Logical Assassination

nie zgadzam się

Nie zgadzam się z taką opinią, jest to typowe chowanie głowy w piasek czyli Security by Obscurity.

Moim zdaniem tylko właśnie nagłośnienie dziur i błędów może przyczynić się do poprawienia tegoż bezpieczeństwa!

Nie rozpowszechnianie informacji o błędach samo ich nie usunie, a to że wszyscy nie będą o nich wiedzieć wcale nie oznacza, że ci najgorsi (mający chęć niecnego wykorzystania istniejących dziur) nie będą posiadać tych informacji.

W sumie może wreszcie wykorzystam ten screenshot

VaGla's picture

W sumie może wreszcie wykorzystam ten screenshot, bo jakiś czas temu go sobie zrobiłem i nie miałem okazji nigdzie go wykorzystać. Na obrazku widać wykonaną pod Debianem (co w sumie nie ma tu znaczenia) komendę ping www.swietokrzyska.policja.gov.pl i efekt podpowiadający, że serwis www stoi (stał) na DSL-u TPNet:

screenshot z wykonaniem komendy ping www.swietokrzyska.policja.gov.pl...

--
[VaGla] Vigilant Android Generated for Logical Assassination

To chyba dobrze?

Nie jest to co prawda ATM, ani Frame Relay (chociaż nie wiem jaka nomenklatura DNS'owa obowiązuje w TP S.A. dla tej usługi), ale to przecież tylko kwestia tego, czy innego typu łącza. Jest to usługa biznesowa i choć bez możliwości wykupienia SLA, to poziom supportu jest chyba wyższy niż neostradowy.

Dla mnie problemem byłoby gdyby ping wykazał jakiegoś home'a albo nazwa.pl bo to by znaczyło, że sprzętu nie kontroluje policja i w razie włamania musi występować o logi, prosić o przywrócenie backupu itp.

Mogłoby być też dosyć śmiesznie gdyby provider policyjnego serwisu "uzyskał wiarygodną wiadomość o bezprawnym charakterze danych lub związanej z nimi działalności" i "niezwłocznie uniemożliwił dostęp do tych danych"

Narzędzie IANA do sprawdzania problemu DNS cache poisoning

Domyślam się, że chodzi o stronę http://recursive.iana.org/ (tu objaśnienia do problemu).

Wypada uściślić, że nie chodzi o strony, tylko o zachowanie i bezpieczeństwo DNS. W szczególności strona sprawdza, czy serwery DNS obsługujące poszczególne domeny (authoritative name servers) odpowiadaja na pytania maszyn w sieci w sprawie domen _innych_ niż własna. To badanie jest oczywiście względne, bo wiele z tych serwerów nazw odpowiada zapewne niektórym maszynom ze swojej "zaufanej" sieci.

Atak na serwer DNS pozwala w dowolny sposób przekierować ruch sieciowy kierowany np. do serwera xxx.costam.pl na jakąś inną, wybraną przez atakującego maszynę.

W przypadku mon.gov.pl strona podaje, że jeden z serwerów nazw:

ALFA.WP.MIL.PL 88.220.125.200 Is recursive, without source port randomisation

  • Is recursive to znaczy odpowiada na pytania z całego świata (co ułatwia atak)
  • without source port randomization to znaczy, że pakiety UDP z odpowiedzią są wysyłane zawsze z jednego portu źródłowego (zapewne 53) a nie, zgodnie z najnowszym zaleceniem, z portu losowego

Problem tzw. zatruwania cache jest stary jak DNS, jednak w sierpniu 2008 zademonstrowano bardzo ciekawy sposób zaatakowania serwerów DNS.

Dodać należy, że losowanie portu źródłowego jest jedynie załataniem problemu w oprogramowaniu BIND zaproponowanym przez Daniela J. Bernsteina.

Właściwe rozwiązane polega na wdrożeniu DNSSEC, co następuje powoli z różnych względów.

Więcej linków w tej sprawie CERT.

--
[S.A.P.E.R.] Synthetic Android Programmed for Exploration and Repair

Jakie zagrożenia?

"zagrożenia bezpieczeństwa sieci teleinformatycznych urzędów państwowych w Polsce"?

Jeden z urzędów beztrosko wystawił w swoim serwisie dokumentację systemu teleinformatycznego w tym plany budynku z naniesionymi gniazdami (Lokalizacja elementów okablowania strukturalnego), zasięgi szaf teleinformatycznych i mnóstwo innych schematów, których nigdy nie umieścił by w internecie średnio rozgarnięty człowiek.

Proszę dodać, że to SIWZ

VaGla's picture

Proszę dodać, że to SIWZ - jeśli mówimy o tej samej dokumentacji. Specyfikacja Istotnych Warunków Zamówienia polegającego na modernizacji czy przebudowy sieci. Dobrze myślę?

Biały wywiad polega na gromadzeniu danych z różnych dostępnych źródeł. Być może rozwiązaniem jest to, byśmy nikomu nic nigdy więcej nie mówili.
--
[VaGla] Vigilant Android Generated for Logical Assassination

dokumentacja systemu alarmowego

xpert17's picture

Nie wiem, czy wspominali Panowie o tej sprawie, czy po prostu jest bardzo podobna:

http://lodz.naszemiasto.pl/wydarzenia/889109.html

systemu monitoringo

Nie to zupełnie co innego i wisi to już prawie pół roku. Sprawa jest trochę inna ponieważ taka wpadka przy okazji CBŚ to jednak sprawa trochę "lokalna" w znaczeniu krajowa. Dokumentacja teleinformatyczna urzędu to sprawa o zasięgu bardziej globalnym, interesująca nie tyle rzezimieszków co rządy innych państw i to nie tylko sojuszniczych.

Dobry żart komentarza wart

"Być może rozwiązaniem jest to, byśmy nikomu nic nigdy więcej nie mówili" - traktuję to jako prowokację prawno-intelektualną.
Myślę, że wszyscy czytelnicy tego serwisu odróżniają schemat krzesła od "schematu rozdzielni SZR" czy "RK-S", schemat rozmieszczenia urządzeń sanitarnych w łazience od "schematu logicznego projektowanej sieci teleinformatycznej" zawierającego, nota bene, konkretne modele urządzeń i połączenia między nimi.

Ponieważ dałem się sprowokować odpowiadam:
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z dnia 28 października 2005 r.):
§ 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych.
2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji.

PN-ISO/IEC 17799:
pkt 5 Klasyfikacja i kontrola aktywów
pkt 5.1
"Cel: Utrzymanie odpowiedniej ochrony aktywów instytucji.
Zaleca się, aby wszystkie ważniejsze zasoby informacji były wyszczególnione i miały wyznaczonego właściciela. Rozliczalność aktywów pozwala zapewnić, że utrzymywana jest właściwa ochrona. Zaleca się aby określić właścicieli ważniejszych aktywów oraz przydzielić im obowiązki w zakresie utrzymania właściwych zabezpieczeń"
pkt 5.1.1 Inwentaryzacja aktywów,
a) aktywa informacyjne: dokumentacja systemu

pkt 8.6.4 Bezpieczeństwo dokumentacji systemu
Dokumentacja systemu może zawierać wiele wrażliwych informacji (...) W celu ochrony dokumentacji systemu przed nieuprawnionym dostępem zaleca się rozważenie wprowadzenia niżej podanych zabezpieczeń.
a) Zaleca się przechowywanie dokumentacji systemu w bezpieczny sposób.
b) Zaleca się, aby listę osób mających dostęp do dokumentacji systemu, zatwierdzoną przez właściciela aplikacji ograniczyć do minimum
c) Zaleca się, aby we właściwy sposób chronić dokumentację systemu przechowywanej w sieci publicznej lub dostarczanej za jej pośrednictwem.

We wspomnianym przeze mnie urzędzie prawdopodobnie zbyt dosłownie potraktowano zapis pktu 8.6.4 i jedynie rozważono taką możliwość bez zastosowania któregokolwiek z zabezpieczeń.

Biały wywiad. Tak! Niech nasze urzędy stosują biały wywiad, a nie doprowadzają obywateli do czarnej rozpaczy.

PS. Jestem bardziej niż pewien, że dokumentacja systemu teleinformatycznego nie stanowi "informacji publicznej". Takie właśnie sprawy określa (w każdym razie powinna określać) polityka bezpieczeństwa.

To beztroska ustawowa

Wszystkie te dane są do "wyjęcia" z niemal każdego urzędu na podstawie ustawy o informacji publicznej.

W istocie rzeczy posługując się tą ustawą można wydobyć dane, których ujawnienie stwarza zdecydowanie, nieporównanie większe (choć oczywiście potencjalne) zagrożenie dla bezpieczeństwa publicznego niż "lokalizacja elementów okablowania strukturalnego". Nie będę podawał przykładów by nie kusić losu, 100 tyś. unikalnych użytkowników miesięcznie czyta ;)

Na razie na szczęście mało kto zdaje sobie sprawę z tego potencjału, który tkwi w zapisach ustawy o informacji publicznej (a piszę to jako zdecydowany zwolennik szerokiego dostępu do informacji wytwarzanych i przetwarzanych przez administrację publiczną).

To nieprawda, że takie dane

To nieprawda, że takie dane są do wyjęcia na podstawie ustawy o informacji publicznej - bynajmniej z mojego urzędu nic by kolega nie dostał i może się odwoływać nawet do Pana Boga. Co najwyżej ogólną informację jakich systemów używamy i jakiego sprzętu ale na pewno nie dane które naruszyłyby bezpieczeństwo teleinformatyczne.

Nie mylmy porządków - prawa i praktyki urzędów

Kłopot w tym, że wnioskodawca może nie chcieć odwoływać się do Pana Boga, może chcieć odwołać się do jakiejś niższej instancji np. do sądu.

Ja nie pisałem o tym jaką odpowiedź bym otrzymał z pańskiego czy innego urzędu. Piszę tylko, że (w mojej opinii) zgodnie z literą wspomnianej ustawy, takie informacje STANOWIĄ informację publiczną, udostępnianą zgodnie z regułami w tej ustawie zapisanymi.

BTW. Oczywiście odmowę udostępniania danych istotnych z punktu widzenia bezpieczeństwa informatycznego czy publicznego uważam za sensowną, tyle że ze względu na konsekwencje może być ona też "heroiczną". Nie wiem jak by zareagował sąd w razie skargi, być może kierując się zdrowym rozsądkiem przychylił by się do decyzji odmownej urzędu, a może za ważniejsze uznał by zapisy ustawy...

A przedpiszcy chodziło pewnie o ograniczenie prawa dostępu

VaGla's picture

Art. 5 ust. 1 wspomnianej ustawy stwierdza:

Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych.

Oczywiście trzeba by się też zagłębić w rozważania Trybunału Konstytucyjnego analizującego przy okazji innego ogranicznia, tj. ze względu na prawo do prywatności, ustawę o dostępie do informacji publicznej (por. Wyrok TK - dostęp do informacji publicznej a prywatność)
--
[VaGla] Vigilant Android Generated for Logical Assassination

Rozumiem troskę, ale czy RPO ma prawo do takich pytań?

Witam,

Rozumiem troskę RPO. Rozumiem też, że każdy obywatel ma prawo zapytać kogokolwiek o cokolwiek, ale czy interesując się takimi sprawami RPO nie przekracza czasem swojego mandatu? W końcu nie powołano go strzeżenia bezpieczeństwa informatycznego państwa, a do ochrony praw obywateli przed wszechwładzą władz.

czy RPO...

Sprawa może być dyskusyjna, ale:
Przypomina mi trochę sprawę sowieckiego agenta Zacharskiego (który był taki sprytny, a jednocześnie taki naiwny chłopina, że nie wiedział, że pracuje dla sowietów, roiło mu się, że pracuje dla Niepodległej Polski), gdzie ujawnienie informacji pociągnęło za sobą milionowe koszty na wprowadzanie zmian.

Udostępnianie dokumentacji teleinformatycznej urzędu może pociągać za sobą generowanie kosztów na przebudowę systemu - a te pieniądze trzeba wyciągać z kieszeni Jasia (niezweryfikowanego), mojej i wszystkich obywateli.

Generalizując - brak właściwej ochrony teleinformatycznej urzędów to:
- przestoje w pracy (z powodu awarii s.t. urząd nieczynny)
- nie dotrzymywanie terminów (z powodu awarii s.t. termin wydania dokumentu takiego czy innego został przesunięty o dwa dni)
- brak dostępu do informacji urzędowych (serwis tymczasowo niedostępny)
a także koszty, koszty, koszty - z naszej kieszeni.

RPO ma chronić obywateli nie tylko przed "wszechwładzą" ale także głupotą, niechlujstwem, marnowaniem czasu obywateli i wyciąganiem pieniędzy z kieszeni podatnika, czyli RPO nie zajmuje się w tym przypadku bezpieczeństwem teleinformatycznym, a konsekwencjami wynikającymi dla obywateli z niestosowania tegoż.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>