Sprawdźmy, gdzie "fizycznie" leżą pliki polskiego rządu...

Ponieważ "rozsiane" w tym serwisie "wzmianki" o hostowaniu elektronicznych rządowych zasobów nie pozwalają na to, by w jednym "linku" ukazać "problem" suwerenności Polski w sferze publikacji elektronicznych, być może należałoby to napisać wprost, a nie jedynie "przy okazji". Napiszmy zatem: internetowe strony Rządowego Centrum Legislacyjnego znajdują się na serwerze w Niemczech. Polskie prawo w wersji elektronicznej umieszczane jest na serwerach we Francji. Zachęcam też czytelników, by we własnym zakresie zbadali zlokalizowanie "hostingu" innych stron i zasobów polskiego rządu (a nawet szerzej: polskiej administracji publicznej). Najciekawsze znaleziska warto odnotować w komentarzach do tej notatki.

Już wcześniej zwracałem uwagę na to, że "oficjalny" BIP RCL znajduje się pod adresem www.rcl.bip-e.pl (por. Kolejny etap informatyzacji ogłaszania aktów prawnych...), a tam również na to, że domena bip-e.pl zarejestrowana jest na osobę fizyczną. W kolejnym tekście (por. Rząd planuje publikować skany, nie zaś ustrukturalizowane dokumenty) sygnalizowałem również, że pliki tego BIP-u "fizycznie" umieszczane są na serwerze w Niemczech (por. również komentarz: W Polsce różne sytuacje są możliwe...). No, ale przecież to mogło umknąć szerszej rzeszy czytelników. Dlatego przywołuję niniejszym list, w którym dziś jeden z czytelników zwraca mi uwagę na te problemy słowami:

Korzystając dzisiaj ze strony Rządowego Centrum Legislacji ze zdziwieniem odkryłem, że główna strona RCL znajduje się na serwerze w Niemczech (ISP Hetzner Online AG RZ) a strona z Dziennikami Ustaw dokumenty.rcl.gov.pl znajduje się we Francji (ISP OHV). Wydaje mi się dziwne, że infrastruktura informatyczna instytucji, która odpowiada za ogłaszanie obowiązującego prawa w Polsce znajduje się fizycznie poza terytorium Polski, a więc zapewne pod wiele mniejszą kontrolą niż gdyby znajdował się w rządowej serwerowni w Polsce.

Podobna sytuacja dotyczy stron niektórych polskich ministerstw - strona Ministerstwa Infrastruktury znajduje się we Francji (ISP OVH) a Ministerstwa Sportu www.msport.gov.pl w Irlandii (ISP Amazon EU DC).

Tak właśnie jest.

Ponieważ świadomość tego stanu rzeczy nie jest powszechna, to może warto ogłosić honorowy konkurs bez nagród i zwycięzców, a polegający na wskazaniu najciekawszej lokalizacji polskich elektronicznych rządowych zasobów. Może znajdzie się coś w Jemenie, albo na Tajwanie? A może jakiś BIP lub strona internetowa ministerstwa hostowana jest/była na serwerach znajdujących się w Egipcie (por. Najpierw Egipt: cyt, iskierka zgasła)? Proszę szukać, sprawdzać, a znalezionymi ciekawostkami podzielić się z innymi.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Outsourcing

To się nazywa outsourcing i jest często praktykowane w biznesie.
Niektórzy nawet postulują powierzanie prywatnym firmom takich obszarów działalności państwa jak policja czy więziennictwo...
Sam fakt umieszczania witryn na zewnętrznych serwerach nie jest negatywny, o ile istnieją odpowiednie procedury reagowania, gdy coś się stanie. Np władza Francji wyłączy internet.

a gdyby tak wraży niemiecki hakier...

xpert17's picture

Sam fakt umieszczania witryn na zewnętrznych serwerach nie jest negatywny, o ile istnieją odpowiednie procedury reagowania, gdy coś się stanie. Np władza Francji wyłączy internet.

Że władza wyłączy to bym się znacznie mniej bał (w końcu w jakieś rządowe datacenter ukryte w jakimś bunkrze w Polsce też może trafić jakaś bomba) - nie chodzi o zapewnienie za wszelką cenę, żeby te serwery były zawsze online; bardziej mnie niepokoi jaką rząd ma kontrolę nad tym, czy jacyś specjaliści z DCRI czy innego BND nie wchodzą sobie do tej serwerowni OVH czy Hetznera, nie podłączają sobie do "naszego" serwera swojej klawiatury i pendrive i nie zmieniają np. treści polskich ustaw albo innych dokumentów z rządowych BIPów. Przecież wystarczy, żeby z ustawy albo z projektu ustawy zniknęło jakieś "lub czasopisma" i kryzys polityczny w kraju nad Wisłą murowany. Mając fizyczny dostęp do serwera można mnóstwo rzeczy pozmieniać bez zostawiania po sobie logów i innych tego typu śladów.

nie przeceniałbym dostępu fizycznego


Mając fizyczny dostęp do serwera można mnóstwo rzeczy pozmieniać bez zostawiania po sobie logów i innych tego typu śladów.

oczywiście dostęp fizyczny do serwera ułatwia zmianę zawartości, ale dokumenty umieszczone na nim mogą być odporne na modyfikację (podpisane cyfrowo).
znacznie groźniej wygląda publikowanie w domenie o bliżej nieznanym właścicielu (bip-e.pl) zamiast w poddomenie gov.pl.

--
pozdrawiam
i.o.

podpisane cyfrowo

xpert17's picture

dokumenty umieszczone na nim mogą być odporne na modyfikację (podpisane cyfrowo).

Tak, dokumenty mogłyby być podpisywane cyfrowo, ale przeważnie nie są. Większość rzeczy w BIP-ach administracja publikuje w PDF-ach i co za problem podmienić plik na inny? Nawet jeśli ten oryginalny miał podpis cyfrowy, to kto z użytkowników zwróci uwagę, że ten nowy nie ma?
Przykład 1 - przecież to są zwykłe pliki (niektóre Worda!). Mając fizyczny dostęp do maszyny, gdzie to stoi, mogę w ułamku sekundy np. zmienić SIWZ do przetargu i żadnych śladów to nie zostawi w Rejestrze Zmian. "Autorem" pliku pod w/w linkiem jest np. "brzozowskag".

Inne informacje w BIP-ach publikowane są zaś po prostu w treści strony (np. informacje o przetargach) i jedynym prawnym wymogiem jest aby dana strona BIPu miała podaną datę publikacji - większość BIPów to zwykłe CMS-y, które tę datę biorą sobie po prostu z bazy danych. Mając dostęp do root-a na takim serwerze można w 3 sekundy zmodyfikować wszystkie daty bez pozostawiania wyraźnych śladów (a przynajmniej takich pozwalających na identyfikację sprawcy - skoro zrobił to korzystając z klawiatury na miejscu) - Przykład 2

Nie ma tez gwarancji, że

Nie ma tez gwarancji, że tak nie zrobi firma polska. Nie ma też gwarancji, że tego nie zrobi pracownik obsługujący dany serwer... Ani że poprawka tego typu nie nastąpi gdzieś na łączach. Skoro można odwracać litery w tekście o 180 stopni, to można i zmienić treść jakiegoś wybranego dokumentu przecież.

Co prawda, jak wynika z publikacji Vagli, sądy coraz częściej odwołują się do internetowych źródeł, ale mimo wszystko źródłem prawa (w sensie dokumentu źródłowego) jest ładnie oprawiona kupka papieru zwana Dziennikiem Ustaw, a nie zbiór zer i jedynek na dysku jakiegoś serwera wyposażony w obsługę niektórych protokołów (m.in HTTP). Chyba że coś przespałem i ustawy po podpisaniu przez prezydenta lądują w niszczarce, a osobne dokumenty elektroniczne dopiero wchodzą w życie, po publikacji w sieci.
Jeśli tak jednak jest, to nasz system jest kolosem na glinianych nogach i żyje tylko dzięki dużemu kredytowi zaufania...
Swoją drogą to ciekawe, co by się stało gdyby się okazało, że akty prawne w elektronicznym DU mają nieco inną treść niż te z papierowej wersji?

firma folska

xpert17's picture

Nie ma tez gwarancji, że tak nie zrobi firma polska.

Oczywiście, że nie ma takiej gwarancji. Jakąkolwiek gwarancję tego, że te dane w BIPie są poprawne (data opublikowania, nazwisko osoby publikującej) dawałoby tylko umieszczenie serwera w rządowym, monitorowanym i strzeżonym przez służby państwowe datacenter. (Albo po prostu podpisywanie ich podpisem elektronicznym i certyfikowanym timestampem, ale to inna historia). Natomiast nawet jeśli to stoi w prywatnej firmie, która serwery trzyma na strychu w domu szwagra, to dopóki to się dzieje na terytorium Rzeczpospolitej Polskiej to mamy przynajmniej dużą szansę, że tam nie będą grzebać służby wywiadowcze innego kraju.

I oczywiście nie chodzi mi o zmodyfikowanie "prawdziwego źródła prawa", które pewnie leży na czerpanym papierze w sejfie Marszałka Sejmu i Premiera, ale chociażby zmodyfikowanie daty opublikowania dokumentu w BIP może spowodować po prostu nieważność tego prawa... albo przetargu.

zmieniają np. treści polskich ustaw

i nie zmieniają np. treści polskich ustaw albo innych dokumentów z rządowych BIPów.

Biorąc pod uwagę, że te umieszczane są z reguły w formie zeskanowanych bitmap i to jeszcze z kopii przesłanych przez fax, to myślę, że nie mamy się czego obawiać. ;)

Kto wie, czy zastanawiamy się w innych rozmowach, dlaczego tak a nie inaczej się to umieszcza, a tymczasem to może być jakaś forma zabezpieczenie przed nieautoryzowanymi zmianami. ;)

Sugerujesz, ze wywiady

Sugerujesz, ze wywiady obcych panstw nie znaja photoshopa?

zmiana a usunięcie/zablokowanie dostępu

VaGla's picture

...i nie zmieniają np. treści polskich ustaw albo innych dokumentów z rządowych BIPów...

Zmiana pewnie byłaby interesującym casusem, ale ja się raczej zastanawiam nad czymś bardziej prozaicznym, mniej "szpiegowskim". Zastanawiam się mianowicie nad backupami w sytuacji, w której ktoś postanawia usunąć po prostu całą zawartość lub nad sytuacją, w której dostęp do zewnętrznych sieci zostałby (z jakiegokolwiek powodu) zablokowany w jakimś kraju. Gdyby to było "jak w Egipcie", to pewnie dostępność BIP-u byłaby jedną z drobniejszych kwestii, którą byśmy się przejmowali. Zawsze to jednak coś, nad czym warto się zastanowić. Chyba, że wierzymy, że "rządowych zasobów nikt nie zablokuje".

Odrębną sprawą jest np. próba wstrzykiwania trojanów z takiego serwera, nad którym ktoś inny (niż polski rzad) ma kontrolę. Jak to może wyglądać opisałem w tekście Juwenalia w Wyższej Szkole Policji w Szczytnie.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Wiarygodność

Zwróciłbym uwagę na jeszcze jeden aspekt: wiarygodność.

Napisać sobie na stronie: "rządowa","ministerstwa X" itp. może technicznie rzecz biorąc każdy. Nieco trudniej jest chyba zarejestrować stronę w domenie rządowej, ale jak widać często wystarcza samo ".pl" zamiast ".gov.pl". Na przykład "sejm.pl".

Sprawdzenie wiarygodności źródła/serwisu podszywającego się pod serwis organów Państwa Polskiego w najoczywistszy sposób sprawdzić można testując KTO zarejestrował domenę i GDZIE znajduje się komputer do którego przypisano dany adres. Domena rejestrowana przez osobę prywatną i serwis poza granicami polski = podróba.

Szczerze mówiąc podobny problem wiarygodności danych dotyczy także biznesu. Tyle, że nie z każdym musisz robić interesy - z państwem musisz.

Pozdrawiam,
Tomasz Sztejka.

Nie wiem jak z Jemenem, ale

Nie wiem jak z Jemenem, ale na pewno cos jest w Elbonii. Czuje to w kosciach ;)

Brak wiedzy...

Brak wiedzy nie pozwala mi na prowadzenie proponowanych poszukiwań ale... Postanowiłem dzięki publikacji wystąpić z oficjalnym /jako redakcja/, zapytaniem o taki stan rzeczy do Centrum Informacyjnego Rządu. Chętnie upowszechnię odpowiedź.

Poszukiwania...

Do poszukiwań polecam zainstalować odpowiednie narzędzie takie jak np. dodatek Flagfox do Firefoksa - pokazuje w pasku adresu flagę kraju w którym znajduje się serwer hostujący aktualnie przeglądaną stronę.

http://www.msport.gov.pl/ -

http://www.msport.gov.pl/ - Amazon, IE
http://www.ulc.gov.pl/ - IP ex GMBH, DE
http://www.kssip.gov.pl/ - Slicehost, USA

Ministerstwo Infrastruktury…

(hłe, hłe, infrastruktury) www.mi.gov.pl we Francji…

msport.gov.pl

Ministerstwo Sportu i Turystyki wyjechało zwiedzać serwery Amazonu w Irlandii.

edit: incognitus mnie uprzedził
BTW Skąd wziąć listę urli gov.pl do sprawdzenia? Pierwsze 15 stron wyników Googla sprawdzone...

punktem startu może być lista BIPów

Na stronie głównej BIP można pobrać dane wszystkich podmiotów, które zgłosiły adresy swoich stron podmiotowych BIP - pewnie nie pokrywa się z listą domen w gov.pl, ale jest dobrym punktem startu. Dane są aktualizowane codziennie i dostępne w gzipowanym XMLu.Odnośnik do pliku znajduje się w menu głównym strony pod nazwą „Pobierz dane wszystkich podmiotów”.

piernik do wiatraka

Maciej_Szmit's picture

To, że administracja trzyma stromy za granicą dobrze świadczy o jej instynkcie samozachowawczym, podobnie jak to że jeździ samochodami zagranicznej produkcji. Już kiedyś pisałem, że rząd nie jest od produkcji samochodów, dlaczego ma być od utrzymywania stron BTW1: zdaje się, że zakup tego rodzaju usług powinien podpadać pod ustawę o zamówieniach publicznych? BTW2: o ile kojarzę rząd USA ma (a przynajmniej miał) w Europie mirror whitehouse.gov, na który były przekierowywane zapytania z Europy; to przecież jest rozsądne. Mam szczerą nadzieję (która jest jak wiadomo matką wynalazców), że nasza krajowa administracja też ma kilka mirrorów stron i jakiś system równoważenia obciążenia na poziomie DNSów.

zwykłe strony zgoda

xpert17's picture

Swoje "zwykłe" reklamowe strony rząd i inne organy niech sobie mają gdziekolwiek, nawet na republika.pl albo na Facebooku (zresztą właśnie mają bardzo licznie na Facebooku!). Natomiast BIP-y, które nie są zwykłymi "stronami www" na które można wrzucać cokolwiek bez konsekwencji, jak dla mnie również fizycznie mogą stać gdziekolwiek - byleby tylko dysponent tych treści urzędowych miał _jakąkolwiek_ kontrolę nad tymi treściami - np. żeby nie było możliwe podmienienie jednego pliku na drugi bez pozostawiania śladów możliwych do wykrycia przez zdalnego administratora w Polsce. Dostęp do gniazdka PS/2 w serwerze niestety w większości wypadków na taką podmianę pozwoli w sposób nie do wykrycia dla redaktora CMS-a.

lub czasopisma

Maciej_Szmit's picture

Lokalny admin czy redaktor BIPu też może namieszać, a w przeciwieństwie do admina z przysłowiowego Egiptu może nawet mieć ważkie powody (vide, a w zasadzie memento, topic). Rozproszenie i duplikacja zasobów zwiększa tu bezpieczeństwo, w tym możliwość namierzenia sprawcy i usunięcia problemu (przez kontrolę krzyżową spójności kopii). Gorzej jeśli w przysłowiowym Egipcie znajduje się JEDYNA kopia naszych ważnych danych.

namiesza, ale zostawi ślady

xpert17's picture

Namieszać może każdy i wszędzie, na przykład redaktor BIP-u może oszaleć i zacząć publikować tam swoje prywatne pamiętniki. Nigdy nie zrobi jednak więcej niż mu na to pozwoli CMS, a wszystkie jego działania zostaną w logach aplikacji, a nawet dodatkowo jeszcze w publicznie dostępnym rejestrze zmian. Administrator z dostępem do roota może zaś pozmieniać te logi, ręcznie pozmieniać wpisy w bazie danych, ręcznie popodmieniać PDF-y i jak jest sprytny to zostawi po sobie niewiele śladów. Pewnych operacji dokonywanych przez administratora nie można w żaden inny sposób wyśledzić niż tylko fizycznie badając dysk twardy serwera. Jeśli serwer stoi w Polsce, na wniosek uprawnionych organów można to zrobić i mój szanowny przedmówca będzie miał na chlebek z masełkiem. Jeśli serwer stoi w Indonezji, może być z tym dość trudno.

Kluczową sprawą moim zdaniem w tym temacie nie jest to, że pewne dane mają być udostępniane przez rząd jak najszerzej albo nie mogą zniknąć - tylko to, że ze swojej natury istotnymi dla obywateli informacjami zawartymi w BIP są także te dotyczące - kiedy dana informacja została opublikowana, przez kogo, czy była zmieniana i kiedy itp. itd. Obywatel jedyne co widzi jak wchodzi na stronę np. Majątek RCL - to zwykły tekst w HTMLu "01.07.2010, 14:49 Artur Orłowski modyfikacja" - i musi wierzyć, że faktycznie ta strona była zmieniana nie później niż 1 lipca. Każdy przeciętnie zorientowany użytkownik komputera, mając dostęp do roota tego serwera WWW na którym ten BIP stoi, mógłby w krótkim czasie, w sposób absolutnie nie do wykrycia dla redaktorów BIPu pracujących w Al. Szucha, zmienić tę datę 01.07.2010 na dajmy na to - 01.06.2010, albo "Artur Orłowski" na "Miś Paddington". Ta akurat zmiana byłaby bezbolesna, ale łatwo sobie wyobrazić taką, którą sprowokowałaby kryzys polityczny albo naraziła Skarb Państwa na straty. W sytuacji, kiedy nie ma prawnej możliwości zbadania tego serwera, uzyskania logów, odtworzenia skasowanych na dysku plików itp. - stawia to pod znakiem zapytania w ogóle sens istnienia BIP-ów w kształcie określonym przez rozporządzenie MSWiA z dnia 18 stycznia 2007 r.

Bardzo możliwe, że właśnie tak naprawdę problemem nie jest to, gdzie stoi serwer i ilu strażników na niego patrzy, tylko czy rozporządzenie o BIP-ach (i np. rozporządzenie w sprawie minimalnych wymagań dla systemów teleinformatycznych) rzeczywiście ma sens i cokolwiek obywatelom gwarantuje (np. dostęp do informacji publicznej).

kto będzie pilnował szeryfa

Maciej_Szmit's picture

Niby zgoda, ale co komu po zabezpieczeniach serwera www jeśli oszaleje dajmy na administrator DNSa. Można zrobić taki śliczny defacement... Żeby porządnie zabezpieczyć infrastrukturę krytyczną trzeba mnóstwa mechanizmów ochrony, co do których najczęściej (no może poza niektórymi bankami ale niektórymi...) mało kto ma pojęcie i ochotę na ich wdrożenie (ech, te nieco ponad sto polskich firm z ISO/IEC 27001...), IMHO nie ma co się czepiać akurat jednego. Pewnie musimy poczekać aż BIP stanie się oficjalnym źródłem prawa, potem się przytrafi jakaś spektakularna wpadka, a na koniec wyjdzie rozporządzenie MSWiA, że obowizująca jest wersja BIPu nagrana na DVD, którą można kupić w siedzibie ministerstwa.
Dopiszę jeszcze, że widziałem jak się administruje serwerami w niektórych urzędach w Warszawie (więcej nie powiem) i na prawdę znacznie bezpieczniej byłoby wywieźć je jak najdalej od tamtejszych administratorów (a w zasadzie od tych, którzy administratorów zmuszają do pracy w takim trybie i na takich warunkach)

bias

Ja myślę, że trzeba wyeliminować ten "bias" w zamówieniach publicznych konstruowania ich w języku polskim, tylko dawać po angielsku i dać zarobić Bangladeszczykom.

Myślę, że warto poprosić

Myślę, że warto poprosić o komentarz CERT.GOV.PL.

gdzie leży Polska

Zamiast tak czytelników nasyłać na poszukiwania scrapuje się domeny .gov.pl z Google'a - site:gov.pl jakimś nokogiri, obrabia Addressable::URI, a potem jedzie po nich geoiplookupem (pod Ubuntu pakiet geoip-bin czy coś podobnego albo CPANowy moduł Geo::IP). 20 minut roboty, ale idea nie ma dla mnie większego sensu, żeby ją tak za darmo wdrażać. :> Bo na mikropłatności nie ma co liczyć. ;>>

Lokalizacja geograficzna

kravietz's picture

Lokalizacja geograficzna powinna mieć minimalne znacznie. Zamawiający podpisuje z dostawcą umowę na udostępnianie dokumentów w Internecie i określa parametry usługi a nie położenie geograficzne plików. Np. dostępność 99,99% czasu w roku z przepustowością X Mbps lub coś w tym stylu.

Jeśli usługa nie jest świadczona na wymaganym poziomie to się pozywa usługodawcę, więc wygodnie by był on zarejestrowany przynajmniej w UE a właściwość sądu była w umowie określona tam, gdzie jest usługobiorca.

Teza że zagraniczny admin może modyfikować SIWZy, a miejscowy - nie może, jest śmieszna. Kwestia autentyczności dokumentów w ogóle nie ma żadnego związku z usługodawcą. Zapewnienie autentyczności pozostaje w wyłącznej gestii autora dokumentu a nie jakiegoś tam administratora serwera.

Dodam tylko, że w opublikowanym w 2008 roku badaniu robionym na zlecenie MSWiA wśród urzędów drugą najczęściej wymienianą przeszkodą dla informatyzacji był brak jednolitego standardu wymiany dokumentów elektronicznych. Publikacja ta była rozdawana na konferencjach, myślę że ustawodawca używa jej głównie do podpierania kiwających się biurek :)

Gdyby polskie urzędy chciały dowiedzieć się czegoś pożytecznego na temat udostępniania dużych ilości dokumentów w Internecie to najlepiej żeby zrobiły konferencję i zaprosiły przedstawicieli podmiotów, które wyprzedziły ją w tym względzie o lata świetlne - Fotka.pl, Allegro itd.

Może wtedy ZUS przestałby udostępniać Płatnika na jednym, przywisającym bezustannie serwerze, doprowadzający tym samym tysiące użytkowników do szewskiej pasji przy okazji każdej nowej wersji :)

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

Art. 8 KPA :)

Organy administracji publicznej obowiązane są prowadzić postępowanie w taki sposób, aby pogłębiać zaufanie obywateli do organów Państwa oraz świadomość i kulturę prawną obywateli.

no właśnie to nie ta usługa

xpert17's picture

Zamawiający podpisuje z dostawcą umowę na udostępnianie dokumentów w Internecie i określa parametry usługi

Jeśli usługą jest "udostępnianie dokumentów w Internecie" to pełna zgoda. Problem w tym, że nie o tę usługę chodzi. Chodzi o usługę, która się nazywa BIP. Jest to usługa oparta o WWW i protokół http, ale strony muszą być wyposażone w mechanizm dziennika, w którym odnotowywane są zmiany w treści informacji publicznych udostępnianych w BIP oraz próby dokonywania takich zmian przez osoby nieuprawnione.. Te dzienniki prowadzone są w sposób automatyczny. i są kontrolowane w każdy dzień powszedni.

I dalej: Strony BIP ochrania się przez moduł bezpieczeństwa - programowe lub sprzętowoprogramowe rozwiązanie techniczne uniemożliwiające zniszczenie lub modyfikację informacji publicznych zawartych w BIP przez osoby nieuprawnione..

Informacje zgromadzone w bazie danych stron BIP kopiuje się na odrębne informatyczne nośniki informacji nie później niż dobę po zaistnieniu zmiany treści tych informacji.

Strony BIP zawierają rozwiązania chroniące przed celowym spowolnieniem lub uniemożliwieniem dostępu do zasobów tych stron.

Oczywiście wszystko to może zapewnić firma komercyjna, ale czy przypadkiem ABW lub inna służba nie powinna sprawdzić, czy faktycznie ta firma dostarczyła ministerstwu produkt zawierający "moduł bezpieczeństwa - programowe lub sprzętowoprogramowe rozwiązanie techniczne uniemożliwiające zniszczenie lub modyfikację informacji publicznych zawartych w BIP przez osoby nieuprawnione"?

Jeśli Ministerstwo zamawia opancerzone limuzyny w zupełnie niepolskiej firmie Bayerische Motoren Werke, to - przepraszam - przed ich odbiorem ABW czy BOR nie robią im przypadkiem "audytu bezpieczeństwa"? Tak po prostu wszyscy wierzą, że na pewno producent zrobił wszystko zgodnie z zamówieniem?

Tak samo powinno być z BIP-em, zwłaszcza BIP-em np. RCL-u (bo BIP niepublicznego ZOZ-u w Koziej Wólce mnie jako obywatela mniej interesuje). Czy jakaś służba sprawdzała jak zabezpieczony jest serwer stojący w serwerowni OVH we Francji?

Przyznam, że ustawodawca

kravietz's picture

Przyznam, że ustawodawca trochę tutaj popłynął w krainę fantazji. Jak pisze o "rozwiązaniach chroniących przez celowym spowolnieniem" to nie jest możliwe wbudowanie takiego zabezpieczenia w sam BIP (taka jest natura ataków DDoS), więc ustawodawca sankcjonuje fikcję. Jak pisze o robieniu backupów raz na dobę, to szkoda jeszcze nie określił, że mają to być tasiemki LTO4 w pudełkach koloru zielonego. Po co właściwie pisać o jakimś "sprzętowoprogramowym rozwiązaniu technicznym" (to sformułowanie to w ogóle arcydzieło polskiej sztuki legislacyjnej), skoro wystarczyłaby w zupełności druga połowa tego zdania?

Może się czepiam, ale wygląda to tak jakby autor rozporządzenia opisał z natury ("że dom... że Stasiek... że koń... że drzewo...") co w swoim BIPie robi jakiś lokalny guru, wyciął z tego nazwy firm i przerobił na rozporządzenie. I cała Polska musi w związku z tym kupić "sprzętowoprogramowe rozwiązanie techniczne" oraz "zabezpieczenie przed celowym spowolnieniem", które musi być "zawarte w stronie BIP", co samo w sobie jest już oksymoronem.

Tymczasem całą tę litanię pobożnych życzeń początkującego informatyka możnaby skompresować właśnie do kilku wymagań względem poziomu świadczonej usługi (SLA - Service Level Agreement).

Żadną przeszkodą nie jest też testowanie zdalnego serwera - po prostu daje się specom z ABW dostęp po SSH czy czymkolwiek innym i mogą sobie sprawdzić serwer niezależnie od jego lokalizacji. Mam nadzieję, że obecnie testy BIP nie polegają na tym, że jedzie wycieczka do Siemiatycz a potem pół dnia patrzą na serwer :)

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

a kto sprawdził niemieckie opony?

xpert17's picture

Jeśli Ministerstwo zamawia opancerzone limuzyny w zupełnie niepolskiej firmie Bayerische Motoren Werke, to - przepraszam - przed ich odbiorem ABW czy BOR nie robią im przypadkiem "audytu bezpieczeństwa"? Tak po prostu wszyscy wierzą, że na pewno producent zrobił wszystko zgodnie z zamówieniem?

No i proszę. Opony sprawdzili?

Dostęp do haseł.

Twoje teoretyczne rozważania nie mają wielkiego sensu. Myślę, że chociaż można sobie wyobrazić, że pogotowie ratunkowe będzie korzystało z centrali telefonicznej w Niemczech, to chyba lepszym pomysłem jest aby centrala owa była lokalnie i to niezależnie od tego jak bardzo wysokie wartości dostępności Niemcy nam obiecają w umowie. Jest takie powiedzenie świetnie sprawdzające się w outsourcingu: "Nikt Wam tyle nie da ile ja Wam mogę obiecać". Niniejszym proponuję zatem zejście na ziemie i nie wypowiadanie się w kwestiach o których masz gazetowe informacje i zerowe pojęcie. Decyzje o tego typu zagadnieniach należy podejmować w oparciu o znane techniki analizy ryzyka a nie o fantastykę liberalno-ekonomiczną... Uwagi że: "lokalizacja geograficzna powinna mieć minimalne znaczenie" sprawdzają się może w powieściach Neila Gaimanana ale profesjonalista decydując o tym bierze pod uwagę nie tyle literaturę SF, ale obiektywne miary bezpieczeństwa w tym - odległość do datacenter, łatwość komunikacji z obsługą, jego ogólną dostępność itp. Z nagłówków gazet znane są, o czym chyba nie wiesz, fakty że np. umowy o przechowywanie danych w chmurze nie zawierają ani zapisów o kontrolowanym usuwaniu tych danych ani o prawidłowym wykonywaniu kopii zapasowych. Czyli hostując dane w chmurze Amazona _nie mamy żadnej polityk retencji danych_ . Czy to dobrze? A może rząd podpisał dedykowany kontrakt z Amazonem na wyłącznych zasadach? Ktoś o tym słyszał?

Dla Twojej informacji:
http://www.appleinsider.com/articles/09/10/11/microsofts_danger_sidekick_data_loss_casts_dark_on_cloud_computing.html
http://www.appleinsider.com/articles/09/11/25/palm_pre_users_suffer_cloud_computing_data_loss.html
http://www.infopackets.com/news/technology/mobile/2009/20091012_sidekick_cloud_computing_data_lost_ms_to_blame.htm
http://newsblogs.chicagotribune.com/burns-on-business/2009/10/cloud-computing-takes-hit-in-sidekick-data-loss.html
http://newsblogs.chicagotribune.com/burns-on-business/2009/10/cloud-computing-takes-hit-in-sidekick-data-loss.html

Generalnie dla ludzi śledzących choćby pobieżnie tematy związane z bezpieczeństwem jest to dosyć banalna wiedza.

Natomiast obok problemów zgłaszanych przez pozostałych uczestników dyskusji ja chciałbym zwrócić uwagę na następujący: administrator na ten serwer się loguje Podaje zatem konto i hasło. Być może używa jakiegoś rodzaju tokenu. W każdej z tych sytuacji zachodzi _duże_ prawdopodobieństwo że to samo hasło jest używane także w innych systemach niezależnych od owego "BIP". Jest to niestety ale powszechny nawyk ludzkiej niechlujności i zdarza się w Pentagonach, KGB i Wojsku Polskim i Procter&Gamble, dlaczego nie w administracji państwowej? Co prawda można z nim walczyć ale nie da się go wyeliminować. Obok zatem całkiem realnej możliwości _precyzyjnego_ podłożenia trojana ( o czym ktoś wspomniał ) istnieje równie realna możliwość że hasła z tych systemów BIP są rejestrowane przez jakieś służby i następnie używane w interakcji z innymi danymi, jak choćby zaszyfrowane dokumenty dyplomatyczne. O ile hasła mogą być rożne może być także tak że daje to możliwość np. poznania metody generacji haseł, nazw użytkowników itp. Jest to po prostu jakiś punkt podparcia w procedurze _rozszerzania wpływu_ będącej podstawa wszelkich ataków cyfrowych. Tym samym ten może niezbyt "medialny" ale bardzo praktyczny aspekt sprawy nie jest wcale błachy. Co więcej jeśli systemy publikacji BIP mają być jakoś zintegrowane z systemami workflow dotyczącymi decyzyjności to jakaś cześć połączeń do backendów tych serwerów dotyczy kont używanych przez oprogramowanie a nie ludzi. A tam ryzyko użycia typowych haseł jest jeszcze większe! Rozmaite konta testowe znajdowane sa nawet w systemach wysokiego bezpieczeństwa jak routery niektóre Cisco z wysokiej półki. Nie spodziewam się aby produkty zamawiane przez rząd były wolne od tego typu elementów. Na koniec, jeśli posiada sie informację,że ta sama firma tworzyła BIP na serwerze we Francji i system obiegu dokumentów w Polsce, to badając kod serwera we Francji można z dużą dozą prawdopodobieństwa ocenić i wymierzyć budowę oprogramowania w Polsce. Można np. poznać złe nawyki programisty, poznać używane przez niego biblioteki, wady w implementacji kluczowych podsystemów itp. To daje jakąś tam wiedzę pozwalająca w efekcie wpływać na systemy które nie sa już hostowane za granica. Pytanie tylko na ile systemy blache z punktu widzenia bezpieczeństwa państwa ( jak owe BIP) i systemy ważniejsze współdzielą np. pewne decyzje projektowe. Wydaje się,zenie ma żadnych mechanizmów prawnych które takiej sytuacji by przeciwdziałały.

W tym serwisie

VaGla's picture

W tym serwisie odnosimy się do problemu (najczęściej prawnego), nie zaś do adwersarza. Proszę się zatem powstrzymać się przed propozycjami "zejścia na ziemie i nie wypowiadania się w kwestiach o których masz gazetowe informacje i zerowe pojęcie" i podobnymi wycieczkami. Oczywiście zachowanie zasad rzetelnej dyskusji może komentatora uchronić przed strzałem "w płot", zwłaszcza - jak w tym przypadku.

Kravtza proszę zaś o niereagowanie na zaczepkę.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Nie pogodzisz dwóch odrębnych światów.

Szanowny Kazek.

Mam cichą nadzieję, że mój wpis nie zostanie usunięty, pomimo że jest skierowany do konkretnej osoby. Dawno tu nie pisałem :-).
Wracając jednak do meritum. Bez względu na to jak ogromną masz wiedzę techniczną, nigdy nie znajdziesz zrozumienia wśród grona prawników. Choć logika to nauka ściśle unormowana i oparta na matematyce zero-jedynkowej, to logika systemów informatycznych nijak nie przystaje do logiki zdań w systemach prawnych rozpatrywanych pod kątem wygody użytkowej interpretowanego przepisu. To jest podstawową przyczyną nieporozumień między prawnikami a reprezentantami obszarów IT. Kiedyś ja także, również tutaj, usiłowałem pokazać, że regulacje lub rozwiązania prawne przy niepełnej znajomości ograniczeń systemów informatycznych, bardzo często prowadzą do rozwiązań, które nie mają z bezpieczeństwem nic wspólnego. Ludzie już tak są skonstruowani, że jak czegoś nie widać, to tego nie ma. I takimi kryteriami posługują się wszyscy decydenci, co widać po rozbieżności interpretacyjnej tego samego aktu prawnego. Swoboda interpretacji aktów prawnych oraz całkowity brak kontroli realizacji zapisów prawa, tylko potęguje ogólne lekceważenie całości obowiązującego prawa. Bo gdyby czytano obowiązujący przepis i łączono go z innymi obowiązującymi przepisami, to przykłady opisywane w tym temacie nie miałyby miejsca. Także te związane z tym "podpieraniem chwiejących się biurek, raportem o niezgodności formatów eDokumentów". Kiedyś tu, podałem przykład rozwiązania problemu jaki przyjęli Norwegowie celem unormowania formatów eDokumnetów. Jak do tej pory nic nie zmieniło się w mentalności polskich urzędników, to szkoda o tym pisać.
Obecnie przyjąłem zasadę, że od wykładni prawa są prawnicy. Jak zdecydują tak będzie. Czy źle czy dobrze, to nie mój problem. Nie warto na siłę bronić przed błędem kogoś kto wie lepiej!
Nadeszły na szczęście czasy gdy coraz więcej jest aktów prawnych regulujących przetwarzanie informacji. Piony informatyczne zaś, nie są pionami decyzyjnymi o organizacji funkcjonowania urzędu czy instytucji publicznej. Jedyne o czym mogą decydować i powinny to tylko to, jaki rodzaj topologii łączy (Wi-Fi, UTP 5, Światłowód) ma być położony w jednostce, jakiej mocy muszą być serwery i jednostki biurkowe aby sprostać wymaganiom planowanej do zakupu aplikacji, tudzież jakiego producenta ma być program realizujący wskazane zadania.
Od tego czy i ile kont pocztowych ma mieć urząd, czy ma funkcjonować jedna kancelaria czy system rozproszonych punktów kancelaryjnych albo czy strona lub pisma mają być na własnym serwerze czy w chmurze Amazon, są osoby których zadaniem jest określić i wdrożyć obowiązujący stan prawny.
Dlatego proponuję ewidentnie rozdzielić zakresy odpowiedzialności za wdrożenia. Osobno zakres organizacyjny i osobno zakres techniczny. Nie będzie spięć, zadrażnień czy osobistych odniesień. Decyzja wdrożenia określonego rozwiązania musi być zlecona na piśmie i po sprawie. Odpowiedzialność za wdrożenie, a raczej za jego postać spoczywa na zleceniodawcy. Zgodnie z obowiązującym prawem, to już nie mój problem, że coś nie przystaje do obowiązującego prawa.

Pozdrawiam

Przepraszam za "napad"

Przepraszam za wpis nazbyt emocjonalny i ad personam ale działa na mnie jak płachta na byka kiedy osoba mająca w stopce "Bezpieczeństwo IT" wyraża opinie "Lokalizacja geograficzna powinna mieć minimalne znaczenie". Ciekawe czy ów ekspert zaleciłby umieścić serwery z zarządzeniami zarządu Procter&Gamble w Chinach i z jakim spotkałby się odzewem. Prywatne opinie tego pana są jego sprawą i warte sa przedyskutowania jak każde inne. Sugerowanie ich związku z "profesjonalną wiedzą dotyczącą bezpieczeństwa IT" jest pozbawione jednak, w mojej opinii, merytorycznych podstaw.

Flagfox pokazuje mi, że

Flagfox pokazuje mi, że Canada "trzyma" Krajową Radę Sądownictwa.

Rządowe cięcia kosztów?

Na Tajwanie raczej nie znajdziesz. Ktoś z działu IT pomyślał o cięciu kosztów i skorzystał z tańszych hostingów niż w Polsce (np. OVH czy Hetzner).
Mnie o tyle dziwi sytuacja, że "łącza z Europą" nie są za stabilne i nieraz np. jakaś strona z OVH ma kilka minut przerwy chociaż Włochom strony działają - mówiąc bardzo prosto.
Cięcia nie cięcia takie rzeczy powinny być w polskich serwerowniach.

no i proszę

xpert17's picture

Życie dopisało komentarz do tej dyskusji:

Atak na częstochowski sąd

Smaczne cytaty:

  • "Witryna internetowa Sądu Okręgowego w Częstochowie na kilka godzin padła ofiarą ataku hakerów, którzy na internetowej stronie sądu podmienili stronę Biuletyny Informacji Publicznej"
  • "Serwer, na którym znajduje się strona biuletynu należy do zewnętrznej firmy. Dlatego my nie będziemy składać żadnego zawiadomienia o ataku hakerów - mówi Bogusław Zając, rzecznik Sądu Okręgowego w Częstochowie."

serwery w Rosji?

xpert17's picture

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>