Debata IT Reseller Business Club – Cyberbezpieczeństwo Polski (cz. 2 z 4): Jeśli ma być „wygodnie” to nie będzie „bezpiecznie”
- Tomasz Stępski, prezes Sinersio Polska Sp. z o.o.,
- Łukasz Czechowski, dyrektor biura informatyki w PPUC Envelo, lider biznesowy 10. strumienia rządowego programu „Od papierowej do cyfrowej Polski”.
- Piotr Kupczyk, dyrektor ds. komunikacji w Kaspersky Lab Polska.
- Krzysztof Polak, redaktor naczelny IT Reseller
Czy powinniśmy ograniczać się wyłącznie do takich rozwiązań nad którymi mamy pełną kontrolę?
Czechowski: Dane przysyłane z firm w Jednolitym Pliku Kontrolnym (JPK) do resortu finansów wysyłane są do chmury Microsoftu Azure. Transfer jest szyfrowany, ale można sobie wyobrazić, że z powodu nieprzewidzianych okoliczności Microsoft odcina konto resortu finansów…
Bezpieczeństwo własnymi siłami
Stępski: To jest przykład uzależnienia polskiej gospodarki od zagranicznych dostawców. Tymczasem jak Polska ma swoją mennicę tak powinna mieć własne zasoby, z których korzysta do przechowywania danych o gospodarce. Jednolity Plik Kontrolny, nawet jeśli jest zaszyfrowany niesie w sobie informacje dotyczące operacji gospodarczych przedsiębiorstw. Od 2018 r. JPK będą przesyłać wszyscy przedsiębiorcy w Polsce. Wtedy de facto wiedza o stanie gospodarki będzie „wepchnięta” do obcego systemu. Należy też pamiętać, że JPK jest zaszyfrowany technologiami dostarczonymi przez dostawcę spoza polskiej jurysdykcją.
Czechowski: Resort finansów ma własne, duże centrum przetwarzania danych w Radomiu. Teoretycznie, po przeprowadzeniu wstępnych działań adaptacyjnych, dane z JPK można byłoby tam składować. Zdaje się, że po prostu wygodniej było skorzystać z oferty Azure, bo ta chmura była już gotowa do obsłużenia transferu danych JPK, bez dodatkowych warunków.
Stępski: Przedsiębiorcy zrzeszeni w Stowarzyszeniu Polskich Ośrodków Przetwarzania Danych działają na terenie Polski i również są gotowi obsłużyć transfery danych z resortu finansów, ale wygodniej było wybrać usługi Azure. Musimy jednak pamiętać, że „wygodniej” niekoniecznie oznacza „bezpieczniej”. Należałoby właściwie przyjąć za dogmat, że albo „bezpiecznie” albo „wygodnie”. Niemożliwe jest połączenie obu tych elementów.
Czechowski: Posiłkowanie się zasobami pozostającymi w polskich rękach prywatnych to patriotyzm gospodarczy. Jednak nie po to resort finansów wydał ponad 300 mln zł na projekt Konsolidacja i centralizacja systemów celnych oraz podatkowych i wybudowanie ośrodka w Radomiu, by teraz JPK transferować zagranicę. Decyzja o transferowaniu JPK do Azure nie jest do końca zrozumiała zwłaszcza, że ośrodek radomski ma swoje centrum zapasowe. Poza tym – do roli centrum zapasowego – państwo może zadysponować inne, nieźle wyposażone serwerownie, np. w NBP i samym ministerstwie finansów.
Stępski: W urzędniczej poprawności każdy projekt informatyczny należy wykonać możliwie najtaniej. Tak więc urzędnicy odpowiedzialni na transfer JPK do Azure się obronią wskazując na to, że ponieśli niskie koszty i otrzymali gotowe narzędzia. Mocnym argumentem jest też szyfrowanie transferu do Azure kluczem prywatnym, ale dokonuje się ono przy wykorzystaniu sprzętu HSM (Hardware Security Module), co do którego znów nie mamy całkowitej pewności, że działa zgodnie z deklaracją dostawcy. Silni w Europie – Niemcy i Francja posiadają rozwiązania, zgodnie z którymi dane należy przechowywać w kraju macierzystym, a ogromni dostawcy usług chmurowych odpowiadają w przypadku sporu przed sądem w tych krajach, a nie w USA.
Kupczyk: Niebezpiecznym trendem są wycieki danych i to nie tylko z firm, ale i organizacji rządowych. Przykładem roku 2017 jest wyciek pakietu exploitów (szkodliwych narzędzi wykorzystujących luki w zabezpieczeniach systemów i aplikacji), przygotowanych przez amerykańską NSA, który został ujawniony przez grupę Shadow Brokers. Te same szkodliwe narzędzia zostały niedługo po tym wykorzystane przez cyberprzestępców w głośnych atakach WannaCry oraz ExPetr.
Co o Strategii uważają wyspecjalizowani dostawcy zabezpieczeń?
Kupczyk: Cyberbezpieczeństwo to bardzo obszerny koncept, który zdecydowanie przekracza zakres aplikacyjnych zabezpieczeń. Te są bardzo ważne, ale są rzeczy co najmniej równie ważne, np. infrastruktura krytyczna, dostęp do szerokopasmowego Internetu, itd. Potrzebne jest nawiązanie współpracy między twórcami rządowej strategii i ludźmi zaangażowanymi w jej realizację z najlepszymi specjalistami na rynku, którzy na co dzień przeciwdziałają cyberprzestępcom i hakerom. Kooperacja podmiotów publicznych z wyspecjalizowanymi podmiotami prywatnymi jest tu niezbędna.
Edukacja i współpraca
Kupczyk: Kaspersky Lab ma ponad 20 lat doświadczenia działalności na rynku bezpieczeństwa IT i znamy na wylot współczesne zagrożenia. Obecnie identyfikujemy ponad 320 tys. szkodliwych programów każdego dnia. Jesteśmy przekonani, że nie sposób od zera zbudować arsenału dla ochrony cyberprzestrzeni bez skorzystania z specjalistycznej wiedzy. Dysponujemy 5 PB (czyli 5 mln GB) danych i informacji odzwierciedlających ewolucję cyberzagrożeń. Jesteśmy gotowi dzielić się wiedzą i doświadczeniem.
Na co dzień obserwujemy i analizujemy działania ponad stu organizacji cyberprzestępczych, które penetrują globalną sieć i posługują się wieloma językami. Część z nich prowadzi swoje cyberprzestępcze akcje w Polsce. Trudno realizować wiarygodną strategię bezpieczeństwa w cyberprzestrzeni bez odwołania się do doświadczeń i wiedzy dostawców zabezpieczeń.
Bez tej współpracy nie sposób realizować Strategii?
Kupczyk: Cyberprzestępcy współpracują ze sobą, wymieniają między sobą informacje i prowadzą niekiedy wspólne działania, by maksymalizować, z korzyścią dla siebie, wyniki przestępczego procederu. A policja niekoniecznie szuka sojuszników, by tym skuteczniej im przeciwdziałać.
Kaspersky Lab współpracuje zarówno z Europolem jak i Interpolem, a także z organami policji w poszczególnych krajach. W 2016 r. daliśmy początek inicjatywie „No More Ransome” dzięki którym zainteresowani mają dostęp do darmowych narzędzi umożliwiających neutralizację szkodników szyfrujących zasoby danych i żądających okupu. Wraz z Interpolem, policją holenderską i McAffee stworzyliśmy akcję, w której obecnie bierze udział już ponad stu partnerów, w tym polska policja i CERT. Jest to dowód, że można nawiązać współpracę wymierzoną w cyberprzestępczy proceder. Do dziś ponad 28 tys. maszyn zostało deszyfrowanych dzięki bezpłatnym narzędziom udostępnianym w tej akcji.
Kaspersky Lab angażuje się też na rzecz ochrony infrastruktury krytycznej i przemysłu. W 2016 r. zorganizowaliśmy w Warszawie konferencję na ten temat. Uzmysłowiła ona uczestnikom, że cyberbezpieczeństwo to efekt integracji wielu różnych czynników. Wśród nich szczególnie ważnym jest wyedukowanie i wyposażenie w odpowiednie umiejętności każdego, kto ma dostęp do cyberprzestrzeni.
Stępski: Z cyberprzestępcą jest o tyle trudno, że może pracować w Chinach, a realizować hakerskie akcje w Hiszpanii. Powstaje trudność: gdzie on łamie prawo i kto ma go ścigać z tego powodu? A jeśli będzie popełniał przestępstwo z terenu eksterytorialnego?
Kupczyk: To typowa trudność w ściganiu cyberprzestępcy, który choć np. pochodzi z Chin to potrafi maskować miejsce swojego rzeczywistego pobytu, albo pozostawiać organom ścigania fałszywe tropy sugerujące, że pochodzi z Australii.