Czy nie zaaresztują nas za wejście na stronę MSWiA?

21-04-2009, 18:48

- pytał w komentarzach jeden z Czytelników na wieść o powstaniu rządowego programu ochrony cyberprzestrzeni RP. Dziennik Internautów zapytał w Ministerstwie Spraw Wewnętrznych i Administracji (MSWiA), skąd pomysł na powstanie takiego programu i w jaki sposób sprawi on, że będziemy czuć się w sieci bezpieczniej.

Dziennik Internautów: Skąd pomysł na stworzenie rządowego programu ochrony cyberprzestrzeni RP?

Wioletta Paprocka, Rzecznik Prasowy MSWiA: Przyjęty przez Komitet Stały Rady Ministrów dokument „Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011 – założenia” stanowi przewodnie opracowanie dla szczegółowych strategii zadaniowych w tym obszarze. Zauważyć należy, iż dynamicznie zmieniająca się sytuacja, jeśli chodzi o zagrożenia płynące czy to z internetu poprzez np. złośliwe oprogramowanie, czy też działania skierowane bezpośrednio przeciw infrastrukturze teleinformatycznej, czego typowym przykładem są ataki socjotechniczne, spowodowała powstanie dedykowanej grupy specjalistów do przeciwdziałania tym zagrożeniom.

DI: W jakim celu powołano zespół cert.gov.pl?

WP: Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL został powołany w dniu 1 lutego 2008 roku na podstawie uzgodnień pomiędzy Ministrem Spraw Wewnętrznych i Administracji, a Szefem Agencji Bezpieczeństwa Wewnętrznego, w strukturach ABW. Podstawowym zadaniem zespołu jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami, ze szczególnym uwzględnieniem ataków ukierunkowanych na infrastrukturę obejmującą systemy i sieci teleinformatyczne, których zniszczenie lub zakłócenie może stanowić zagrożenie dla życia, zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa. Zespół CERT.GOV.PL funkcjonuje w ramach Departamentu Bezpieczeństwa Teleinformatycznego ABW.

DI: Jakie są zadania tego zespołu?

WP: Do zakresu świadczonych przez CERT.GOV.PL usług należy: koordynacja reagowania na incydenty, publikacja alertów i ostrzeżeń, obsługa i analiza incydentów (w tym gromadzenie dowodów realizowane przez zespół biegłych sądowych), publikacja powiadomień (biuletynów zabezpieczeń), koordynacja reagowania na luki w zabezpieczeniach, obsługa zdarzeń w sieciach objętych ochroną przez system ARAKIS-GOV, przeprowadzanie testów bezpieczeństwa. Szczegółowe informacje na temat funkcjonowania zespołu są dostępne w serwisie.

DI: W zapisach omawianego projektu czytamy: "Należy dążyć do takich rozwiązań systemowych, które zwiększą pozytywne konsekwencje outsourcingu jednocześnie minimalizując potencjalne konsekwencje negatywne". Co to oznacza w praktyce?

WP: Należy tu wspomnieć o zmniejszeniu kosztów utrzymania usług i serwisów ponoszonych przez administrację publiczną, które mogą być z powodzeniem utrzymywane przez wyspecjalizowane podmioty komercyjne (np. serwery WWW, serwery e-mail, serwery DNS). Z kolei poprzez minimalizację potencjalnych konsekwencji negatywnych należy rozumieć wypracowanie minimalnych wymagań dotyczących bezpieczeństwa, które muszą zostać spełnione przez podmioty komercyjne ubiegające się o świadczenie usług na rzecz instytucji administracji publicznej i/lub pomiotów należących do krytycznej infrastruktury państwa. Obecnie zdarza się często, iż jedynym kryterium wyboru dostawcy usług jest proponowana cena, co może skutkować nieodpowiednim poziomem zabezpieczeń dla oferowanych usług.

DI: Co oznacza zapis: "Brak Systemu może spowodować niekontrolowane (nieświadome) działania obywateli, których skutki mogą być znacznie większe od pierwotnych, powstałych w wyniku ataku na cyberprzestrzeń"? Chodzi nam szczególnie o podejście rządu do wszelkich działań zewnętrznych, w których można upatrywać potencjalnego zagrożenia dla bezpieczeństwa.

WP: Jeśli chodzi o skutki działań obywateli, to należy pamiętać, iż typowy użytkownik internetu nie zdaje sobie sprawy z potencjalnych zagrożeń, które może napotkać. O ile obywatel wie, jak się zachować w przypadku pożaru czy odkrycia kradzieży, to w większości przypadków nie wie, co począć, gdy padnie ofiarą cyberprzestępczości czy nawet cyberterroryzmu. Co więcej, najczęściej obywatel nie wie, jak zabezpieczyć się przed tego rodzaju wrogimi działaniami. I dlatego położono duży nacisk na część edukacyjną z zaznaczeniem, iż nie chodzi tu jedynie o naukę w szkołach, ale także podnoszenie świadomości o zagrożeniach w całym społeczeństwie informacyjnym.

DI: Przy okazji rządowego programu ochrony cyberprzestrzeni RP wspomina się także o planowanej współpracy z producentami sprzętu i oprogramowania. Jakie firmy są brane pod uwagę?

WP: Ważnymi partnerami dla jednostek rządowych i innych podmiotów odpowiedzialnych za bezpieczeństwo teleinformatyczne w działaniach zmierzających do zwiększenia bezpieczeństwa w cyberprzestrzeni są producenci sprzętu i oprogramowania. Dobrym przykładem udanej współpracy w tym zakresie z partnerem komercyjnym mogą być doświadczenia z kilkuletniej współpracy z firmą Microsoft w ramach Rządowego Programu Bezpieczeństwa (GSP - Government Security Program) oraz Programu Współpracy w Zakresie Bezpieczeństwa (SCP - Security Cooperation Program).

DI: Na czym mają polegać te programy współpracy?

WP: Microsoft Security Cooperation Program ma na celu pomoc instytucjom publicznym w zabezpieczeniu krytycznej dla działania państw infrastruktury m.in. poprzez długofalowe działania obejmujące wczesne ostrzeganie, zalecenia, pomoc techniczną, możliwość prowadzenia konsultacji z ekspertami, a także dostęp do poradników i szkoleń specjalistycznych. Z kolei Microsoft Government Security Program oferuje dostęp do kodów źródłowych wybranych produktów Microsoftu.

Warto zaznaczyć, że wymiana doświadczeń i oczekiwań, stanowić będzie jeden z ważniejszych czynników mających duży wpływ zarówno na system edukacji społecznej i specjalistycznej oraz na jakość tworzonych systemów.

DI: Dziękujemy za wyjaśnienia.


Źródło: DI24.pl
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy