Rosja atakuje Polskę w cyber przestrzeni. Jak się bronić?

Niedawno media podawały fakt włamania na skrzynki mailowe Ministrów oraz próby włamań na skrzynki mailowe Posłów RP. W tym też temacie odbyło się niejawne posiedzenie Sejmu RP gdzie podawane były Posłom procedury bezpieczeństwa w systemach informatycznych. Media podawały także i taką informację :

„Istotne są dwie kwestie. Jeżeli chodzi o atak, o którym Pan mówi, to należy podkreślić, że nie zostały wykradzione żadne dokumenty niejawne. Nie były one przechowywane na prywatnej skrzynce. Każdy, kto zna specyfikę pracy z dokumentami niejawnymi, wie, że nie ma możliwości, by tego rodzaju informacje znalazły się w takim obiegu. Drugą kwestią jest wywołanie dezinformacji. To główny cel agresorów. Nie dziwi mnie, że wszystkie tropy wskazują na Wschód… Pan minister w swoim oświadczeniu bardzo słusznie wskazał, że przyczyną ataku było jego wieloletnie zaangażowanie we wspieranie ruchów demokratycznych na terenie państw byłego ZSRS. Należy również odróżnić sferę bezpieczeństwa systemów prywatnych oraz systemów państwowych. Narzędzia zabezpieczające zwykłych internautów są w oczywisty sposób słabsze i to rodzi coraz większy problem w sytuacji, w której jesteśmy coraz bardziej podatni na cyberataki. Natomiast w przypadku systemów państwowych zabezpieczenia są dużo silniejsze, mamy też obowiązującą od kilku lat ustawę o krajowym systemie cyberbezpieczeństwa. […] Nic nie zastąpi jednak swego rodzaju cyberhigieny, czyli dbania przez każdego o własne bezpieczeństwo oraz o bezpieczeństwo powierzonych mu zasobów w sieci. Dotyczy to zarówno sfery publicznej, jak i prywatnej. Jest wiele materiałów przygotowanych przez jednostki podległe kancelarii premiera, w których opisano zasady bezpieczeństwa w sieci, i zapraszam wszystkich do zapoznania się z nimi. Nawet w najlepszych systemach najsłabszym ogniwem pozostaje człowiek…” (https://niezalezna.pl/39…)

Sugerując ,że te ataki mogły być kierowane kierowane z Moskwy. O czym pisałem w moim poprzednim materiale..

Jednakże sprawa jest bardziej poważna niż nam się wydaje. Inaczej sprawa ma się gdy włamania dokonane są na skrzynki mailowe z materiałami jawnymi, gorzej gdy na takich skrzynkach znajdują się materiały niejawne lub wrażliwe. Jak je chronić ? Ten problem precyzyjnie określają stosowne przepisy państwa i są chronione z mocy Ustawy O ochronie Informacji Niejawnych (https://www.infor.pl/akt… ) poprzez Służby Ochrony Państwa : Agencję Bezpieczeństwa Wewnętrznego i i Służbę Kontrwywiadu Wojskowego.

Przybliżę ten ważki temat ponieważ wzbudza on od dawna ogromne emocje i kontrowersje. Bark wiedzy merytorycznej powoduje duże zamieszanie.

Na początek terminy i określenia by lepiej zrozumieć problem związanych z danymi niejawnymi przetwarzanymi w elektronicznych nośnikach informacji.

Jnformacja niejawna – termin prawniczy, który w prawie polskim został zdefiniowany w ustawie o ochronie informacji niejawnych z 22 stycznia 1999 roku. Oznacza informację, która wymaga ochrony przed nieuprawnionym ujawnieniem, jako stanowiącą tajemnicę państwową lub służbową, niezależnie od formy i sposobu jej wyrażenia, także w trakcie jej opracowania (Art. 1 ust. 1 UOIN – Ustawa o Ochronie Informacji Niejawnej).
Wejście w życie Ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych – UOIN (t.j. Dz. U. Nr 196, poz. 1631 z dn. 7.10.2005r. z pózn. zm.) formalnie uporządkowało zagadnienia ochrony tajemnicy. Wprowadziło natowska zasadę, zgodnie z która do tajemnic dopuszcza sie osoby „dające rękojmie zachowania tajemnicy” i „tylko w zakresie niezbędnym do wykonywania przez nie pracy na zajmowanym stanowisku lub innej zleconej pracy”.
Informacje Niejawne zaklasyfikowane jako stanowiące tajemnicę państwową oznacza się klauzulą:

ściśle Tajne– zgodnie z wykazem stanowiącym załącznik nr 1 do ustawy (część I),
tajne – zgodnie z wykazem stanowiącym załącznik nr 1 do ustawy (część II).
Informacje niejawne zaklasyfikowane jako stanowiące tajemnicę służbową oznacza się klauzulą:
Poufne– w przypadku gdy ich nieuprawnione ujawnienie powodowałoby szkodę dla interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli,
zastrzeżone – w przypadku gdy ich nieuprawnione ujawnienie mogłoby spowodować szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej.

Na co dzień w pracy i w życiu prywatnym używamy wielu pojęć takich, jak: dane, informacje, kontekst, znaczenie, wiedza. Semantyka tych terminów kształtuje się w zależności od konkretnego przypadku użycia, dlatego też konstruktywna dyskusja wymaga ich ścisłego zdefiniowania. Taka systematyzacja pojęciowa jest konieczna, aby szczegółowo rozważać zagadnienia bezpieczeństwa informacyjnego. Czym w takim razie są dane, informacja, wiedza, mądrość? Postaram się to wyjaśnić poniżej.

Dane – (ang. data) – w informatyce zbiory liczb i tekstów o różnych formach. W najbardziej ogólnym systemowym sensie, wg meta-teorii TOGA dane są zdefiniowane jako “to wszystko co jest/może być przetwarzane umysłowo lub komputerowo“. W tym sensie dane są pojęciem relatywnym, istnieją tylko razem z pojęciem przetwarzania i mogą przyjmować takie postaci jak: znaki, mowa, wykresy i sygnały. Różne dane mogą dostarczać tę samą informację, ale jednocześnie te same dane mogą też dostarczać różnych informacji. Z drugiej strony, np. zbiory liczb czy wyrazów mogą być danymi, ale jeśli nie wiemy co reprezentują to nie są informacją.

Informacja – W ujęciu infologicznym (Bo Sundgren 1973) informacja to treść komunikatu przekazywanego za pomocą danych. Zgodnie z nim, informacja dostarcza nowego punktu widzenia w interpretowaniu wydarzeń lub obiektów; sprawia, że to, co wcześniej było niewidoczne, zostało zauważone, rzuca nowe światło na pewne związki, których się nie spodziewaliśmy. Devenport i Prusak w podawanej przez siebie definicji traktują informację jako wiadomość, zwykle w formie dokumentu albo pod postacią komunikacji dźwiękowej lub wizualnej. Jak każda wiadomość, informacja ma nadawcę i odbiorcę, a jej podstawową rolą jest zmiana sposobu, w jaki odbiorca postrzega pewne rzeczy. Informacja ma przez to wpływ na jego osąd i zachowanie, co odróżnia ją od danych.

Wiedza – Wiedza to ogół wiarygodnych informacji o rzeczywistości wraz z umiejętnościami ich wykorzystywania. Wiedza jest pojęciem znacznie szerszym w stosunku do danych i informacji. Ma ona nadrzędną pozycję w stosunku do danych jak i informacji, choć na nich bazuje. Dane definiuje się jako niepołączone ze sobą fakty. Poprzez informacje rozumiemy te dane, które zostały poddane kategoryzacji i klasyfikacji lub w inny sposób zostały uporządkowane. Natomiast wiedza oznacza uporządkowane i „oczyszczone” informacje. Powstaje ona dopiero po wyciągnięciu wniosków z dostępnych danych i informacji. Posiadanie bogatej wiedzy na dany temat prowadzi zaś do mądrości.

nformacja niejawna chroniona jest przed nieuprawnionym dostępem oraz jego rozmaitymi konsekwencjami. Zespół zagrożeń determinuje określone atrybuty, jakimi powinien charakteryzować się system, w którym jest przetwarzana informacja niejawna, a mianowicie:

Poufność
Integralność
Dostępność
Rozliczalność
Autentyczność
Niezawodność

Poufność – polega na zagwarantowaniu, że informacje przetwarzane w systemie mogą zostać odczytane tylko przez uprawnione osoby.

Integralność – Polega na zagwarantowaniu, by dane przechowywane w systemie oraz informacje przesyłane mogły być modyfikowane jedynie przez powołane osoby.

Dostępność – Zapewnia uprawnionym osobom możliwość korzystania z zasobów systemu w każdej chwili.

Rozliczalność – Polega na uniemożliwieniu zarówno nadawcy jak i odbiorcy komunikatu zaprzeczenia faktowi jego przesłania.

Autentyczność – Polega na poprawnym określeniu pochodzenia komunikatu, z zapewnieniem autentyczności źródła.

Niezawodność – Polega na zapewnieniu poprawnej pracy systemu.

Podstawową cechą dobrze zbudowanego pod względem inżynieryjnym systemu bezpieczeństwa teleinformatycznego, która powinna być uwzględniona w opisie formalnym jest kompleksowość – czyli zastosowane zabezpieczenia powinny uwzględniać każdą z grup  i powinny być zorganizowane tak, żeby zapewnić wykrycie naruszenia bezpieczeństwa (również prób takich działań) oraz skuteczną ochronę pomimo przełamania części zabezpieczeń. W praktyce oznacza to że zabezpieczenia powinny być zorganizowane według schematu, tzw. Obrony w głąb, której najlepszą wizualizacją jest średniowieczny zamek odpowiednio umiejscowiony w terenie, otoczony fosami i kilkoma pasami murów obronnych wzmocnionych wieżami. Pokonanie fosy i przerwanie zewnętrznego pasa murów obronnych przez napastników zwykle nie prowadziło do utraty zamku, ponieważ obrońcy wycofywali się za drugi, wewnętrzny pas  murów i bronili się dalej.
Warunkami dodatkowymi do wymogu kompleksowości jest spójność – rozumiana jako brak luk w systemie ochrony, które mogłyby stworzyć ścieżkę penetracji bez konieczności przełamywania zabezpieczeń. Kolejnym wymogiem jest niesprzeczność – rozumiana jako brak kolizji pomiędzy zastosowanymi zabezpieczeniami.

Sprawy techniczno – proceduralnego zapewnienia spełnienia powyższych wymagań, jakie są narzucone na system lub sieć teleinformatyczną, w której przetwarzane są informacje niejawne uzyskuje się je poprzez analizę i zarządzanie ryzykiem, w skład którego wchodzi rozważenie kosztów ewentualnych rozwiązań oraz przez realizację zaleceń w przygotowanych dokumentach:
Szczególnych Wymagań Bezpieczeństwa (SWB) – dokument wyczerpująco opisujący budowę oraz zasady działania i eksploatacji systemu i sieci teleinformatycznej.
Procedur Bezpiecznej Eksploatacji (PBE) – dokument określający zasady i tryb postępowania w sprawach bezpieczeństwa teleinformatycznego oraz zakres odpowiedzialności użytkowników systemu i sieci teleinformatycznej oraz personelu teleinformatycznego.

Za ochronę informacji niejawnych w jednostce organizacyjnej odpowiada kierownik tej jednostki.

Za zapewnienie przestrzegania przepisów o ochronie informacji niejawnej odpowiada pełnomocnik ochrony (kierownik samodzielnej sekcji/wydziału ochrony) lub inny upoważniony pracownik tej sekcji.
W przypadku incydentu, w wyniku którego nastąpiło naruszenie procedur bezpiecznej eksploatacji dotyczące informacji o klauzuli “poufne” bądź wyższej, powinien on poinformować nie tylko kierownika jednostki organizacyjnej ale także Dyrektora DBTI oraz przeprowadzić procedurę wyjaśniającą okoliczności zdarzenia.

Kierownik jednostki organizacyjnej wyznacza Administratora systemu (AS) oraz Inspektora bezpieczeństwa teleinformatycznego (IBTI), przy współpracy których zapewnia bezpieczeństwo teleinformatyczne w jednostce organizacyjnej jeszcze przed przystąpieniem do przetwarzania informacji niejawnych. Osoby wyznaczone na te stanowiska powinny się legitymizować polskim obywatelstwem, posiadaniem odpowiedniego poświadczenia bezpieczeństwa osobowego oraz odpowiednimi kompetencjami zawodowymi. Jedna osoba nie może pełnić tych funkcji jednocześnie
.
Przydatne dokumenty:
Rozporządzenie PREZESA RADY MINISTRÓW. z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z dnia 8 września 2005 r.)
Wymagania na dokumentację do certyfikacji

Wnioski o dokonanie certyfikacji środka ochrony informacji niejawnych

Procedury ochrony danych niejawnych głównie w elektronicznych nośnikach informacji są precyzyjnie określone przez Procedury i sposoby postępowań w zakresie postępowania osób i doboru certyfikowanych środków technicznych. Są one nie tylko precyzyjne ale i bardzo skuteczne. O ich skuteczności decyduje jednak zawsze użytkownik.
Oczywiście chronić można wiele danych uznanych przez osoby lub przedsiębiorstwa czy instytucje jako „wrażliwe” z uwagi na zawarte w nich dane związane z wykonywaniem zawodu, czynności czy produkcji chronionej innymi przepisami niż wspomniana ustawa  o ochronie informacji niejawnych.

Sumując w Polsce istnieje sprawny i skuteczny  system ochrony danych w systemach i sieciach teleinformatycznych. System powiązany procedurami, normami postępowań oraz obostrzeniami technicznymi w certyfikowany sprzęt czy wyposażenie. System wielokrotnie przetestowany będący pod kontrolą służb. Skąd nieraz zatem  do niego włamania czy wycieki informacji.  Z kilku podstawowych przyczyn :

1.Barak stosowania lub brak certyfikowanych urządzeń procedur i zabezpieczeń,
2. Lekceważenie i wręcz obchodzenie stosowanych i wdrożonych zabezpieczeń mechanicznych i cybernetycznych,
3.Celowe działanie

Ataki hakerskie są niemniej groźne jak dywizje pancerne u granic naszej ojczyzny. Mogą sparaliżować nasze życie, komunikację, banki, dostawy żywności czy paliwa, paraliż komunikacji, paraliż służby zdrowia itp. Dlatego walka z tym tak groźnym zjawiskiem należy do nas wszystkich, tutaj chodzi o nasze bezpieczeństwo i życie nas i naszych rodzin.
 

Żródło :
http://www.iniejawna.pl/…