9:26
20/3/2018

Polska nie ma obecnie czegoś takiego jak “system cyberbezpieczeństwa”. Ustawa, która ma go stworzyć, od początku powstaje opornie, ale nawet po jej uchwaleniu nie będzie łatwo. Trzeba będzie stworzyć nowe struktury, a resort finansów nie widzi potrzeby dawania nowych pieniędzy.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa powstawała w mękach i w bólach jeszcze zanim zdymisjonowano Annę Streżyńską. Teraz Ministerstwo Cyfryzacji istnieje raczej w formie przetrwalnikowej i praktycznie nie ma polityka, którego można uznać za silnego przywódcę polskiej informatyzacji. Ustawa o cyberbezpieczeństwie jest raczej ważna, ale od początku powstawała w klimacie konfliktu na linii MC-MON, a teraz dodatkowe problemy chce dorzucić Ministerstwo Finansów.

Róbcie sobie cybery, byle nikt nie prosił o kasę!

Obecnie projekt o Krajowym Systemie Cyberbezpieczeństwa jest na etapie Komitetu ds. Europejskiej Rady Ministrów. I właśnie na tym etapie Ministerstwo Finansów przedstawiło uwagi, w których czytamy…

Należałoby podjąć działania aby koszty potrzebne na realizację zadań wynikających z wprowadzonych regulacji zostały sfinansowane w ramach limitu wydatków dla części 16 – KPRM i nie stanowiły podstawy do ubiegania się o dodatkowe środki z budżetu państwa na ten cel w roku bieżącym, jak i w kolejnych latach budżetowych. 

Czyli według MF może sobie być bezpieczniej, ale  nie może być drożej. Celowo zastosowaliśmy pogrubienie i podkreślenie. Zauważcie, że MF nie chce tylko uniknąć wydawania nowych środków. Ono nie chce nawet tworzenia podstaw do tego, by ktoś mógł się o te środki później ubiegać.

Jeśli przejrzycie sobie wskazany dokument to znajdziecie podobne szczegółowe uwagi np. minister energii ma wyznaczyć organ odpowiedzialny za cyberbezpieczeństwo firm z tego sektora, ale według MF w ustawie powinien być zapis, że minister zrobi to wszystko w ramach limitu wydatków. Bez konieczności jego zwiększania.

Policja i Straż graniczna również mają podjąć nowe działania “w ramach budżetów” i “bez konieczności ich dodatkowego zwiększania”. Zadania CSIRT-u przy MON mają być finansowane w ramach określonych wydatków obronnych, ale “nie powinny stanowić podstawy do ubiegania się o dodatkowe środki”. Najogólniej rzecz ujmując MF ma dwa rodzaje uwag do ustawy. Albo chce doprecyzowania skąd będą brane pieniądze (co jest zrozumiałe) albo chce zapewnień, że nie trzeba będzie uruchamiać żadnych dodatkowych środków (co może być zrozumiałe z perspektywy ministerstwa, ale chyba każdy zdaje sobie sprawę, że tworzenie nowych grup eksperckich wymaga nakładów finansowych). Czy na bezpieczeństwie należy oszczędzać? Zwłaszcza, kiedy różne kraje atakują inne kraje poprzez internet, paraliżując ich działanie poza internetem?

Pieniędzy nie ma nawet na podstawy systemu

O pracach nad ustawą rozmawialiśmy z pewnym ekspertem od bezpieczeństwa zbliżonym do sprawy. Czy jego zdaniem można zbudować w Polsce nową jakość cyberbezpieczeństwa bez wykładania pieniędzy?

Pieniędzy w budżecie nie ma nawet na podstawowe rzeczy, które wpisano w ustawę. Choć od dwóch lat nie jest tajemnicą, że termin jej wprowadzenia upływa w maju b.r. (jest to wymuszone terminem implementacji tzw. dyrektywy NIS) i MC jasno komunikowało konieczność zabezpieczenia środków na ten cel. Ulubioną mantrą MF jest najwyraźniej “zadania nie powinny stanowić podstawy do ubiegania się o dodatkowe środki”. Postawmy sprawę jasno – dotyczy to finansowania instytucji, które mają zadbać m.in. o analizę zagrożeń, reagowanie na poważne incydenty i ocenę ryzyka dla systemów wykorzystywanych do świadczenia kluczowych usług. Jak wiadomo administracja rządowa nie ma problemu z zatrudnieniem fachowców od bezpieczeństwa IT, więc bez problemu zarówno MON i ABW jak i potencjalnie kilka innych ministerstw – choćby energetyka czy transport – wygospodarują w ramach swoich środków dodatkowe kilkanaście czy kilkadziesiąt etatów dla wysoko wykwalifikowanych specjalistów, których na rynku jest przecież mnóstwo.

Trzeba tu zaznaczyć, że MF chętnie oddałoby kwestie bezpieczeństwa MON-owi, bo do niego trafiają duże pieniądze. Co na to ekspert?

Swoistym kuriozum jest zresztą propozycja MF aby cała koordynacja cyberbezpieczeństwa kraju trafiła pod MON (…) Jest to mantra będąca już wcześniej jedną z osi konfliktu na linii MON-MC. Podobnie można by argumentować, że pod MON należy włączyć cywilny wywiad, Straż Graniczną, Policję czy choćby TOPR – przecież wszyscy zajmują się bezpieczeństwem.

Tymczasem Ministerstwo Energii już oszacowało, że konieczne będzie utworzenie co najmniej 8 nowych stanowisk pracy w Ministerstwie Energii (zamiast proponowanych w projekcie 4 stanowisk). Ministerstwo Energii wspomina też o “planowanym do utworzenia sektorowym zespole cyberbezpieczeństwa „Energia”. O co tu chodzi?

CSIRT-y, zespoły dla sektorów i podsektorów…

Być może pamiętacie, że pierwotny projekt ustawy przewidywał stworzenie CSIRT-ów, czyli Zespółów Reagowania na Incydenty Bezpieczeństwa Komputerowego. Miały być trzy takie zespoły: CSIRT NASK, CSIRT MON i CSIRT GOV. Na późniejszym etapie pojawił się pomysł utworzenia dodatkowych CSIRT-ów “sektorowych” co może mieć trojakie skutki:

  • skomplikuje cały system,
  • raczej nie ułatwi zmieszczenia się w dotychczasowych budżetach,
  • zwiększy ryzyko, że CSIRT-y będą dublować swoje kompetencje.

To ciekawe, że nawet Ministerstwo Energii zwróciło uwagę na niejasny podział kompetencji między CSIRT NASK i CSIRT GOV, ale najwyraźniej nie ma nic przeciwko zespołom sektorowym.

W najnowszym projekcie (zob. dokument z 15.02.2018) “sektorowy zespół cyberbezpieczeństwa” jest zdefiniowany jako “zespół ustanowiony przez organ właściwy dla danego sektora lub podsektora wymienionego w załączniku do ustawy, odpowiedzialny za obsługę lub wsparcie obsługi incydentów w danym sektorze lub podsektorze”.

Organami właściwymi dla różnych sektorów są: minister energii, minister transportu, minister ds. gospodarki morskiej, minister finansów, minister zdrowia, minister właściwy ds. gospodarki wodnej (sic!), minister obrony i minister cyfryzacji. Jeśli każdy stworzy po jednym zespole sektorowym to zrobi się 8 dodatkowych “sektorowych CSIRT-ów”, a na tym może się nie skończyć. Nie jest wykluczone nawet tworzenie zespołów reagowania dla “podsektorów”. W ramach ciekawostki dodajmy, że załącznik do ustawy wymienia 11 podsektorów.

Tutaj znów oddajmy głos anonimowemu ekspertowi.

Ustawa powstaje od blisko dwóch lat w Ministerstwie Cyfryzacji  i od początku starano się uświadomić innym resortom, że będą miały jakieś role i zachęcić je do udziału w konsultacjach. Nikogo to nie interesowało (poza MON i koordynatorem służb – to oddzielny temat i jego pokłosie znalazło się w projekcie :)). Nagle, gdy projekt znalazł się w oficjalnym obiegu konsultacji, włączyło się typowe polskie myślenie typu “Mój resort jest wyjątkowy i najważniejszy, więc to ja będę koordynował cyberbezpieczeństwo w swoim sektorze. Na co mi jakieś tam inne CSIRTy, nie takie rzeczy robiłem ze szwagrem.” Z oczywistych względów, ani MON, ani CSIRT rządowy nie zrezygnują ze swoich zadań i obowiązku raportowania im incydentów więc potencjalnie powstanie bizantyjska struktura, w której każdy będzie robił na papierze wszystko (czyli w rzeczywistości nic). Potencjalnie, bo projektowana ustawa nie tworzy “sektorowych zespołów bezpieczeństwa”, a jedynie daje taką możliwość resortom na ich wyraźne żądanie.

Ekspert zwrócił uwagę, że ten sam problem ujawnia się w kwestiach o wiele prostszych, takich jak choćby ujednolicenie stron rządowych.

To “polskie piekiełko” i brak możliwości elementarnego porozumienia się co do koordynacji zadań bardzo dobrze ilustruje stan sieci i infrastruktury IT polskiej administracji rządowej. Każdy resort i urząd państwowy zatrudnia swoich  administratorów, ma swoją witrynę, pocztę itp. Wszelkie próby scentralizowania serwisów są skutecznie sabotowane, choć w wielu krajach skutecznie udało się to zrobić z korzyścią zarówno dla funkcjonowania i budżetów urzędów, jak i dla czytelności z punktu widzenia obywatela. Teraz analogicznie w obszarze “cyber” idziemy w kierunku udzielnych księstw zamiast efektywnego i sprawnego działania.

Niełatwa droga do ustawy

Do tego wszystkiego dochodzi masa innych problemów, które ciągle są dyskutowane np. kwestia zgodności przetwarzania danych osobowych z RODO przez podmioty wymienione w ustawie. Jeśli spojrzymy na liczbę i charakter uwag to szybko dojdziemy do wniosku, że prace nad tą ustawą są trudne. Oczywiście zdajemy sobie sprawę, że ustawa nie została przyjęta przez Radę Ministrów, a po drodze do wejścia w życie jest jeszcze Sejm i Senat. Zwykle jednak ustawy tak techniczne niezbyt angażują posłów i potrafią przejść przez obie izby niemal niezauważenie. Dlatego to co zostanie wypracowane przed przyjęciem przez Radę Ministrów będzie miało duże znaczenie.

Jeśli ustawa w wielu miejscach ma zawierać zastrzeżenia, że nikt nie może nawet wnioskować o dodatkowe środki to przy wszystkich koniecznych zmianach instytucjonalnych można wątpić, czy nasze Cyberbezpieczeństwo będzie właściwie finansowane.

Dlatego lepiej myślcie jak samemu się zabezpieczyć, bo w mętliku niedofinansowanych sektorowych CSIRT-ów może być ciężko o fachową pomoc.

Będziesz musiał liczyć na siebie…

Możliwości samodzielnego “zmniejszania (cyber)ryzyka do akceptowalnego poziomu” jest kilka i nie zawsze oznacza to inwestycję w nowy sprzęt. Bo bezpieczeństwo to proces, nie produkt. Nie da się kupić 5 kilo nowego firewalla i mieć spokój na 3 lata. Dobry sprzęt oczywiście warto mieć, ale przede wszystkim potrzebni są wykwalifikowani, regularnie szkoleni ludzie — i to nie tylko sami techniczni profesjonaliści, ale także zwykli pracownicy, którzy nie klikają w co popadnie, bo wiedzą jakimi konsekwencjami dla firmy i dla ich życia prywatnego może to grozić. Powtarzamy to i pokazujemy na żywo od 8 lat na naszych szkoleniach zarówno dla administratorów sieci, programistów jak i bezpieczników tropiących incydenty w firmie i walczących ze złośliwym oprogramowaniem.

Oto sugerowane przez nas stanowiska, jakie powinny znajdować się w każdej firmie poważnie myślącej o bezpieczeństwie IT wraz ze szkoleniami, jakie obowiązkowo powinni przejść w ramach tych kompetencji:

  • Administrator sieci i systemów Linuksowych powinien wiedzieć jak zabezpieczyć styk sieci przed atakami oraz jak wykrywać zagrożenia pochodzące od użytkowników wewnątrz sieci. Musi wiedzieć jak poprawnie sieć monitorować i na ile sposobów ktoś może ją zaatakować (oraz gdzie szukać śladów ataku). Oraz ja kto wszystko ogarnąć proceduralnie. Tę wiedzę przekazuje w ramach praktycznych nasze szkolenie pt. Bezpieczeństwo Sieci Komputerowych (testy penetracyjne), które w 85% składa się z praktycznych labów, gdzie uczestnik atakuje i zabezpiecza różne serwery.
  • Administrator systemu Windows, jeśli firma korzysta z domeny. Taki administrator powinien wiedzieć jak bez dodatkowych kosztów, samymi mechanizmami już wbudowanymi w Windows można znacznie podnieść bezpieczeństwo tych systemów. A można. Znacznie. I za darmo. Na naszym szkoleniu pt. Bezpieczeństwo Systemów Windows tę wiedzę przekazuje wieloletni administrator sieci bankowych.
  • Programista, bo kluczowe jest pisanie bezpiecznych aplikacji. To jakich błędów nie popełniać i czym mogą one skutkować, a także z jakich narzędzi automatycznych można skorzystać aby samodzielnie badać bezpieczeństwo własnych aplikacji pokazujemy w ramach szkolenia Atakowanie i Ochrona Webaplikacji. Zapraszamy na nie również QA-ów.
  • Analityk złośliwego oprogramowania (często kompetencja już obecnego w firmie Programisty albo Administratora Sieci). Ponieważ codziennie pracownicy otrzymują e-mailem nowe złośliwe załączniki i niekiedy w nie klikają, trzeba posiadać podstawowe umiejętności szybkiej analizy malware, która odpowie na pytanie: czy ten plik jest złośliwy, jeśli tak, czy został użyty w masowym ataku czy w ataku ukierunkowanym tylko na naszą firmę, a jeśli to drugie, to jak on konkretnie działa i co robi. Odpowiedzi na te pytania są obowiązkowe, bo pozwalają podjąć odpowiednie kroki, które usuną zagrożenie z zainfekowanych systemów. To jak szybko i łatwo analizować złośliwe oprogramowania za pomocą kilkudziesięciu użytecznych narzędzi pokazujemy na szkoleniu z Analizy Malware.
  • Informatyk Śledczy (często kompetencja już obecnego w firmie Administratora Sieci). Taka osoba jest potrzebna aby mogła nie tylko zabezpieczyć cyfrowe ślady incydentu do postępowania przed sądem, ale również była w stanie poprawnie wykonać samodzielną analizę incydentu która odpowie na pytania co dokładnie się stało, co próbowano ukraść albo skasować i czy winny jest pracownik, czy atakujący z zewnątrz? por. . Tych kompetencji uczymy na szkoleniu Informatyka Śledcza (techniki służb), które jest prowadzone przez biegłego sądowego z wieloletnim doświadczeniem i najlepiej wyposażonym w Polsce laboratorium do analizy “IT Forensics”, który pracował przy największych polskich sprawach, gdzie zabezpieczano komputery i urządzenia mobilne przestępców.

Wszystkie szkolenia realizujemy regularnie w Warszawie, Krakowie a niekiedy także we Wrocławiu i Gdańsku. Listę najbliższych terminów powyższych szkoleń znajdziecie tutaj. Jeśli na któreś z powyższych szkoleń zapiszecie się do piątku, to podajcie podczas zapisu w polu uwagi hasło “cyberustawa bez cyberpieniędzy“, udzielimy wam 133,37 PLN rabatu. Rabat można w całości przekazać na dofinansowanie wybranego CSIRT-u, którego Ministerstwo Finansów pozbawi funduszy ;)

Aktualizacja 21.03.2018 10:47

Szef rządu dość niespodziewanie ustanowił Pełnomocnika Rządu ds. Cyberbezpieczeństwa. Będzie nim sekretarz stanu albo podsekretarz stanu w Ministerstwie Obrony Narodowej, co może mieć pewien wpływ na powstającą ustawę o krajowym systemie cyberbezpieczeństwa.

Wczoraj w Dzienniku Ustaw opublikowano już Rozporządzenie Prezesa Rady Ministrów w tej sprawie.

Rozporządzenie wchodzi w życie dzisiaj i stanowi, że:

  • Pełnomocnik będzie prowadził analizy i ocenę stanu cyberbezpieczeństwa na podstawie zagregowanych danych i wskaźników opracowanych przy udziale organów administracji rządowej oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego działających w MON, ABW i NASK.
  • Pełnomocnik będzie opracowywał nowe rozwiązania w zakresie zapewnienia cyberbezpieczeństwa na poziomie krajowym. Będzie też opiniował projekty aktów prawnych i koordynował działania prowadzone przez organy administracji rządowej. Jego zadaniem będzie też… uwaga… inicjowanie krajowych ćwiczeń z zakresu cyberbezpieczeństwa.
  • W porozumieniu z innymi ministrami pełnomocnik ma współpracować z innymi organizacjami i państwami, a także wspierać badania naukowe i rozwój technologii z zakresu cyberbezpieczeństwa.

Co bardzo istotne, pełnomocnik będzie opiniował projekty dokumentów rządowych, w tym projekty aktów prawnych, dotyczące cyberbezpieczeństwa. Zgadujemy, że pierwszym z opiniowanych dokumentów będzie… projekt ustawy o krajowym systemie cyberbezpieczeństwa, do którego MON już wcześniej miało wiele uwag.

Przeczytaj także:

67 komentarzy

Dodaj komentarz
  1. Wincyj 500+…

    • akurat pojechanie stron rzadowych nie jest problemem.
      wiekszy problem to pojechanie bazy pitow

      ale przy najpowazniejszych wlamaniach nie zobaczysz zadnych efektow zewnetrznych (chyba ze akurat sie bedzie to komus oplacac)

      to pisze ja – beneficjent 500+ :)

    • Ja bym uważał ze śmieszkowaniem z 500+ nie będąc ogarniętym z zakresu długoterminowej ekonomi.

      Disclaimer: Również nie popieram zaniedbywania obszaru cyberbezpieczeństwa, ale niestety nie żyjemy w idealnym państwie, więc zaniedbania są i będą.

    • Ja natomiast nie jestem ogarnięty z zakresu ortografii.
      “ekonomii” oczywiście.

      Gdzież przycisk “edit” Niebezpieczniku? Gdzież?

    • taka prawda, że kasa na sztuczne pompowanie ekonomii przez 500+ i zasadniczo kupowanie sobie głosów to zawsze jest i będzie, a na istotne rzeczy to już niekoniecznie bo ktoś inny będzie sie o to martwił…

  2. Ktoś im kiedyś zdefasonuje strony rządowe, albo skasuje z końcem kwietnia bazę otrzymanych elektronicznie PIT-ów, to się obudzą.

    • Kusząca propozycja ;)

    • Jak im skasują PITy, to i tak biedny podatnik będzie musiał złożyć go ponownie. Tak oni właśnie działają.

    • Hehehe. A jak na to nałożymy jeszcze dodatkowo poziom samorządu, który przeca też powinien być jakoś zabezpieczany to wyjdzie nam piramida zespołów, zespolików i księstewek lennych. Bo wiadomo, że jak IT i SEC to byle jak najtaniej, a jak już mam wydać kasę to przecież nie będzie mi ktoś mówił u kogo mam ją wydawać!
      Wydam se tam gdzie chcę, czyli u kuzyna Zośki albo szwagra Karola, bo on kiedyś w technikum stronę klasową prowadził. Byle wydać u swoich.
      I teraz też tak będzie. Dlatego taki opór.
      A potem efekt będzie jak piszesz. Albo im skasują pity w kwietniu. Albo zDDoSują PKW w trakcie wyborczego weekendu. Albo najnowszy cud skarbówki pod postacią JPK przepadnie.
      Albo najbardziej trywialnie, polecą na kasie jak to już ma miejsce.
      To chyba był Urząd Gminy w Jaworznie? Gdzie jakaś pani Basia robiła przelew na konto firmy za wybudowanie drogi. Numer rachunku CTRL+C, CTRL+V, a że wcześniej naklikała jakichś makr w ekselach to czarodziejskim sposobem 1,2 mln PLN trafiło… gdzieś tam. Połapali się dopiero, jak wykonawca upomniał się o przeterminowaną płatność.

    • Taa , przeznaczymy kilka milionów na cyberbezpieczeństwo ,a ostatecznie urzędniczka ” Jadzia” ściągnie załącznik i po zabezpieczeniach :)

      Jak ktoś nie potrafi zabezpieczyć własnej bazy – to może nie powinien tym się zajmować? Ja jakoś żadnych włamań nigdy nie miałem …

      Bardzo dobrze ,że rząd nie daje kasy na bezpieczeństwo bo znając życie kasa została by roztrwoniona pomiędzy mafie urzędnicze :)

    • @Alibaba12 – Trudno nie przyznać Tobie racji w tym co napisałeś/aś o urzędniczych powiązaniach. W każdym urzędzie są ludzie, którzy maja rodziny czy “dobrych” znajomych w firmach komputerowych. A informatyk urzędowy nie zawsze ma szanse przebicia się przez mur zwolenników komercyjnych czyli drogich rozwiązań i opłacanych co roku! W innych urzędach, poziom informatyków jest na poziome “kupmy windowsa” bo do tego jest każde oprogramowanie na rynku (czyt.: Informatycy w urzędzie nie potrafią nic więcej jak reinstalacja systemu MS Widows). A to, że krótko żyjące, to już nie problem! Kasa w budżecie się znajdzie a update!

  3. No gdzie nie ma na cyberbezpieczeństwo? Starczy uzasadnić, że dotacja zostanie spożytkowana na budowę kapliczki Matki Boskiej Niebezpiecznej

    • Teraz to na Muzeum Cyberbezpieczeństwa Chasydów

    • Eeeee… raczej Kapliczka Matki Boskiej Bezpiecznej! :)

  4. Drogi Niebezpieczniku,
    Czy mógłbym prosić o stworzenie i dodawanie nowego taga do tego typu artykułów ?
    Mógłby się nazywać: Niebezpiecznikowa Autopromocja.

    Nie neguje samej potrzeby, wiadomo, każdy musi jeść, a dziecka też nie nakarmie wczoraj wdychanym powietrzem :) ale coś sporo się zrobiło tego ostatnio.
    Pozdrawiam.

    • No już nie przesadzaj. Nie podoba się, to nie czytaj. Po co to komu? ;)

    • Też uważam że przesadzasz. Niebezpiecznik robi dobrą robotę, gdybym rządził tym krajem płaciłbym Koniecznemu za prowadzenie tego serwisu i wydawanie biuletynu dla urzędników. I to dobrze płacił. Uświadomię Ci że jedna niepotrzebna BABA W URZĘDZIE kosztuje nas około 108 000 zł rocznie. Tyle wynosi koszt jej uposażenia i stanowiska. Zastanów się dobrze czy nie warto byłoby zwolnić z 10 takich bab i zapłacić komuś chociażby za wydawanie porządnego biuletynu z zakresu bezpieczeństwa, takiego “zjadliwego dla urzędników”.

    • @Tomasz Miroszkin – Tylko nawet gdyby taki portal był opłacany z kasy nawet państwowej, to ta rzeczona “Baba” i tak miałaby to w czterech literach! Dla niej i jej podobnych także dyrektorów w urzędach, jest ważnie aby internet był na każdym biurku czyli swobodny dostęp do stron www maści wszelakiej! Bo taki dostęp to podobno, ułatwianie realizacji zadań biurownika! A co najdziwniejsze, to cała ta śmietanka intelektu i zagregowana mądrość urzędnicza, nie potrafi zrozumieć, że internet to sieć serwisów czyli dostępnych na całym świecie serwerów www za pomocą protokołu http lub https z adresacją tych serwerów opartą o protokół IPv4! A ich własna sieć urzędowa działa na identycznych protokołach! Ale co tam komu po wiedzy! Ważne, że tweet-cie czy FB można się lansować ze sweet fociami! Jak dla mnie, to te serwisy powinny publikować nazwy urzędów z adresów IP których łączono się do serwisu i godziny publikacji wpisu! To jasno pokazałoby ile czasu urzędole siedzą w necie, a ile czasu poświęcają na zadania za które podatnik opłaca co miesiąc haracz zwany podatkiem!

  5. Hmm… może na tablicy do głosowania, podczas obrad sejmu trzeba im pornola puścić :P

  6. 1. Czasami autopromocja przesłania kompletnie artykuł.
    2. Ministerstwa nie powinny zwiększać budżetów tylko dlatego, że sobie wymyślili jakieś zadania. Niech wywalą niepotrzebnych urzędników- zwolni im się budżet.

    • Lepiej bym tego nie ujął .

    • tylko przez niekompetencje wyleci ci co cos ogarniaja a zostana idioci

    • Liczysz na to, że ministrowie wraz ze świtą się sami zwolnią? Przecież to oni są największymi darmozjadami w ministerstwach, bo cała reszta robi to, co im każą, nawet jeśli są to bzdury.
      Mam wielu znajomych urzędników i wszyscy jak jeden mąż konstatują, że dorzuca im się coraz więcej bezsensownych zadań, a przełożeni są coraz częściej z klucza politycznego bez wiedzy i umiejętności zarządzania pracownikami (a np. ocena jakości pracy jest uznaniowa – bez związku z faktyczną pracą). Jeśli przełożony jest idiotą, to nawet najlepszy pracownik nie naprawi całego bałaganu.

      Treść artykułu mnie martwi, bo z niej wynika, że powstaną kompletnie nieudolne i niedziałające wydziały bezpieczeństwa w różnych sektorach gospodarki, co w efekcie będzie paraliżować prace już tych istniejących i całkiem sprawnie funkcjonujących CERTów. Czyli będzie gorzej, chociaż miało być lepiej…

      Tak sobie myślę, że przydałby się poważny włam do sejmu lub jakiegoś ministerstwa, który by się odbił czkawką najwyższemu…

    • Dokładnie. Nie jest sztuką wymyślać nowe zadania za nową kasę, ale realizować obowiązkowe w budżecie – bezpieczeństwo jest z pewnością ujęte. A ta autopromocja kursów, które w domyśle nie będą kontynuowane, bo nie dofinansowywane z państwowych pieniędzy – sorki, ale to słabe.

    • Oj prawda, w tym wypadku aż zakłuło w oczy. Poczułem się jakbym z własnej woli chciał czytać jakiś spam.

    • @Rofl, Kenjiro – pracowałem dla jednego z ministerstw jako konsultant. Tam naprawdę nie ma co dorzucać pieniędzy na jakieś nowe zadania. Pieniędzy jest mnóstwo. Na e-administrację w Polsce wydano już ok miliarda złotych. Efektów (sensownych) praktycznie brak. Mało tam sensownych osób (nie pod względem “ludzkim”, a raczej “biznesowym”). W końcu do pracy w ministerstwie idzie ten, kto nie znalazł pracy w sensownym miejscu. A pensje ministrów to pikuś w porównaniu z budżetami samych ministerstw. Mamy w Polsce już bliko milion urzędników. Jak słyszę, że do realizacji czegokolwiek nowego potrzebni są nowi ludzie, to budzi to jedynie moją agresję. Na zrozumienie, ani sympatię nasza administracja nie ma co u mnie liczyć.

    • @matja: Ale kto wydał? Pracownicy – urzędnicy, czy ministrowie? Tak więc czystkę należy zacząć od góry, bo tam jest największe marnotrawstwo. Piszesz, że urzędników jest zbyt dużo, ale kto ich zatrudnia i kontroluje? Skoro nie potrafią zatrudnić dobrych pracowników, to należy ich zwolnić, bo się nie nadają. Niestety tak się nie stanie, bo klucz polityczny jest ważniejszy od umiejętności, a w razie czego zatrudni się właśnie szwagrów i zięciów, i będzie git…

    • @Kenjiro – na to już za późno. Masa krytyczna urzędników wraz z ich bezpośrednim otoczeniem (rodziny, przyjaciele) została osiągnięta. Są już nie do ruszenia. Nikt z hasłem wyrzucenia połowy urzędników nie wygra wyborów. A tylko mając super komfortową sytuację w sejmie (jak teraz ma np PiS) można takie głębokie reformy przeprowadzać.
      W każdym razie – odnosiłem się do tezy artykułu (“trzeba dorzucić kasy, bo przecież tu chodzi o bezpieczeństwo”). Otóż nie trzeba dorzucać kasy. A z Twoją oceną kompetencji kadry zarządzającej tym cyrkiem się w pełni zgadzam. Inna sprawa, że oni też mają takie słabe pieniądze, że fachowca to za to nie zatrudnisz. Zarabiam więcej niż minister polskiego rządu, a mój zakres odpowiedzialności, liczba podwładnych, czy budżety którymi zarządzam mają się nijak do ministerstw (nawet najmniejszych).

  7. Ministerstwo Finansów zainwestowało już lepiej te pieniądze – w Świątynię Opatrzności Bożej, więc każdy Polak ma teraz zapewnioną o wiele lepszą indywidualną opiekę anioła stróża.

    :>>>

    • Chron Panie moj PESEL.

    • Przecież nie twoje pieniądze idą na ten cel ,tylko katolików ,a tych w Polsce jest 90% to co się tak szczępisz ?

      Twoje pieniąðze idą na gender, in vitro , aborcję , muzea dla żydów , fundacje tvn, owsiaka itd, to myślę ,że powinieneś być zadowolony jako reprezentant opozycji .

      Po za tym były wy Polsce wybory i ludzie zdecydowali czy chcą by u władzy była partia ( katolicka, czy antykatolicka).

      Proszę cię po raz kolejny ,żebyś nie wchodził w politykę na forum IT. Chcesz popluć jadem to masz niemieckiego onetka i im podobne poczytalne media .

    • @alibaba Jedyne plucie jadem w tym momencie jest z twojej strony. Wydaje mi się że w waszej świętej książce jest nawet pasujący fragment o drzazdze w oku.

    • Teraz to na renowację cmentarza. ŚOB jest już passe.

    • Nie możemy zapomnieć o Funduszach promocji np:

      Fundusz Promocji Mleka,
      Fundusz Promocji Mięsa Wieprzowego,
      Fundusz Promocji Mięsa Wołowego,
      Fundusz Promocji Mięsa Końskiego,
      Fundusz Promocji Mięsa Owczego,
      Fundusz Promocji Mięsa Drobiowego,
      Fundusz Promocji Ziarna Zbóż i Przetworów Zbożowych,
      Fundusz Promocji Owoców i Warzyw,
      Fundusz Promocji Ryb.

      http://bip.kowr.gov.pl/fundusze-promocji/wyplaty-z-funduszy-promocji/fundusz-promocji-miesa-wieprzowego

      Hehe

    • K 2018.03.20 14:24
      To już tak kiepsko jest w PL z pracą , czy to związane z brakiem ambicji , że tykasz się takich zajęć ?
      Czy to może “bul” dupy ?
      ps
      Onecik nie wystarczy ,czy spadła liczba unikatowych wizyt , że postanowiłeś tutaj rozsiewać odór ?

    • “alibaba12 2018.03.20 13:36 | # |
      Przecież nie twoje pieniądze idą na ten cel ,tylko katolików ,a tych w Polsce jest 90% to co się tak szczępisz ?”

      w Polsce nie ma 90% katolików a co najwyżej 40%… nie idą? a podatki to co? może tylko z twoich komentarzy idą… szach mat…

      “Po za tym były wy Polsce wybory i ludzie zdecydowali czy chcą by u władzy była partia ( katolicka, czy antykatolicka).”

      ta banda 38% idiotów zadecydowała że mają rządzić pseudokatolicy ;>

      Poza tym nie zapominaj że Polska ma korzenie słowiańskie.

      Jakoś nie wspomnisz o dotacjach z KASY PAŃSTWOWEJ na Rydzyka…

      Bajki opowiadaj dalej…

  8. Powód jest taki ,że rządzą ludzie z poprzedniej epoki i nie wiedzą co to cyber zagrorzenia !
    Niestety obudzą się pewnego dnia z ręką w nocniku.

    • Dokładnie tak! I co gorsza tłumaczenie im, że trzeba coś zmienić może być jak walenie grochem o ścianę. Przez 8 lat realizowałem projektowanie stron internetowych w małych firmach i lokalnych instytucjach i wiem jak to wygląda od środka. Póki coś działa, choćby system był nieaktualizowany od 6 lat – nikt nie będzie chciał go wymienić na nowszy NAWET jeśli będziesz chciał im zrealizować wymianę na nowszy KOMPLETNIE ZA DARMO, a jedynym ich wysiłkiem było by PRZYZWYCZAJENIE SIĘ DO NOWEGO SYSTEMU. Ciągle są argumenty, że nie, bo nie mam czasu, albo “Paaanie, ale przecie stare działa to po co zmieniać”. Masakra. Póki nie padnie jakaś kluczowa infrastruktura powodująca paraliż kraju ludzie rządzący nie zrozumieją jak cyberbezpieczeństwo jest ważne. No ale cóż… . Mam nadzieję, że do niczego takiego nie dojdzie, a nowy rząd weźmie tego typu sprawy bardziej na poważnie.

    • @Adam Kupis Ale jak padnie jakiś serwis to oczywiście nie omieszkają obrzucić twórcę błotem. Tak to wygląda. Sam również przez dłuższy czas z tego żyłem, ale odechciało mi się tłumaczenia klientom że agregator działa do czasu gdy źródła i ich formafowanie się nie zmieni, czy integracja z Allegro tak długo póki API się nie zmieni (a zaczęło zmieniać się raz w tygodniu). “Zrób mi Pan animacje” … a teraz “NIC NIE DZIAŁA!”. Przykro patrzeć ale gdy rzucę okiem na to co zrobiłem, to wstyd jest po prostu teraz, dziurawy niedziałający shit.

    • Ja to co trzymam na swoich serwerach aktualizuję na bieżąco, ale ze stronkami które robiłem klientom 5 lat temu i wrzuciłem na ich serwery bywa różnie.

  9. Może autor tych wypocin odpowie nam na pytanie skąd pochodzą pieniądze na budżet.

    • Z podatków?

    • @Kamil brawo. To oznacza, że kasjerka z Biedronki oprócz utrzymywania 45 letnich górników i policjantów, będzie jeszcze musiała płacić za niebezpieczeństwo.

  10. Po cholera wydawać pieniądze! Zakazać ustawą cyberataków i przyznać sobie nagrody za sprawne załatwienie problemu!

  11. co do energetyki, to PSE mają porządny CERT, może aż tyle tego hajsu nie trzeba
    administracja rozwija się poprzez kooptację, ale to jest jej patologia
    może wystarczy dobrze wyzyskać to, co już jest

    • Porządny CERT? Masz na myśli blogerów, którzy piszą co miesiąc że Microsoft wydał poprawki? Stracili swoją szansę wyrzucając takiego eksperta jak ŁK i teraz zostało tylko biuro podróży dla byłych policjantów.

    • Masz na myśli Łukasza Kistera? On się zna na cyberbezpieczeństwie? Zresztą to też były policjant.

    • Mówisz o tym samym CERT których zegar atomowy ma odchyłki rzędu 2s?!!!

    • @Trav sprytnie, panie wicedyrektorze. Prawie bardzo sprytnie.

    • Co do pana Łukasza Kistera, to polecam przeczytać jego komentarze dotyczące inwigilacji internautów przez NSA.
      Jeżeli faktycznie uważa tak, jak powiedział, to znaczy że ma on poważny problem z czytaniem ze zrozumieniem i kompletnie nie rozumie tego, co ujawnił Snowden:

      http://jagiellonski.pl/kister-afera-prism-to-burza-w-szklance-wody/

  12. This planet cannot be saved. Fly to another one

  13. Wyjdę na ignoranta ale w Polsce nie mamy się aż tak czego obawiać ponieważ bo:
    – urzędy są słabo zinformatyzowane (nadal wszystko przechowywane jest w formie papierowej) więc i tak po co dodatkowa kasa na to;
    – wybory i tak wygra PIS/PO (przez następne 10 lat) po za tym głosy są liczone ręcznie;
    – Lotniska, kolej ma przeszkolone osoby od bezpieczeństwa (więc po co więcej wydawać)
    – Elektrownie bez internetu mogą działać

    Po za tym nawet w przypadku zmasowanego ataku skutki będą niewielkie (w przypadku robienia backupów, zachowania procedór.)

    Co innego korporację ale to jest obszar prywatny i moim zdaniem państwo (my) nie powinniśmy nic dopłacać do czyjegoś biznesu.

    Hehe

    • Niby tak.. Ale jak wyciekną Twoje dane, zdjęcie z dowodu, adres zameldowanie, imię małżonki, i PIT, to może zmienisz zdanie

    • Nie jest prawdą że urzędy trzymają dane głównie w formie papierowej. Dane meldunkowe, zeznania podatkowe, zdjęcia paszportowe i dowodowe to są bazy elektroniczne i są słabo zabezpieczone. Jeżeli tych baz nie odchudzą i porządnie nie zabezpieczą, wyciek jest kwestią czasu.

    • Dawno chyba nie załatwiałeś spraw urzędowych. Sprawdź sobie ePUAP i eZUS (jakkolwiek się nazywa). Jest tam praktycznie wszystko o obywatelu naszego kraju.

  14. Brawo! Rosyjscy hakerzy są traktowani jako artyści… nie są obciążeni zakazami… i nakazami w postaci rosnących podatków, składek ZUS itp. To pokazuje brak szacunku dla chłopaków z podziemia i braku zrozumienia kwestii security.

  15. A ha. Czyli myslenie w stylu “skoro dziala to po co zmieniac” funkcjonuje tez na szczeblu ludzi ktorzy decyduja o naszej przyszlosci. To przykre ale w praktyce tak to niestety wyglada ze poki nie stanie sie jakas wielka katastrofa to problem pozostanie niezauwazony. To tak samo jak z powiedzeniem ze ludzie dziela sie na tych ktorzy archiwizuja dane i na tych ktorzy beda archiwizowac.

  16. Żeby wymienić milion licencji Windows XP czy WIndows 7 na milion instalacji porządnie skonfigurowanego Debiana żadnych miliardów nie trzeba.

    Na zmianę MS Office na Libreoffice też nie trzeba miliardów.
    Pewnie troszkę specjalistycznych programów trzeba by przerabiać na Linuxa, ale to też nie są wielkie koszty, bo żaden producent nie zrezygnuje z kontaktów z administracją publiczną,a 99% softu w urzędach to są rożne ewidencje i obliczanie podatków, czyli programy są tylko końcówkami do baz danych.

    Z najważniejszych programów dla administracji pasjans jest w repozytorium, gadu-gadu można na kilku komunikatorach odpalić.
    Ciekawe, ile miliardów by kosztowała taka migracja w choćby jednym Urzędzie Powiatowym. xD

    Pozdro

    • Monachium jednak rezygnuje z Linuksa mimo 10 lat wdrażania, więc nie jest to takie proste.

    • Monachium rezygnuje bo problemem są inne urzędy w Niemczech które podobnie jak np. polski NCBiR, US, COP-y,Urzędy Miasta, Zus-y zatrudniają ludzi którzy nie potrafią zrobić zwykłej tabelki w Wordzie. Widziałem ostatnio dokument NCBiR który posiadał tabelki zrobione LINIAMI i MACRAMI! k*rwa! 99% dokumentów można napisać w pierwszym lepszym edytorze tekstu, potrzebna jest JEDNA CZCIONKA (po co więcej?!!!), możliwość osadzania zdjęcia na środku kartki, i możliwość stworzenia tabeli z komórkami RÓWNO PODZIELONYMI i koniec, nic więcej nie potrzeba aby stworzyć każdy dokument na świecie.

    • @Tomasz Miroszkin – Bo w polskich urzędach są zatrudniani nie po kompetencjach, tylko po znajomości! A w szkołach nauka “informatyki” to najczęściej lekcje grania w gry sieciowe albo pisanie na portalach społecznościowych! A nauka narzędzia biurowego, to tylko produkt MS Windows i jak każdy przedmiot, OLEWANA PRZEZ UCZNIÓW! Dlatego nie miejmy pretensji, że w urzędach pracują w przerażającej większości na stanowiskach informatyków, osobnicy określani jako mousefucker. A urzędas jakby miał wybór, albo praca na LibreOffice albo wylot z urzędu… To od razu nie byłoby problemu! Ale to kwestia zarządu urzędu! A niezgodność pism między urzędami, to pokłosie braku standaryzacji formatów! Format (doc) ma tyle wersji ile było MS Wordów! Format oparty o html jest jednolity i co więcej, zgodny z formatem publikowanych stron internetowych! Ale to wycina z rynku przetargi czyli także potencjalne wziątki! A jak nie wiadomo o co chodzi, to wiadomo o co chodzi! Nawet przedszkolaki wiedzą!

  17. Służby takie jak ABW podczas śledztw cyfrowych, korzystają z pomocy “prywatnych specjalistów”, zazwyczaj po prostu właścicieli małych sieci których przekupują “brakiem problemów w skarbówce” itp. ABW w Polsce stworzyło rozbudowane struktury mafijne, ochraniają przestępców nie rozumiejąc nawet skali ich przestępstw, w zamian za np. nieograniczony dostęp do niedużej sieci i pomoc przy włamaniach, posłuchach itp. To jest PATOLOGIA nie do zlikwidowania, próba reorganizacji ABW skończyłaby się się wyrzuceniem z “pracy” połowy agentów którzy podobnie jak WSI czy Straż Graniczna przeszliby całkowicie do pracy dla mafii. Dla tego kraju nie ma już ratunku, to bananowa republika. Nawet jeżeli obecny rząd, który próbuje to naprawić, chciałby to rozwalić, narobi jeszcze większych szkód. Statek POLSKA już utonął… tylko pasażerowie jeszcze tego nie zauważyli bulaje nie popękały. Jedynym rozwiązaniem byłoby powołanie na początek doskonałego zespołu informatyków śledczych, zupełnie niezależnego niedużego tworu, baaaardzo dobrze opłacanego. Przypomnę że poziom wynagrodzenia “żołnierzy ABW” to poziom zarobków dobrego spawacza, łatwo ich było skorumpować. Są skorumpowani głównie przez niemieckie firmy wywiadowcze.

    • To że w Polsce działa świetnie zorganizowana mafia nie oznacza że Polska utonie. Mafie funkcjonują w każdym kraju, a mimo to wszystko jakoś się trzyma. Mafii nie jest na rękę by “ukatrupić Państwo” bo wtedy straci władzę. Mafię można porównać do pasożyta który żeruje na żywym organizmie, ale go nie zabija – bo śmierć dla tego organizmu oznaczałaby śmierć dla niego samego. Także Tomasz o ile to co mówisz jest prawdą to jak widzisz nie warto popadać w histerię.

    • Możemy się pocieszać “rozsądną mafią” ale to fikcja. Ci ludzie pobudowali duże firmy i aby utrzymać te kolosy nie przynoszące dochodu, kradną jeszcze więcej. Takich wydmuszek na dolnym śląsku są dziesiątki tysięcy. Już na pierwszy rzut oka nie mają prawa przynosić dochodu, to są idiotycznie drogie pralnie. Zobaczysz za kilka lat jak wyjdą tematy wydobycia na potęgę złota, platyny, renu i tantalu, oczywiście nielegalnego wydobycia. To dopiero będzie ciekawe bo to wszystko powiązane jest z KG.., Eco… itd. Tam są wykradane miliardy. Ten “lewy szmal” niczego nie napędza, on rujnuje konkurencyjność. Uczciwe firmy nie mają szans i padają.

    • > ABW w Polsce stworzyło rozbudowane struktury mafijne
      > ochraniają przestępców nie rozumiejąc nawet skali ich przestępstw,
      > w zamian za np. nieograniczony dostęp do niedużej sieci i
      > pomoc przy włamaniach, posłuchach itp.

      Jakie “nieduże sieci” masz na myśli?
      Można prosić jakieś źródła, dowody, dokumenty, poszlaki?…

  18. Buuuuu.
    Zróbcie program anty wirusowy – taki na poziomie.Kiedyś był MKS virus i był całkiem niezły. Będziecie mieli z tego i kasę i doświadczenie z 1 lini.

  19. @pomysł utworzenia dodatkowych CSIRT-ów “sektorowych” co może mieć trojakie skutki:
    […]
    – zwiększy ryzyko, że CSIRT-y będą dublować swoje kompetencje”
    .
    Tego bym się nie obasiał aż tak, bo o wiele bardziej realne jest powszechne uprawianie spychologii.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.