Choć rzadko trafia na pierwsze strony gazet, cyberbezpieczeństwo w armii jest niezwykle ważne dla bezpieczeństwa całego kraju. Jak dzisiaj wygląda i dokąd zmierza – o tym opowie w naszej audycji dyrektor NCBC, generał Karol Molenda.
Generał Molenda jest nie tylko dyrektorem Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni, ale także pełni funkcję Pełnomocnika Ministra Obrony Narodowej ds. utworzenia Wojsk Obrony Cyberprzestrzeni. Jest nie tylko twarzą cyberbezpieczeństwa w polskiej armii, ale także faktycznym dowódcą żołnierzy, pełniących służbę w tym obszarze. Podczas rozmowy spróbujemy dowiedzieć się, jak faktycznie wygląda stan cyberbezpieczeństwa w polskim wojsku, jakie problemy wymagają jeszcze rozwiązania i jak wojsko chce budować kadrę specjalistów, bez których nie sposób realizować zadań postawionych przed NCBC. Czekamy też na wasze pytania zadawane w trakcie audycji. Będzie o czym rozmawiać – zapraszamy w niedzielę o 21.
UWAGA: Mamy oczywiście konkursy. W konkursie głównym do wygrania jest między innymi Raspberry Pi od sponsora, firmy Fudo Security, twórcy rozwiązań do zarządzania dostępem uprzywilejowanym.
W drugim konkursie do wygrania jest darmowa wejściówka na fantastyczną konferencję Oh My H@ck!
Nagrania wszystkich wcześniejszych odcinków znajdziecie na stronie naszego programu. Tam też możecie zapisać się na powiadomienia o nowych odcinkach.
Jeśli chcecie dostawać powiadomienia o kolejnych odcinkach na swoją skrzynkę, to możecie zapisać się na odpowiednią listę na stronie Rozmowy Kontrolowanej.
Czy będzie Stefan?
To się okaże. Do zobaczenia na żywo w niedzielę. Poniżej gotowy link – możecie oglądać nawet z tego artykułu.
Komentarze
A propos bezpieczeństwa i w sumie nie tylko: płacąc kartą w markecie jakie dane są przetwarzane i przez kogo?
A jakie dane i przez kogo są przetwarzane płacąc zegarkiem za pomocą google pay ?
Czy wojsko nadal stoi na Windows 7, niewspieranym i niebezpiecznym?
Dlaczego dane osobowe żołnierzy są przetwarzane na komputerach z Windows 10 podłączonym do Internetu? Dlaczego w WKU jest Windows a nie Linux?
Czy Pan Generał i w ogóle cyberludzie w wojsku są świadomi szpiegującej roli części zamkniętego oprogramowania, w tym Microsoftu? Jeżeli tak, to dlaczego pozwalają na ich używanie w siłach zbrojnych?
Dlaczego w instytucjach wojskowych (uczelniach, instytutach, jednostkach) na desktopach króluje Windows, a Linuksa się nie uświadczy w ogóle? Dlaczego wojsko nie zmusza swoich pracowników do przejścia na Linuksa i LibreOffice, tylko wydaje krocie na licencje MS?
Odpowiem na część pytań zamiast gościa.
Wojsko ma generalnie dwie sieci, których istnienie nie jest żadną tajemnicą (wystarczy wpisać ich nazwy w gugle): 1. MILNET-I (dawniej InterMON – sieć „do pierdół”, z dostępem do internetu, ale mocno filtrowanym (nie działają pudelki, fejsy ani poczty), użytkownicy bez uprawnień admina. 2. MILNET-Z (dawniej MilWAN) – intranet, sieć bez styku z internetem, fizycznie odseparowana. Podłączysz pendrive-a, a możesz mieć przewalone.
Nie wiem gdzie są dane osobowe, ale czemu miałyby być w sieci z internetem? A jak masz konto w banku, to gdzie masz dane osobowe?
Dawno już nie widziałem komputera z Win7 w MILNET-Z. Było polecenie żeby przeinstalowywać, to przeinstalowali. Użytkownik sa musi zabezpieczyć swoje dane, a instalacja leci chyba po PXE (a na pewno z centralnego serwera – nic nie trzeba ręcznie instalować), więc wysiłek dla admina znikomy. Zapewne kompy z Win7 przestałyby się logować do AD.
A co do Linuksa, to dobre pytanie. Może kwesta braku fachowców? Łatwiej jest znaleźć poprzez przetarg firmę, która wdroży coś na Windowsie niż kogoś od Linuksów. Wojsko nie może sobie zamówić „wolnych strzelców” od Linuxa, tylko musi przyjąć jakieś kryteria, które da się zapisać (np. certyfikaty). Ale fakt – kosztuje to krocie.
„Podłączysz pendrive-a, a możesz mieć przewalone”
Chcesz nam wmówić że działający w tej sieci system DLP jest odporny na hacking?
Tak, na milion pińcet procent!
PS A czym się różni „możesz” od „będziesz miał”? ;P
No i przyjęli kryteria…
Jak wojsko chce ochronić infrastrukturę krytyczną przed atakami podczas wojny hybrydowej? Chodzi mi szczególnie o stacje uzdatniania wody i elektrownie. Czy sami budujemy kompetencje do kontrataków w tej dziedzinie?
W zadaniach NCBC na stronie głównie jest mowa o kryptologii. Kto/co z założenia jest głównym celem działań, obce wywiady na terenie kraju czy komunikacja przeciwnika pozyskana przez nasz wywiad?
Pełny obraz sytuacyjny i metadane pojazdów/indywidualnych żołnierzy to podstawa nowoczesnego pola walki. Jak wojsko buduje kompetencje, do ataku/obrony w tym zakresie?
Nie jestem z NCBC, nie jestem też z MON ale akurat wiem, że Wojsko stosuje w wielu miejscach, rozwiązaniach systemy OS Linux (najczęściej Red Hat Linux Enterprise). Tak systemy Windows (w wielu miejscach Win10 czy Windows Server 2016) też stosuje ale należy zacząć od podstaw, od tego ze NCBC bardzo skutecznie zabezpiecza i separuje niejawne zasoby infrastruktury chronionej. Tego nie można pomijać w jakiejkolwiek dyskusji na temat cyberbezpieczenstwa. Jest ustawa o ochronie informacji niejawnych i restrykcyjnie musi być, i co ważne jest, przestrzegana. Do internetu mogą być podłączone tylko jawne zasoby.
Zachęcam do poczytania o urządzeniach DATA-DIODE (polskich, dostępnych na polskim rynku).
Mając na uwadze bezpieczeństwo infrastruktury chronionej (np. dostęp z Internetu do chronionego systemu) urządzenia DATA-DIODE gwarantują w 100% JEDNOKIERUNKOWE przesyłanie danych dzięki galwanicznej (fizycznej) separacji oraz gwarantują pełne zachowanie poufności infrastruktury chronionej. Tak 100%.
Wojsko takie rozwiązania w bardzo wielu miejscach już stosuje, cywilny rynek mniej (choć niektórzy też już stosują), ale zmienia się to mając na uwadze ustawę o Krajowym Systemie Cyberbezpieczeństwa (operatorzy usług kluczowych w pewnym sensie zostali wreszcie zmuszeni do wdrażania skutecznych zabezpieczeń, do weryfikacji, refleksji nad tym czy to co mają jest wystarczające, bo nie wszędzie zapewne jest, i refleksji czy więcej się nie da zrobić, bo zapewne się da.
Zestawy DATA-DIODE pozwalają również budować rozwiązania zapewniające DWUKIERUNKOWĄ wymianę danych z wzajemną separacją kanałów transmisji oraz całkowitą kontrolą nad każdym z kierunków.
Dodatkowo a propos systemów OS, NCBC na bieżąco aktualizuje poprawki krytyczne i bezpieczeństwa dla RHEL oraz dla Win (dystrybuowanych we WSUS).
Zatem wszelkie podatności są na bieżąco eliminowane a dostępu z internetu do tych chronionych zasobów i tak nie ma (to ad podnoszonego szpiegowania w produktach Microsoft).
Pewnie tyle warte te polskie urządzenia co polski szyfrowany komunikator. A nie ma łatwiejszego przeciwnika do zaskoczenia od takiego który myśli że jest w 100% chroniony.
Widzisz, verify to mógłbyś napisać jakbyś wiedział, zainteresował się o co dokładnie chodzi, jakbyś wiedział co komentujesz, a chyba nie wiesz bo wspominasz przy okazji o komunikatorze. Mówimy o innych zagadnieniach.
Dodatkowo od razu zakładasz, że polskie to gorsze. Starsze pesele prezentowały długo taką postawę w odniesieniu do wielu polskich produktów, że są z założenia gorsze, wielu zmieniło zdanie. Młodsi nie są tym podejściem natywnie skażeni.
No wyobraź sobie, że urządzenia DATA-DIODE istnieją, nawet takie, które posiadają certyfikat bezpieczeństwa teleinformatycznego wydany po maksymalnie wnikliwej analizie przez SKW (skrót rozkodujesz z tej rozmowy kontrolowanej).
Rozwiązania DATA-DIODE nie są i nie będą do przejścia przez żadnych hakerów, bo m.in. ich konstrukcja uniemożliwia zamianę kierunków nadawania/odbioru w separatorach światłowodowych. Galwaniczna czyli fizyczna separacja części nadawczej od odbiorczej uniemożliwia w 100% naruszenie zasobów infrastruktury chronionej.
Poczytaj w sieci o urządzeniach DATA-DIODE zanim będziesz pisał takie jak podsumowania.
A Dworczyk i ferajna i tak z poczty na wp.pl i innych gmailach korzystali, żeby przesyłać informacje, o których poufność wypadało lepiej zadbać.
Obrazowo: mamy super fajny garnek, w który zainwestowaliśmy kupę kasy i bardzo o niego dbamy, ma mega szczelną pokrywkę i w ogóle, ale… dziurą w boku cała zupa wycieka.
Jak się ma do tego kwestia przestrzegania zasad wynikających z ustawy o ochronie infomacji niejawnych? Nie powinno być tak, że w wyniku takiego działania panowie politycy powinni doświadczyć szybkiego i trwałego anulowania poświadczenia bezpieczeństwa osobowego (jeśli w ogóle je mają) i nie mieć już nigdy więcej dostępu do jakichkolwiek informacji, które nie są publicznie dostępne?
Bardzo dobre pytanie, sam sobie je zadaje jaki posiadacz poświadczenia T/NS. Myśle ze znamy odpowiedz jak powinno być i co by zrobiono wobec nas w podobnej sytuacji …
> NCBC bardzo skutecznie zabezpiecza i separuje niejawne
> zasoby infrastruktury chronionej. Tego nie można
> pomijać w jakiejkolwiek dyskusji na temat
> cyberbezpieczenstwa
Jasne, ale systemy czy dane opatrzone klauzulami to tylko jedna strona medalu. Uważam, że państwo (w tym wojsko) nie powinno pozwalać na przetwarzanie danych zwykłych, osobowych, a także danych wymagających szczególnej ochrony (dawniej: danych wrażliwych) – czyli na przykład medycznych, na systemach Microsoftu podłączonych do Internetu (jednym z zagrożeń jest choćby microsoftowa telemetria).
Pacjenci w państwowym szpitalu powinni mieć swoje dane chronione nie gorzej niż żołnierze czy funkcjonariusze. A tak nie jest.
W połączeniu z kretyńską „cyfryzacją” polskie służby zdrowia, prywatność danych medycznych staje się fikcją. I nie mówcie, że NFZ, szpitale czy uczelnie medyczne stoją na Linuksie, bo to nieprawda. Wszędzie królują zamknięte rozwiązania MS.
O tych i podobnych problemach można pisać bardzo długo, ale nie zmienia się nic, bo mnóstwo ludzi kwituje to nieśmiertelnym „nie mam nic do ukrycia” :(
Zgadzam się, jest jakaś nadzieja na zmianę mając na uwadze ustawę o Krajowym Systemie Cyberbezpieczeństwa (operatorzy usług kluczowych w pewnym sensie zostają wreszcie zmuszeni do wdrażania skutecznych zabezpieczeń i nie mogą udawać, że to co mają jest wystarczające, bo nie wszędzie jest, i że więcej się nie da, bo jednak się da).
O jakim bezpieczeństwie mowa?
Informatycy w Wojsku zajmujący stanowiska cywilne podlegają pod Korpus Służby Cywilnej. W odróżnieniu od pracowników cywilnych innych służb, w Wojsku podwyżki zostały zamrożone w 2019 r. Nie dotyczy to oczywiście żołnierzy, którzy wynagradzani są z innego źródła.
Od wielu lat fundusze przeznaczone na edukację żołnierzy, jak również pracowników cywilnych na najniższych szczeblach, leżą i kwiczą. Ludzie prezentujący jakąś wiedzę informatyczną uciekają po góra 3 latach pracy za pensję z mnożnikiem kwoty bazowej na poziomie 1,6-1,8. Dla mniej zorientowanych – to daje 3251-3657 zł brutto. Nawet doliczając wysługę lat w maksymalnej wysokości 20%, otrzymujemy gołą pensję na poziomie 4389zł brutto. Oderwany od łopaty szeregowy na wejściu dostaje 4400 zł. Jakieś pytania?
Jak nie ma chętnych na tak „intratne” stanowisko, to zapycha się wakat informatykiem z innej jednostki, za pomocą rozkazu (informatyk w mundurze) lub porozumienia Komendantów (informatyk cywilny). Nie! Informatyk nie dostaje z tego tytułu dodatkowej pensji, a często nawet premii uznaniowej w macierzystej instytucji.
Zostają pasjonaci, którzy dorabiają w innych firmach lub prywatnych biznesach. O umiejętnościach sporej części „łącznościowców” w mundurach nie będę się nawet próbował wypowiadać, bo cisną mi się na usta niecenzuralne słowa. Nie należy zapominać o stałej wojence między wszystkimi poziomami administratorów. „Góra” zawsze wie najlepiej. Piszecie o aktualizacjach WSUS. Do niedawna nikt o zdrowych zmysłach na nie nie mógł liczyć, bo miały opóźnienie na poziomie kilku miesięcy i bez oddolnej inicjatywy AL stacje były podatne na dawno upublicznione ataki. Czy wspominałem już, że systemy serwerowe MS do tej pory nie mają aktualizacji automatycznych? Wykorzystywane NAS Synology z systemem fabrycznym, z zainstalowanymi i włączonymi zbędnymi pakietami fabrycznymi. O migracji serwerów MSSQL do nowszych wersji nikt nie słyszał, nie mówiąc nawet o łataniu starych wersji. To samo dotyczy pakietów Office. Do niedawna nie łatane, podatne na ataki przestarzałe wersje instalowane z centralnych serwerów w postaci ZOSR. Urządzenia sieciowe (routery, switche, zestawy VTC, VoIP) nie aktualizowane, często z minimalną konfiguracją lub bez konfiguracji. Na pytanie dlaczego nie aktualizowane, pada odpowiedź „A po co?” lub „Skoro na górze nikomu nie zależy, to dlaczego nam ma zależeć”. Wykaz dopuszczonego do użytkowania oprogramowania nieaktualny od kilku lat. Stacje robocze ze starymi wersjami firmware (BIOS,TPM,HDD/SSD,kamery,czytniki,kontrolery RAID). Informatycy są wykorzystywani do robienia wizytówek dla Komendantów, do robienia zdjęć na oficjalnych uroczystościach, do robienia kroniki, do napraw elektrycznych i wielu innych „informatycznych” zajęć. W między czasie mają oczywiście dbać o bezpieczeństwo i bezproblemowe funkcjonowanie wszystkiego w instytucjach, w których przyszło im pracować. Czy wspominałem już o nepotyzmie i kolesiostwie. Ileż to razy byli pułkownicy pracują na stanowiskach „specjalistów”, bo kilka tysięcy emerytury to za mało i trzeba dorobić gapieniem się w sufit. I wisienka na torcie. Jak masz wiedzę i próbujesz cokolwiek zmienić, to a. nikt tego nie doceni, b. musisz się dostosować lub odejść, w myśl zasady „Chu.., ale jednakowo”.
O takie bezpieczeństwo chodzi Panie Generale?
Ha! Dobre. Hasło „hu…., ale jednakowo” widzę, że w każdej jednostce obowiązuje.
Generalnie, wojsko to baaardzo „rodzinna” firma. Wszędzie żony, wojskowi emeryci, leśne dziadki, „kapciorniki” itp. Kwalifikacje? – „od dziś będziesz znał się na …”.
Niezłe pytanie ktoś zadał na czacie: „Czy pacyfista może służyć jako cyber w wojsku, jakby chciał?”
Przecież w wojsku, to są sami pacyfiści! Aby przekiblować do emerytury.
Ale spokojnie, przynajmniej pensje są niezagrożone. Niech ktoś zgadnie w jakiej technologii jest rozwijany program płacowy używany w każdej jednostce oraz z którego roku pochodzi. Można pomylić się o… 10 lat :D
Generał Karol Molenda powinien sobie Twój komentarz wydrukować i powiesić nad łóżkiem albo przykleić do blatu biurka, żeby go ta gorzka prawda każdego dnia bodła w oczy!
W ogóle, wojskowe „cyber” to dużo bicia piany, mało konkretów i przede wszystkim mało prawdziwego cyberbezpieczeństwa!
Ostatnia konferencja sprzed 5 tygodni w Wawie dobitnie to pokazała: pokazówki, lans i tysiące pustych słów! Konkretów brak!
Takie cyber na straży polskiego bezpieczeństwa wewnętrznego? Dziękuję, kur.. bardzo!
I warto dodać, że nie tylko „wojskowy” cyber w Polsce jest żałosny. Cyber w urzędach gmin/powiatów/województw, szpitalach, konsulatach polskich na całym świecie – wszędzie wygląda jeszcze gorzej niż w wojsku.
„Ostatnia konferencja sprzed 5 tygodni”
Ostatnia konferencja organizowana przez cyberwojsko była kilka dni temu, The Hack Summit :D
Gdybyś czytał uważnie i ze zrozumieniem mój komentarz, to byś sobie nie dopowiadał czegoś czego nie napisałem. Otóż nie pisałem o „konferencji organizowanej przez cyberwojsko kilka dni temu”. Sprawdź co było w Warszawie 5 tygodni temu, kto tam występował i kogo zaproszono na widownię. A było lansiarsko i żałośnie. Takie jest właśnie polskie militarne cyber!
.
Do gen. Molendy nic nie mam. Myślę że to przyzwoity człowiek. Niestety, on sam nie uzdrowi tego organizmu. Wojskowe (państwowe) cyber to dno! I nawet trochę mu współczuję!