piątek, 8 kwietnia 2016

(Nie)bezpiecznie na Narodowym

Temat cyberbezpieczeństwa ostatnio jest gorący, żeby nie powiedzieć modny. Liczba ekspertów w tej dziedzinie mnoży się wprost proporcjonalnie do liczby raportów i opracowań. Czy to dobrze, czy źle nie oceniam, za to należy przyznać, że to efekt w dużej mierze wzrastającego poziomu zagrożenia ze strony cyberprzestępców i państw prowadzących swoje operacje w cyberprzestrzeni. Warto również zauważyć, iż po destrukcyjnym raporcie NIK-u pod adresem przygotowania polskich instytucji do odparcia zagrożeń sieciowych, minister cyfryzacji Anna Strężyńska porządznie wzięła się w tym temacie do roboty, co tylko można chwalić. Z tym większym więc zaciekawieniem poszedłem na Stadion Narodowy I Polskie Forum Cyberbezpieczeństwa – CYBERSEC PL z udziałem najważniejszych postaci w kraju w zakresie budowania polskiego potencjału w cyberbezpieczeństwie (wśród obecnych:Anna Streżyńska – Minister Cyfryzacji, Bartosz Kownacki – Wiceminister Obrony Narodowej, Mariusz Stus – I Radca Wydziału Politycznego NATO, Departament Polityki Bezpieczeństwa Ministerstwa Spraw Zagranicznych, Tomasz Zdzikot – Podsekretarz Stanu w Ministerstwie Spraw Wewnętrznych i Administracji, Maciej Pyznar – Szef Wydziału Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa, Krzysztof Silicki – Doradca Dyrektora NASK, Dyrektor ds. Współpracy z ENISA, a to pomijając prezesów np. Comarchu, wysokich rangą oficerów SWW i SKW itd.). Jednym z najważniejszych wniosków płynących z konferencji było to, że nie jesteśmy przygotowani na cyberatak w sensie militarnym. Po tym, co zobaczyłem na Narodowym mogę stwierdzić, że jeśli chodzi o obronę w ogóle to nasi eksperci polegli. Pokazuje to sposób w jaki była zorganizowana dzisiejsza konferencja.

Przyszedłem na konferencję spóźniony i do tego byłem po raz pierwszy na Stadionie. Po jednym okrążeniu wokół korony odkryłem wejście do recepcji głównej, skąd do centrum konferencyjnego na drugim piętrze drogę wskazywały ładne, kolorowe tabliczki. Od razu zauważyłem, że aby dostać się do wind trzeba przejść przez drzwi z zamkiem na kartę, więc, aby nie tracić czasu podszedłem do recepcjonistki z prośbą o kartę dostępu jako uczestnika konferencji.

- Proszę iść, drzwi są otwarte - powiedziała mi bez sprawdzania, czy jestem w ogóle na jakiejś liście.

Wszedłem więc na drugie piętro. Zauważyłem towarzystwo przy stolikach z rejestracją, które nie blokowały przejścia do sali panelowej, szatni czy innych pomieszczeń użytkowanych przez uczestników konferencji. Nikt mnie w zasadzie nie powstrzymywał przed tym, aby iść dalej, nie chciał też sprawdzić czy mam identyfikator. No, ale skoro miałem akredytację podszedłem do stolika. Podałem imię i nazwisko. Dostałem legitymacje. Obsługa jednak nie sprawdziła czy ja to ja i poszedłem do sali pełnej dostojnych gości.

Przy wejściu znów zero kontroli. Mogłem mieć identyfikator, mogłem nie mieć. Bez różnicy. Już trudniej wejść na dziko do kina. Stanąłem zatem pod ścianą, bo był taki tłok. I tak sobie patrzę. Ciemno. Okien brak. Dwa wejścia od korytarza. Pułapka. I w głowie myśl - przecież nawet bramki z wykrywaczem metalu nie było. W torbie mogłem wnieść wszystko. Pewnie na żadnej innej konferencji bym się tym nie przejął, ALE przecież chodziło o wydarzenie poświęcone cyberbezpieczeństwu, na którym w jednej sali zebrały się najważniejsze osoby działające w tej dziedzinie z całego kraju.

Jaki morał z tej historii?

Należy zatem przyjąć, że jeśli jacyś szpiedzy chcieli się dostać na tę imprezę to im to ułatwiono. Nie ma co się jednak nimi tak bardzo przejmować, bo mogło być znacznie gorzej. Jakiś czas temu jeden z dziennikarzy na twitterze zastanawiał jak można było wnieść ak-47 na terminal lotniska w Brukselii. Na Narodowy dało się wnieść wszystko. I to po Paryżu i Brukseli.

Po drugie, nawet najlepsza ustawa antyterrorystyczna nie pomoże, dopóki lekkomyślność (żeby nie powiedzieć głupota) będzie przeważać. Drodzy organizatorzy, ale też politycy i eksperci od cyberbezpieczeństwa - istnieje takie pojęcie jak security mindset. Radzę się zapoznać/przypomnieć sobie i zacząć stosować w życiu codziennym. Udział w konferencji o bezpieczeństwie w elitarnym gronie w modnym obiekcie nie czyni nikogo bezpiecznym.

Jak mówiła pani minister Strężyńska na panelu, a za nią inni powtarzali, cyberatak na Polskę może się zdarzyć w każdej chwili. Takie same głosi pojawiały się wcześniej w kontekście ataków terrorystycznych. Patrząc po sposobie zabezpieczenia tak ważnej konferencji, test pod tym względem został oblany. Obyło się bez konsekwencji. Na razie.

Wkrótce szczyt NATO. Znów na Narodowym.