Jak właśnie poinformował MAC "powstał zespół zadaniowy do spraw ochrony portali rządowych".

Ja tylko przypomnę, że w 2010 roku MSWiA opublikowało Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016. Oceniałem go wówczas bardzo pozytywnie zauważając wszakże, że sama publikacja nawet najlepszego programu nic nie zmienia.

Skoro na stronach kluczowych urzędów nadal można znaleźć oczywiste dziury to albo program ten nigdy nie wyszedł poza stadium projektu (ostatnie modyfikacje na stronie pochodzą sprzed 2 lat) albo wkróce po publikacji wszyscy o nim starannie zapomnieli. Same prace "zespołu zadaniowego" mogą być więc niezwykle ciekawe z akademickiego punktu widzenia, i równocześnie nic nie zmienić w rzeczywistości. Nie widzę po prostu racjonalnego wytłumaczenia dlaczego nie miałyby one być w praktyce potraktowane tak samo jak poprzednie inicjatywy tego typu.

Nieprzypadkowo norma ISO 27001 w punkcie A.6.1.1 mówi o konieczności zapewnienia wsparcia zarządu dla wszelkich inicjatyw tego typu. Średni szczebel patrzy bowiem na swoich dyrektorów i urzędy szczebla wyższego. Tymczasem w naszej kulturze rozpowszechniony jest raczej pogląd, że nie po to się zostaje dyrektorem, żeby przestrzegać zasad przeznaczonych dla śmiertelników.

Andrzej Talaga na blogu "Rz" pyta z niepokojem: "Czy Polska ma skuteczne zabezpieczenia systemów komputerowych istotnych dla funkcjonowania państwa i gospodarki? Czy wypracowaliśmy strategię postępowania w wypadkach cyberataku?". Podobne pytania stawia też w CW Sławek Kosieliński.

Odpowiedź na te pytania może być tylko jedna: tak, oczywiście. Mamy tych strategii i procedur na kopy. Przecież nad ich opracowywaniem trudzą się od lat posłowie i urzędnicy poszczególnych resortów, więc ich praca z pewnością nie idzie na marne.

Wiadomo przecież, że od "powodzi stulecia" w 1997 roku mamy doskonałe procedury przeciwpowodziowe (co pamiętają powodzianie z kolejnej "powodzi stulecia" w 2010 roku).

Mamy też wyśmienite procedury bezpieczeństwa lotów wojskowych i rządowych wykonywanych samolotami wojskowymi. Zupełnie niedawno niezwykle wysoki poziom procedur przeciwpożarowych zademonstrowała także w centrum Warszawy polska kolej.

Teraz z kolei kultowy admin1 dowodzi wysokiej dojrzałości procedur zarządzania zasobami informatycznymi w polskiej administracji (dla mnie takim dowodem była też publikacja ACTA przez MKiDN w postaci 25 MB skanu).

Nie zapominajmy też o doskonałych wytycznych regulujących sposób tworzenia nowego prawa przez poszczególne resorty i gwarantujących jego wysoką jakość. Są one stosowane tak konsekwentnie, że tylko złą wolą niecnych grup nacisku można wyjaśnić kłopotliwe tłumaczenie się rządu z kilku kolejnych aktów prawnych (chronologicznie: ustawa hazardowa, ustawa odpadowa, ustawa refundacyjna no i teraz ACTA).

No, ale w każdym z tych przypadków "państwo przetrwało", więc nie ma się co martwić...

Jeśli politycy mieli jakieś wątpliwości czy należy internautów wziąć za mordę to zapewne już się ich pozbyli. Weekend upłynął pod hasłem padających serwisów polskiej administracji. Ta ostatnia twierdzi, że to od obciążenia. Inni twierdzą, że miał miejsce defacement strony Sejmu (Hakerzy z Anonymous zablokowali strony Sejmu i premiera), a pod marką Anonymous szykują się liczne ataki DDoS na kolejne strony. Przez pewien czas można było sobie nawet zagłosować, która strona ma paść jako kolejna (Awaria strony sejm.gov.pl nie zaczęła się od DDoS). Jak jednak trafnie zauważył Piotrek "chyba fun factor wziął już górę nad hacktywizmem".

Oczywiście trudno się oprzeć pewnej atawistycznej satysfakcji gdy negatywny bohater zostaje wywieziony na taczkach ale ktoś mógłby oponować, że mamy do czynienia z demokratycznie wybranym rządem. W tej sytuacji protestowanie przez ddosowanie stron rządowych ma z demokracją i racjonalnym stanowieniem prawa mniej więcej tyle samo wspólnego co palenie opon i rzucanie śrubami w celu wymuszenia przywilejów przez rozmaite grupy zawodowe.

Co gorsza, postraszeni politycy mają skłonność do bezkrytycznego słuchania resortów nadreprezentowanych przez wąsatych pułkowników z epoki generała Milewskiego. W większości raportów na temat zagrożenia cyberterroryzmem i hacktivismem powtarzana jest jak mantra historia ataków na serwery estońskie z 2007 roku. Nie muszę chyba dodawać, że ich autorzy surfują na tej fali w kierunku pomysłów regulacji Internetu takich jak opisane przeze mnie niedawno (Problem urojony).