www.gitd.gov.pl – serwer dedykowany w OVH

Informacja publiczna uzyskana w dniu 16.02.2015, w odpowiedzi na wniosek z dnia 15.02.2015 skierowany do Głównego Inspektoratu Transportu Drogowego. Zgodnie z duchem art. 13 ust. 1 ustawy – czyli bez zbędnej zwłoki.  Interesowały mnie tryb i kryteria wyboru dostawcy usługi hostingowej wykorzystywanej do utrzymania strony internetowej http://www.gitd.gov.pl/ a także treść, wartość oraz okres obowiązywania umowy na tę usługę.

Treść odpowiedzi:

GITD-odpowiedz-2015-02-16

Wspomniany w odpowiedzi Regulamin Zamówień Publicznych, w obecnym brzmieniu ustalony został zarządzeniem nr 10/2015 Głównego Inspektora Transportu Drogowego, które jest dostępne online.

Szczególnie zainteresowało mnie stwierdzenie:

Nie zawierano umowy – jest to standardowa usługa dzierżawy serwerów dedykowanych w fimie OVH Sp. z. o.

Pani Kobylska twierdzi, że GITD zawarł umowę dzierżawy nie zawierając umowy, a jednocześnie płaci za tę (bezumowną) dzierżawę 7679 złotych i 88 groszy rocznie. Intrygujące.

Na końcu pojawiają się formułki dotyczące mojej odpowiedzialności za błąd nadawcy, a także ochrony środowiska naturalnego – czyli Corporate email bullshit.

Zastanawia mnie, który podmiot w tym układzie biznesowym, z “bezumowną” dzierżawą w tle, dba o to, aby przedmiotowy serwer i informacje na nim przetwarzane były objęte oddziaływaniem systemu zarządzania bezpieczeństwem informacji, o którym mowa w § 20 Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Kto dba o zapewnienie dostępności informacji – na przyklad przyłączając serwer z użyciem nadmiarowych łącz do Internetu i chroniąc serwer fizycznie, przed celową bądź przypadkową manipulacją jego stanem. Zgaduję, że GITD nie oddelegowało pracowników do Roubaix w tym celu. Zapewne dba o to dostawca, tylko GITD o tym nie wie…

Oprogramowanie serwera również cierpi na  parę bolączek, ale to temat na osobne zapytanie o dostęp do informacji publicznej:

GITD-reverse-proxy-176.31.238.14.png

Czy kontrola paszportowa zwiększa bezpieczeństwo lotu?

Na forum lotnictwo.net.pl pojawił się ciekawy wątek. Jego autor poddaje w wątpliwość czujność służb bezpieczeństwa w porcie lotniczym im. Chopina w Warszawie:

Wróciłem w niedzielę z Madrytu[…] My z żoną lecieliśmy przez WAW (lotnisko Chopina w Warszawie – przyp. aut.) i CDG (lotnisko Charles de Gaulle w Paryżu – przyp. aut.), przyjaciółki przez Modlin. Po raz kolejny na Okęciu NIKT nie sprawdził żadnego naszego dowodu tożsamości. Boarding passy wydrukowane w domu czy na telefonie, dotknięcie przy wejściu do security, dotknięcie przy boardingu i tyle. W Paryżu żadnej kontroli takoż. Miałem już tak bardzo wiele razy.
[…]Na pewno się obudzą jak coś się stanie. Czy naprawdę potrzebujemy zawsze jakiś intensywnych bodźców żeby wykonywać należycie zadania, to przecież powinna być rutyna

W jednym z kolejnych postów dodaje:

Procedury bezpieczeństwa są od tego, żeby ich przestrzegać – choćby po to, żeby na pokład samolotu nie wszedł ktoś o kim wiadomo, że ma powiązania z terrorystami. Jeśli to złe prawo, to trzeba je zmienić ale nie przez jego ignorowanie.

Można to skomentować dwojako – po pierwsze, z punktu widzenia obowiązującego prawa, po drugie z perspektywy wpływu przestrzegania domniemanej procedury na bezpieczeństwo lotu.

W art. 14 Ustawy o ochronie granicy państwowej ustawodawca postanowił:

1. Przekraczanie granicy państwowej jest dozwolone na podstawie dokumentów uprawniających do jej przekroczenia.
2. Dokumenty, o których mowa w ust. 1, określają odrębne przepisy, w tym umowy międzynarodowe, których Rzeczpospolita Polska jest stroną, lub przepisy prawa Unii Europejskiej.
3. Przekraczanie granicy państwowej stanowiącej granicę wewnętrzną w rozumieniu przepisów rozporządzenia (WE) nr 562/2006 Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. ustanawiającego wspólnotowy kodeks zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen) (Dz. Urz. UE L 105 z 13.04.2006, str. 1), zwanego dalej “kodeksem granicznym Schengen”, następuje na zasadach określonych w kodeksie granicznym Schengen.

 Z kolei Rozporządzenie (WE) nr 562/2006 Parlamentu Europejskiego i Rady (“kodeks graniczny Schengen”) zawiera następujące przepisy:

Artykuł 20 Przekraczanie granic wewnętrznych
Granice wewnętrzne mogą być przekraczane w każdym miejscu bez dokonywania odprawy granicznej osób niezależnie od ich obywatelstwa.

Artykuł 21 Odprawa na terytorium
Zniesienie kontroli granicznej na granicach wewnętrznych nie wpływa na:
a) wykonywanie uprawnień policyjnych przez właściwe organy Państw Członkowskich na mocy prawa krajowego, o ile wykonywanie tych uprawnień nie ma skutku równoważnego z odprawą graniczną; ma to zastosowanie również do obszarów przygranicznych. W rozumieniu zdania pierwszego wykonywanie uprawnień policyjnych nie może być w szczególności uznawane za równoważne dokonywaniu odprawy granicznej, jeżeli środki policyjne:
i) nie mają na celu kontroli granicznej;
ii) są oparte na informacjach i doświadczeniu policyjnym o charakterze ogólnym, dotyczących potencjalnych zagrożeń dla bezpieczeństwa publicznego i mają na celu w szczególności walkę z przestępczością transgraniczną;
iii) są opracowywane i stosowane w sposób zdecydowanie odróżniający je od rutynowej odprawy osób na granicach zewnętrznych;
iv) są przeprowadzane na podstawie kontroli wyrywkowej;

b) kontrolę bezpieczeństwa osób przeprowadzaną w portach i na lotniskach przez właściwe organy na mocy prawa każdego Państwa Członkowskiego przez funkcjonariuszy portu lub lotniska lub przewoźników, pod warunkiem że kontrola tego typu przeprowadzana jest również w stosunku do osób podróżujących po terytorium danego Państwa Członkowskiego;

c) możliwość ustanowienia przez Państwo Członkowskie przepisów o obowiązku posiadania lub posiadania przy sobie papierów i dokumentów;

d) obowiązek zgłaszania przez obywateli państw trzecich swojej obecności na terytorium któregokolwiek Państwa Członkowskiego zgodnie z postanowieniami art. 22 Konwencji z Schengen.

Biorąc pod uwagę powyższe, wygląda na to, że autor przedstawionego na początku wpisu nie ma racji. Służby ochrony lotniska, na podstawie art. 36 ustawy o ochronie osób i mienia mają prawo ustalania uprawnień do przebywania na obszarach lub w obiektach chronionych oraz legitymowania osób w celu ustalenia ich tożsamości, ale nie mają takiego obowiązku. Prawdopodobnie przekonanie o konieczności weryfikacji tożsamości pasażerów bierze się z częstej praktyki przewoźników lotniczych, polegającej na porównaniu nazwiska na karcie pokładowej z dokumentem tożsamości. Praktyka ta wynika z regulaminu przewoźnika i zazwyczaj ma na celu uniemożliwienie odstąpienie biletu innej osobie bez wniesienia opłat przewidzianych w cenniku. Dla potwierdzenia – rzut oka na informacje dla podróżnych opublikowane przez port lotniczy, a tam w dziale kontrola dokumentów stoi czarno na białym:

Po odprawie biletowo-bagażowej oraz kontroli bezpieczeństwa pasażerowie podróżujący z Warszawy do portów lotniczych w państwach spoza strefy Schengen przechodzą przez kontrolę dokumentów prowadzoną przez Straż Graniczną.

Zakładając, że autor w takim razie postuluje obowiązek sprawdzania tożsamości pasażerów, warto zadać sobie pytanie jaki to ma sens. Czy wiadomość, że danym lotem na pewno podróżuje Jan Kowalski a nie Adam Nowak zwiększa bezpieczeństwo lotu i jego pasażerów? W przeciwieństwie do autora, nie miałbym oporów lecieć razem z Osamą bin Laden, jeżeli obowiazujące procedury bezpieczeństwa byłyby przestrzegane – to znaczy w bagażu podręcznym ani rejestrowanym tego współpasażera nie byłoby przedmiotów uznanych za niebezpieczne. Z drugiej strony, weryfikacja tożsamości po to, żeby na pokład samolotu nie wszedł ktoś o kim wiadomo, że ma powiązania z terrorystami wydaje się być kiepskim pomysłem. Po pierwsze nie wiadomo jaka miałaby być definicja powiązania z terrorystami, po drugie kto miałby tworzyć, aktualizować (jak często) i przetwarzać taką listę, po trzecie czy z tej listy można by się wypisać. Wypisz, wymaluj – no-fly list z wszystkimi jej wadami – od fałszywych alarmów, z niemowlętami włącznie, po łatwość jej ominięcia przez prawdziwych terrorystów (np. używając fałszywego dokumentu tożsamości).

Przymusowa weryfikacja dowodu tożsamości sprawiłaby kłopot zwykłemu podróżnemu, który zapomniał zabrać dowód osobisty, ale z dużym prawdopodobieństwem nie stanowiłaby żadnej przeszkody dla terrorysty, posiadającego przy sobie czysty jak łza paszport kupiony od odpowiedniego specjalisty. Założenie, że ktoś o kim wiadomo, że ma powiązania z terrorystami i stanowi zagrożenie dla bezpieczeństwa lotu, będzie posługiwał się dokumentem ujawniającym jego prawdziwą tożsamość (a co za tym idzie – owe powiązania) jest naiwne. Jeżeli z kolei ma powiązania z terrorystami ale nie stanowi zagrożenia dla bezpieczeństwa lotu to dlaczego akurat służby ochrony lotniska czy też pracownicy linii lotniczych mieliby się taka osobą zajmować (a nie na przykład policja, czy też inne powołane do tego celu służby)zakładając, że na to powiązanie z terrorystami jest jakiś paragraf.

Weryfikacja tożsamości może mieć sens, ale w innym modelu kontroli bezpieczeństwa, np. takim jaki stosowany jest na lotnisku Ben Gurion w Tel Awiwie. Okazanie dokumentu stwierdzającego tożsamość jest tam tylko wstępem do jej badania, a nie celem samym w sobie. Kontrola dokumentów połączona z dość intensywnym wywiadem może zająć nawet kilkadziesiąt minut, ale za to nie musiałem zdejmować butów ani pozbywać się napojów (powyżej 1l.) z bagażu podręcznego przed prześwietleniem, a mój pasek ze stalową sprzączką nie stanowił problemu przy przejściu przez wykrywacz metali.

Zasada czystego biurka – clean desk policy

CC BY-NC-SA 2.0 Tal-Bright
CC BY-NC-SA 2.0 Tal Bright

Przemierzałem budynek, w  którym obowiązuje zasada czystego biurka (clean desk policy), a na ścianach co kilka metrów wiszą plakaty przypominające o tym fakcie. Mijając małą salę konferencyjną zobaczyłem stół przygotowany dla trzech osób, na nim dokumenty, a w promieniu kilku metrów nie było żywej duszy. Zdjęcia brak, bo wykonywanie zdjęć było zabronione (ale jak wiadomo, norma prawna zapisana w art. 278 Kodeksu Karnego nie jest respektowana przez złodziei, a intruz niekoniecznie będzie zainteresowany przestrzeganiem polityki bezpieczeństwa).

FireEye, FPC, DLP, IPS i inne słowa kluczowe dobrze sie sprzedają. Niestety najsłabszym ogniwem byli i są ludzie, a nie środki techniczne. Z drugiej strony nie ma lepszej ochrony niż zespół dobrze wyszkolonych, inteligentnych osób.

Ciekawe jak często można pracownikom przeprowadzać szkolenie z podstaw bezpieczeństwa – unikając zmęczenia materiału i mechanicznych odpowiedzi pozbawionych odrobiny refleksji – tak żeby każdy cykl szkoleń zmniejszał liczbę klikniętych linków, otwartych załączników w niezamawianej korespondencji elektronicznej, czy też pozostawionych na biurku przedmiotów.

W tym temacie: ciekawa decyzja administracyjna dotycząca poświadczenia bezpieczeństwa.

Bezpieczna komunikacja przy użyciu pojemnika z moczem

Nie wiem jak często przedstawiony poniżej sposób komunikowania się jest wykorzystywany, ale niewątpliwie jest prosty a zarazem dość bezpieczny – a tych dwóch kryteriów łącznie nie spełnia np. GPG – tutaj instrukcja wysyłania zaszyfrowanej wiadomości.speak-in-confidence

Dla wyjaśnienia – ulotka, pojemnik oraz naklejki zlokalizowane są w toalecie dla pacjentek. Pojemnik (oznakowany lub nie) pacjentka pozostawia na półce w środku, a personel regularnie odbiera cały zestaw pojemnikó. Dość skutecznie blokuje to możliwość przechwycenia wiadomości przez osobę niepożądaną.

W Wielkiej Brytanii położne rutynowo odpytują ciężarne czy mają wsparcie w domu, czy mają jakieś problemy, a czasami wprost – czy nie są ofiarami przemocy. Często podczas spotkania obecny jest mąż/partner pacjentki – co oczywiście stanowi przeszkodę, jeżeli jest on domniemanym sprawcą. Jednym ze sposobów na ominięcie tego problemu jest sprowokowanie sytuacji sam na sam przy użyciu różnych zabiegów socjotechnicznych, ale oprócz tego, jak widać na załączonym powyżej obrazku, istnieje dodatkowy kanał komunikacji.

“Proszę pozostawić nam próbkę do analizy – w toalecie, na ścianie po lewej stronie jest instrukcja.”