Technologie
Narodowa kryptologia kluczem do suwerenności technologicznej
Chociaż od lat eksperci i urzędnicy mówią o konieczności rozwijania suwerenności technologicznej, w wielu obszarach państwa brakuje spójnych i długofalowych strategii, które wymuszałyby adekwatne działania. W newralgicznych obszarach bezpieczeństwa potrzebne są decyzje, które pozwolą wykorzystać krajowe zasoby zarówno intelektualne jak i produkcyjne do budowy systemu opartego na synergii potencjałów przy zachowaniu strategicznej kontroli państwa.
Szybki wzrost zagrożeń teleinformatycznych i kolejne informacje o incydentach i naruszeniach powodują, że kwestia szeroko rozumianej cybersuwerrenności nie schodzi z agendy publicznej. Jednym z głównych zagrożeń na jakie wskazują eksperci, jest nadmierne uzależnienie od technologii i urządzeń produkowanych za granicą. Szczególnie dotyczy to systemów bezpieczeństwa narodowego i infrastruktury krytycznej.
- Nowa strategia cyfrowa da Unii technosuwerenność – mówi nowa szefowa KE Ursula von der Leyen, która za swój główny cel polityczny na najbliższe lata stawia uniezależnienie UE od amerykańskich i chińskich gigantów technologicznych. To warunek konieczny dalszego rozwoju gospodarczego, naukowego czy w obszarze innowacji. I chociaż cyfrowa strategia UE nie będzie obejmować kwestii systemów bezpieczeństwa, bo te są zarezerowane dla państwa narodowych, dla wszystkich członków wspólnoty powinien być to wyraźny sygnał ostrzegawczy.
Dlaczego budowa suwerenności technologicznych w strategicznych obszarach jest taka ważna? Z informacji opublikowanych niedawno przez „The Washington Post” wynika, że agencja CIA potajemnie wykupiła i kontrolowała szwajcarską firmę Crypto AG, produkującą zaawansowane rozwiązania kryptograficzne, które mogły służyć Amerykanom do działań wywiadowczych.
O współpracy amerykańskiej agencji wywiadowczej z Crypto AG wiadomo już było z przecieku opublikowanego w 1995 roku przez gazetę „The Baltimore Sun”, ale z informacji ujawnionej ostatnio przez „The Washington Post” wynika, że agencja CIA miała pełną kontrolę nad szwajcarską firmą. Według dziennikarzy „The Washington Post” urządzenia te były tak zaprojektowane, by z zewnątrz, bez wiedzy użytkowników można było odszyfrowywać informacje przekazywane za ich pośrednictwem.
Jednocześnie, już od 1994 roku, Crypto AG jest właścicielem firmy InfoGuard AG dostarczającej rozwiązania szyfrujące dla banków. Jest więc bardzo prawdopodobne, że w najgorszym scenariuszu Amerykanie mogli mieć dostęp do najważniejszych informacji politycznych, oraz gospodarczych i bankowych tych krajów, które z rozwiązań Crypto AGkorzystały.
W roku 1999 uchwalona została Ustawa o ochronie informacji niejawnych (znowelizowana dnia 5 sierpnia 2010 r.). Ustawa stwierdza m.in., że cyt. „urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych: albo przez ABW (w obszarze cywilnym), albo SKW” - Służbę Kontrwywiadu Wojskowego (w obszarze wojskowym).
Oba te podmioty realizują swoje ustawowe zadania w oparciu o własne polityki:
- W sierpniu 2011 roku ABW ogłosiła i wprowadziła w życie „Politykę Kryptograficzną Agencji Bezpieczeństwa Wewnętrznego”. W dokumencie tym przedstawione zostały wytyczne i zasady obowiązujące producentów rozwiązań kryptograficznych w obszarze cywilnym. W dokumencie stwierdzono m.in., że cyt. „projektowanie, wytwarzanie lub modernizacja urządzeń narzędzi kryptograficznych służących do ochrony informacji niejawnych... musi być od początku realizowane we współpracy oraz nadzorem i na zasadach określonych przez ABW”.
- Dokument o podobnym charakterze w obszarze wojskowym, pn. „Kierunki rozwoju systemu ochrony kryptograficznej w resorcie Obrony Narodowej” został wprowadzony dopiero 8 grudnia 2017 roku przez Narodowe Centrum Kryptologii (przemianowane 5 marca 2019 roku w Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni).
„Polityka Kryptograficzna Agencji Bezpieczeństwa Wewnętrznego” jest dostępna na stronie ABW, natomiast „Kierunków Rozwoju…” nie ma na stronie NCBC– chociaż nie są one niejawne. Pewne założenia można jednak znaleźć w opublikowanym na oficjalnych stronach rządowych zakresie zadań Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni. Przegląd tych ustaleń wyraźnie wskazuje na konieczność rozwijania zaawansowanych technologii informatycznych i kryptograficznych oraz to, że służby odpowiedzialne za realizację ustawowych zadań w zakresie ochrony informacji niejawnych, preferują rozwiązania narodowe, polskie.
Ustawowe, pryncypialne podejście do kwestii bezpieczeństwa informacji, umożliwiło podjęcie prac nad narodowymi rozwiązaniami, w pełni weryfikowalnymi i nadzorowanymi przez służby i zachęciło polskie firmy do badań i produkcji polskich rozwiązań kryptograficznych. Od początku 2000 roku, polscy producenci oferują wysokiej jakości urządzenia kryptograficzne służące do ochrony informacji o klauzulach Zastrzeżone i Poufne (posiadające certyfikaty ABW lub SKW).
W przypadku Służb Kontrwywiadu Wojskowego aktualnych obecnie certyfikatów wydano osiem: w tym trzy dla Wojskowego Instytutu Łączności i pięć dla spółki Enigma Systemy Ochrony Informacji Sp. z o.o. W przypadku Agencji Bezpieczeństwa Wewnętrznego sprawdzonych i dopuszczonych urządzeń jest więcej – bo jedenaście. Sześć z nich otrzymała firma Krypton Polska Sp. z o.o, a pięć otrzymała firma Enigma SOI Sp. z o.o.
Jednakże, do ochrony informacji o klauzuli Tajne, dopuszczone zostało tylko jedno rozwiązanie (o wyjątkowo małej przepustowości, jak na dzisiejsze czasy), a kompletnych rozwiązań Ściśle Tajne, zgodnie z listami publicznie dostępnymi nie ma w ogóle. Dzieje się tak, pomimo że polskie instytuty badawcze i przemysłowe są w stanie opracować i produkować również nowoczesne rozwiązania także dla najwyższych klauzul ochrony.
Bez wsparcia Agencji Bezpieczeństwa Wewnętrznego i SKW (oraz NCBC) w zakresie pozyskania modeli stosownych algorytmów oraz jasnej polityki zamówieniowej, prywatne firmy nie będą ryzykować angażowania znacznych, własnych środków na produkcję urządzeń „na półkę”. Firmy państwowe (lub spółki z udziałem skarbu Państwa), w ostatnich 10 latach nie certyfikowały żadnego rozwiązania kryptograficznego.
Siły Zbrojne RP, pozyskiwały krajowe urządzenia kryptograficzne jednostkowo i wykorzystywały je w systemach informatycznych o niższych klauzulach tajności. Sprzęt do wyższych klauzul oraz urządzenia zabezpieczające działania typowo wojskowe (np. pracujące w ramach systemów współpracujących z systemami NATO) były (i być może są), kupowane za granicą.
Zmiany w tych praktykach zapowiedziały dopiero „Kierunki rozwoju systemu ochrony kryptograficznej w resorcie Obrony Narodowej”, z których wynikała m.in. chęć tworzenia w kraju wszystkich elementów ochrony kryptograficznej. Ta chęć nie oznacza jednak zaangażowania w to polskiej nauki i przemysłu, ale przejęcie tych zdań przez szeroko pojęte „państwo”. Kto jednak konkretnie w tym państwie miałby się zajmować produkcją szyfratorów, jak na razie nie wiadomo. Polski przemysł, który ma kompetencje w tym zakresie i już wiele certyfikowanych wyrobów ochrony kryptograficznej z zaniepokojeniem obserwuje niektóre deklaracje wojskowych.
Łatwo jest zrozumieć, czemu ma służyć zasygnalizowane w „Kierunkach rozwoju SOK w MON” przejmowanie przez NCK (obecnie NCBC) wszelkich wyrobów (demonstratorów technologii, prototypów, oprogramowania, dokumentacji itp.) realizujących zadania szyfrujące, wraz z majątkowymi prawami autorskimi. Ponieważ jest to jednak wyraźny drenaż technologii z firm projektujących i de facto oznacza zastopowanie innych prac danej firmy w tym zakresie, bez wskazania, kto i jak miałby dalsze prace później kontynuować (np. produkować), polskie prywatne przedsiębiorstwa mają opory przed tak określoną współpracą. Tymczasem istnieją już dobrze sprawdzone procedury zapewnienia bezpieczeństwa, które wcale nie muszą być związane z gromadzeniem wszystkiego w magazynach NCBC.
Wydane certyfikaty oraz zrealizowane programy rozwojowe potwierdzają tezę, że Polska posiada bazę naukową i przemysłową do uzyskania samodzielności, jeżeli chodzi o zabezpieczenie kryptograficzne na wszystkich poziomach niejawności. Prawdą jest również, że istnieją dokumenty nakazujące korzystanie z tej bazy w celu uzyskania pełnej autonomii w działaniu. Do wykorzystania tych dwóch atutów potrzebna jest jednak wola i konkretne działania, których jak na razie nie widać: ani ze strony cywilnej (ABW), ani ze strony wojskowej (SKW, NCBC).
Jeżeli istnieją dwa niezależne ośrodki certyfikujące: ABW i SKW, to czy nie należałoby się zastanowić nad pełnym ujednoliceniem zasad certyfikacji, tak aby obie te służby mogły się wzajemnie wspierać, np. wspólnie realizując badania? Założenie Narodowego Centrum Kryptologii dawało nadzieję, że rzeczywiście może dojść do takiej koordynacji.
Warunkiem posiadania suwerenności technologicznej przez dowolne państwo jest posiadanie własnych, narodowych rozwiązań w zakresie ochrony swoich najważniejszych informacji (niejawnych i innych, stanowiących tajemnice). Urządzenia zapewniające ochronę informacji niejawnych i wrażliwych, powinny być produkowane przez polskie firmy. Kontrolowanie przez amerykańską agencję wywiadu CIA firmy Crypto AG dostarczającej urządzenia szyfrujące (lub jakiejkolwiek innej, obcej służby oczywiście), dobitnie o tym przekonuje.
maciej
A co z pracą Pana Bartosza Żółtka i jego słynnej funkcji jednokierunkowej? Przecież jego badania można znakomicie zastosować do szyfrowania.
ttttt
Ogólnie ciekawa propozycja, ale sama informacja o tym że Polska szyfruje jakieś dane tą funkcją jest odkryciem kart. To tak jak Niemcy używali Enigmy , nie wiedząc że do ich morskich , lotniczych i lądowych wersji maszyn - Anglicy zatrudniali sztab ludzi do odszyfrowania depesz i rozkazów. Polecam fantastyczną książkę - "Enigma. Bliżej prawdy" - autor Marek Grajek. Mimo że szyfry podstawieniowe nie są już używane od dziesięcioleci w wojskowości , to jest bardzo ciekawa lektura ukazująca potęgę polskiej przedwojennej matematyki i wywiadu wojskowego oraz prawdziwy i nieoceniony wkład Polaków w rozbiciu niemieckiej machiny wojennej.
Oszołom
No dobrze, a jak to zrobiła mała Estonia? Ja wiem, ze skala jest inna, ale informatyka umożliwia skalarność. Bez względu, czy dla 3 czy 30 lub 300 milionów ludzi system musi działać i istnieć. Co innego obsłużyć wszystkich na raz.
Jabadabadu
Jeżeli nie produkuje się własnych kości lecz bierze "gotowce" to opowiadania o narodowej kryptologii można włożyć między bajeczki dla grzecznych i niedoucznych dzieci.
po kościach
Po długim czasie (od upadku PRLu) mieliśmy znowu produkować polskie "kości". Kilka lat temu powstało konsorcjum POLPUS, które miało produkować polskie procesory do kart chipowych. Na początek miały być stosowane w polskich dowodach osobistych. Procesory w kartach chipowych są proste w porównaniu z procesorami będącymi mózgami komputerów. Te ostatnie to już inna liga. Konsorcjum było podejrzanie liczne w swym składzie. Na dodatek medialnie obśmiano pomysł, nazywając projekt "procesorem Macierewicza". Całość miała kosztować 150mln złotych. Nawet gdyby w końcu okazało się, że wyszło dwa razy więcej, to i tak bardzo małe pieniądza jak na taką technologię. Po dwóch latach konsorcjum rozwiązało się. Powiedziano, że nie zrobiono nic i nie wydano nic. Chyba trzeba takie rzeczy robić w mniejszym i bardziej komercyjnym towarzystwie. Jak za sprawę zabierają się instytuty, instytucje państwowe i różne takie, to szanse są małe. Tylko ścisłe powiązanie finansowego losu specjalistów z losem ich produktu może czynić cuda. Ludzie na bezpiecznych posadach nie mają motywacji do pracy po nocach dla osiągnięcia ewentualnego sukcesu. Na dodatek mogą uwalić wyrywających się do boju entuzjastów. Jak było w tym przypadku? Konkretów nie znam, ale moje ogólne poczucie sytuacji jest właśnie takie.
Leon zawodowiec
NCBC to same asy kryptologii Płacą po 3500 i kto tam idzie Rotacja 32%rocznie
eytu
Funtów czy Euro ?
WojtekMat
NarodoweCentrumBezpieczeństwaCyberprzestrzeni Walutę mozna odgadywać (w jakiej to może płacić urząd mający "narodowe" w nazwie).
#_non_cosher_ dill_deall
.. aby uzyskać bezpieczeństwo sytemy muszą być zróznicowane.. i własne więc co to za kosherna gadka o ujednolicaniu i to poprzez import ".. hey cosher dills .."cosher dealls " ???? [#_non_cosher_ dill_deall ]
uyte
Czyli jeśli nie koszerna , to znaczy że mamy rozmawiać sami ze sobą , czy z Rosjanami , Panie Narodowy ?
Informatyk
Jaka tam narodowa kryptologia. Wszystko co jest dobre lub z czym może być kłopot to Amerykanie wykupują. Przykładem jest firma Usecrypt S.A. znana z rewelacyjnego komunikatora Usecrypt Messenger i rewolucyjnej metody szyfrowania opracowanej przez Polaków. Firma do niedawna Polska została przejęta przez fundusz Amerykański z kapitałem Izraelskim Lazar Vision Fund. Rząd Polski nie zadbał o odpowiednią opiekę dla innowacyjnych informatycznych rozwiązań, tym bardziej że chwalili się generałowie, Gromowcy i ministrowie że korzystają z tego komunikatora. Wygląda na to, że za jakiś czas Amerykanie zaproponują nam łączność superbezpieczną i superszyfrowaną dla wojska i rządu opracowaną na podstawie Polskiego wynalazku. Amerykanie aż pieją z zachwytu nad byłą Polską firmą, kto ciekawy to niech poczyta w internecie.
gfgflklkksadgfdsaferq
To nic nowego, standard. Polacy mają świetnych inżynierów, ale fatalnych managerów, polityków i innych rozgrywających.
non_cosher_dill_deals
..kolego..oni nic nie wymyslili..od kilkuset lat uzywaja tylko polskiej "znalezionej" technologii.. i to nawet nie od kilkuset lat lat jeszcze sprzed czasów łacińskich..a nawet sprzed czasów Pitagorasa..o czym piszesz.. zastanów się..
eytu
Szanowni Panowie i Panie Kryptolodzy - zarówno profesjonalni jak i domorośli . Proszę o rozwiązanie 4 zagadki z rzeźby KRYPTOS z Langley.
Hejka
Panowie, żeby zrozumieć, że to niemożliwe w ... w dającej się przewidzieć przyszłości, a później tym bardziej z innych przyczyn, proponuję usiąść wygodnie w fotelu i obejrzeć jeden z filmów wojennych z Tomem Cruisem. Z przyczyn wiadomych tytułu nie podam. I proszę potraktować film w przenośni. Trzy godziny w niedzielne popołudnie i awans ze 103 miejsca na jak na razie 72 w projekcie białka blokującego koronawirusa dla potrzeb jednego z najlepszych laboratoriów biotechnologicznych na świecie. Tylko po co być pierwszym? Aha, chyba mam certyfikat wydany przez amerykańską firmę z zakresu kryptografii kiedyś tam.