Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


Blog > Komentarze do wpisu

NIK: Polskie urzędy w internecie są bezbronne

z17074173Q,Szef-NIK-Krzysztof-KwiatkowskiBrak odpowiednich zabezpieczeń, strategii, koordynacji prac i wysokie ryzyko utraty danych przez instytucje publiczne. Najwyższa Izba Kontroli opublikowała kolejny alarmujący raport.
 
Inspektorzy skontrolowali sześć instytucji - resorty skarbu państwa, spraw wewnętrznych i sprawiedliwości oraz Komendę Główną Straży Pożarnej, NFZ i KRUS. Tylko tę ostatnią byli w stanie ocenić pozytywnie. KRUS wprowadził wszystkie procesy wymagane dla zabezpieczenia danych, bo chciał uzyskać międzynarodowy certyfikat bezpieczeństwa ISO 27001. Co prawda przy wprowadzaniu tych procesów nie ustrzegł się błędów inżynieryjnych, ale to i tak nic strasznego w porównaniu z pozostałymi instytucjami.

U innych chwalić nie było czego. - Procesy zapewnienia bezpieczeństwa informacji realizowane były chaotycznie. Stwierdziliśmy też ograniczoną wiedzę kierownictwa o wymogach bezpieczeństwa informacji - mówi prezes Najwyższej Izby Kontroli Krzysztof Kwiatkowski. W instytucjach w zasadzie nie było żadnych strategii cyberbezpieczeństwa. Pracownicy opierali się wyłącznie na nieformalnych zasadach wynikających z dotychczasowego doświadczenia. Zajmowali się tym głównie pracownicy IT, a pozostała część kadry cyberbezpieczeństwem się nie martwiła.

Słaby punkt: człowiek

To poważny błąd, bo obecnie największa liczba ataków opiera się na słabościach człowieka. Za pomocą socjotechniki i maili, których nadawcy czy instytucje (tzw. phishing) manipulują ofiarą, by ta wgrała na swój komputer wirusa lub udostępniła im swoje dane logowania do danego systemu. Z raportu NIK wynika, że instytucje publiczne, owszem, inwestowały w ochronę, ale bardziej w oprogramowanie niż w uświadamianie ludzi o zagrożeniach. Samo oprogramowanie było kupowane na chybił trafił. Urzędnicy kupowali np. programy chroniące infrastrukturę IT, bo... wydawało im się, że akurat taki, a nie inny obszar może zostać zaatakowany. Nie zawsze wiedzieli, gdzie naprawdę może się kryć zagrożenie. - Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem przetwarzanych informacji - mówi Kwiatkowski.

A zagrożenia mogą przyjść z każdej strony i mieć ogromne skutki. Przykłady można mnożyć. W czerwcu zeszłego roku z amerykańskiego Urzędu ds. Zarządzania Kadrami cyberprzestępcy wykradli dane 21,5 mln osób: nazwiska, daty urodzenia, adresy domowe, numery ubezpieczenia, a w ponad 5 mln przypadków nawet skany linii papilarnych! W grudniu w wyniku ataku hakerskiego doszło do zakłóceń pracy jednej z elektrowni ukraińskich i odcięcia 700 tys. mieszkańców na kilka godzin od prądu. Zaledwie cztery miesiące temu przestępcy przejęli zaś skrzynkę pocztową premiera Czech Bohuslava Sobotki. A w niej? Korespondencja dotycząca migracji, rokowań koalicyjnych, kampanii prezydenckiej, wyboru prezesa czeskiego radia publicznego, czeskiej ropy, dialogu z Niemcami sudeckimi czy prywatnej hipoteki premiera. Mnóstwo materiałów, by przewrócić życie polityczne w kraju i na arenie międzynarodowej.

Chronione minimum

Polskie instytucje zabezpieczają jedynie te informacje, które nakazuje ustawa. Ale co z tego, że pod ochroną są dane osobowe czy informacje niejawne, skoro pozostałe są dla cyberprzestępców niemal na wyciągnięcie ręki? A wyciągną ją po wszelkie dane, które mogą potem wykorzystać na setki sposobów: np. do szantażu (informacje o życiu prywatnym), wyłudzenia (nie trzeba mieć hasła do banku ofiary, czasem wystarczy trochę socjotechniki, by je zmienić lub pozyskać), ośmieszenia itd. Wymieniać można długo.

Aż dziw, że w Polsce do tak drastycznych ataków na infrastrukturę krytyczną jeszcze nie doszło. "Istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce" - pisze NIK w pokontrolnym komunikacie.

To zresztą nie pierwszy raz, gdy Izba o tym ostrzega. Podobne badanie przeprowadziła niemal równo rok temu i wnioski także były druzgocące. "Działania podmiotów państwowych były rozproszone i prowadzone bez spójnej wizji systemowej. Sprowadzały się one do doraźnego, ograniczonego reagowania na bieżące incydenty oraz biernego oczekiwania na regulacje unijne. W Polsce brakuje jednego ośrodka koordynującego działania innych instytucji w zakresie ochrony cyberprzestrzeni" - alarmował wtedy NIK.

Alarmuje także Ministerstwo Cyfryzacji, które już odniosło się do najnowszego raportu Izby. Obie instytucje rekomendują stworzenie na szczeblu centralnym jednolitych przepisów obowiązujących wszystkie podmioty publiczne w kwestii cyberbezpieczeństwa. Resort dodatkowo chce także stworzyć Rządowy Klaster Bezpieczeństwa, który nadzorowałby przez 24 godziny na dobę bezpieczeństwo systemów instytucji publicznych.

Na razie od zeszłorocznego raportu NIK w instytucjach publicznych nic się w cyberbezpieczeństwie nie zmieniło.
środa, 25 maja 2016, eprzekret

Masz problemy ze sklepem, chcesz podzielić się swoim doświadczeniem? Napisz do autora tego artykułu: jakub.wator@agora.pl

Polecane wpisy

  • Najsłabszy jest człowiek. Wywiad z Mikko Hyppönenem

      Mikko Hyppönen jest szefem działu analiz w fińskiej firmie F-Secure. Pracuje w niej od 1991 r., jest światowej sławy ekspertem w dziedzinie cyb

  • Yahoo czytało maile

    Kiepski okres ma amerykański gigant technologiczny. Właśnie wyszło na jaw, że Yahoo czytało maile swoich użytkowników na zlecenie amerykańskich służb. W lipcu f

  • Google Allo, Messenger, Signal - co wybrać?

    Niedawno Edward Snowden ostrzegł przed używaniem komunikatora Google Allo. Czy ma rację? Czym się różnią między sobą dostępne komunikatory? "Nie używajcie Allo"