17/5/2012
Pojawił się raport rządowego CERT-u za pierwszy kwartał 2012. Według niego, tylko 7% serwisów (przez CERT zwanych “portalami”) z domeny gov.pl ma akceptowalny poziom bezpieczeństwa. Z kolei nieakceptowalny poziom ma 18% “portali” z domeny gov.pl. Na jakim poziomie znajduje się “reszta procentów” – tego nie mogliśmy się doszukać ;)
Polska e-administracja rządowa źle przygotowana
Z raportu wynika także, że tylko 1/5 polskich instytucji rządowych ma plan “awaryjny” na wypadek ataków internetowych. CERT nie pozostawia złudzeń:
Wśród podatności o wysokim lub bardzo wysokim poziomie zagrożenia przeważają błędy typu Cross Site Scripting oraz Blind SQL Injection/SQL Injection. Istotnym problemem jest również wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania.
Wykryte podatności mające znaczący wpływ na bezpieczeństwo witryn administracji państwowej o bardzo wysokim lub wysokim poziomie zagrożeń w takiej ilości, świadczą o utrzymującym się w dalszym ciągu nieakceptowanym poziomie bezpieczeństwa systemów teleinformatycznych mających połączenie z Internetem.
Szczegóły w pełnej wersji raportu.
PS. Raport wygląda na przygotowany “na kolanie”.
Pierwsza połowa raportu wykorzystuje “innowacyjną” typografię i skład tekstu (ała!) – druga jest w połowie powtórzeniem poprzedniego raportu… Kompresja grafiki z kolei uniemożliwia jakiekolwiek cytowanie raportu w artykule. Dlatego piszemy tak skrótowo.
Nie ma to jak strona robiona w stylu “mój syn do gimnazjum chodzi na profil informatyczny to zrobi stronę za 50zł” :)
hahaha “za 50zł..”-profil informatyczny :p :p Stronkę w html możesz sobie zachować dla siebie za taką cenę-ja w liceum na zabezpieczonym prywatnym szablonie zrobię lepszą i taniej :p
@anonymous_k To sie w ch*ja dajesz robic, za przeproszeniem ;) Ja w gimnazjum nie schodzilem mniej niz 350zl za strone. Ehh, piekne czasy…
Ojej, jakie to jest brzydkie! Nie zaliczyłabym twórcy egzaminu praktycznego z obsługi edytora tekstowego :/
Dlaczego wasze serwery znajdują się San Francisco ? Boicie się polskich ?
Nie.
Pewnie ze względu na szybsze łącza :)
Nie, po prostu jest dużo łagodnych osób z kwiatami we włosach. Nasze serwery to lubią.
Amazon? :-)
Nie amazon a cloudflare.com ;D
lol
A kiedyś był HosTeam, z resztą bardzo przez was zachwalany.
Przecież dalej jest HostTeam i dalej go bardzo zachwalamy. Cloudflare to CDN.
╔══════════════════════╕
║ “Tylko 7%”
║ A może raczej :
║ “Aż 7%”
╚══════╛
z pdf skorzystam podczas szkoleń z typografii. case doskonały. samemu nie wymyśliłbym takiego.
Warto dodać, że większość stron .gov.pl stoi na serwerach firm trzecich i jest przez nie administrowana (urzędy tylko aktualizują treść). Wybór providera jest wyłaniany w przetargach, w których jedynym kryterium jest… No niestety nie wygrał Pan miliona w naszym konkursie! A prawidłową odpowiedzią była oczywiście nie “jakość” a “cena”. Więc wygląda to jak wygląda ze względu na powalone przepisy o przetargach.
Nie ma (niestety) rządowej superserwerowni z opieką 24/H ani spójnego systemu pzechowywania/przesyłania danych. I raczej nie zanosi się żeby była.
Co znaczy “Kompresja grafiki z kolei uniemożliwia jakiekolwiek cytowanie raportu w artykule. ” ?
Jeżeli chodzi o możliwość kopiowania tekstu z raportu , to SOA#1
Rozchodzi się zapewne o wykresy osadzone jako obrazki, które rzeczywiście wyglądają makabrycznie.
aż 7% … to i tak sukces biorąc pod uwagę że w rządzie zajmują się przekrętami a nie bezpieczeństwem
A gdyby tak wyjść poza gov.pl i rozszerzyć audyt o inne jednostki szeroko pojętej administracji publicznej? Na myśl przychodzą mi “portale” miast, gmin, powiatów… Ciekaw jestem wyniku.
nie ma sensu, ostatnio przelecialem pare z nich
ponad polowa zainfekowana -> linki do sciagniecia malwaru
zreszta nie ma co oczekiwac ” codow” od roznej masci “adminow” ktorzy nie wiedza jak dobrze skonfigurowac server a co dopiero go zabezpieczyc [ nawet stosujac tylko poprawki od wydawcow ]
“Microsoft Word – Raport CERT.GOV.PL za I kwartal 2012 do publikacji.docx”
Mają zabawki to używają … cieniowanych fontów, płonących tytułów … potem nie da się tego odczytać nawet na 200% powiększenia.
To trochę takie death by word tak samo dobre jak death by power point.
Jak już przy formatowaniu jesteśmy, to po co dzieli się(nie wiem czy tu) strony na 2~3 kolumny tekstu zamiast pisać normalnie?
Po to żeby było łatwiej czytać.
Nie kolumny tylko łamy :P
@maho Poważnie piszesz, czy tylko jaja sobie ze mnie robisz?
Well, I had a dream… Ktoś wpadł na odgórny pomysł stworzenia platformy hostingu gov.pl, na którym musiałby powstawać nowe strony instytucji żądłowych i która dbałaby też chociaż trochę o bezpieczeństwo, audyty WAFy i tam takie inne. Przecież musi gdzieś być, ten lepszy świat….;)
Krytykujecie a jestem przekonany ze wiekszosc z was nie stworzyla by lepszego raportu. Lekcje z typografii… moze napiszcie cos o tresci tego raportu a nie czepiacie sie kwestii składu tekstu.
wez sie nie osmieszaj trolu, sorki ale jak sie pisze oficjalne teksty ktore sa ogolne dostepne to kufa… ja wiem ze ja mam problemy z ortografia i innymi pierdolami [ ktore w wiekszosci olewam ] ale wiem jak sie korzysta z automatycznych slownikow ktore sa wbudowane w wordzie i chyba 90% innych produktow ktore wchodza w sklad pakietow biurowych, wiec prosze cie, nie tlumacz “debilizmu”
poruszyles wazna kwestie kolego ktosiu . gdyby ludzie mieli dostep do tych danych co cert pewnie napisaliby lepszy raport .niech cert udostepni dane a raporty powstana. raport zaprezentowany przez cert jest bardzo slaby a w dodatku jak zauwazyl niebezpiecznik sklada sie ze starego raportu
Za tą kasę, która została wydana te serwisy powinny być niezniszczalne.
plik wygląda na robiony w wordzie w takiej sytuacji NIC nie tłumaczy słabej jakości zdjęć. Co innego gdyby autor składał raport w np. InDesign. Tam można się naciąć i nie podpiąć plików z obrazkami – efektem jest że wyświetlają się jedynie miniatury które indesign tworzy w locie abyśmy wiedzieli co robimy.
Oj, minister “od cyferek” ma w tym kraju jeszcze duuużo do zrobienia!
Raport raportem, ale tak na chłopski rozum… skoro 93% serwisów okołorządowych ma nieakceptowalny poziom bezpieczeństwa, to zamiast trąbić o tym na lewo i prawo nie można tego by naprawić?
Zapewne były pentesty, analizy procedur itp, więc nie lepiej by było zastosować wnioski w praktyce i zwyczajnie problem starać się naprawić?
Naprawić problem? Madness!!! Kto by wtedy zgarnął publiczne pieniądze za zrobienie kolejnego raportu skoro nie byłoby czego raportować jak wszystko byłoby porządnie i na miejscu? ;-P
No tak, to podobnie jak z kiedyś z hasłem: “linuksiarze, psujcie swoje serwery – jak wszystko chodzi jak w zegarku to znaczy że nie pracujecie!”.
Ale od strony praktycznej dziwne – wiadomo jakie są zagrożenia, jakie serwisy są trefne, gdzie są dziury – i nic poza “whoa!” nie widać. Jakby specjalnie się w raporcie chwalili: spójrzcie hakierzy, u nas można swobodnie ćwiczyć, zabezpieczeń nie ma, logów nie ma a po 15:30 nawet admini zamykają miejsca pracy.