23:00
17/5/2012

Pojawił się raport rządowego CERT-u za pierwszy kwartał 2012. Według niego, tylko 7% serwisów (przez CERT zwanych “portalami”) z domeny gov.pl ma akceptowalny poziom bezpieczeństwa. Z kolei nieakceptowalny poziom ma 18% “portali” z domeny gov.pl. Na jakim poziomie znajduje się “reszta procentów” – tego nie mogliśmy się doszukać ;)

Polska e-administracja rządowa źle przygotowana

Z raportu wynika także, że tylko 1/5 polskich instytucji rządowych ma plan “awaryjny” na wypadek ataków internetowych. CERT nie pozostawia złudzeń:

Wśród podatności o wysokim lub bardzo wysokim poziomie zagrożenia przeważają błędy typu Cross Site Scripting oraz Blind SQL Injection/SQL Injection. Istotnym problemem jest również wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania.
Wykryte podatności mające znaczący wpływ na bezpieczeństwo witryn administracji państwowej o bardzo wysokim lub wysokim poziomie zagrożeń w takiej ilości, świadczą o utrzymującym się w dalszym ciągu nieakceptowanym poziomie bezpieczeństwa systemów teleinformatycznych mających połączenie z Internetem.

Szczegóły w pełnej wersji raportu.

PS. Raport wygląda na przygotowany “na kolanie”.

Raport CERT.gov.pl

Raport CERT.gov.pl za I kwartał 2012r.

Pierwsza połowa raportu wykorzystuje “innowacyjną” typografię i skład tekstu (ała!) – druga jest w połowie powtórzeniem poprzedniego raportu… Kompresja grafiki z kolei uniemożliwia jakiekolwiek cytowanie raportu w artykule. Dlatego piszemy tak skrótowo.

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Nie ma to jak strona robiona w stylu “mój syn do gimnazjum chodzi na profil informatyczny to zrobi stronę za 50zł” :)

    • hahaha “za 50zł..”-profil informatyczny :p :p Stronkę w html możesz sobie zachować dla siebie za taką cenę-ja w liceum na zabezpieczonym prywatnym szablonie zrobię lepszą i taniej :p

    • @anonymous_k To sie w ch*ja dajesz robic, za przeproszeniem ;) Ja w gimnazjum nie schodzilem mniej niz 350zl za strone. Ehh, piekne czasy…

  2. Ojej, jakie to jest brzydkie! Nie zaliczyłabym twórcy egzaminu praktycznego z obsługi edytora tekstowego :/

  3. Dlaczego wasze serwery znajdują się San Francisco ? Boicie się polskich ?

    • Nie.

    • Pewnie ze względu na szybsze łącza :)

    • Nie, po prostu jest dużo łagodnych osób z kwiatami we włosach. Nasze serwery to lubią.

    • Amazon? :-)

    • Nie amazon a cloudflare.com ;D

    • lol

    • A kiedyś był HosTeam, z resztą bardzo przez was zachwalany.

    • Przecież dalej jest HostTeam i dalej go bardzo zachwalamy. Cloudflare to CDN.

  4. ╔══════════════════════╕
    ║ “Tylko 7%”
    ║ A może raczej :
    ║ “Aż 7%”
    ╚══════╛

  5. z pdf skorzystam podczas szkoleń z typografii. case doskonały. samemu nie wymyśliłbym takiego.

  6. Warto dodać, że większość stron .gov.pl stoi na serwerach firm trzecich i jest przez nie administrowana (urzędy tylko aktualizują treść). Wybór providera jest wyłaniany w przetargach, w których jedynym kryterium jest… No niestety nie wygrał Pan miliona w naszym konkursie! A prawidłową odpowiedzią była oczywiście nie “jakość” a “cena”. Więc wygląda to jak wygląda ze względu na powalone przepisy o przetargach.
    Nie ma (niestety) rządowej superserwerowni z opieką 24/H ani spójnego systemu pzechowywania/przesyłania danych. I raczej nie zanosi się żeby była.

  7. Co znaczy “Kompresja grafiki z kolei uniemożliwia jakiekolwiek cytowanie raportu w artykule. ” ?

    Jeżeli chodzi o możliwość kopiowania tekstu z raportu , to SOA#1

    • Rozchodzi się zapewne o wykresy osadzone jako obrazki, które rzeczywiście wyglądają makabrycznie.

  8. aż 7% … to i tak sukces biorąc pod uwagę że w rządzie zajmują się przekrętami a nie bezpieczeństwem

  9. A gdyby tak wyjść poza gov.pl i rozszerzyć audyt o inne jednostki szeroko pojętej administracji publicznej? Na myśl przychodzą mi “portale” miast, gmin, powiatów… Ciekaw jestem wyniku.

    • nie ma sensu, ostatnio przelecialem pare z nich
      ponad polowa zainfekowana -> linki do sciagniecia malwaru
      zreszta nie ma co oczekiwac ” codow” od roznej masci “adminow” ktorzy nie wiedza jak dobrze skonfigurowac server a co dopiero go zabezpieczyc [ nawet stosujac tylko poprawki od wydawcow ]

  10. “Microsoft Word – Raport CERT.GOV.PL za I kwartal 2012 do publikacji.docx”
    Mają zabawki to używają … cieniowanych fontów, płonących tytułów … potem nie da się tego odczytać nawet na 200% powiększenia.

    To trochę takie death by word tak samo dobre jak death by power point.

  11. Jak już przy formatowaniu jesteśmy, to po co dzieli się(nie wiem czy tu) strony na 2~3 kolumny tekstu zamiast pisać normalnie?

    • Po to żeby było łatwiej czytać.

    • Nie kolumny tylko łamy :P

    • @maho Poważnie piszesz, czy tylko jaja sobie ze mnie robisz?

  12. Well, I had a dream… Ktoś wpadł na odgórny pomysł stworzenia platformy hostingu gov.pl, na którym musiałby powstawać nowe strony instytucji żądłowych i która dbałaby też chociaż trochę o bezpieczeństwo, audyty WAFy i tam takie inne. Przecież musi gdzieś być, ten lepszy świat….;)

  13. Krytykujecie a jestem przekonany ze wiekszosc z was nie stworzyla by lepszego raportu. Lekcje z typografii… moze napiszcie cos o tresci tego raportu a nie czepiacie sie kwestii składu tekstu.

    • wez sie nie osmieszaj trolu, sorki ale jak sie pisze oficjalne teksty ktore sa ogolne dostepne to kufa… ja wiem ze ja mam problemy z ortografia i innymi pierdolami [ ktore w wiekszosci olewam ] ale wiem jak sie korzysta z automatycznych slownikow ktore sa wbudowane w wordzie i chyba 90% innych produktow ktore wchodza w sklad pakietow biurowych, wiec prosze cie, nie tlumacz “debilizmu”

  14. poruszyles wazna kwestie kolego ktosiu . gdyby ludzie mieli dostep do tych danych co cert pewnie napisaliby lepszy raport .niech cert udostepni dane a raporty powstana. raport zaprezentowany przez cert jest bardzo slaby a w dodatku jak zauwazyl niebezpiecznik sklada sie ze starego raportu

  15. Za tą kasę, która została wydana te serwisy powinny być niezniszczalne.

  16. plik wygląda na robiony w wordzie w takiej sytuacji NIC nie tłumaczy słabej jakości zdjęć. Co innego gdyby autor składał raport w np. InDesign. Tam można się naciąć i nie podpiąć plików z obrazkami – efektem jest że wyświetlają się jedynie miniatury które indesign tworzy w locie abyśmy wiedzieli co robimy.

  17. Oj, minister “od cyferek” ma w tym kraju jeszcze duuużo do zrobienia!

  18. Raport raportem, ale tak na chłopski rozum… skoro 93% serwisów okołorządowych ma nieakceptowalny poziom bezpieczeństwa, to zamiast trąbić o tym na lewo i prawo nie można tego by naprawić?

    Zapewne były pentesty, analizy procedur itp, więc nie lepiej by było zastosować wnioski w praktyce i zwyczajnie problem starać się naprawić?

    • Naprawić problem? Madness!!! Kto by wtedy zgarnął publiczne pieniądze za zrobienie kolejnego raportu skoro nie byłoby czego raportować jak wszystko byłoby porządnie i na miejscu? ;-P

  19. No tak, to podobnie jak z kiedyś z hasłem: “linuksiarze, psujcie swoje serwery – jak wszystko chodzi jak w zegarku to znaczy że nie pracujecie!”.

    Ale od strony praktycznej dziwne – wiadomo jakie są zagrożenia, jakie serwisy są trefne, gdzie są dziury – i nic poza “whoa!” nie widać. Jakby specjalnie się w raporcie chwalili: spójrzcie hakierzy, u nas można swobodnie ćwiczyć, zabezpieczeń nie ma, logów nie ma a po 15:30 nawet admini zamykają miejsca pracy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.