23:00
17/5/2012

Pojawił się raport rządowego CERT-u za pierwszy kwartał 2012. Według niego, tylko 7% serwisów (przez CERT zwanych “portalami”) z domeny gov.pl ma akceptowalny poziom bezpieczeństwa. Z kolei nieakceptowalny poziom ma 18% “portali” z domeny gov.pl. Na jakim poziomie znajduje się “reszta procentów” – tego nie mogliśmy się doszukać ;)

Polska e-administracja rządowa źle przygotowana

Z raportu wynika także, że tylko 1/5 polskich instytucji rządowych ma plan “awaryjny” na wypadek ataków internetowych. CERT nie pozostawia złudzeń:

Wśród podatności o wysokim lub bardzo wysokim poziomie zagrożenia przeważają błędy typu Cross Site Scripting oraz Blind SQL Injection/SQL Injection. Istotnym problemem jest również wykorzystywanie w serwerach produkcyjnych nieaktualnych wersji oprogramowania.
Wykryte podatności mające znaczący wpływ na bezpieczeństwo witryn administracji państwowej o bardzo wysokim lub wysokim poziomie zagrożeń w takiej ilości, świadczą o utrzymującym się w dalszym ciągu nieakceptowanym poziomie bezpieczeństwa systemów teleinformatycznych mających połączenie z Internetem.

Szczegóły w pełnej wersji raportu.

PS. Raport wygląda na przygotowany “na kolanie”.

Raport CERT.gov.pl

Raport CERT.gov.pl za I kwartał 2012r.

Pierwsza połowa raportu wykorzystuje “innowacyjną” typografię i skład tekstu (ała!) – druga jest w połowie powtórzeniem poprzedniego raportu… Kompresja grafiki z kolei uniemożliwia jakiekolwiek cytowanie raportu w artykule. Dlatego piszemy tak skrótowo.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

36 komentarzy

Dodaj komentarz
  1. Nie ma to jak strona robiona w stylu “mój syn do gimnazjum chodzi na profil informatyczny to zrobi stronę za 50zł” :)

    • hahaha “za 50zł..”-profil informatyczny :p :p Stronkę w html możesz sobie zachować dla siebie za taką cenę-ja w liceum na zabezpieczonym prywatnym szablonie zrobię lepszą i taniej :p

    • @anonymous_k To sie w ch*ja dajesz robic, za przeproszeniem ;) Ja w gimnazjum nie schodzilem mniej niz 350zl za strone. Ehh, piekne czasy…

  2. Ojej, jakie to jest brzydkie! Nie zaliczyłabym twórcy egzaminu praktycznego z obsługi edytora tekstowego :/

  3. Dlaczego wasze serwery znajdują się San Francisco ? Boicie się polskich ?

    • Nie.

    • Pewnie ze względu na szybsze łącza :)

    • Nie, po prostu jest dużo łagodnych osób z kwiatami we włosach. Nasze serwery to lubią.

    • Amazon? :-)

    • Nie amazon a cloudflare.com ;D

    • lol

    • A kiedyś był HosTeam, z resztą bardzo przez was zachwalany.

    • Przecież dalej jest HostTeam i dalej go bardzo zachwalamy. Cloudflare to CDN.

  4. ╔══════════════════════╕
    ║ “Tylko 7%”
    ║ A może raczej :
    ║ “Aż 7%”
    ╚══════╛

  5. z pdf skorzystam podczas szkoleń z typografii. case doskonały. samemu nie wymyśliłbym takiego.

  6. Warto dodać, że większość stron .gov.pl stoi na serwerach firm trzecich i jest przez nie administrowana (urzędy tylko aktualizują treść). Wybór providera jest wyłaniany w przetargach, w których jedynym kryterium jest… No niestety nie wygrał Pan miliona w naszym konkursie! A prawidłową odpowiedzią była oczywiście nie “jakość” a “cena”. Więc wygląda to jak wygląda ze względu na powalone przepisy o przetargach.
    Nie ma (niestety) rządowej superserwerowni z opieką 24/H ani spójnego systemu pzechowywania/przesyłania danych. I raczej nie zanosi się żeby była.

  7. Co znaczy “Kompresja grafiki z kolei uniemożliwia jakiekolwiek cytowanie raportu w artykule. ” ?

    Jeżeli chodzi o możliwość kopiowania tekstu z raportu , to SOA#1

    • Rozchodzi się zapewne o wykresy osadzone jako obrazki, które rzeczywiście wyglądają makabrycznie.

  8. aż 7% … to i tak sukces biorąc pod uwagę że w rządzie zajmują się przekrętami a nie bezpieczeństwem

  9. A gdyby tak wyjść poza gov.pl i rozszerzyć audyt o inne jednostki szeroko pojętej administracji publicznej? Na myśl przychodzą mi “portale” miast, gmin, powiatów… Ciekaw jestem wyniku.

    • nie ma sensu, ostatnio przelecialem pare z nich
      ponad polowa zainfekowana -> linki do sciagniecia malwaru
      zreszta nie ma co oczekiwac ” codow” od roznej masci “adminow” ktorzy nie wiedza jak dobrze skonfigurowac server a co dopiero go zabezpieczyc [ nawet stosujac tylko poprawki od wydawcow ]

  10. “Microsoft Word – Raport CERT.GOV.PL za I kwartal 2012 do publikacji.docx”
    Mają zabawki to używają … cieniowanych fontów, płonących tytułów … potem nie da się tego odczytać nawet na 200% powiększenia.

    To trochę takie death by word tak samo dobre jak death by power point.

  11. Jak już przy formatowaniu jesteśmy, to po co dzieli się(nie wiem czy tu) strony na 2~3 kolumny tekstu zamiast pisać normalnie?

    • Po to żeby było łatwiej czytać.

    • Nie kolumny tylko łamy :P

    • @maho Poważnie piszesz, czy tylko jaja sobie ze mnie robisz?

  12. Well, I had a dream… Ktoś wpadł na odgórny pomysł stworzenia platformy hostingu gov.pl, na którym musiałby powstawać nowe strony instytucji żądłowych i która dbałaby też chociaż trochę o bezpieczeństwo, audyty WAFy i tam takie inne. Przecież musi gdzieś być, ten lepszy świat….;)

  13. Krytykujecie a jestem przekonany ze wiekszosc z was nie stworzyla by lepszego raportu. Lekcje z typografii… moze napiszcie cos o tresci tego raportu a nie czepiacie sie kwestii składu tekstu.

    • wez sie nie osmieszaj trolu, sorki ale jak sie pisze oficjalne teksty ktore sa ogolne dostepne to kufa… ja wiem ze ja mam problemy z ortografia i innymi pierdolami [ ktore w wiekszosci olewam ] ale wiem jak sie korzysta z automatycznych slownikow ktore sa wbudowane w wordzie i chyba 90% innych produktow ktore wchodza w sklad pakietow biurowych, wiec prosze cie, nie tlumacz “debilizmu”

  14. poruszyles wazna kwestie kolego ktosiu . gdyby ludzie mieli dostep do tych danych co cert pewnie napisaliby lepszy raport .niech cert udostepni dane a raporty powstana. raport zaprezentowany przez cert jest bardzo slaby a w dodatku jak zauwazyl niebezpiecznik sklada sie ze starego raportu

  15. Za tą kasę, która została wydana te serwisy powinny być niezniszczalne.

  16. plik wygląda na robiony w wordzie w takiej sytuacji NIC nie tłumaczy słabej jakości zdjęć. Co innego gdyby autor składał raport w np. InDesign. Tam można się naciąć i nie podpiąć plików z obrazkami – efektem jest że wyświetlają się jedynie miniatury które indesign tworzy w locie abyśmy wiedzieli co robimy.

  17. Oj, minister “od cyferek” ma w tym kraju jeszcze duuużo do zrobienia!

  18. Raport raportem, ale tak na chłopski rozum… skoro 93% serwisów okołorządowych ma nieakceptowalny poziom bezpieczeństwa, to zamiast trąbić o tym na lewo i prawo nie można tego by naprawić?

    Zapewne były pentesty, analizy procedur itp, więc nie lepiej by było zastosować wnioski w praktyce i zwyczajnie problem starać się naprawić?

    • Naprawić problem? Madness!!! Kto by wtedy zgarnął publiczne pieniądze za zrobienie kolejnego raportu skoro nie byłoby czego raportować jak wszystko byłoby porządnie i na miejscu? ;-P

  19. No tak, to podobnie jak z kiedyś z hasłem: “linuksiarze, psujcie swoje serwery – jak wszystko chodzi jak w zegarku to znaczy że nie pracujecie!”.

    Ale od strony praktycznej dziwne – wiadomo jakie są zagrożenia, jakie serwisy są trefne, gdzie są dziury – i nic poza “whoa!” nie widać. Jakby specjalnie się w raporcie chwalili: spójrzcie hakierzy, u nas można swobodnie ćwiczyć, zabezpieczeń nie ma, logów nie ma a po 15:30 nawet admini zamykają miejsca pracy.

Odpowiadasz na komentarz SEOwatch

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: