11:05
19/4/2010

Zabezpieczenia państwowych stron internetowych

Vagla napisał dziś o Interpelacji nr 14230 dotyczącej zabezpieczeń stron internetowych w polskich urzędach, jaką poseł Sławomir Rybicki skierował do ministra spraw wewnętrznych i administracji, powołując się na opisywany przez nas niedawno raport CERT.GOV.PL. Poseł odpowiedź otrzmał od Witolda Drożdża, podsekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji, który zaadresowane obawy odparł m.in. przy pomocy …tego samego raportu CERT-u.

Poseł Sławomir Rybicki napisał:

(…) Z wyników tej kontroli [ABW] można się dowiedzieć, że wiele stron jest niewłaściwie zabezpieczonych. Istnieje wiele niezałatanych dziur, które umożliwiają atak. Można tylko zgadywać, co jest przyczyną takiego stanu rzeczy. Może to być brak wyszkolenia administratorów stron, ignorancja lub, co gorsze, nieświadomość istniejącego zagrożenia wynikająca z niewiedzy. (…) Nie mówimy tu o lukach typu zero-day, ale o błędach znanych, takich, które już dawno zostały załatane przez producentów oprogramowania. (…) Może właściwe byłoby obligatoryjne zatrudnianie w urzędach wyposażonych w cyfrowe centra kontaktu z obywatelem osób odpowiedzialnych tylko i wyłącznie za bezpieczeństwo serwerów i danych? (…) W chwili obecnej na stanowisku informatyka może pracować każdy. Istnieje bardzo duża dowolność w zatrudnianiu takich osób. Może warto ustawowo zaostrzyć wymagania wobec osób zatrudnionych na stanowisku informatyka?
Pełna treść interpelacji tutaj.

Odpowiedź Witolda Drożdża, podsekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji

Dostrzegając niedoskonałości stosowanych zabezpieczeń stron internetowych (serwisów) w urzędach oraz mając na uwadze konsekwencje z nich wynikające, należy zauważyć, że nie istnieją w praktyce systemy zapewniające stuprocentową ochronę. (…) istotny jest odpowiedni dobór dostawców usług (…) dający wsparcie w okresie użytkowania strony internetowej, co przekłada się na poczucie bezpieczeństwa i pewności stałego dostępu do tej strony. (…) istotne jest częste wykonywanie kopii zapasowych danych przechowywanych na serwerach (…). Do bezpiecznego funkcjonowania strony internetowej konieczne są również: stały jej monitoring, śledzenie „ruchu” i aktywności przy użyciu narzędzi dostępnych administratorowi, systematyczne analizowanie publikowanych biuletynów bezpieczeństwa, wykonywanie w odpowiednim czasie (bezzwłocznie, o ile to możliwe) aktualizacji oprogramowania systemowego i aplikacyjnego oraz szybka reakcja ze strony administratora w przypadku (…) cyberataku.

(…) ogromną rolę w zapewnieniu bezpieczeństwa stron internetowych (serwisów) odgrywają osoby administrujące nimi. Powinny być to osoby nie tylko o dużych umiejętnościach merytorycznych w zakresie m.in. formatowania wkładanych artykułów, umieszczanych plików, ale przede wszystkim posiadające wiedzę i doświadczenie z zakresu bezpieczeństwa systemów teleinformatycznych. Ważne jest również, aby kierownictwo zdawało sobie sprawę z wagi ochrony informacji, a osoby odpowiedzialne za zapewnienie takiej ochrony miały wiedzę (…) określoną w normie PN 1SO/IEC 27001.

(…) od osób ubiegających się o zatrudnienie na stanowiskach związanych z bezpieczeństwem teleinformatycznym wymagane jest, jako obowiązkowe, wykształcenie profilowane oraz znajomość zagadnień z zakresu bezpieczeństwa teleinformatycznego, technologii zabezpieczeń i działania systemów teleinformatycznych.
Pełna treść odpowiedzi tutaj.

Mam wrażenie, że bez odpowiednich środków pieniężnych polska administracja nie będzie w stanie zapewnić swoim serwisom i aplikacjom odpowiedniego “bezpieczeństwa”. Ale może macie jakieś pomysły na to, jak można w/w koszty zminimalizować, a państwową “inforastrukturę informatyczną” uczynić bezpieczniejszą?

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. swoja droga ciekawe, czy polskie sluzby skupuja 0daye, tak jak robia to USA/UK? pewnie ich nie stac, albo wola sobie kupic 1 ciagnik, zamiast 2 exploitow :D

    http://www.se.pl/wydarzenia/kraj/agencja-wywiadu-kupila-traktor-za-100-tysiecy-zlot_135749.html

  2. Co się dziwić, że w urzędach pracują ludzie tacy, a nie inni. Ile można w urzędzie zarobić? 2000-3000? W sektorze prywatnym młodszy admin bezpieczeństwa dostaje 8000 na rękę. Nikt, kto zdaje sobie sprawę ze swojej wiedzy i co za tym idzie wartości nie pójdzie pracować do urzędu.

  3. Wynika z tego że żeby zostać zatrudnionym trzeba mieć papiery a nie wiedzę. HEHE jak ja kocham ten system. Szkoda że osoby zatrudniające w większości przypadków zatrudniając nie mają pojęcia czego wymagać od przyszłego pracownika…

  4. @d_exter: 8 000 na rękę?! W jakim kraju Ty żyjesz!? Nawet w Warszawie jak zaczniesz od 5k na rękę to będziesz *niezłym* farciarzem. A po 3 latach pracy dostaniesz podwyżkę 500PLN… And I’m speaking banks here!

  5. Zgadzam sie z @wiNNxxr – srednie zarobki (takie raczej realne) to 3-4k miesiecznie + jakies dodatkowe benefity, ale podstawa waha sie w tych widelkach – tu mowie o mlodszych i srednich adminach, bo jak masz wiedze + doswiadczenie to fakt, 8k+ nie jest problemem….

  6. To sprawa dla Gorniona ;-)

  7. @jurek ogórek: 0daye polskiemu wywiadowi nie straszne na takim nieskomputeryzowanym traktorze. ROTFL. Jak Chińczycy wykradną plany F-16 przez zasianie malware’u USA przez Internet, to my wybadamy stonkę ziemniaczaną. :DDD

  8. “Szkoda że osoby zatrudniające w większości przypadków zatrudniając nie mają pojęcia czego wymagać od przyszłego pracownika…”
    Osoby zatrudniające to kwestia na osobną książkę ci ludzie są kompletnie oderwani od rzeczywistości

  9. Chciało by się powiedzieć człowieku gdzieś ty się uchował lol

  10. I tu się zgodzę “Mam wrażenie, że bez odpowiednich środków pieniężnych polska administracja nie będzie w stanie zapewnić swoim serwisom i aplikacjom odpowiedniego “bezpieczeństwa”.” sam pracuje w urzędzie i kiedy chcieliśmy zakupić nowy serwer (do lepszej ochrony danych, do elektronicznej skrzynki podawczej i innych programów) bo stary się nie nadawał do niczego (zwykły komp) to podniosła się wielka wrzawa, nawet w prasie pisali że kupili nowy serwer zamiast remontować szkoły. Tak więc społeczeństwo jest strasznie słabo informowane o problemach, każdy myśli że urząd może sobie tak sobie funkcjonować do czasu jakiegoś spektakularnego ataku i wycieku danych mieszkańców jakiegoś miasta. Na szczęście mamy nowy serwer, na szczęście na linuchu, stary też działa i jest podział sieci żeby dane nie były bezpośrednio dostępne.

  11. Nie ma się czemu dziwić. Administracja nie ma pojęcia o nowoczesnych technologiach. Bo skąd ma je mieć?
    Przykład: CBA ma dostęp do określonych danych z ZUS. Odpowiednia ustawa pozwala na dostęp do nich w formie drukowanej czy na nośniku. W związku z tym, że mamy XXI wiek, dodano możliwość ‘teletransmisji’. Problem w tym, że funkcjonariusz musi okazać legitymację…
    Na pocieszenie: i tak większość informacji administracja przechowuje w formie papierowej:)

  12. Czemu znowu mylicie CERT Polska z CERT.GOV.PL (konkretnie chodzi o raporty)?

  13. @incog like anyone cares… swoją drogą te certy mogłyby przyjąć jakieś bardziej ludzkie nazwy

  14. imho problem leży w ludziach którzy tam pracują… w większości ludzie na takich stanowiskach są to ludzie, którzy dość szybko muszę przestawiać się i doszkalać, drążyć, szukać, by być na bieżąco. Kto widział informatyka w wielu polskich urzędach, ten wie, że średnia wieku to zapewne około 40-45 lat i chęć zrobienia kawy niejednokrotnie przewyższa chęć nawet upgrade czegokolwiek. Co do samej płacy – tutaj nie wyrokowałbym – skoro zgadza się ktoś za 3K pracować – to znaczy ze mu to odpowiada, i powinien sumiennie wywiązywać się ze swojej pracy. Gorzej – gdy rekrutacja była na zasadzie – znajdziemy takiego co zechce najmniej (jak w przetargach).

  15. Hmm.. sądząc po niektórych mechanizmach jakie mają miejsce w polskich instytucjach, przydało by się wprowadzić tam kogoś, kto myśli szerzej i rozleglej na tematy tak ważne. Od razu przychodzi mi do głowy realizacja przetargu dla jednej z państwowych instytucji, gdzie przedmiotem był zakup dyskietek 1,44Mb na łączną wartość 800tysięcy złotych. Zakup był drogi ze względu na konieczność uruchomienia linii produkcyjnej w jednej z chińskich fabryk. Co lepsze dużo tańszym rozwiązaniem byłby zakup nowych stacji roboczych oraz pendrive’ów no ale ktoś miał wizję :)

    Dobrym pomysłem na uproszczenie i zapewnienie porządku w całej infrastrukturze mogło by być zastosowanie produktów posiadających system odgórnego zarządzania wieloma urządzeniami security oraz samymi końcówkami. Idealnym produktem mógłby okazać się produkt ESC (Endpoint Security Control) firmy ISS, który został sprawdzony no u jednego z większych banków, który posiadał 90000 końcówek (z czego kontrolowanych była mniej niż połowa) na całym świecie (ponad 100 znanych lokalizacji), 15 agentów security i 25 administratorów aby tym wszystkim zarządzać. Całość wdrożenia zajęła ponad 8 miesiecy. Efekt wprowadzenia ESC była taki, iż tydzień implementacji dla wszystkich urządzeń pozwolił na instalację na wszystkich końcówkach, liczba agentów zmniejszyła się do 7 zaś potrzebnych do nadzoru administratorów do 4. Poprzez centralne zarządzanie z konsoli dostępnej online wszystkimi końcówkami, możliwość zmiany polityk czy raportowania w trybie rzeczywistym, zebranie pełnych informacji i przygotowanie audytu bezpieczeństwa dla całego rozwiązania skróciło się z 5-6 tygodni do 5 minut :)

    Może kiedyś w instytucjach rządowych znajdą się ludzie, dla których bezpieczeństwo będzie naprawdę ważne:)

  16. IMO problem nie jest bezpośrednio po stronie szeregowego pracownika – mam dość wiele współnego z administracją publiczną i u nas sprawa zatrzymuje się na poziomie przełożonego. Co z tego że chcemy zapewnić odpowiedni poziom? Odpowiedzi są dwie:
    a) Brak pieniędzy b) Działa… to po co przerabiać? I odbijamy się od ściany. Do momentu gdy coś nie pier****ie…
    Pozdrawiam

  17. czytając powyzszy komentarz, aż dziw bierze, że ktoś odważył się przejść z maszyn do pisania na komputery… no chyba, że się popsuły :)

  18. Marti -> Gdzieniegdzie są jeszcze i maszyny do pisania.

  19. 2 lata temu pierwszy raz na żywo zobaczyłem w akcji maszynę do pisania właśnie w urzędzie

  20. Potwierdzam

    http://www.poznan.pl/ – podatna jest na atak xss w formularzu wyszukiwania
    http://www.gdansk.pl/ – podatna jest na atak xss w formularzu wyszukiwania

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: