REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Raport: systemy informatyczne administracji publicznej źle zabezpieczone

REKLAMA

Aż 81 proc. systemów informatycznych administracji publicznej w Polsce jest podatna na ataki i zagrożenia, np. ze strony hakerów - wynika z raportu analityków ds. bezpieczeństwa informatycznego, do którego dotarła PAP.

Od dwóch lat grupa kilku polskich ekspertów ds. bezpieczeństwa informatycznego - na zlecenie przedstawicieli administracji rządowej - przeprowadza cykliczne audyty w systemach informatycznych połączonych internetem na poziomie ministerstw, samorządów i agencji rządowych, badając ich podatność na zagrożenia wewnętrzne i zewnętrzne. Ustalenia dotyczące niesprawności systemów informatycznych przekazywane są ich właścicielom na bieżąco

REKLAMA

REKLAMA

Jak wynika z najnowszego raportu, testy wykazały, że niską podatność na zagrożenia ma jedynie 19 proc. systemów informatycznych administracji publicznej, 56 proc. jest podatna w stopniu krytycznym, zaś 25 proc. - w stopniu średnim, co oznacza ochronę w stopniu jedynie podstawowym.

Jak wynika z raportu, w trakcie audytów wykryto liczne błędy ułatwiające ataki zarówno hakerom jak i z wewnątrz organizacji czy instytucji. Są to m.in. niezabezpieczone skrypty konfiguracyjne aplikacji i błędne konfiguracje całych systemów. Oznacza to błędne działanie systemów bezpieczeństwa, bądź możliwość łatwego sprawdzenia przez osoby z zewnątrz, w jaki sposób one działają. Źle skonfigurowane są także szyfrowane transmisje SSL i formularze stron, co ułatwia przechwycenie całej transmisji oraz stron www przez hakerów - stwierdzili eksperci.

Zauważyli również, że dokumentacja stron jest często pozostawiana na serwerze dostępnym w internecie, nie istnieją systemy weryfikacji w dostępie do zasobów oraz niewłaściwie są skonfigurowane systemy zarządzania tożsamością użytkownika. Umożliwia to praktycznie pobranie dowolnej informacji o budowie strony internetowej, czy systemu bezpieczeństwa urzędu oraz ułatwia ataki z podszywaniem się pod pracowników uprawnionych do pobierania informacji.

REKLAMA

Zdaniem analityków, brakuje także często mechanizmu weryfikowania i filtrowania danych od użytkowników, co ułatwia ataki z wewnątrz organizacji. Brak też mechanizmu przekazywania do serwerów aplikacyjnych adresu źródła - zaznaczyli autorzy raportu - co oznacza, że sprawca ataków może czuć się bezpiecznie, ponieważ nie będzie wiadomo, skąd nadszedł atak.

Dalszy ciąg materiału pod wideo

Spora jest także - według ekspertów - lista błędów i zaniechań administratorów systemów, którzy nie wprowadzają aktualizacji systemów, co pozostawia otwarte drzwi dla hakerów znających występujące w nich luki.

Z audytu wynika, że administratorzy tolerują wymianę plików z filmami i muzyką pobieranych z sieci; czasem nawet w tym uczestniczą, przechowują te pliki na serwerach urzędu, umieszczają domyślne, bardzo proste hasła w panelach administracyjnych lub nawet pozostawiają je bez haseł.

Z kolei hasła przydzielane użytkownikom są - zdaniem autorów raportu - tak proste i trywialne, że ok. 60 proc. odszyfrowywanych jest w ciągu pierwszych 5 sekund pracy narzędzia do łamania haseł. Administratorzy nie blokują także kont użytkowników, co ułatwia zarówno atak z zewnątrz po rozłamaniu hasła i przejęciu konta użytkownika, jak i atak z wewnątrz urzędu

Jak stwierdzono w raporcie, reakcją na wykrycie zagrożeń w systemie instytucji publicznej jest zwykle ich zbagatelizowanie m.in. przez wyrażenie opinii: "jest dobrze - tylko jedna podatność na atak, a nie sto" lub kwestionowanie profesjonalizmu audytorów.

"Problem bezpieczeństwa istnieje od kilkunastu lat i są mu winni wszyscy, którzy w tym czasie rządzili administracją publiczną. Zresztą nie dotyczy on tylko administracji publicznej. To jest także problem firm informatycznych, które wdrożenia takich systemów dla administracji realizują. Firmy zatracają świadomość, że udane wdrożenie czy bezpieczny system są równie ważne jak skasowanie pieniędzy z faktury. Oczywiście sprzyja temu metoda kupowania usług informatycznych za najniższą cenę, co powoduje, że jeśli taka cena ma być osiągnięta to firma wdrażająca weźmie najtańszych fachowców, niejednokrotnie osoby, które żadnymi fachowcami nie są. I tworzy się samonapędzający się system tandety - niby syrenka i mercedes jeżdżą, ale przecież jest między nimi co najmniej spora różnica" - powiedział PAP Wiesław Paluszyński, współautor raportu, jeden z ekspertów prowadzących audyty bezpieczeństwa, członek władz Polskiego Towarzystwa Informatycznego.

Według autorów raportu, w instytucjach państwowych brakuje także świadomości, czym jest bezpieczeństwo informacji, co prowadzi do lekceważenia lub braku najważniejszych elementów ich ochrony: procedur reakcji na zagrożenia, zasad zarządzania zmianą czy konfiguracją systemu. Wyraźne są też braki kadrowe przy jednoczesnej dużej ilości niejednorodnego sprzętu oraz systemów. W efekcie słabo wykształceni informatycy często nie znają urządzeń, na których pracują, z czego wynikają błędy i niedostatki konfiguracji. Częste jest też tworzenie - zwykle przez personel działów informatyki - "składzików" pirackiego oprogramowania, filmów i muzyki na serwerach dostępnych przez internet.

Analitycy zauważają, że przyczynami tych błędów są najczęściej rozstrzygnięcia przetargów głównie na podstawie ceny, brak funduszy na zatrudnienie lub zlecenia badań systemów przez ekspertów, pomijanie lub lekceważenie problemów bezpieczeństwa przy projektowaniu, a potem budowie systemu informatycznego.

Eksperci sugerują, że niezbędnym minimum jest zmiana procedury wyboru ofert i weryfikacja kompetencji dostawcy tak, aby wybierany był ten, który nie oferuje tylko najtańszego sprzętu komputerowego. Konieczne jest także zatrudnienie osoby odpowiedzialnej za systemy bezpieczeństwa i tworzenie oprogramowania, tzw. architekta bezpieczeństwa oraz stosowanie utrudniających włamania zapór nie tylko sprzętowych, ale także programowych. Bezpieczeństwo nie jest, według analityków, pojęciem statycznym, ale procesem, który musi być zarządzany.(PAP)

Autopromocja

REKLAMA

Źródło: PAP

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Sektor publiczny
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Prace nad planem ogólnym i strategią rozwoju Warszawy wyznaczą jej politykę przestrzenną na najbliższe 20 lat

Stołeczny Ratusz poinformował o rozpoczęciu prac nad strategią rozwoju Warszawy 2040+ oraz planem ogólnym miasta. Dokumenty muszą być gotowe do końca 2025 r.

Warszawa rozpoczęła prace nad planem ogólnym i strategią rozwoju określającymi nową politykę przestrzenną miasta

Wiceprezydent m.st. Warszawy Renata Kaznowska poinformowała, że już wkrótce rozpoczną się prace nad strategią rozwoju Warszawy 2040 oraz planem ogólnym. To dokumenty, które określą, w jakim kierunku powinna się rozwijać stolica przez najbliższe 20 lat.

Podwyżki opłat o 100% (śmieci), 33% (woda), 40% (ścieki). Pokryją to zapowiedziane dziś przez D. Tuska podwyżki? [budżetówka, emeryci, renciści]

Podwyżka opłat za odbiór śmieci o 100% w Radomiu. Jest to niestety zapowiedź tego, co będzie się działo prawdopodobnie w całej Polsce. W przypadku wody podwyżka opłat, to 33%. A za ścieki 40%. W przyszłym roku budżetówka dostanie tylko 4,1 podwyżki a emeryci przeskoczą 7%. 

Wiemy, jak wyglądają etykiety dla aptek sprzedających pigułkę "dzień po"

Na stronie Naczelnej Izby Aptekarskiej dostępne są zatwierdzone projekty naklejek dla aptek biorących udział w pilotażowej sprzedaży pigułek antykoncepcyjnych. Główny Inspektorat Farmaceutyczny uznał, że takie informacje o aptekach nie naruszają zakazu reklamy obowiązującego w tych placówkach.

REKLAMA

Kolejne zmiany dla uczniów w roku szkolnym 2024/25. Modernizacja testów sprawnościowych

Wtorkowa konferencja prasowa przyniosła ważne zapowiedzi dotyczące programu testów sprawnościowych uczniów. Minister sportu, Sławomir Nitras, ogłosił zmiany, a szefowa MEN, Barbara Nowacka, podkreśliła potrzebę modernizacji.

Zmiany w maturach 2025 r.

Ministerstwo Edukacji Narodowej zaproponowało uchylenie przepisów dotyczących składania wstępnych deklaracji przystąpienia do egzaminu maturalnego. Zdaniem resortu, dwukrotne gromadzenie tych danych przez szkoły jest już nieuzasadnione. Rządowe Centrum Legislacji opublikowało projekt nowelizacji rozporządzenia w sprawie egzaminu maturalnego. Co to oznacza? 

Od 1 lipca 2024 r. zmiany w ustawie o pomocy obywatelom Ukrainy. Zmiany dotyczą również świadczenia Dobry Start

Nowelizacja ustawy o pomocy obywatelom Ukrainy została już podpisana przez Prezydenta i opublikowana w Dzienniku Ustaw. Na czym polegają zmiany w przyznawaniu świadczenia Dobry start i kiedy zaczną obowiązywać?

Asystenci międzykulturowi nowym zawodem w szkołach. Czy to oznacza nowy przedmiot w roku szkolnym 2024/25?

Wiceministra edukacji Joanna Mucha poinformowała o nowym projekcie, nad którym pracuje resort edukacji. Chodzi o dofinansowanie samorządom zatrudnienia asystentów międzykulturowych. 

REKLAMA

Czy w NFZ brakuje pieniędzy? Ministra Zdrowia: pacjenci są i będą przyjmowani do szpitali

To nie jest tak, że w NFZ nie mamy pieniędzy; chcę wszystkich uspokoić, szpitale pracują, to wszystko co jest nielimitowane się odbywa - mówiła w 13 czerwca 2024 r. ministra zdrowia Izabela Leszczyna. Zapewniła, że pacjenci nadal będą przyjmowani.

Szaszłyk z chrząszcza, sałatka z glonów. Kto sięga po alternatywne źródła białka?

Czy Europejczycy są otwarci na nowe smaki? Pasztet z ciecierzycy, sałatka z glonów, szaszłyk z chrząszcza. Co sądzą o alternatywnych źródłach białka? Analizy dokonały badaczki Uniwersytetu SWPS w ramach międzynarodowego projektu.

REKLAMA