Od dwóch lat grupa kilku polskich ekspertów ds. bezpieczeństwa informatycznego – na zlecenie przedstawicieli administracji rządowej - przeprowadza cykliczne audyty w systemach informatycznych połączonych internetem na poziomie ministerstw, samorządów i agencji rządowych, badając ich podatność na zagrożenia wewnętrzne i zewnętrzne. Ustalenia dotyczące niesprawności systemów informatycznych przekazywane są ich właścicielom na bieżąco
Jak wynika z najnowszego raportu, testy wykazały, że niską podatność na zagrożenia ma jedynie 19 proc. systemów informatycznych administracji publicznej, 56 proc. jest podatna w stopniu krytycznym, zaś 25 proc. - w stopniu średnim, co oznacza ochronę w stopniu jedynie podstawowym.
Jak wynika z raportu, w trakcie audytów wykryto liczne błędy ułatwiające ataki zarówno hakerom jak i z wewnątrz organizacji czy instytucji. Są to m.in. niezabezpieczone skrypty konfiguracyjne aplikacji i błędne konfiguracje całych systemów. Oznacza to błędne działanie systemów bezpieczeństwa, bądź możliwość łatwego sprawdzenia przez osoby z zewnątrz, w jaki sposób one działają. Źle skonfigurowane są także szyfrowane transmisje SSL i formularze stron, co ułatwia przechwycenie całej transmisji oraz stron www przez hakerów – stwierdzili eksperci.
Zauważyli również, że dokumentacja stron jest często pozostawiana na serwerze dostępnym w internecie, nie istnieją systemy weryfikacji w dostępie do zasobów oraz niewłaściwie są skonfigurowane systemy zarządzania tożsamością użytkownika. Umożliwia to praktycznie pobranie dowolnej informacji o budowie strony internetowej, czy systemu bezpieczeństwa urzędu oraz ułatwia ataki z podszywaniem się pod pracowników uprawnionych do pobierania informacji.
Zdaniem analityków, brakuje także często mechanizmu weryfikowania i filtrowania danych od użytkowników, co ułatwia ataki z wewnątrz organizacji. Brak też mechanizmu przekazywania do serwerów aplikacyjnych adresu źródła – zaznaczyli autorzy raportu - co oznacza, że sprawca ataków może czuć się bezpiecznie, ponieważ nie będzie wiadomo, skąd nadszedł atak.
Spora jest także – według ekspertów - lista błędów i zaniechań administratorów systemów, którzy nie wprowadzają aktualizacji systemów, co pozostawia otwarte drzwi dla hakerów znających występujące w nich luki.
Z audytu wynika, że administratorzy tolerują wymianę plików z filmami i muzyką pobieranych z sieci; czasem nawet w tym uczestniczą, przechowują te pliki na serwerach urzędu, umieszczają domyślne, bardzo proste hasła w panelach administracyjnych lub nawet pozostawiają je bez haseł.
Z kolei hasła przydzielane użytkownikom są – zdaniem autorów raportu - tak proste i trywialne, że ok. 60 proc. odszyfrowywanych jest w ciągu pierwszych 5 sekund pracy narzędzia do łamania haseł. Administratorzy nie blokują także kont użytkowników, co ułatwia zarówno atak z zewnątrz po rozłamaniu hasła i przejęciu konta użytkownika, jak i atak z wewnątrz urzędu. @page_break@
Jak stwierdzono w raporcie, reakcją na wykrycie zagrożeń w systemie instytucji publicznej jest zwykle ich zbagatelizowanie m.in. przez wyrażenie opinii: „jest dobrze – tylko jedna podatność na atak, a nie sto” lub kwestionowanie profesjonalizmu audytorów.
„Problem bezpieczeństwa istnieje od kilkunastu lat i są mu winni wszyscy, którzy w tym czasie rządzili administracją publiczną. Zresztą nie dotyczy on tylko administracji publicznej. To jest także problem firm informatycznych, które wdrożenia takich systemów dla administracji realizują. Firmy zatracają świadomość, że udane wdrożenie czy bezpieczny system są równie ważne jak skasowanie pieniędzy z faktury. Oczywiście sprzyja temu metoda kupowania usług informatycznych za najniższą cenę, co powoduje, że jeśli taka cena ma być osiągnięta to firma wdrażająca weźmie najtańszych fachowców, niejednokrotnie osoby, które żadnymi fachowcami nie są. I tworzy się samonapędzający się system tandety – niby syrenka i mercedes jeżdżą, ale przecież jest między nimi co najmniej spora różnica” – powiedział PAP Wiesław Paluszyński, współautor raportu, jeden z ekspertów prowadzących audyty bezpieczeństwa, członek władz Polskiego Towarzystwa Informatycznego.
Według autorów raportu, w instytucjach państwowych brakuje także świadomości, czym jest bezpieczeństwo informacji, co prowadzi do lekceważenia lub braku najważniejszych elementów ich ochrony: procedur reakcji na zagrożenia, zasad zarządzania zmianą czy konfiguracją systemu. Wyraźne są też braki kadrowe przy jednoczesnej dużej ilości niejednorodnego sprzętu oraz systemów. W efekcie słabo wykształceni informatycy często nie znają urządzeń, na których pracują, z czego wynikają błędy i niedostatki konfiguracji. Częste jest też tworzenie – zwykle przez personel działów informatyki – „składzików” pirackiego oprogramowania, filmów i muzyki na serwerach dostępnych przez internet.
Analitycy zauważają, że przyczynami tych błędów są najczęściej rozstrzygnięcia przetargów głównie na podstawie ceny, brak funduszy na zatrudnienie lub zlecenia badań systemów przez ekspertów, pomijanie lub lekceważenie problemów bezpieczeństwa przy projektowaniu, a potem budowie systemu informatycznego.
Eksperci sugerują, że niezbędnym minimum jest zmiana procedury wyboru ofert i weryfikacja kompetencji dostawcy tak, aby wybierany był ten, który nie oferuje tylko najtańszego sprzętu komputerowego. Konieczne jest także zatrudnienie osoby odpowiedzialnej za systemy bezpieczeństwa i tworzenie oprogramowania, tzw. architekta bezpieczeństwa oraz stosowanie utrudniających włamania zapór nie tylko sprzętowych, ale także programowych. Bezpieczeństwo nie jest, według analityków, pojęciem statycznym, ale procesem, który musi być zarządzany.@page_break@
Ekspert: systemy administracji publicznej wystawione na ataki
W Polsce administracja publiczna i resorty rządowe najczęściej nie mają systemów zarządzania bezpieczeństwem informacji, mają je tylko firmy komercyjne – mówi w wywiadzie ekspert ds. bezpieczeństwa informatycznego dr Wiesław Paluszyński.
Paluszyński jest jednym z ekspertów, którzy przeprowadzają cykliczne audyty w systemach informatycznych połączonych internetem na poziomie ministerstw, samorządów i agencji rządowych, badając ich podatność na zagrożenia wewnętrzne i zewnętrzne.
PAP: Jaki jest obecnie poziom bezpieczeństwa w serwisach administracji publicznej?
W.P.: W Polsce administracja publiczna i resorty rządowe nie mają systemów bezpieczeństwa informacji, mają je tylko firmy komercyjne.
Jeden z nielicznych systemów informatycznych w administracji publicznej, który posiada rozwiązanie bezpieczeństwa informacji, to należący do Agencji Restrukturyzacji i Modernizacji Rolnictwa system IACS. Unia Europejska nakazywała, aby system informatyczny obsługujący proces rejestracji i wypłat dopłat bezpośrednich dla rolnictwa takie rozwiązanie posiadał, więc wyposażono w nie IACS, będący zresztą systemem wielkim, porównywalnym z ZUS-em.
Spełnia zresztą nieźle swoją rolę od 9 lat, czego najlepszym dowodem jest to, że niewiele o nim słychać w mediach.
Co do innych systemów administracji publicznej, to z wykonywanych przez ostatnie dwa lata testów wynika, że ponad połowa z nich jest po prostu wystawiona na zagrożenia i mimo teoretycznego posiadania mechanizmów bezpieczeństwa nie jest chroniona przed żadnym typem ataku. Tylko 19 proc. systemów informatycznych administracji publicznej spełnia wymagania bezpieczeństwa niezbędne dla dopuszczenia do eksploatacji.
Błędy w projektowaniu systemów są ewidentne i bijące po oczach. Powinna przed zamówieniem systemu zostać zrobiona analiza ryzyka, która wykaże, jak powinien być ten system zbudowany.
PAP: Ale jak to zrobić, jeśli niejednokrotnie firma wdrażająca musi objaśniać urzędnikom, co właściwie powinni zamówić?
W.P.: Jeśli tego nie da się zrobić w urzędzie, to powinna być kupiona usługa analizy i określenia, jak zbudować prawidłowy system informatyczny. Zrobienie tego przez odpowiednią firmę doradczą jest niezbędne. Jednak w umowie o wykonanie takiej usługi powinno być stwierdzone, że ani ta firma doradcza, ani też żadna firma z nią powiązana, ani żadna firma „zaprzyjaźniona” nie weźmie udziału w tym postępowaniu.
Tymczasem w Polsce kontraktuje się firmy konsultingowe za najniższą możliwą cenę i takiego warunku w umowie się nie dopisuje. Są firmy wdrożeniowe, które zakładają sobie w naszym kraju firmy konsultingowe. Takie niby-firmy konsultingowe dają potem najniższą cenę, przygotowują specyfikację pod swoją firmę –matkę. Ale czy to jest wina tej firmy? Nie. To wina zamawiającego, który takiej możliwości nie wykluczył!
Z drugiej strony mam pretensję do firm instalujących systemy bezpieczeństwa, że kompletnie nie są zainteresowane sukcesem ich wdrożenia. Oczywiście, tak nie robią wszyscy. Jednak bardzo często, jest tak, że firma wstawia „klamoty” sprzętowe, łączy je kablami, byle działało, mniej lub bardziej bezmyślnie i tak naprawdę klient zostaje nie z działającym systemem, a z jakimś badziewiem na zasadzie: „kliencie, zapłaciłeś tak mało, no to masz to, za co zapłaciłeś”.
PAP: Jakich zmian trzeba dokonać, aby zapewnić bezpieczeństwo systemów informatycznych dla administracji publicznej?
W.P.: Najpierw trzeba zmienić kult niekompetencji na kompetencje. Trzeba prowadzić inwentaryzacje i analizy ryzyka. Kupować kompetentne usługi na zewnątrz; niekoniecznie od wielkich firm. Jest wielu małych dostawców, kompetentnych w swojej dziedzinie, w tym w zakresie bezpieczeństwa.
Nad procesem tworzenia systemów informatycznych trzeba panować. To dotyczy zresztą nie tylko bezpieczeństwa wdrożenia informatycznego, ale i bezpieczeństwa na kolei czy w elektrowni atomowej. Musi ktoś monitorować, ktoś analizować, inny - zarządzać, i ktoś musi wdrażać postępowanie naprawcze. Nie ma rozwiązania technicznego, które jest w stu procentach bezpieczne i nie ma sensu zabezpieczać wszystkiego na jednym wysokim poziomie. Trzeba po prostu mieć porządek, bo bałagan zawsze kończy się tragicznie.
Wiesław Paluszyński - elektronik, informatyk, członek m.in. władz Polskiego Towarzystwa Informatycznego, Rady Dyrektorów AFCEA, Rady Teleinformatyki przy Prezesie Rady Ministrów i Rady Polskiej Izby Informatyki i Telekomunikacji. W 2003 roku zastępca prezesa ARiMR odpowiedzialny za uruchomienie systemu dopłat bezpośrednich dla rolnictwa. Od 2003 roku prezes Trusted Information Consulting Sp. z o.o. Laureat nagrody Polskiej Izby Informatyki i Telekomunikacji za 2010 rok.
Marek Mejssner (PAP)