REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Raport: systemy informatyczne administracji publicznej źle zabezpieczone

Raport: systemy informatyczne administracji publicznej źle zabezpieczone

Subskrybuj nas na Youtube
08 marca 2012, 04:36
fot. shutterstock
fot. shutterstock
ShutterStock

REKLAMA

REKLAMA

Aż 81 proc. systemów informatycznych administracji publicznej w Polsce jest podatna na ataki i zagrożenia, np. ze strony hakerów - wynika z raportu analityków ds. bezpieczeństwa informatycznego.

Ministerstwo Administracji i Cyfryzacji odmówiło komentarza na temat raportu dopóki nie zapozna się z jego wynikami.

Od dwóch lat grupa kilku polskich ekspertów ds. bezpieczeństwa informatycznego - na zlecenie przedstawicieli administracji rządowej - przeprowadza cykliczne audyty w systemach informatycznych połączonych internetem na poziomie ministerstw, samorządów i agencji rządowych, badając ich podatność na zagrożenia wewnętrzne i zewnętrzne. Ustalenia dotyczące niesprawności systemów informatycznych przekazywane są ich właścicielom na bieżąco.

REKLAMA

Jak wynika z najnowszego raportu, testy wykazały, że niską podatność na zagrożenia ma jedynie 19 proc. systemów informatycznych administracji publicznej, 56 proc. jest podatna w stopniu krytycznym, zaś 25 proc. - w stopniu średnim, co oznacza ochronę w stopniu jedynie podstawowym.

Jak wynika z raportu, w trakcie audytów wykryto liczne błędy ułatwiające ataki zarówno hakerom jak i z wewnątrz organizacji czy instytucji. Są to m.in. niezabezpieczone skrypty konfiguracyjne aplikacji i błędne konfiguracje całych systemów. Oznacza to błędne działanie systemów bezpieczeństwa, bądź możliwość łatwego sprawdzenia przez osoby z zewnątrz, w jaki sposób one działają. Źle skonfigurowane są także szyfrowane transmisje SSL i formularze stron, co ułatwia przechwycenie całej transmisji oraz stron www przez hakerów - stwierdzili eksperci.

Zauważyli również, że dokumentacja stron jest często pozostawiana na serwerze dostępnym w internecie, nie istnieją systemy weryfikacji w dostępie do zasobów oraz niewłaściwie są skonfigurowane systemy zarządzania tożsamością użytkownika. Umożliwia to praktycznie pobranie dowolnej informacji o budowie strony internetowej, czy systemu bezpieczeństwa urzędu oraz ułatwia ataki z podszywaniem się pod pracowników uprawnionych do pobierania informacji.

Dalszy ciąg materiału pod wideo

REKLAMA

Zdaniem analityków, brakuje także często mechanizmu weryfikowania i filtrowania danych od użytkowników, co ułatwia ataki z wewnątrz organizacji. Brak też mechanizmu przekazywania do serwerów aplikacyjnych adresu źródła - zaznaczyli autorzy raportu - co oznacza, że sprawca ataków może czuć się bezpiecznie, ponieważ nie będzie wiadomo, skąd nadszedł atak.

Spora jest także - według ekspertów - lista błędów i zaniechań administratorów systemów, którzy nie wprowadzają aktualizacji systemów, co pozostawia otwarte drzwi dla hakerów znających występujące w nich luki.

Z audytu wynika, że administratorzy tolerują wymianę plików z filmami i muzyką pobieranych z sieci; czasem nawet w tym uczestniczą, przechowują te pliki na serwerach urzędu, umieszczają domyślne, bardzo proste hasła w panelach administracyjnych lub nawet pozostawiają je bez haseł.

Z kolei hasła przydzielane użytkownikom są - zdaniem autorów raportu - tak proste i trywialne, że ok. 60 proc. odszyfrowywanych jest w ciągu pierwszych 5 sekund pracy narzędzia do łamania haseł. Administratorzy nie blokują także kont użytkowników, co ułatwia zarówno atak z zewnątrz po rozłamaniu hasła i przejęciu konta użytkownika, jak i atak z wewnątrz urzędu.

Jak stwierdzono w raporcie, reakcją na wykrycie zagrożeń w systemie instytucji publicznej jest zwykle ich zbagatelizowanie m.in. przez wyrażenie opinii: "jest dobrze - tylko jedna podatność na atak, a nie sto" lub kwestionowanie profesjonalizmu audytorów.

"Problem bezpieczeństwa istnieje od kilkunastu lat i są mu winni wszyscy, którzy w tym czasie rządzili administracją publiczną. Zresztą nie dotyczy on tylko administracji publicznej. To jest także problem firm informatycznych, które wdrożenia takich systemów dla administracji realizują. Firmy zatracają świadomość, że udane wdrożenie czy bezpieczny system są równie ważne jak skasowanie pieniędzy z faktury. Oczywiście sprzyja temu metoda kupowania usług informatycznych za najniższą cenę, co powoduje, że jeśli taka cena ma być osiągnięta to firma wdrażająca weźmie najtańszych fachowców, niejednokrotnie osoby, które żadnymi fachowcami nie są. I tworzy się samonapędzający się system tandety - niby syrenka i mercedes jeżdżą, ale przecież jest między nimi co najmniej spora różnica" - powiedział PAP Wiesław Paluszyński, współautor raportu, jeden z ekspertów prowadzących audyty bezpieczeństwa, członek władz Polskiego Towarzystwa Informatycznego.

Według autorów raportu, w instytucjach państwowych brakuje także świadomości, czym jest bezpieczeństwo informacji, co prowadzi do lekceważenia lub braku najważniejszych elementów ich ochrony: procedur reakcji na zagrożenia, zasad zarządzania zmianą czy konfiguracją systemu. Wyraźne są też braki kadrowe przy jednoczesnej dużej ilości niejednorodnego sprzętu oraz systemów. W efekcie słabo wykształceni informatycy często nie znają urządzeń, na których pracują, z czego wynikają błędy i niedostatki konfiguracji. Częste jest też tworzenie - zwykle przez personel działów informatyki - "składzików" pirackiego oprogramowania, filmów i muzyki na serwerach dostępnych przez internet.

Analitycy zauważają, że przyczynami tych błędów są najczęściej rozstrzygnięcia przetargów głównie na podstawie ceny, brak funduszy na zatrudnienie lub zlecenia badań systemów przez ekspertów, pomijanie lub lekceważenie problemów bezpieczeństwa przy projektowaniu, a potem budowie systemu informatycznego.

Eksperci sugerują, że niezbędnym minimum jest zmiana procedury wyboru ofert i weryfikacja kompetencji dostawcy tak, aby wybierany był ten, który nie oferuje tylko najtańszego sprzętu komputerowego. Konieczne jest także zatrudnienie osoby odpowiedzialnej za systemy bezpieczeństwa i tworzenie oprogramowania, tzw. architekta bezpieczeństwa oraz stosowanie utrudniających włamania zapór nie tylko sprzętowych, ale także programowych. Bezpieczeństwo nie jest, według analityków, pojęciem statycznym, ale procesem, który musi być zarządzany.

Wszystkie zmiany prawa w jednym miejscu > www.zmianyprawa.infor.pl

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: PAP
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Infor.pl
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Autyzm lub ADHD przemilczany w rekrutacji. Dlaczego kandydaci o tym nie mówią
09 cze 2025

Osoby z autyzmem, ADHD czy inną formą neuroatypową nie mówią o tym fakcie podczas procesu rekrutacyjnego. Dlaczego? Okazuje się, że większy odsetek osób neuroatypowych częściej szuka pracy niż osób neuronormatywnych.
Niekorzystna specustawa dla wcześniejszych emerytów - pozorne wykonanie wyroku TK z 4 czerwca 2024 r. Zadowolone będą osoby nieobjęte tymi przepisami
09 cze 2025

Po opublikowaniu w dniu 3 marca 2025 r. założeń projektu ustawy o ustalaniu wysokości emerytur z Funduszu Ubezpieczeń Społecznych dla osób, które do 6 czerwca 2012 r. przeszły na emerytury wcześniejsze na stronach Rządowego Centrum Legislacji ukazał się długo oczekiwany projekt tej ustawy datowany na 4 czerwca 2025 r.
Firmy chcą zatrudniać księgowych, ale… nie mają kogo! Brakuje ekspertów z doświadczeniem
09 cze 2025

Mimo stabilnej sytuacji kadrowej i rosnących wynagrodzeń, aż 84% księgowych przyznaje: znalezienie doświadczonego specjalisty to dziś prawdziwe wyzwanie. Barometr nastrojów 2025 pokazuje, że firmy częściej planują rekrutację niż redukcje – ale idealny kandydat musi dziś mieć znacznie więcej niż tylko znajomość Excela.
Polacy zaciskają pasa. Najnowszy raport pokazuje, na czym oszczędzamy najczęściej
09 cze 2025

Aż 37,2% Polaków deklaruje ograniczenie wydatków na elektronikę – wynika z najnowszego raportu. W czołówce oszczędzanych kategorii znalazły się też meble, odzież i materiały budowlane. Eksperci wskazują na wysokie ceny, niską częstotliwość zakupów oraz zmieniające się priorytety konsumenckie.

REKLAMA

Wysokość opłat za krew i jej składniki w 2026 r. [PROJEKT RESORTU ZDROWIA z 3 czerwca 2025 r.]
09 cze 2025

6 czerwca 2025 r. do uzgodnień i konsultacji publicznych trafił projekt rozporządzenia Ministra Zdrowia w sprawie określenia wysokości opłat za krew i jej składniki w 2026 r. Resort zdrowia ma czas na określenie tych opłat do 30 czerwca 2025 r.
Nawet 185 tys. zł na samochód dla osoby z niepełnosprawnością. Rusza druga tura naboru wniosków PFRON 2025
09 cze 2025

Druga i zarazem ostatnia w tym roku tura naboru wniosków w programie "Samodzielność – Aktywność – Mobilność!" rozpocznie się 1 sierpnia 2025 r. To szansa na uzyskanie nawet 85 proc. dopłaty do zakupu samochodu przystosowanego do potrzeb osoby z niepełnosprawnością ruchową. Sprawdź limity, warunki i checklistę, która ułatwi Ci wypełnienie elektronicznego wniosku w systemie SOW.
Pozew o zachowek. Co powinien zawierać i gdzie złożyć dokumenty?
09 cze 2025

Jak napisać pozew o zachowek, by uniknąć błędów, które mogą spowolnić lub utrudnić dochodzenie należności? To ważne informacje dla osób, które zostały pominięte w testamencie lub otrzymały mniej niż im się należało.
Podwyżki pracowników samorządowych z wyrównaniem od 1 marca 2025 r. Rozporządzenie w Dzienniku Ustaw [STAWKI]
09 cze 2025

30 maja 2025 r. w Dzienniku Ustaw RP zostało opublikowane rozporządzenie podwyższające kwoty minimalnego miesięcznego poziomu wynagrodzenia zasadniczego pracowników samorządowych zatrudnionych na podstawie umowy o pracę. Rozporządzenie koryguje także katalog stanowisk.

REKLAMA

Bez księgowych ani rusz. Przedsiębiorcy doceniają ich nie tylko za rachunki, ale i za wsparcie strategiczne
09 cze 2025

Aż 75% przedsiębiorców w Polsce darzy swoje księgowe i księgowych dużym zaufaniem, a 71% uważa, że ich wiedza realnie wpływa na sukces firmy – wynika z najnowszego badania. Księgowi stają się dziś nie tylko strażnikami finansów, ale i partnerami w rozwoju biznesu.
Prezydent Andrzej Duda podpisał ważną ustawę. Prosiła go o to ministra z rządu Tuska
09 cze 2025

Prezydent Andrej Duda podpisał ustawę o jawności cen mieszkań, po wcześniejszym spotkaniu z minister Katarzyną Pełczyńską–Nałęcz. Nowe regulacje nakładają na deweloperów obowiązek prowadzenia stron internetowych, na których podawane mają być ceny mieszkań od początku sprzedaży do jej zakończenia.

REKLAMA