Aż 81 procent systemów informatycznych administracji publicznej w Polsce jest podatna na ataki i zagrożenia, na przykład ze strony hakerów - wynika z raportu analityków do spraw bezpieczeństwa informatycznego, do którego dotarła Polska Agencja Prasowa.
Ministerstwo Administracji i Cyfryzacji odmówiło komentarza na temat raportu dopóki nie zapozna się z jego wynikami.
Od dwóch lat grupa kilku polskich ekspertów ds. bezpieczeństwa informatycznego - na zlecenie przedstawicieli administracji rządowej - przeprowadza cykliczne audyty w systemach informatycznych połączonych internetem na poziomie ministerstw, samorządów i agencji rządowych, badając ich podatność na zagrożenia wewnętrzne i zewnętrzne. Ustalenia dotyczące niesprawności systemów informatycznych przekazywane są ich właścicielom na bieżąco.
Jak wynika z najnowszego raportu, testy wykazały, że niską podatność na zagrożenia ma jedynie 19 procent systemów informatycznych administracji publicznej, 56 procent jest podatna w stopniu krytycznym, zaś 25 procent - w stopniu średnim, co oznacza ochronę w stopniu jedynie podstawowym.
Jak wynika z raportu, w trakcie audytów wykryto liczne błędy ułatwiające ataki zarówno hakerom jak i z wewnątrz organizacji czy instytucji. Są to między innymi niezabezpieczone skrypty konfiguracyjne aplikacji i błędne konfiguracje całych systemów. Oznacza to błędne działanie systemów bezpieczeństwa, bądź możliwość łatwego sprawdzenia przez osoby z zewnątrz, w jaki sposób one działają. Źle skonfigurowane są także szyfrowane transmisje SSL i formularze stron, co ułatwia przechwycenie całej transmisji oraz stron www przez hakerów.
Eksperci zauważyli również, że dokumentacja stron jest często pozostawiana na serwerze dostępnym w internecie, nie istnieją systemy weryfikacji w dostępie do zasobów oraz niewłaściwie są skonfigurowane systemy zarządzania tożsamością użytkownika. Umożliwia to praktycznie pobranie dowolnej informacji o budowie strony internetowej czy systemu bezpieczeństwa urzędu oraz ułatwia ataki z podszywaniem się pod pracowników uprawnionych do pobierania informacji. Brakuje też często mechanizmu przekazywania do serwerów aplikacyjnych adresu źródła - zaznaczyli autorzy raportu - co oznacza, że sprawca ataków może czuć się bezpiecznie, ponieważ nie będzie wiadomo, skąd nadszedł atak.
Z audytu wynika, że administratorzy tolerują wymianę plików z filmami i muzyką pobieranych z sieci. Czasem nawet w tym uczestniczą, przechowują te pliki na serwerach urzędu, umieszczają domyślne, bardzo proste hasła w panelach administracyjnych lub nawet pozostawiają je bez haseł. Częste jest też tworzenie - zwykle przez personel działów informatyki - "składzików" pirackiego oprogramowania, filmów i muzyki na serwerach dostępnych przez internet.
Z kolei hasła przydzielane użytkownikom są - zdaniem autorów raportu - tak proste i trywialne, że ok. 60 proc. odszyfrowywanych jest w ciągu pierwszych 5 sekund pracy narzędzia do łamania haseł. Administratorzy nie blokują także kont użytkowników, co ułatwia zarówno atak z zewnątrz po rozłamaniu hasła i przejęciu konta użytkownika, jak i atak z wewnątrz urzędu.
- komentuje Wiesław Paluszyński, współautor raportu, jeden z ekspertów prowadzących audyty bezpieczeństwa, członek władz Polskiego Towarzystwa Informatycznego.
