Kilka dni temu Krajowy Ośrodek Europejskiego Funduszu Społecznego doświadczył na własnej witrynie, co znaczy atak cyberprzestępcy. Strona instytucji zajmującej się zarządzeniem europejskimi funduszami została zaatakowana i podmieniona na stronę z komunikatem podpisanym przez „Iranian Cyber Army”. Nie jest wcale pewne czy to rzeczywiście Irańska Cyberarmia czyli grupa cyberprzestępców wsławiona udanym atakiem w grudniu na Twitter.com. Ale w internecie pojawiły się plotki, że z KO EFS zostały wykradzione informacje dotyczące beneficjentów funduszy. ABW, która dostała zawiadomiona o ataku uspokaja. – Zaatakowano tylko witrynę, a nie serwer instytucji więc nie jest zagrożone bezpieczeństwo danych – zapewnia Katarzyna Koniecpolska - Wróblewska, rzeczniczka agencji.
To, co spotkało KO EFS to niestety wzorcowy wręcz przypadek problemów, jakie czyhają na polskie urzędy publiczne. Jak wynika z właśnie opublikowanego raportu działającego przy ABW Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT, polskie urzędy zupełnie nie przejmują się cyberbezpieczeństwem swoich stron internetowych.
Ataki na e-witryny polskich urzędów tak się nasiliły, że w ubiegłym roku ABW postanowiła sprawdzać, jak są zabezpieczone. Od lipca do września przebadała 15 witryn z ośmiu instytucji, od października do grudnia kolejnych 16 witryn z pięciu instytucji. Efekty? Podczas pierwszego badania znaleziono 167 luk. Podczas drugiego – już 431. W dodatku aż 126 z odnalezionych błędów oceniono jako bardzo poważne luki, które grożą sporym prawdopodobieństwem ataku.
Tylko w ostatnim półroczu z cyberprzestępcami miały problemy strony: Rady ds. Uchodźców, Urzędu Gminy Bielsk Podlaski, Urzędu Miejskiego w Tarnowskich Górach, Państwowej Służby Hydrogeologicznej i Centralnej Komisji Egzaminacyjnej. Gdy kilka miesięcy temu cyberprzestępcy włamali się na witryny Ministerstwa Pracy i Pomocy Społecznej i kancelarii premiera, podmienili cztery podstrony dotyczące m.in. służby cywilnej i funduszy strukturalnych. Po tym ataku witryny resortu pracy i KPRM zostały zmodernizowane i zabezpieczone. To jednak rzadka reakcja na atak.
ABW nie chce komentować raportów przygotowanych przez CERT. Nie chce też ujawnić, które z urzędów zostały już skontrolowane. – Nie chcemy po prostu podawać żadnych wskazówek przestępcom, a nawet delikatnie podpowiadać, gdzie mogliby zaatakować – tłumaczy Koniecpolska – Wróblewska. Nieoficjalnie jednak eksperci ABW przyznają: – Luki w zabezpieczeniach jakie wykrywamy, to dowód na lenistwo administratorów, bo wystarczyłaby regularna dbałość o stan witryn.
Przemysław Krejza, szef Instytutu Informatyki Śledczej mówi ostrzej. – Z raportu ABW wynika smutna prawda: administratorzy stron zupełnie nie czytają takich raportów, bo jakby je czytali, dawno zabraliby się do roboty. Te błędy to nie są jakieś skomplikowane sprawy, nowości, z którymi administratorzy nie są w stanie dać sobie rady. To luki czasami znane od lat, wynikające z nie aktualizowania oprogramowania, z braku codziennej dbałości o serwery, czy wręcz z lenistwa - ocenia Krejza.