457 ataków zdefiniowano jako poważne. W porównaniu z rokiem 2011 liczba ta wzrosła niemal dwukrotnie – wynika z najnowszego raportu Agencji Bezpieczeństwa Wewnętrznego. Cyberzagrożeń będzie coraz więcej. Administracja nie jest na nie przygotowana. I nie traktuje ich serio.
„Pragnąc uspokoić CERT oraz inne instytucje rządowe, uprzejmie informuję, że nie był to »state sponsored attack«. Więc nie były to »Chinole« i ich APT1 :) Rok temu się nie udało, tym razem KPRM zdobyty (inne ministerstwa też się załapały na niezamówiony test penetracyjny)” – tak kilka tygodni temu internauta o nicku Alladyn2 pochwalił się swoim sukcesem. Udało mu się włamać na konto szefa KPRM Tomasza Arabskiego i rozesłać z niego wiadomości z załącznikiem zainfekowanym wirusem. Dzięki temu, że pracownicy KPRM i ministerstw otworzyli wiadomość oraz załącznik, włamywacz mógł przejąć kontrolę nad kontami wszystkich urzędników.
Agencja Gazeta / Fot. Wojciech Olkunik AG
Jako dowód swoich sukcesów opublikował (częściowo ocenzurowaną) listę ponad 1300 haseł kont pracowników kancelarii premiera oraz 8000 pracowników MSZ.
Reklama
Jednak jak wynika z raportu ABW, niekoniecznie trzeba dysponować tak dużymi umiejętnościami jak Alladyn2, by skutecznie zagrozić cyberbezpieczeństwu instytucji państwowych. ABW już po atakach Anonymus przeprowadziło ankietę dotyczącą bezpieczeństwa witryn internetowych w domenie Gov.pl. Jednostki administracji państwowej miały w niej dokonać swojej oceny bezpieczeństwa teleinformatycznego. Albo same przyznawały się, że bezpieczeństwo jest na niskim poziomie. Albo nawet nie wiedziały, jakiej klasy witrynę prowadzą.
Niski poziom zabezpieczeń potwierdzają też testy bezpieczeństwa przeprowadzone przez CERT (rządowy zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci). Na 67 rządowych witrynach, które sprawdzono – wykryto 1133 błędy. W tym 188 o bardzo wysokim poziomie zagrożenia. Jak piszą analitycy, „umożliwiają one przełamanie zabezpieczeń przez osoby nieposiadające zaawansowanej wiedzy technicznej z wykorzystaniem ogólnie dostępnych narzędzi”.
– Podatność na ataki jest na poziomie ucznia gimnazjum – mówi DGP informatyk z prywatnej firmy, która kilka miesięcy temu zaczęła pracować przy obsłudze jednego z większych systemów e-administracji. – Niestety niewiele się zmienia. Rok temu przeprowadziliśmy audyt systemów informatycznych administracji publicznej pod względem ich podatności na ataki. Wynikało z niego, że 4 na 5 nie są wystarczająco zabezpieczone – mówi DGP Wiesław Paluszyński, współautor raportu i jeden z ekspertów prowadzących audyty bezpieczeństwa, członek władz Polskiego Towarzystwa Informatycznego. – Od kwietnia 2012 roku obowiązuje rządowe rozporządzenie w sprawie Krajowych Ram Interoperacyjności. Określa ono metody i wytyczne do budowania systemów teleinformatycznych administracji publicznej, w tym także wiele zasad dotyczących bezpieczeństwa teleinformatycznego. Niestety nie jest ono egzekwowane – dodaje Paluszyński.
W dużej części za niefrasobliwość odpowiedzialny jest po prostu brak przekonania, że cyberzagrożenia to realne niebezpieczeństwo.