Raport zabezpieczeń stron rządowych: Dziurawe jak sito

Średnio każdy ze skontrolowanych urzędowych portali miał 10 błędów w zabezpieczeniach. To wnioski, jakie płyną z audytu stron należących do polskich instytucji państwowych, który prowadzi Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL.
Jak informuje TOK FM, w sumie w ciągu ostatniego roku zespół skontrolował niemal sto witryn należących do podmiotów administracji publicznej i znalazł w nich aż ponad tysiąc błędów w zabezpieczeniach. Co więcej, niemal co trzeci z nich został określony jako luka o wysokim, bądź bardzo wysokim poziomie zagrożenia.

Jak można przeczytać w raportach CERT, w tej grupie przeważały błędy typu Cross Site Scripting, Blind SQL Injection oraz SQL Injection. - Tego typu luki najczęściej służą do przejęcia kontroli nad stroną, czyli np. do podmiany strony bądź też do przejęcia praw administracyjnych nad serwerem, który taką stronę udostępnia - tłumaczy w rozmowie z TOK FM specjalista ds. bezpieczeństwa IT dr Aleksander Poniewierski z Ernst&Young.

Zdaniem eksperta skala zjawiska powinna już niepokoić: - Liczba błędów na tych witrynach pokazuje, że problem istnieje. Wynika on przede wszystkim z braku strategii zabezpieczenia witryn czy systemów administracji państwowej, a po drugie z braku egzekwowania takiego zabezpieczenia.

Zamiast premiera - Baśka

Taką strategię zabezpieczeń ministrowie właśnie przygotowują - skłoniły ich do tego dopiero styczniowe ataki na rządowe strony. W ramach protestów przeciwko ACTA osoby identyfikujące się ze środowiskiem Anonymous blokowały dostęp do witryn wielu resortów i urzędów.

Grupa podpisująca się jako Polish Underground 23 stycznia włamała się natomiast na serwis Kancelarii Premiera. Podmienili zawartość strony. Umieścili tam nagranie ze słynną Baśką z "Baśka blog". Na stronie pojawił się też dotychczasowy login i hasło do serwisu: admin i admin1.

Sam opisywany wyżej audyt nie ma związku z ostatnimi atakami. CERT.GOV.PL prowadzi go cyklicznie. Zespół funkcjonuje w ramach Departamentu Bezpieczeństwa Teleinformatycznego ABW.

Jak możemy przeczytać na stronie rządowego CERT-u, jego podstawowym zadaniem jest zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami, ze szczególnym uwzględnieniem ataków ukierunkowanych na infrastrukturę obejmującą systemy i sieci teleinformatyczne, których zniszczenie lub zakłócenie może stanowić zagrożenie dla życia, zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach, albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa.

Więcej o:

DOSTĘP PREMIUM

Komentarze (1)
Raport zabezpieczeń stron rządowych: Dziurawe jak sito
Zaloguj się
  • corepl

    Oceniono 2 razy 2

    heh a czego się spodziewać - jaka płaca taka/i praca/pracownik...
    co lepsi pracują w sektorze prywatnym gdzie zarabiają co najmniej 2-3x tyle co w urzędzie

Aby ocenić zaloguj się lub zarejestrujX