Agencja Bezpieczeństwa Wewnętrznego nie zostawia suchej nitki na serwisach należących do instytucji publicznych. Po ACTA rząd nie wyciągnął wniosków: 30 stronach przebadanych między kwietniem a czerwcem br. znaleziono łącznie 321 błędów, w tym 184 poważnych. Innymi słowy, na jedną witrynę przypada średnio 10,7 błędu. W roku 2011 wskaźnik ten wynosił 10,5.
Luki w rządowych witrynach wykryte przez ABW / DGP
„FackGovFriday” zaatakował na przełomie marca i kwietnia. Okazało się, że pod tym pseudonimem kryje się kolejna grupa Anonymous – nie poważni cyberprzestępcy, tylko tzw. haktywiści, którzy postanowili uprzykrzyć życie urzędnikom.
Podmienili lub upublicznili dane dziewięciu instytucji, w tym m.in. Narodowego Funduszu Zdrowia, Prokuratury Apelacyjnej w Białymstoku, Sądu Rejonowego w Inowrocławiu i Urzędu Miejskiego z Częstochowy. Chcieli w ten sposób zademonstrować sprzeciw wobec planów ograniczania ich swobody w sieci.
W swoich zamiarach nie byli osamotnieni. Jak wynika z najnowszego raportu CERT, czyli zespołu Agencji Bezpieczeństwa Wewnętrznego zajmującego się cyberbezpieczeństwem państwa, tylko między kwietniem a czerwcem doszło do 109 ataków na rządowe witryny.
– Nie były to na szczęście ataki, które mogły realnie zagrozić funkcjonowaniu administracji. Witryny urzędów nie są infrastrukturą krytyczną, do niej należą m.in. sektor transportowy, energetyczny, internetowo-telekomunikacyjny czy centralne rejestry, jak np. Krajowy Rejestr Sądowniczy, i to je trzeba chronić w szczególny sposób – komentuje Sławomir Kosieliński, prezes Instytutu Mikromakro.
Ale same wnioski płynące z raportu CERT są mało optymistyczne. „W drugim kwartale 2012 roku odnotowana została znacząca liczba ataków mających na celu podmianę zawartości strony głównej. (...) Niestety w dalszym ciągu poziom bezpieczeństwa wielu witryn jest niezadowalający” – piszą analitycy.
CERT przeprowadza audyty od 2009 r. W tym czasie niewiele się zmieniło, jeżeli chodzi o zabezpieczenie witryn publicznych instytucji. W 2011 r. przebadano 95 stron należących do 33 z nich. Łącznie wykryto aż tysiąc tzw. podatności, dziur i niedoróbek, z czego 289 uznano za stanowiące wysoki i bardzo wysoki poziom zagrożenia.
To było jeszcze przed wybuchem sprawy z ACTA. Jak jest po? Na 30 stronach przebadanych między kwietniem a czerwcem br. znaleziono łącznie 321 błędów, w tym 184 poważnych. Innymi słowy, na jedną witrynę przypada średnio 10,7 błędu. W roku 2011 wskaźnik ten wynosił 10,5.
Tymczasem po atakach z początku roku rząd obiecywał, że zadba o lepsze zabezpieczenia oficjalnych stron. Ministerstwo Administracji i Cyfryzacji zaczęło od przeprowadzenia ankiet dotyczących bezpieczeństwa portali internetowych ministerstw.
– Okazało się, że znaczna część z nich powierzyła prowadzenie stron podmiotom zewnętrznym – wyjaśnia Katarzyna Świątkowska z MAiC. W efekcie resort zorganizował spotkanie dyrektorów generalnych ministerstw i zarekomendował im wprowadzenie większej kontroli nad bezpieczeństwem stron.
W styczniu powołano też zespół zadaniowy do spraw ochrony portali rządowych, który jeszcze w czasie ataków haktywistów opracował plan działań dla administratorów na podobny wypadek. MAiC zapewnia, że zespół nadal działa i że toczą się w nim prace nad „polityką ochrony cyberprzestrzeni Rzeczypospolitej”, czyli nową rządową strategią w tej sprawie.



Joanna Świątkowska, Instytut Kościuszki, współautorka raportu „Współpraca państw Grupy Wyszehradzkiej w zapewnianiu cyberbezpieczeństwa”
Działania przewidziane w Programie Ochrony Cyberprzestrzeni z 2010 r. dotykają głównych problemów związanych z cyberbezpieczeństwem i stanowią dobry krok początkowy. Ale żeby miały realną wartość, muszą zostać wprowadzone w życie.
Po pierwsze trzeba powołać organ koordynującego działania związane z ochroną cyberprzestrzeni, czuwającego m.in. nad najważniejszymi zadaniami.
Po drugie, w programie należy zawrzeć konkretne rozwiązania zachęcające podmioty prywatne do współpracy w zakresie cyberbezpieczeństwa.
Po trzecie, pomija on nowe trendy dotykające bezpośrednio cyberbezpieczeństwa, jak np. przetwarzanie danych w chmurze.
Nie tylko w Polsce decydenci nie traktują cyberzagrożeń tak poważnie, jak zagrożeń konwencjonalnych. We wszystkich krajach Grupy Wyszehradzkiej, właśnie niewystarczające docenienie wagi cyberbezpieczeństwa stanowi największy problem.
Warto jednak wspomnieć, że Polska podążając za swoimi partnerami z grupy powinna jak najszybciej dokończyć proces ratyfikacji konwencji Rady Europy o cyberprzestępczości.
Problemem Polski jest też brak ogólnokrajowych ćwiczeń z zakresu ochrony cyberprzestrzeni.