18% polskich stron rządowych ma "nieakceptowanie niski" poziom bezpieczeństwa

21-05-2012, 10:28

Można się tego dowiedzieć z najnowszego raportu Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL (nie mylić z CERT Polska). Po przeprowadzeniu wstępnej analizy eksperci uznali za bezpieczne tylko ok. 7% stron w domenie gov.pl.

Tak naprawdę to żadna nowość - CERT.GOV.PL został powołany na początku 2008 r. i od tego czasu regularnie publikuje raporty, z których wynika, że strony polskiej administracji państwowej są kiepsko zabezpieczone, podatne na ataki typu XSS i SQL Injection, a ich administratorzy korzystają z nieaktualnych wersji oprogramowania.

Najnowszy raport obejmuje I kwartał 2012 r. Szczegółowo przebadano w tym czasie 30 witryn należących do 5 instytucji państwowych. Stwierdzono ogółem 454 błędy, w tym 74 o bardzo wysokim poziomie zagrożenia, 14 o wysokim poziomie zagrożenia, 240 o niskim poziomie zagrożenia i 126 oznaczonych jako informacyjne. Jak czytamy w raporcie, taka liczba wykrytych podatności świadczy o utrzymującym się w dalszym ciągu nieakceptowanym poziomie bezpieczeństwa polskich stron rządowych.

Inaczej mówiąc, raporty są publikowane, ale nikt się nimi za bardzo nie przejmuje, czego dowodem są styczniowe ataki pod szyldem walki z ACTA. Doszło wtedy nie tylko do blokowania poszczególnych stron, ale także do włamań i ujawniania danych, o czym obszernie pisaliśmy w artykułach pt. Polish Underground zhackowało strony premiera oraz Anonymous ujawniają hasła i psują Sikorskiemu stronę.

Czytaj także: Atak Anonymous czy pospolite ruszenie przeciw ACTA?

W związku z tymi atakami CERT.GOV.PL przeprowadził badania ankietowe dotyczące bezpieczeństwa organizacyjnego i technicznego stron administracji rządowej. To z tego badania wynikło, że 18% serwisów w domenie gov.pl charakteryzuje się "nieakceptowanie niskim" poziomem bezpieczeństwa. Tylko niecałe 20% instytucji posiada procedury eksploatacyjne i awaryjne na wypadek ataków na prowadzone przez nie strony. Jednocześnie już dziś ok. ¼ instytucji udostępnia e-usługi.

Na podstawie wstępnej analizy wyników ankiety oszacowano, iż wiedza na temat bezpieczeństwa witryn administracji jest niewystarczająca. W związku z tym rozpoczęto prace nad uzyskaniem pełnej wiedzy na temat ilości i poziomu zabezpieczeń wszystkich witryn nadzorowanych przez jednostki administracji państwowej - czytamy w raporcie. Czy kolejne opracowanie dotyczące bezpieczeństwa stron rządowych coś zmieni? Śmiemy wątpić.

Obecny raport, jak nie bez racji zauważają redaktorzy Niebezpiecznika, sprawia wrażenie przygotowanego „na kolanie”, zawiera wiele powtórzeń (np. z linkowanej niżej analizy ataków DDoS na witryny rządowe), a użyte w nim wykresy są mało czytelne. Z raportem można się zapoznać na stronie zespołu CERT.GOV.PL (plik PDF, 35 stron).

Czytaj także: Rządowi eksperci przeanalizowali niedawne ataki DDoS


Źródło: CERT.GOV.PL, Dziennik Internautów
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31