Spośród alarmów zarejestrowanych w II kwartale br. przez system ARAKIS-GOV, wdrożony w ponad 60 instytucjach państwowych, zdecydowaną większość (64%) stanowiły alarmy informacyjne. System zgłosił zaledwie 4% alarmów o priorytecie wysokim, najwięcej z nich dotyczyło wykrycia zainfekowanego hosta w sieciach wewnętrznych poszczególnych instytucji.

Źródłem większości ataków były sieci komputerowe przypisane do Stanów Zjednoczonych, Chin, Turcji, Wysp Dziewiczych oraz Niemiec. Autorzy raportu podkreślają, że mając na uwadze specyfikę protokołu TCP/IP, nie można bezpośrednio łączyć źródła pochodzenia pakietów z faktyczną lokalizacją wykonawcy ataku. W celu ukrycia swej tożsamości atakujący wykorzystują często serwery pośredniczące (proxy) lub słabo zabezpieczone komputery, nad którymi wcześniej przejmują kontrolę.

W II kwartale br. do zespołu CERT.GOV.PL wpłynęło 234 zgłoszenia, przy czym tylko 67 z nich zostało zakwalifikowanych jako faktyczne incydenty. Najwięcej spośród nich dotyczyło błędów wykrytych w aplikacjach webowych. Twórcy raportu zwracają jednak uwagę na utrzymującą się od pewnego czasu tendencję wzrostową liczby zgłoszeń oraz faktycznych incydentów, co można zaobserwować na poniższym wykresie:

W omawianym okresie zespół CERT.GOV.PL kontynuował testy bezpieczeństwa stron internetowych prowadzonych przez instytucje państwowe. W sumie przebadano 39 witryn należących do 10 instytucji. Wykryto 355 błędów, w tym 120 o bardzo wysokim i 3 o wysokim poziomie zagrożenia. Przeważały wśród nich luki umożliwiające ataki typu cross-site scripting (XSS), blind SQL injection oraz SQL injection. Istotnym problemem było również wykorzystywanie na serwerach nieaktualnych wersji oprogramowania.

>> Czytaj także: Raport MSWiA: Coraz mniej piratów, coraz więcej oszustów

Pełny raport z działalności w obszarze cyberbezpieczeństwa za II kwartał 2011 roku można znaleźć na stronie zespołu CERT.GOV.PL.