Przejdź do treści

Administracja i państwo słabo przygotowane na cyberataki

Data: 2016-07-07 20:56:00
alphaspirit / Photogenica

Systemy ochrony sieci i danych stosowane w polskich państwowych instytucjach nie zapewniają dostatecznego bezpieczeństwa – stwierdził NIK w opublikowanych w tym i zeszłym roku raportach. Ma to zmienić nowa strategia cyberbezpieczeństwa dla RP, którą przygotowuje resort cyfryzacji.  

Liczba ataków hakerskich w I połowie 2016 r. wzrosła o 50 proc. Co drugi z nich okazał się skuteczny. Polska jest nadal w grupie najbardziej zagrożonych państw w Europie - wynika z najnowszych analiz firmy Check Point, specjalizującej się w bezpieczeństwie sieciowym.

Natomiast firma Trend Micro, latem ubiegłego roku alarmowała, że sektor usług publicznych czy organy administracji rządowej stają się coraz częstszym celem ukierunkowanych ataków hakerskich. Efektem tych działań był np. wyciek danych z amerykańskiej agencji skarbowej IRS i Biura Zarządzania Kadrami OPM. Drugie z tych wydarzeń było wówczas największym incydentem tego rodzaju i doprowadziło do ujawnienia informacji osobowych około 21 milionów obywateli. W Polsce w sierpniu 2014 r. ataki typu DDoS (ataki, które blokują dostęp do danej strony internetowej) unieruchomiły natomiast na pewien czas na strony internetowe Kancelarii Prezydenta czy Giełdy Papierów Wartościowych.

- Już dawno minęły czasy, kiedy głównym celem hakerów było sprawdzenie swych umiejętności w programowaniu czy zrobienie głupiego żartu. Dziś działanie cyberprzestępcę nakierowane są na cele finansowe oraz wyrządzenie szkód, wywołanie chaosu. Nic wiec dziwnego, że na celowniku hakerów często są instytucje rządowe, administracyjne czy samorządowe - mówi Krzysztof Wójtowicz, dyrektor generalny Check Point w Polsce.

NIK sprawdza, jak się chroni sieci w państwowych instytucjach

Tymczasem systemy ochrony sieci i danych stosowane w polskich państwowych instytucjach nie zapewniają dostatecznego bezpieczeństwa – wynika z opublikowanego w maju tego roku raportu Najwyższej Izby Kontroli. W efekcie istnieje ryzyko, że działanie istotnych systemów teleinformatycznych zostanie zakłócone, a zgromadzone dane trafią w niepowołane ręce.

Kontrolą NIK objęło sześć wybranych instytucji centralnych (m.in. ministerstwa, urzędy). Przeprowadzono ją w okresie od 1 stycznia 2014 r. do 1 października 2015 r.

Jak zauważa NIK, tylko w jednej ze skontrolowanych instytucji, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji, gdzie w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych (było to związane z działaniami podjętymi w celu uzyskania przez tę instytucję certyfikatu ISO 27001).

Jednakże również w systemie tej jednostki kontrola wykryła nieprawidłowości w postaci błędów w implementacji norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK, niektóre z nich były poważne i mogą mieć istotny, negatywny wpływ na wiele procesów bezpieczeństwa IT. Nieprawidłowości dotyczyły m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji.

W pozostałych skontrolowanych jednostkach sytuacja była znacznie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała m.in.: brak planów bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

Problemem jest brak jednego, centralnego ośrodka decyzyjnego

Jednak już w ubiegłym roku NIK w opublikowanym raporcie z kontroli realizacji zadań w zakresie ochrony cyberprzestrzeni przez państwo stwierdził, że działania dotyczące cyberbezpieczeństwa państwa prowadzone są bez przygotowania i braku spójnej wizji, bo politycy nie zdają sobie sprawy ze skali zagrożeń.

Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych.

„Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią” - stwierdzał NIK.

Kontrola NIK wykazała m.in., że całkowicie martwe i niewykorzystywane w praktyce były przepisy nakładające na ministrów i wojewodów obowiązki w zakresie przeprowadzania kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych, obejmujących m.in. weryfikację wymogów bezpieczeństwa tych systemów.

I tak 14 z 16 wojewodów w ogóle nie realizowało obowiązków określonych w ustawie o informatyzacji, dotyczących kontroli systemów teleinformatycznych wykorzystywanych przez samorządy i ich związki.

Także ówczesne resorty odpowiedzialne za te kwestie nie planowały oraz nie przeprowadzały, wymaganych w ustawie o informatyzacji, kontroli systemów teleinformatycznych wykorzystywanych przez podmioty podległe lub nadzorowane.

Jako główne powody odstąpienia od realizacji tych zadań odpowiedzialne za to instytucje wskazywały na brak kadr posiadających certyfikaty uprawniające do prowadzenia kontroli systemów teleinformatycznych oraz ograniczenia budżetowe, nie pozwalające na zatrudnienie dodatkowych kontrolerów lub skierowanie pracowników na wymagane kursy i egzaminy.

Będzie ustawa o cyberbezpieczeństwie

Te problemy dostrzega Ministerstwo Cyfryzacji, które przygotowuje strategię cyberbezpieczeństwa dla RP. Obecnie trwają prace nad wytycznymi dla organów administracji państwowej w zakresie zabezpieczenia systemów informatycznych administracji (sierpień 2016 r.) i ustawą o cyberbezpieczeństwie (grudzień 2016 r.).

Zasadnicza część zmian organizacyjnych w krajowym systemie cyberbezpieczeństwa będzie związana z precyzyjnym zdefiniowaniem roli organizatora systemu, czyli Ministerstwa Cyfryzacji w ustawie o krajowym systemie cyberbezpieczeństwa. Resort ten będzie ustalać politykę i cele do realizacji, proponować i wdrażać rozwiązania legislacyjne, oddziaływać prawnie na inne instytucje, opracowywać wieloletnie programy działania (np. w zakresie działalności badawczo-rozwojowej) i koordynować współpracę międzynarodową.

Natomiast jeśli chodzi o kwestie bardziej operacyjne, to powołany ma zostać zespół reagujący na zagrożenia i incydenty bezpieczeństwa w cyberprzestrzeni na poziomie krajowym, tzw. CERT/CSIRT krajowy. Będzie on współpracować i innymi uczestnikami systemu, w tym CERT/CSIRT sektorowymi, punktem kontaktowym dla operatorów infrastruktury krytycznej czy zespołami ds. bezpieczeństwa. Rolę CERT-u krajowego będzie najprawdopodobniej pełnił NASK.

Marek Jaślan

Zdjęcie: Photogenica

, wydruk, pdf , Prześlij znajomym

Aby dodawać komentarze musisz się zalogować.

Komentarze

Brak komentarzy

Wyślij autorowi swoje uwagi

Treść uwag:

przeczytaj_tresc_ponownie