Poziom bezpieczeństwa serwisów i usług administracji publicznej

W roku ubiegłym rządowy CERT działający w ramach ABW zarejestrował 7,5 tys. incydentów naruszenia bezpieczeństwa w polskiej cyberprzestrzeni. Według Najwyższej Izby Kontroli stan bezpieczeństwa w serwisach i usługach administracji publicznej jest wysoce niepokojący.

W latach 2008?2011 zostało opracowanych siedem projektów narodowej strategii bezpieczeństwa w cyberprzestrzeni, jednak żaden z dokumentów programowych nie został zatwierdzony przez Radę Ministrów. 25 czerwca 2013 r. Ministerstwo Administracji i Cyfryzacji wraz z Agencją Bezpieczeństwa Wewnętrznego wydało dokument ?Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej?, który został zatwierdzony przez Radę Ministrów. Niestety, dokument okazał się niejasny, a problemy z jego interpretacją oraz licznymi brakami merytorycznymi spowodowały trudności z praktycznym zastosowaniem. W efekcie jednostki publiczne zostały pozostawione bez jasno określonych zadań i narzędzi do ich realizacji.

Rozwiązaniem problemu powinno być wprowadzenie rozporządzeń dotyczących cyberbezpieczeństwa, do których zastosują się organy państwowe. Najnowszy dokument wydany przez Radę Bezpieczeństwa Narodowego ?Doktryna cyberbezpieczeństwa Rzeczypospolitej Polskiej 2015? (http://www.bbn.gov.pl/ftp/dok/01/DCB.pdf) mówi nie tylko o działaniach obronnych, ale dopuszcza także stosowanie ataków w cyberprzestrzeni. Jako jeden z głównych celów postawiono ?zwalczanie (dezorganizowanie, zakłócanie i niszczenie) źródeł zagrożeń (aktywna obrona oraz działania ofensywne)?.

Wprowadzenie kontrolowanych przez państwo narzędzi obronnych i ofensywnych ma zapewnić wyższy poziom bezpieczeństwa. Działania podejmowane w tych kwestiach przez MON są utajnione, ale nieco światła na sprawę budowy narzędzi do ataku cybernetycznego rzuciło ogłoszenie w 2013 r. przez Narodowe Centrum Badań i Rozwoju konkursu na ?Oprogramowanie i sprzęt elektroniczny do prowadzenia walki informacyjnej?. Projekt zakładał opracowanie systemu, który ?będzie m.in. pozwalał na przejęcie kontroli nad urządzeniami sieciowymi ? komputerem, routerem, punktem dostępowym ? oraz na dezintegrację węzłów łączności poprzez celową zmianę ich parametrów pracy lub dezaktywację wybranych funkcji. (...) Warunkiem przejęcia elementów sieciowych przeciwnika jest zainstalowanie w nich w sposób jawny lub skryty oprogramowania (malware) i sprzętu elektronicznego?. NCBiR przeznaczyło na trzyletnie prace w tym zakresie 6,6 mln zł.

Stan bezpieczeństwa IT polskich podmiotów publicznych

W ciągu ostatniego półrocza przedstawione zostały trzy raporty z badań dotyczących sytuacji bezpieczeństwa polskiej cyberprzestrzeni. Badania przeprowadzone przez PwC (?Globalny stan bezpieczeństwa informacji 2015?) oraz EY (?Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny?) i NIK (Najwyższej Izby Kontroli) wykazały, że stan cyberbezpieczeństwa jest wysoce niepokojący. Sytuację jak co roku podsumował też rządowy zespół reagowania na incydenty komputerowe, CERT, działający w strukturze Agencji Bezpieczeństwa Wewnętrznego.

Z raportów wynika, że polskie instytucje dostrzegają nowe wyzwania. Świadczy o tym wzrost wydatków na bezpieczeństwo. Według wyników badania PwC ?Globalny stan bezpieczeństwa informacji 2015? budżet przeciętnej polskiej organizacji na bezpieczeństwo wzrósł z 2,7% w 2013 r. do 5,5% rok później. Wynik tym lepszy, że na świecie można zauważyć w tym czasie nieznaczny spadek budżetów. Raport obejmuje również firmy prywatne, co utrudnia ocenę w ramach podmiotów publicznych, jednak pozwala zauważyć zachodzące zmiany.

CERT w swoim ?Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014? stwierdza jednak, że wśród instytucji państwowych utrzymuje się tendencja do kierowania się ceną systemów bezpieczeństwa kosztem ich jakości. Dodatkowo świadomość problemów wśród kadry zarządzającej jest bardzo niska, dlatego CERT postuluje prowadzenie okresowych szkoleń z zakresu bezpieczeństwa.

Jeszcze ostrzejsze oceny wystawia Najwyższa Izba Kontroli, która sprawdziła, jak swoje zadanie realizują instytucje odpowiedzialne za cyberbezpieczeństwo. Ich działania w opinii NIK sformułowanej we wstępnych ustaleniach są prowadzone bez przygotowania i spójnej wizji. Niska świadomość obywateli i instytucji publicznych w zakresie zagrożeń związanych z bezpieczeństwem IT pogarsza sytuację.

NIK zwraca uwagę na kulejącą współpracę między urzędami. Izba słabo oceniła działania Ministerstwa Administracji i Cyfryzacji, które powinno koordynować współpracę wszystkich instytucji odpowiedzialnych za cyberbezpieczeństwo. Przepływ informacji między nimi często nie istnieje. W okresie objętym kontrolą UKE zgłosił zaledwie pięć incydentów, kiedy dziewięciu operatorów telekomunikacyjnych mówiło o 40 mln zainfekowanych adresów e-mailowych.

Zagrożenia

Ataki hakerów na jednostki administracji publicznej stają się coraz bardziej wymyślne. Pod koniec stycznia br. firma ESET opisała botnet, którego zadaniem było umawianie wizyt w polskich konsulatach na Białorusi. Nie był to jednak atak mogący wyrządzić tak znaczne szkody jak atak ze strony rosyjskiej grupy SandWorm wykorzystujący podatność dnia zerowego.

SandWorm na początku września 2014 r. wykorzystał podatność typu zero day w systemie Windows. Luka pozwoliła na zdalne wykonanie kodu na dowolnym komputerze, jeśli ofiara otworzyła wcześniej dokument przygotowany przez hakerów (w tym wypadku był to dokument PowerPoint). Wśród celów ataku znalazła się polska firma z sektora energetycznego.

Jednym z najważniejszych problemów, przed jakim stają polskie organizacje rządowe, są słabe zabezpieczenia serwisów webowych urzędów w małych ośrodkach. Proste automatyczne sprawdzenie wykazało, że sporo serwisów w domenie gov.pl jest podatnych na ataki (np. problem SSL 3.0 i luka POODLE - Padding Oracle On Downgraded Legacy Encryption ). Podobne wnioski przedstawił jeden z polskich hakerów w ramach raportu ?Alert (666) E-ZINE?. Haker po włamaniach na stronę Państwowej Komisji Wyborczej postanowił sprawdzić powierzchownie stan bezpieczeństwa polskich stron gov.pl. Wyniki badania prowadzonego przy zastosowaniu Vulns, Nmap+SMTP, Greps wykazały luki bezpieczeństwa w wielu witrynach podmiotów publicznych. Nawet w ramach tak prostego i ogólnego testu wyraźnie widać problem słabego zabezpieczenia serwisów.

Nie tylko oprogramowanie jest zagrożeniem

Świadomość pracowników administracji publicznej dotycząca oszustw pozostawia wiele do życzenia. W ciągu ostatniego roku byliśmy świadkami sporej liczby wyłudzeń pieniędzy publicznych w wyniku ataków komputerowych. Oszuści najczęściej podszywają się pod kontrahenta urzędu i przekazują informacje o zmianie numeru konta. Spółka Metra Warszawskiego przelała na konto oszustów ponad 560 tys. zł.

Raport CERT wykazał, że z pozoru niska liczba ataków socjotechnicznych, w tym phishingowych (łącznie odnotowano ich 119), jest ponadtrzykrotnie większa niż w roku 2013. Hakerzy podszywali się m.in. pod Zakład Ubezpieczeń Społecznych oraz Pocztę Polską. W pierwszym przypadku oszuści wysyłali e-mail z adresu e.bok.zus.rozliczenia@prokonto.pl o tytule ?Nadpłata za Świadczenia za 2013 r? oraz plikiem ?Dokument Nadpłata.scr? ze złośliwym oprogramowaniem.

W lipcu 2014 r. pojawiły się e-maile ze skrzynki informacja@poczta-polska.pl zatytułowane ?Poczta Polska S.A. eINFO?, które trafiły na pocztę osób z administracji publicznej. W załączniku umieszczono trojana Asprox.B. CERT wraz z Poczta Polską zareagował w szybkim tempie, informując użytkowników o szczególnym zwróceniu uwagi na fałszywe e-maile.

Można się spodziewać, że w kolejnych latach liczba ataków wykorzystujących elementy socjotechniki będzie rosła w jeszcze większym tempie niż w roku 2014. Technologia pomoże w ich odpieraniu jedynie w ograniczonym stopniu, bo ich celem nie są luki w oprogramowaniu, ale człowiek i jego błędy. Świadomość zagrożeń i dobrze przygotowani specjaliści mogą najlepiej przysłużyć się bezpieczeństwu cybernetycznemu Polski.

 

Źródło : http://www.computerworld.pl/