Andrzej Janikowski Szef, Badania rynku
Michał
K.
Specjalista ds.
bezpieczeństwa
informatycznego
Temat: Atak hakerów na strony polskich urzędów
Tak naprawdę to nie włamali się na kilkaset BIP-ów tylko na platformę, na której były hostowane te wszysytkie strony. Z tego co słyszałem, raczej nie było to zbyt trudne.Z Arakisem bym się wstrzymał z oceną bo na razie nie pokazali żadnych dowodów, więc to może być podpucha.
Andrzej Janikowski Szef, Badania rynku
Temat: Atak hakerów na strony polskich urzędów
Niby racja, tylko że takie akcje pogarszają wizerunek. Ulegnie on dalszemu pogorszeniu, kiedy zapowiadane ataki znowu dojdą do celu. Oczywiście, można się zastanawiać, czy wzrastająca aktywność hakerów ma coś wspólnego z nadchodzącymi wyborami. Bez względu jednak na odpowiedź warto chyba pomyśleć nad lepszym sposobem zabezpieczenia.
Michał
K.
Specjalista ds.
bezpieczeństwa
informatycznego
Temat: Atak hakerów na strony polskich urzędów
Prawda jest taka, że jak się wybiera najtańsze rozwiązania, to nie należy oczekiwać po nich jakości czy bezpieczeństwa.Andrzej Janikowski Szef, Badania rynku
Temat: Atak hakerów na strony polskich urzędów
To po co je stosować, skoro nie zapewniają nawet średniego poziomu bezpieczeństwa? Po co ta prowizorka i udawanie, że coś się robi?
Mateusz
Kurleto
Szukamy wybitnych
talentów do
świetnego zespołu IT
w Gdańsku
Temat: Atak hakerów na strony polskich urzędów
Hakerzy się nie zajmują włamaniami - może chociaż w ramach branży możemy używać poprawnie tego terminu?Andrzej Janikowski Szef, Badania rynku
Temat: Atak hakerów na strony polskich urzędów
Coś takiego znalazłem na Internecie:Zagrożenie dla samorządowych stron BIP jest wciąż realne - wynika z informacji Rządowego Zespołu Reagowania na Incydenty Komputerowe, cert.gov.pl. Firma hostingowa nie wdrożyła zaleceń bezpieczeństwa - czytamy na stronie cert.gov.pl
Zgodnie z rozporządzeniem MSWiA, strony BIP powinny być chronione przez moduł bezpieczeństwa - rozwiązanie techniczne uniemożliwiające zniszczenie lub modyfikację informacji publicznych przez osoby nieuprawnione.
Przepis nakłada obowiązek stosowania rozwiązań chroniących przed celowym spowolnieniem lub uniemożliwieniem dostępu do zasobów tych stron. Uregulowania te powinny być respektowane przez jednostki zobowiązane do udostępniania informacji publicznych na stronach podmiotowych BIP.
Z uwagi na to, iż większość jednostek umieszcza swoje strony podmiotowe na serwerach firm świadczących usługi hostingu, obowiązek zapewnienia odpowiedniego bezpieczeństwa musi być uzgodniony pomiędzy daną jednostką, a podmiotem świadczącym tego typu usługę - pisze MSWiA w odpowiedzi na nasze pytanie o bezpieczeństwo samorządowych stron internetowych.
W celu ograniczenia w przyszłości incydentów włamań na strony internetowe wprowadza się w obszarze administracji publicznej "standardy bezpieczeństwa dotyczące funkcjonowania systemów w cyberprzestrzeni". Pierwszym dokumentem poruszającym tę problematykę jest Polityka Bezpieczeństwa Cyberprzestrzeni RP - uspokaja nas MSWiA
Celem zapewnienia administracji publicznej ochrony przed cyberzagrożeniami, w Agencji Bezpieczeństwa Wewnętrznego funkcjonuje Rządowy Zespół Reagowania na Incydenty Komputerowe – CERT.GOV.PL, za pośrednictwem którego można zgłaszać m.in. włamania lub próby włamań oraz inne przypadki naruszenia bezpieczeństwa teleinformatycznego.
W związku z atakiem teleinformatycznym na witryny internetowe samorządów, zespół CERT.GOV.PL przeprowadził analizę, zidentyfikował przyczyny włamań oraz przekazał całość zaleceń firmie hostingowej. Zalecenia te to m.in. dokonanie zmian konfiguracyjnych oraz wprowadzenie filtrowania danych przekazywanych w parametrach do skryptów php.
Firma hostingowa podjęła próbę ponownego uruchomienia serwisów internetowych, ale nadal występowały błędy pozwalające na przełamanie zabezpieczeń. Jak wynika z informacji na stronie cert.gov.pl, zalecenia nie zostały wdrożone.
MSWiA uważa, że rozwiązaniem problemu może być budowa Scentralizowanego Systemu Dostępu do Informacji Publicznej (SSDIP) i wprowadzenie jednolitego standardu informacji na stronach podmiotowych Biuletynu Informacji Publicznej.
Następna dyskusja: