Sprytne wiewiórki podrzuciły nam dokument pod tytułem „Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej„. Autorem dokumentu jest Minister Administracji i Cyfryzacji Michał Boni, a sam dokument powstał po konsultacjach w Zespole zadaniowym do spraw ochrony portali dnia 26 stycznia tego roku.
Dokument zawiera całkiem sensowne wytyczne z zakresu bezpieczeństwa dla wszystkich rządowych serwisów informacyjnych. Jak mówią starzy górale, lepiej późno, niż wcale. Już w 2012 roku administracja rządowa odkrywa takie zalecenia bezpieczeństwa jak stosowanie silnych haseł, używanie sieci VPN do dostępu do poczty elektronicznej lub odcięcie dostępu do niej z zewnątrz organizacji, zakaz otwierania nieznanych załączników i wchodzenia na nieznane linki czy tez współpracę z rządowym CERTem. Dodatkowo, dotknięta atakami DDoS, administracja rządowa zaczyna stosować pojęcia takie jak filtrowanie ruchu ICMP i UDP, rozkładanie ruchu w zależności od obciążenia, czy też przełączanie między stronami statycznymi i dynamicznymi.
Wszystkie te rozwiązania, znane komercyjnym przedsiębiorcom od wielu lat, są jak najbardziej pożądane w rządowej infrastrukturze informacyjnej. Jednak jeden punkt rządowych zaleceń wzbudził naszą szczególną ciekawość. Brzmi on tak:
Wdrożenie systemów eliminacji ruchu anonimizowanego (tj. TOR, Znane Anon-oraz Open – Proxy, znane Anon – VPN, itp.) oraz wymuszenie ciągłej aktualizacji tych mechanizmów (zachowana pisowania oryginalna)
O ile rozumiemy frustrację CERT-u, który na podstawie logów http jedyne, co mógł stwierdzić, to to, że osoby, które podmieniły strony premier.gov.pl czy mon.gov.pl korzystały z Tora/proxy/VPN (niepotrzebne skreślić), ale czy na pewno tędy prowadzi droga do zapewnienia bezpieczeństwa serwisów www? Metoda odcinania dostępu z sieci anonimowych zbliża nasz kraj do autorytarnych reżimów, które także nie lubią anonimowości użytkowników.
PS. „Wytyczne” są dokumentem publicznym, wczoraj udostępnionym na www.cert.gov.pl.
Komentarz