31.01.2012 | 13:06

Adam Haertle

Przez Tora, proxy lub VPN nie wejdziesz na rządową witrynę?

Sprytne wiewiórki podrzuciły nam dokument pod tytułem „Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej„. Autorem dokumentu jest Minister Administracji i Cyfryzacji Michał Boni, a sam dokument powstał po konsultacjach w Zespole zadaniowym do spraw ochrony portali dnia 26 stycznia tego roku.

Dokument zawiera całkiem sensowne wytyczne z zakresu bezpieczeństwa dla wszystkich rządowych serwisów informacyjnych. Jak mówią starzy górale, lepiej późno, niż wcale. Już w 2012 roku administracja rządowa odkrywa takie zalecenia bezpieczeństwa jak stosowanie silnych haseł, używanie sieci VPN do dostępu do poczty elektronicznej lub odcięcie dostępu do niej z zewnątrz organizacji, zakaz otwierania nieznanych załączników i wchodzenia na nieznane linki czy tez współpracę z rządowym CERTem. Dodatkowo, dotknięta atakami DDoS, administracja rządowa zaczyna stosować pojęcia takie jak filtrowanie ruchu ICMP i UDP, rozkładanie ruchu w zależności od obciążenia, czy też przełączanie między stronami statycznymi i dynamicznymi.

Wszystkie te rozwiązania, znane komercyjnym przedsiębiorcom od wielu lat, są jak najbardziej pożądane w rządowej infrastrukturze informacyjnej. Jednak jeden punkt rządowych zaleceń wzbudził naszą szczególną ciekawość. Brzmi on tak:

Wdrożenie systemów eliminacji ruchu anonimizowanego (tj. TOR, Znane Anon-oraz Open – Proxy, znane Anon – VPN, itp.) oraz wymuszenie ciągłej aktualizacji tych mechanizmów (zachowana pisowania oryginalna)

O ile rozumiemy frustrację CERT-u, który na podstawie logów http jedyne, co mógł stwierdzić, to to, że osoby, które podmieniły strony premier.gov.pl czy mon.gov.pl korzystały z Tora/proxy/VPN (niepotrzebne skreślić), ale czy na pewno tędy prowadzi droga do zapewnienia bezpieczeństwa serwisów www? Metoda odcinania dostępu z sieci anonimowych zbliża nasz kraj do autorytarnych reżimów, które także nie lubią anonimowości użytkowników.

PS. „Wytyczne” są dokumentem publicznym, wczoraj udostępnionym na www.cert.gov.pl.

Powrót

Komentarz

Zostaw odpowiedź do Co wiemy a czego nie o rosyjskich szpiegach w poczcie polskich wojskowych | Zaufana Trzecia Strona

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Przez Tora, proxy lub VPN nie wejdziesz na rządową witrynę?

Komentarze