Bliżej nieustalona „grupa ekspertów” na zlecenie bliżej nieustalonych „przedstawicieli administracji rządowej” wykonała audyt zabezpieczeń infrastruktury administracji rządowej podłączonej do internetu. Wyniki, jak się można spodziewać, nie zachwycają.
Dziennikarze PAP dotarli do raportu z audytu. Wnioski można podsumować krótko: „jest źle”. Z drugiej strony ilość i charakter wykrytych problemów nie jest w Polsce zaskoczeniem. Chyba nikt nie spodziewał się, że rządowa infrastruktura informatyczna będzie dysponować poziomem zabezpieczeń wyższym niż przeciętna polska firma. Spójrzmy zatem na główne „odkrycia” audytu:
- 56% systemów IT jest podatna w stopniu krytycznym, 25% w stopniu średnim, a 19% w stopniu niskim (nie dowiemy się niestety, jak definiowano poszczególne stopnie podatności)
- wykryto niezabezpieczone skrypty konfiguracyjne aplikacji i błędne konfiguracje całych systemów
- wykryto „źle skonfigurowane szyfrowane transmisje SSL i formularze stron”
- „nie istnieją systemy weryfikacji w dostępie do zasobów”
- „brakuje także często mechanizmu weryfikowania i filtrowania danych od użytkowników”
- brak aktualizacji systemów
- administratorzy serwerów nie tylko tolerują wymianę plików z muzyka oraz filmami, ale także w niej uczestniczą i wykorzystują do tego zarządzane przez siebie serwery
- panele administracyjne chronią słabe hasła lub haseł brak
- „hasła przydzielane użytkownikom są tak proste i trywialne, że ok. 60 proc. odszyfrowywanych jest w ciągu pierwszych 5 sekund pracy narzędzia do łamania haseł” (a co z hasłami, które użytkownicy sami wybierają? i jak odróżniono jedne od drugich?)
- brak procedur reakcji na zagrożenia, zasad zarządzania zmianą czy konfiguracją systemu.
Lista spora, ale wydaje się nam, że można ją było sporządzić, stojąc na ulicy przed dowolnym ministerstwem i nie trzeba było do tego „grupy kilku polskich ekspertów ds. bezpieczeństwa informatycznego”. Pytanie, czy raport sprowadza się do powyżej opisanych wniosków, czy tez zawiera więcej szczegółów. Spójrzmy więc teraz dla odmiany na to, czego o tym audycie nie wiemy:
- jak wyniki kształtują się w stosunku do lat poprzednich (podobno audyty prowadzone są od 2 lat)
- jaki był zakres audytu (czy badano np. tylko infrastrukturę organów centralnych czy np. także samorządów lokalnych)
- kto audyt przeprowadził (w informacji pojawia się tylko nazwisko pana Paluszyńskiego, prezesa firmy Trusted Information Consulting zajmującej się między innymi audytami bezpieczeństwa)
- kto audyt zlecił (podobno nie było to zespół CERT.GOV.PL, który tego typu audyty przeprowadza własnoręcznie)
- jak wyglądał proces wyboru wykonawcy audytu
- ile audyt trwał i ile ktoś za niego zapłacił
- czy w raporcie znajduje się więcej informacji niż te opublikowane przez PAP
- czy w trakcie audytu wykryto przypadki wykorzystywania zidentyfikowanych zagrożeń
- czy wynikiem audytu jest przynajmniej plan usunięcia najistotniejszych wykrytych zagrożeń.
Niestety, znając życie, nie spodziewamy się, że ktokolwiek na te pytania odpowie, dzięki czemu raport z audytu bezpieczeństwa rządowej infrastruktury informatycznej jeszcze długo pozostanie środowiskową anegdotą.