Ataki grup hakerskich na serwisy polskich instytucji obnażyły zaniedbania i braki zabezpieczeń internetowych aplikacji zarządzanych przez sektor publiczny. Zdaniem ekspertów z firmy doradczej Ernst & Young naszej administracji dramatycznie brakuje wiedzy i rozwiązań administracyjnych i technicznych, które pozwolą chronić aplikacje internetowe, w tym dane obywateli. Wśród przyczyn tego stanu rzeczy doradcy wymieniają między innymi brak odpowiednio przeszkolonej kadry i ustawę o zamówieniach publicznych.

Mimo, że ochrona przed atakami typu DDoS jest bardzo trudna, eksperci zwracają uwagę, że istnieją rozwiązania inne niż wyłączanie serwerów:

- Obecnie na rynku dostępne są rozwiązania sprzętowe i usługi zwiększające ochronę przed DDoS. Mogą one ograniczyć możliwości przeprowadzenia ataku poprzez zwiększanie ilości zasobów lub wykrywać i reagować na prowadzone ataki. System analizuje ruch sieciowy i może odpowiadać tylko na zapytania z komputerów nieuczestniczących w ataku

– mówi Kazimierz Klonecki, Partner i szef Działu Zarządzania Ryzykiem Informatycznym Ernst & Young.

– Ataki DDoS jak widzieliśmy na przykładzie polskich serwisów, stwarzają ogromne ryzyko wizerunkowe. Mogą być też stosowane jako odwrócenie uwagi od włamań, które mają na celu wykradzenie danych. Dlatego administracja publiczna musi przemyśleć swoją strategię obrony przed hakerami uwzględniającą również konieczność cyklicznej weryfikacji aktualnego poziomu zabezpieczenia

– dodaje.

Winne zamówienia

Wg. ekspertów za niską jakość zabezpieczeń stron i aplikacji sektora publicznego w dużej mierze odpowiada ustawa o zamówieniach publicznych, w myśl której najważniejszym kryterium wyboru oferenta jest cena:

- Usługi i zabezpieczenia IT nie są tanie. Dlatego trudno się dziwić niskiemu poziomowi zabezpieczeń serwisów administracji publicznej. Ostatnie doświadczenia ze sporem wokół ACTA pokazują jednak, że ryzyk związanych z niskim poziomem zabezpieczeń jest naprawdę wiele, a tym najpoważniejszym jest chyba utrata zaufania przez obywateli

– komentuje Aleksander Poniewierski, Partner i szef działu Doradztwa IT w Ernst & Young.

– Nikt nie ma o nas tylu informacji co instytucje państwowe. Jeżeli hakerzy są w stanie bez problemu włamać się na stronę Premiera prawie 40milionowego kraju to znaczy, że może istnieć zagrożenie dla danych obywateli bo istnieje prawdopodobieństwo, że inne aplikacje należące do sektora publicznego wcale nie są lepiej chronione niż za pomocą hasła „admin1”

– dodaje.

Bezpieczeństwo informacji dla nikogo nie jest priorytetetm

Światowe Badanie Bezpieczeństwa Informacji Badanie, które firma doradcza Ernst & Young przeprowadziła wśród menadżerów wyższego i średniego szczebla z 1700 firm w 52 krajach świata, potwierdza, że bezpieczeństwo informatyczne znajduje się nisko na liście priorytetów firm i instytucji. Badanie wykazało, że 72% respondentów zauważa wzrastający poziom ryzyka spowodowany zewnętrznymi zagrożeniami. Jednocześnie, tylko co trzeci ankietowany dostosował strategię bezpieczeństwa informacji swojej firmy do nowych technologii wdrażanych w ciągu ostatnich 12 miesięcy. Zaledwie 12% ankietowanych zgłasza tematy o bezpieczeństwie informacji na spotkaniach zarządu i mniej niż połowa (49%) badanych oświadczyła, że ich funkcja bezpieczeństwa informacji jest w stanie sprostać potrzebom organizacji.

Zobacz wyniki badania

Źródło: Ernst & Young