Urzędy narażają się na cyberatak

Kilka dni temu Krajowy Ośrodek Europejskiego Funduszu Społecznego doświadczył na własnej witrynie, co znaczy atak cyberprzestępcy. Strona instytucji zajmującej się zarządzeniem europejskimi funduszami została zaatakowana i podmieniona na stronę z komunikatem podpisanym przez Iranian Cyber Army.

Nie jest wcale pewne, czy to rzeczywiście Irańska Cyberarmia, czyli grupa cyberprzestępców wsławiona udanym atakiem w grudniu na Twitter.com. Ale w internecie pojawiły się plotki, że z KO EFS zostały wykradzione informacje dotyczące beneficjentów funduszy. ABW, która dostała zawiadomiona o ataku, uspokaja. - Zaatakowano tylko witrynę, a nie serwer instytucji, więc nie jest zagrożone bezpieczeństwo danych - zapewnia Katarzyna Koniecpolska-Wróblewska, rzeczniczka agencji.

To, co spotkało KO EFS, to niestety wzorcowy wręcz przypadek problemów, jakie czyhają na polskie urzędy publiczne. Jak wynika z właśnie opublikowanego raportu działającego przy ABW Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT, polskie urzędy zupełnie nie przejmują się cyberbezpieczeństwem swoich stron internetowych.

Ataki na e-witryny polskich urzędów tak się nasiliły, że w ubiegłym roku ABW postanowiła sprawdzić, jak są zabezpieczone. Od lipca do września przebadała 15 witryn z ośmiu instytucji, od października do grudnia kolejne 16 z pięciu instytucji. Efekty? Podczas pierwszego badania znaleziono 167 luk. Podczas drugiego - już 431. W dodatku aż 126 z odnalezionych błędów oceniono jako bardzo poważne, które grożą sporym prawdopodobieństwem ataku.

Tylko w ostatnim półroczu z cyberprzestępcami miały problemy strony: Rady ds. Uchodźców, Urzędu Gminy Bielsk Podlaski, Urzędu Miejskiego w Tarnowskich Górach, Państwowej Służby Hydrogeologicznej i Centralnej Komisji Egzaminacyjnej. Gdy kilka miesięcy temu cyberprzestępcy włamali się na witryny Ministerstwa Pracy i Pomocy Społecznej i kancelarii premiera, podmienili cztery podstrony dotyczące m.in. służby cywilnej i funduszy strukturalnych. Po tym ataku witryny resortu pracy i KPRM zostały zmodernizowane i zabezpieczone. To jednak rzadka reakcja na atak.

ABW nie chce komentować raportów przygotowanych przez CERT. Nie chce też ujawnić, które z urzędów zostały już skontrolowane. - Nie chcemy podawać żadnych wskazówek przestępcom, nawet delikatnie podpowiadać, gdzie mogliby zaatakować - tłumaczy Koniecpolska-Wróblewska. Nieoficjalnie jednak eksperci ABW przyznają: - Luki w zabezpieczeniach, jakie wykrywamy, to dowód na lenistwo administratorów, bo wystarczyłaby regularna dbałość o stan witryn.

Przemysław Krejza, szef Instytutu Informatyki Śledczej, mówi ostrzej. - Z raportu ABW wynika smutna prawda: administratorzy stron zupełnie nie czytają takich raportów, bo gdyby je czytali, dawno zabraliby się do roboty. Te błędy to nie są jakieś skomplikowane sprawy, z którymi administratorzy nie są w stanie dać sobie rady. To luki czasami znane od lat, wynikające z nieaktualizowania oprogramowania, z braku codziennej dbałości o serwery - ocenia Krejza. Wydawać by się mogło, że skoro zagrożone są witryny, a nie serwery, nie ma się czym martwić. To jednak nieprawda. To są wizytówki urzędów na cały świat i ich zhakowanie to poważna wpadka.

@RY1@i02/2010/016/i02.2010.016.000.005a.001.jpg@RY2@

Witryny internetowe instytucji państwowych zachęcają, by je atakować

opracowały założenia do "Programu ochrony cyberprzestrzeni RP na lata 2009 - 2011". To pierwsza strategia walki z cyberinfekcjami, szpiegostwem komputerowym i przemysłowym. Jej częścią jest opisywane testowanie bezpieczeństwa witryn internetowych. Odpowiednich zmian w prawie wciąż jednak nie ma.

sylwia.czubkowska@infor.pl