Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Bezpieczeństwo rządowych stron

Bezpieczeństwo rządowych stron

Ochrona poczty i dostęp po VPN

Wszystkie zalecenia dotyczące ochrony poczty elektronicznej są tak oczywiste, że aż dziwi, iż wprowadza się je dopiero teraz. Dodam tylko, że dziś podstawowym mechanizmem pracy stał się również dostęp do poczty poprzez urządzenia mobilne. O jego bezpieczeństwo przy tej okazji też koniecznie trzeba zadbać. Pozostaje jednak pytanie, jak to zrobić i czy się uda? Zalecenia te, w odróżnieniu od poprzednich, dotyczą w praktyce niemal wszystkich pracowników domeny gov.pl. Łatwo napisać, trudniej zrobić. Jeśli ma się udać, wiąże się to z programem szkoleniowym na dużą skalę. Wbrew pozorom, przekonanie użytkowników sieci do bezpiecznych zachowań nie jest zadaniem łatwym. Wie o tym dobrze rząd australijski, który w kosztach implementacji zabezpieczeń szacuje skłonność użytkowników do akceptacji rozwiązań bezpieczeństwa.

Wdrażanie zaleceń i wytycznych publikowanych przez CERT.GOV.PL to pomysł bardzo dobry. Ale kolejny raz należy uświadomić sobie, że przygotowanie takich publikacji nie jest zadaniem trywialnym. Wiąże się z poważnym projektem polegającym na przygotowaniu zestawu konfiguracji "startowych" i tych, potrzebnych do stałego utrzymania bezpieczeństwa systemu. To naprawdę dużo pracy. Stwierdzeniem o istnieniu rekomendacji sprawy nie załatwimy, bo one powinny dopiero powstać! Warto się zastanowić, czy rekomendacja MAiC w tym zakresie nie powinna brzmieć: "należy bezwzględnie stworzyć zestaw zaleceń i wytycznych z zakresu bezpieczeństwa IT dla administratorów systemów w domenie gov.pl".

Zobacz również:

  • Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
  • Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
  • Cyberobrona? Mamy w planach

ABW a rządowy CERT

No, i wreszcie sprawa reagowania na incydenty. Zgłaszanie incydentów do zespołu CERT.GOV.PL jest słuszne. Tylko czy to na pewno będzie działać? Pytanie należy postawić wprost: Jaka jest skłonność pracowników administracji państwowej do zgłaszania incydentów do zespołu, który funkcjonuje w strukturach ABW? Obawiam się, że niezbyt duża. Te incydenty w dużej mierze ujawniają słabości techniczne i proceduralne w instytucjach, w których doszło do ataku. Trudno uwierzyć, że akurat chętnie będzie to zgłaszane do ABW, poprzez donos w pewnym sensie na samego siebie. ABW odgrywa istotną rolę w zapewnieniu bezpieczeństwa państwa, ale to nie znaczy, że jest predestynowane do realizacji wszystkich zadań, które powinny towarzyszyć rządowemu zespołowi typu CERT.

Przy okazji warto się zastanowić, czy ulokowanie rządowego zespołu CERT w strukturach służb specjalnych nie powinno zostać zmienione? Jest to rozwiązanie unikatowe co najmniej w skali europejskiej. Protoplaści umiejscowienia rządowego zespołu CERT w strukturach ABW postawili przed tym zespołem zadanie bardzo trudne do wykonania, jeśli w ogóle możliwe. Warto nad tą decyzją pochylić się raz jeszcze, a doświadczenia z ataków związanych z ACTA są doskonałym materiałem pomagającym w tej decyzji. Weźmy przykład z państw takich jak Estonia i Korea Południowa, które po podobnych problemach w sieci wypracowały modelowe rozwiązania, często przywoływane i chwalone przez innych. Dlaczego nie mogłoby być tak samo w Polsce?

Mirosław Maj jest założycielem i prezesem Fundacji Bezpieczna Cyberprzestrzeń. Wcześniej kierował zespołem CERT Polska w NASK.

Minister Boni instruuje urzędników, jak chronić rządowe portale

Minister Administracji i Cyfryzacji przekazał resortom wytyczne w zakresie ochrony portali informacyjnych administracji publicznej. Oto ich lista:

- Podpisując umowy na prowadzenie portali, administracja państwowa ma stosować zapisy pozwalające na wdrażanie systemów eliminacji ruchu anonimizowanego, możliwość całkowitego filtrowania ruchu dotyczącego określonych typów pakietów lub całych protokołów, wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu, użycie mechanizmów automatycznego przełączania wersji witryn w zależności od poziomu wysycenia łącza oraz obciążenia serwera.

- Wytyczne zalecają też wdrożenie procedur bezpieczeństwa w zakresie korzystania przez pracowników administracji publicznej z poczty elektronicznej. Zalecane jest m.in. zablokowanie dostępu do kont pocztowych przez internet. Jeśli pracownik musi mieć dostęp do poczty poza biurem, powinno być zastosowane łącze VPN.

- Zaleca się też zachowanie szczególnej ostrożności przy otwieraniu załączników.

- Administratorzy systemów pocztowych powinni wdrożyć rozwiązania zabezpieczające oparte o kaskady oprogramowania antywirusowego, silne mechanizmy antyspamowe, filtrowanie i blokowanie wysyłanej i odbieranej poczty według zdefiniowanych warunków.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas