Boni instruuje urzędników jak chronić rządowe portale
-
- Monika Tomkiewicz,
- 01.02.2012, godz. 18:17
Minister Administracji i Cyfryzacji przekazał resortom wytyczne w zakresie ochrony portali informacyjnych administracji publicznej, które mają je uchronić przed incydentami takimi, które miały miejsce przed podpisaniem przez Polskę ACTA. Mają m.in. wprowadzić zakaz dostępu do poczty elektronicznej przez internet, a stosowane hasła mają być bardziej skomplikowane i bezpieczniejsze.
Wytyczne Ministra Administracji i Cyfryzacji w zakresie ochrony portali informacyjnych administracji publicznej zostały opracowane przez Zespół zadaniowy do spraw ochrony portali rządowych powołany przez przewodniczącego Komitetu Rady Ministrów do spraw Cyfryzacji Michała Boniego. "Jednym z wniosków wyciągniętych z ataków przeciwko systemom leżącym w domenie gov.pl jest brak możliwości zapewnienia monitorowania w czasie rzeczywistym witryn, a co za tym idzie - szybkiego reagowania na incydent" - czytamy w wytycznych. Stąd zalecenie stałych kontaktów z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL.
Podpisując umowy na prowadzenie portali administracja państwowa ma stosować zapisy pozwalające na wdrażanie systemów eliminacji ruchu anonimizowanego, możliwość całkowitego filtrowania ruchu dotyczącego określonych typów pakietów lub całych protokołów, wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu, użycie mechanizmów automatycznego przełączania wersji witryn w zależności od poziomu wysycenia łącza oraz obciążenia serwera świadczącego usługi publiczne. Wytyczne zalecają też wdrożenie procedur bezpieczeństwa w zakresie korzystania przez pracowników administracji publicznej z poczty elektronicznej.
Zalecane jest m.in. zablokowanie dostępu do kont pocztowych jednostek administracji państwowej przez Internet. Jeśli pracownik musi mieć dostęp do swojej poczty urzędowej poza biurem, powinno być zastosowane szyfrowane łącze VPN. "Niezbędna jest zmiana haseł użytkowników na mało podatne na ataki, zawierające małe, duże litery, znaki specjalne oraz cyfry" - czytamy w zaleceniach. Zaleca się też urzędnikom zachowanie szczególnej ostrożności przy otwieraniu załączników. "W okresie średnioterminowym administratorzy systemów pocztowych powinni wdrożyć rozwiązania zabezpieczające oparte o kaskady oprogramowania antywirusowego, silne mechanizmy antyspamowe, filtrowanie i blokowanie wysyłanej i odbieranej poczty wg zdefiniowanych warunków" - radzi zespół zadaniowy do spraw ochrony portali rządowych.
Dla COMPUTERWORLD komentuje Piotr Wierzbicki, p.o. Dyrektora Generalnego firmy EMC:
"Wytyczne Ministra Administracji i Cyfryzacji w zakresie ochrony portali informacyjnych administracji są jak najbardziej potrzebne, gdyż rządowe strony www powinny być utrzymywane i zabezpieczane w sposób szczególny, a przede wszystkim w sposób zorganizowany.
Nowe wytyczne muszą być standardem w środowiskach informatycznych organizacji rządowych i publicznych. Większość z nich jest oczywista. Należy bezwzględnie wymagać od firm hostujacych odpowiedzialności za ciągłość działania serwisów. Takie zapisy są obecnie standardem przy umowach na usługi hostingowe.
Konieczność stosowania bardziej złożonych haseł powinna natomiast dotyczyć każdego użytkownika, tym bardziej urzędników jednostek publicznych. Ja z kolei zwracam uwagę, że obecnie w dobie ukierunkowanego złośliwego oprogramowania, które jest w stanie wykraść dowolne dane z komputerów, stosowanie złożonych haseł nie jest wystarczające. Aby bezpiecznie uwierzytelniać się do systemów informatycznych, niezbędne jest stosowanie mechanizmów silnego uwierzytelnia (tokeny, kody jednorazowe sms, karty inteligentne i inne) - myślę, że tego zabrakło w wytycznych."
