Gdy usłyszałem o powołaniu przez ministra Boni(ego?) zespołu ds. ochrony portali rządowych od razu zbladła mi mina. Dlaczego powołuje się jakiś nowy zespół (pewnie za grubą kasę)? Czyżby działanie PR-owe? Jest afera, jest i reakcja? Szybko i bezwzględnie działamy? Czy do tej pory nie mieli odpowiedniej kadry czuwającej nad infrastrukturą teleinformatyczną i świadomością użytkowników? Podstawy bezpieczeństwa i radzenia sobie z trudnościami powinny być dobrze znane obecnym pracownikom działu IT…

Więc czy nie lepiej byłoby zmusić już zatrudniony personel do opracowania i wdrożenia pewnych ogólnie przyjętych standardów? Kupić im dobrą książkę, lub wysłać kilka osób na jedno z wielu szkoleń z zakresu szeroko pojętej tematyki bezpieczeństwa IT? Czy specjalny zespół w jakikolwiek sposób pomoże odbić się z totalnego dna (śmiało można stwierdzić, że hasło admin1 to pośmiewisko na skalę ogólnoświatową, chyba że było zaplanowaną podpuchą jak można przeczytać w dość oryginalnym poście) i zapewnić bezpieczeństwo? Czy rekrutacja fachowców do wspomnianego zespołu będzie równie udana, jak poprzednich specjalistów czuwających nad stronami rządowymi?

Udzielę teraz kilka prostych, wręcz podstawowych rad/uwag, które znacznie obniżą podatność na wesołe akcje crackerów, ostatnio bardzo zainteresowanych witrynami rządowymi (w końcu to ta popularność powoduje niedostępność serwowanych usług – ach te rzesze czytelników) oraz danymi na komputerach posłów.

Nie spieszcie się z wymianą sprzętu

Oczywiście przed dobrze zorganizowanymi atakami typu DDOS na serwery sieciowe nie ma skutecznej metody obrony. Nie pomoże szybsze łącze, wydajniejsza farma serwerów też nie wystarczy na długo. Wystarczy niewielki botnet lub spora grupa internautów odpalających skrypty do DDOS-owania i serwery zaczną się sypać niczym domek z kart. Istnieją drogie rozwiązania sprzętowe, ale czy mogłyby uchronić serwery rządowe przed atakiem kilkuset (a może kilku tysięcy?) internautów utorzsamiających się z grupą Anonymous?

Zatrudnijcie administratorów z prawdziwego zdarzenia

Ponoć w polityce często ciepłe posady dostaje się po znajomości (ciężko to zweryfikować bo nie mam polityków w rodzinie), ale jeśli chodzi o kadrę IT, a w szczególności bezpieczeństwo to taki model rekrutacji byłby przysłowiowym strzałem w kolano, lub jak kto woli ciasną pętelką na szyję. Ostatnio wszyscy widzieli efekty zaniedbania tematyki bezpieczeństwa. Czy było to spowodowane brakiem kwalifikacji, czy może był to sabotaż, a może zaplanowana podpucha? Czy gdyby było to ostatnie z przypuszczeń, to powoływanoby specjalny zespół ds. bezpieczeństwa witryn rządowych? Jedno jest pewne – większość obserwatorów bez wątpienia stwierdzi, iż rząd zaliczył fail roku 2012.

Kilku osobowy zespół ogarniętych informatyków z pewnością poradziłby sobie z utrzymaniem serwerów rządowych (widząc hasła stosowane przez rząd można przypuszczać, że przywrócenie systemów do akceptowalnego poziomu pewnie zajęłoby trochę czasu nawet mocno ogarniętej ekipie). Ciężko stwierdzić jak grząskie jest to bagno… ale zawsze można gdybać co by taka administracja w pierwszej kolejności zrobiła. Pewnie zrezygnowała by z prostych haseł, niepotrzebnych usług, zoptymalizowała ustawienia tych niezbędnych oraz na bieżąco łatała oprogramowanie i nadzorowane systemy. Prawdopodobnie wymuszono by stosowanie trudnych kryptograficznie haseł przez cały personel, oraz wprowadzono by zabezpieczenia przed atakiem na konta użytkowników (zarówno metodą słownikową jak i brute force).

Zatrudnijcie dobrego programistę

…który załata strony rządowe pod kątem ogólnie znanych metod ataku, oraz będzie na bieżąco śledził nowinki i likwidował/poprawiał kod podatny na nowe exploity. Pojawiły sie doniesienia, że strona premiera była podatna na atak mysql injection… znany od wielu lat.

Zadbajcie o świadomość użytkowników

Nie od dziś wiadomo, że człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa informatycznego – wiele osób nieświadomie bardzo mocno szkodzi, a przecież wystarczyłoby rozesłać broszurkę do wszystkich pracowników rządowych. Można w niej zwrócić uwagę na kilka prostych (podstawowych) kwestii:

1. Należy w przystępny sposób przedstawić użytkownikom komputerów konieczność stosowania bezpiecznych kryptograficznie haseł. Przedstawić kilka algorytmów generowania łatwych do zapamiętania i jednocześnie bezpiecznych haseł.
2. Zabronić stosowania tego samego hasła w kilku miejscach/portalach. Trzeba bezwzględnie tępić i karać odstępstwa od zaleceń (np. za karę ucinając 13tkę czy inne bonusy ).
3. Urzędnicy powinni strzec komputery przed dostępem ze strony osób trzecich – nawet rodziny.
4. Użytkownicy komputerów powinni mieć zakaz/blokadę korzystania ze stron/portali innych, niż te niezbędne do pracy.
5. Na strony służbowe, pocztę i różnego rodzaju portale urzędnicy powinni logować się tylko z jednego, służbowego komputera.
6. Delikatne dane przesyłane przez sieć (np. pocztę e-mail) powinni szyfrować narzedziami takimi jak GPG.
7. Służbowy tablet, czy smartfon nie powinien pozwalać na instalację oprogramowania przez użytkowników.
8. Urzędnicy korzystający z komputerów służbowych w miejscach publicznych powinni uważać na osoby znajdujące się w okolicy oraz ew. infrastrukturę istniejącego monitoringu.
9. Pracownicy rządowi nigdy nie powinni logować się w portalach dostępnych z poziomu przeglądarki bez połączenia szyfrowanego (+każdorazowe sprawdzenie certyfikatów). Oczywiście można bawić się w bardziej zaawansowane metody jak np. tunelowanie, ale bardziej skomplikowane rozwiązania powinny być wdrażane z czasem. Za dużo materiałów może być trudne do ogarnięcia dla zajętych pracą polityków .

Lepiej zapobiegać niż leczyć

Mimo rozesłania broszurek (lub lepiej przeprowadzenia szkolenia zakończonego egzainem ze zrozumienia uzyskanych informacji) i tak w chwilach słabości nawet ogarnięty człowiek może się zapomnieć, dlatego komputery służbowe pracowników politycznych powinny być odpowiednio przygotowane.

1. Systemy zainstalowane na komputerach pracowników (w większości pewnie są to przenośne laptopy) powinny być na bieżąco aktualizowane – zarówno zainstalowany system operacyjny, oprogramowanie, jak i antywirus oraz porządnie skonfigurowany firewall.
2. Na wspomnianych komputerach urzędnicy powinni mieć uprawnienia nie pozwalające na instalację dodatkowego oprogramowania (gier, komunikatorów, przeglądarek itp). Hasła kont administracyjnych powinny być znane tylko dobrze opłacanemu, kompetentnemu personelowi IT.
3. Zainstalowane systemy powinny mieć zablokowaną możliwość korzystania z zapisywalnych pamięci przenośnych takich jak pendrive, zewnętrzne dyski twarde itp.
4. Korzystanie z niezapisywalnych zewnętrznych nośników pamięci (np. płyty dvd) powinno być dozwolone jedynie w ostateczności i po potwierdzeniu ich pochodzenia.
5. Jeśli komputer zawiera wrażliwe dane, to powinny się one znajdować w folderze szyfrowanym (np. oprogramowaniem truecrypt). W przypadku naprawdę wrażliwych danych szyfrowany powinien być cały dysk wraz z systemem.
6. Oczywiście powinno się zablokować możliwość bootowania z nośników zewnętrznych oraz nałożyć mocne hasło na ustawienia BIOS.

Oto taka krótka lista, która przyszła mi na myśl – robiona „na kolanie“ – pewnie można ją odpowiednio uzupełnić/rozbudować i poprawić. Ale czy do zebrania takich informacji potrzebne jest stworzenie specjalnego zespołu i wydanie na obrady pieniędzy z budżetu, pogłębiając już wystarczająco głęboką dziurę budżetową? A może komisja zostanie opłacona z pionu PR rządu (w końcu po raz kolejny rząd podejmuje skuteczne kroki)…

I pomyśleć tylko, że gdyby nie ten głupi pomysł wspierania ACTA za wszelką cenę, nie byłoby całego zamieszania, ośmieszenia rządu oraz konieczności finansowania zespołu ds. ochrony portali rządowych…