Z jednej strony obecna sytuacja to efekt niedofinansowania urzędów i pewnej beztroski urzędników. Z drugiej stanowi rezultat pomysłowości hakerów. Jaskrawym przykładem tego pierwszego są normy PN-ISO/IEC. Zdecydowana większość placówek administracji rządowej i samorządowej nie zdecydowała się na kupno żadnej z nich. Okazuje się, że wydawanie pieniędzy na normy to dla wójta małej gminy inwestycja nie do zaakceptowania. A nawet jeśli urzędy mają fundusze, to i tak nie wydają gotówki na kupno norm. Dlaczego? Bo nie muszą tego robić – w świetle obowiązującego u nas prawa nic im za to nie grozi.

Bardzo niefrasobliwie sektor państwowy traktuje także problematykę zarządzania ryzykiem i kwestię inwentaryzacji zasobów teleinformatycznych. W większości podmiotów nie prowadzi się analizy ryzyka, a jeśli już, to – zdaniem prelegentów konferencji – w mało wiarygodny sposób. Ponad połowa urzędów nie przeprowadziła dotąd inwentaryzacji aktywów teleinformatycznych. W przypadku jednej trzeciej placówek wspomniany proces został wprawdzie przeprowadzony, ale niebyt rzetelnie.

Niewiele lepiej wygląda kwestia wprowadzonych polityk bezpieczeństwa. Wprawdzie 88 proc. podmiotów miało taką politykę, ale w większości przypadków… nieaktualną. Uczestnicy konferencji PTI sugerowali, że sposobem na podwyższenie poziomu bezpieczeństwa mogą być regularne kontrole i audyty. Te pierwsze informują o problemach, te drugie wskazują, co i jak poprawić.

 

Kto czyha na błędy?

Oczywiście przestępcy atakują przede wszystkim software obarczony błędami. To nie jest takie trudne, bo statystycznie w każdym oprogramowaniu jeden procent linii kodu jest wadliwy. Szacuje się, że w liczącym około pół miliarda linii kodu systemie zarządzania północnoamerykańskim odpowiednikiem naszego ZUS-u należałoby wymienić aż 5 milionów linii. Niektóre firmy zarabiają na tym, że wchodzą w posiadanie kodów źródłowych oprogramowania, aby znaleźć w nich luki, a potem tę wiedzę odsprzedać. Klientami takich przedsiębiorstw są agencje rządowe różnych państw, a nawet służby specjalne. Udowodniono, że z ich usług korzystały m.in. Russian Bussines Network oraz 61?398. Ta pierwsza jednostka jest znana z tego, że handluje kradzioną tożsamością. Ta druga – utworzona przez chińską armię –odpowiada za ataki na ponad 140 firm z kilkudziesięciu branż. Strony rządowej z pewnością nie ucieszy, że tego rodzaju firmy coraz chętniej atakują np. placówki służby zdrowia. Jakiś czas temu hakerzy unieruchomili na kilka godzin pewien kalifornijski szpital.

W epoce społeczeństwa informacyjnego, ale także CaaS (Crime as a Service) włamanie stało się dostępną dla każdego „usługą” z cennika cyberprzestępców. Nie trzeba być specjalistą, aby zlecić atak DDoS, ransomware czy APT – wystarczy pełny portfel i przeglądarka internetowa. To bardzo złe wieści w sytuacji, kiedy wielu naszych urzędników dość mętnie określa wymagania co do systemu informatycznego. Nie brakuje wytycznych typu: „ma być zgodny z obowiązującym prawem” lub „ma być zgodny z ISO 27?001” – to przykłady przytaczane przez prelegentów konferencji PTI. Ewidentnie jeszcze długa droga przed naszym sektorem publicznym do pełnego bezpieczeństwa informatycznego. Dlatego warto przypominać urzędnikom myśl Andrzeja Sapkowskiego: „niebezpieczeństwo jest ciche, nie usłyszysz, gdy przyleci na szarych piórach”.