Systemy polskiej administracji tylko czekają na atak
Wywiad z Wiesławem Paluszyńskim, autorem raportu dotyczącego bezpieczeństwa systemów informatycznych administracji publicznej
Jak dodał, w Polsce tylko jeden system informatyczny w administracji publicznej ma rozwiązanie bezpieczeństwa informacji. To należący do Agencji Restrukturyzacji i Modernizacji Rolnictwa system IACS.
Paluszyński jest jednym z ekspertów, którzy przeprowadzają cykliczne audyty w systemach informatycznych połączonych internetem na poziomie ministerstw, samorządów i agencji rządowych, badając ich podatność na zagrożenia wewnętrzne i zewnętrzne.
PAP: Na ile Anonymous to rzeczywiste umiejętności hakerskie, a na ile zręczna autokreacja aktywizmu, czyli politycznie motywowanego hakerstwa?
Wiesław Paluszyński: A co to są rzeczywiste umiejętności hakerskie? Ponieważ systemy - nawet te największe - są kiepsko zabezpieczane, to każdy młody człowiek, który orientuje się mniej więcej jak działają, jest w stanie się wykazać różnego rodzaju atakami. Anonymous w tej perspektywie nie jest żadną grupą, ale rodzajem internetowego klanu, przypominającego klany graczy. Klan ludzi, których łączy chęć pokazania, że są lepsi i mogą komuś zagrać na nosie. Łączą ich pewne umiejętności informatyczno - sprzętowe. Ale tylko pewne - w końcu do ataku DDOS, polegającego na zablokowaniu dostępu przez masowe żądanie usług, nie trzeba wielkich umiejętności. Są już gotowe narzędzia - wystarczy mieć komputer i dwa razy kliknąć "OK”. Pytanie, kto jest przywódcą klanu i czy coś tych ludzi jeszcze spaja, poza takimi działaniami.
Podziemie hakerskie, poza tymi politycznie i autopromocyjnie motywowanymi "haktywistami", jest dużo bardziej podzielone. Są tam ludzie, którzy dokonują hakingu, bo traktują rozłamywanie systemów jak wyzwanie, jest grupa najemników hakujących na zlecenie, którzy są do kupienia, jest też grupa, która stara się o jak największe utajnienie swoich działań, bo są to ludzie, którzy zapewniają sobie dochody sprzedawaniem informacji zdobytych w czasie hakingu; są hakerzy rządowi, też dokonujący włamań na zlecenie, ale tym razem swoich mocodawców ze struktur rządowych różnych krajów. Jest też grupa hakerów powiązanych z podziemiem przestępczym, realizująca jego cele. Jest to po prostu cyberprzestępczość. W internecie dzieje się to samo, co w świecie rzeczywistym tylko za pomocą narzędzi informatycznych. Ale te same są motywacje, tylko większe efekty.
PAP: Czy wrogość i atomizacja w środowisku hakerskim, czy po prostu brak umiejętności profesjonalnych spowodowały, że nie wytworzyły się w naszym kraju środowiska podobne do Anonymous?
W.P.: Tym, co polscy hakerzy chcieli osiągnąć jest ośmieszenie. Pokazanie, że niby rząd jest takim silny, wielkim graczem, przystępuje do ACTA, występuje przeciw wolnościom obywatelskim, a jak przychodzi co do czego, to nie umie upilnować własnych zasobów informatycznych. Rząd więc jest niewiarygodny, bo niby chce kontrolować internet, a sam nie kontroluje systemów informatycznych, którymi zarządza.
Nikt nie chciał w czasie tych ataków przejąć zasobów niejawnych czy tajnych, czy korespondencji rządowej - także dlatego, że w większości systemy, w których przechowywane są informacje niejawne, nie są podłączone do internetu. Są umieszczone w sieciach lokalnych. Tak jest wszędzie, także w przypadku przecieków Wikileaks nie były one dokonane poprzez jakieś włamanie, tylko przez działanie osoby z wewnątrz, która po prostu wydobyła te informacje z sieci zamkniętych i wyniosła na zewnątrz.
Mówiąc szczerze - co można zaatakować na podstawowej obecnie usłudze informatycznej administracji - Elektronicznej Platformie Usług Administracji Publicznej ePUAP? Przecież tam nie ma żadnej prawdziwej usługi. Można zablokować dostęp do stron statycznych i to robiono. To są praktycznie tablice ogłoszeń i wszystko, co zdołano zrobić to zablokowanie ich. PESEL działa w sieci wewnętrznej, podobnie jak system wydawania dokumentów tożsamości. Połączenia z internetem nie istnieją. Dopóki nie ma prawdziwych systemów transakcyjnych administracji z obywatelem, gdzie może on elektroniczne załatwiać sprawy, np. w ZUS, to w systemach administracji publicznej nie ma niczego istotnego do atakowania.
PAP: Jaki jest obecnie poziom bezpieczeństwa w serwisach administracji publicznej?
W.P.: Bezpieczeństwo jest wyścigiem ze złodziejem. Zawsze ktoś będzie atakował, wobec czego powinien istnieć system, który będzie analizował każdy przejaw ataku - skutecznego czy też nie. Powinny istnieć procedury analityczne i - jak trzeba - naprawcze. W Polsce tymczasem administracja publiczna i resorty rządowe nie mają systemów bezpieczeństwa informacji, mają je tylko firmy komercyjne.
Jeden z nielicznych systemów informatycznych w administracji publicznej, który posiada rozwiązanie bezpieczeństwa informacji, to należący do Agencji Restrukturyzacji i Modernizacji Rolnictwa system IACS. Unia Europejska nakazywała, aby system informatyczny obsługujący proces rejestracji i wypłat dopłat bezpośrednich dla rolnictwa takie rozwiązanie posiadał, więc wyposażono w nie IACS, będący zresztą systemem wielkim, porównywalnym z ZUS-em. Spełnia zresztą nieźle swoją rolę od 9 lat, czego najlepszym dowodem jest to, że niewiele o nim słychać w mediach.
Musi istnieć dokumentacja systemu m.in. analiza środowiska technicznego, w jakim przetwarzana jest informacja, dokumentacji eksploatacyjnej. A takiej dokumentacji np. dzienników administrowania systemem najczęściej nikt nie prowadzi. Nie ma też osób decyzyjnych na poziomie administrowania systemami, co doskonale widać było przy atakach na rządowe serwisy.
System analizowania zagrożeń dla systemów informatycznych, stworzony przez NASK, tam, gdzie został zainstalowany, rozpoznał zagrożenia i ostrzegł przed nimi. Ale nikt na te ostrzeżenia nie zareagował, bo nie było osoby decyzyjnej, która mogłaby to zrobić!
Następna sprawa - testy penetracyjne. Nie chodzi w nich o przejęcie systemu informatycznego, ale o wykrycie jego słabych stron. Wykonywane są w kilku odmianach - przy pełnej znajomości systemu, co symuluje atak z wewnątrz organizacji, przy znajomości częściowej i bez znajomości, co symuluje atak z zewnątrz dokonywany przez osobę lub grupę znającą w pewnym stopniu system lub nieznającą go wcale. Testowana jest zarówno warstwa sieciowa; sprzęt jak i oprogramowanie. Z wyników wykonywanych przez ostatnie dwa lata testów wynika, że ponad połowa systemów jest po prostu wystawiona na ataki i mimo teoretycznego posiadania mechanizmów bezpieczeństwa nie jest chroniona przed żadnym typem ataku.
Tylko 1. proc. systemów informatycznych administracji publicznej spełnia wymagania bezpieczeństwa niezbędne dla dopuszczenia do eksploatacji! Błędy w projektowaniu systemów są ewidentne i bijące po oczach. Powinna przed zamówieniem systemu zostać zrobiona analiza ryzyka, która wykaże jak powinien być ten system zbudowany.
PAP: Ale kto ma to zrobić, jeśli niejednokrotnie firma wdrażająca musi objaśniać urzędnikom, co właściwie powinni zamówić?
W.P.: Jeśli tego nie da się zrobić w urzędzie, to powinna być kupiona usługa analizy i określenia, jak zbudować prawidłowy system informatyczny. Zrobienie tego przez odpowiednią firmę doradczą jest niezbędne. Ale w umowie o wykonanie takiej usługi powinno być stwierdzone, że ani ta firma doradcza, ani też żadna firma z nią powiązana, ani żadna firma "zaprzyjaźniona”. nie weźmie udziału w tym postępowaniu.
Tymczasem w Polsce kontraktuje się firmy konsultingowe za najniższą możliwą cenę i takiego warunku w umowie się nie dopisuje. Są firmy wdrożeniowe, które zakładają sobie w naszym kraju firmy konsultingowe. Takie niby-firmy konsultingowe dają potem najniższą cenę przygotowują specyfikację - pod swoją firmę - matkę. Ale czy to jest wina tej firmy? Nie. To wina zamawiającego, który takiej możliwości nie wykluczył!
Z drugiej strony mam pretensję do firm instalujących systemy bezpieczeństwa, że często kompletnie nie są zainteresowane sukcesem wdrożenia. Oczywiście, tak nie robią wszyscy. Ale bardzo często jest tak, że firma wstawia klamoty, czyli sprzęt, łączy je kablami, byle działało, mniej lub bardziej bezmyślnie i tak naprawdę klient zostaje nie z działającym systemem, a z jakimś badziewiem na zasadzie "kliencie, zapłaciłeś tak mało, no to masz za co zapłaciłeś”.
Druga sprawa - kody źródłowe do systemu. Jak wybucha jakaś afera związana ze złym wykonaniem systemów informatycznych, to natychmiast wypływa sprawa kodów źródłowych, tak jakby ich posiadanie było cudownym panaceum na wszystko. Prawda jest taka, że nikt z wyjątkiem dobrego fachowca używającego wyspecjalizowanych narzędzi nie przejrzy tych kilkunastu czy kilkudziesięciu nawet tysięcy linii kodu i nie dokona analizy pod kątem bezpieczeństwa. W administracji wygląda to tak, że owszem, wykonawca kody źródłowe wyda. Za to potem wylądują w jakimś sejfie, gdzie ludzkie oko ich nie będzie oglądać. Bo nikt nie wie co z nimi zrobić. Po jakimś - szybkim czasie - dezaktualizują się, bo w systemie dokonano poprawek, kod przekompilowano, tylko nie wprowadzono zmian w tej wersji, co leży w sejfie.
Zresztą z wyników naszych audytów systemów informatycznych administracji publicznej wynika, że błędy są jeszcze prostsze, żeby nie powiedzieć - prostackie. To choćby wyłapane w 9. proc. przypadków niezabezpieczone skrypty konfiguracyjne aplikacji, brak aktualizacji oprogramowania i systemów - co oznacza, że "jak postawili tak stoi” - z całym bogactwem luk i błędów systemowych.
Zostawia się też niezabezpieczoną dokumentację na dostępnych dla wszystkich serwerach. Ściąga się i przechowuje pliki muzyczne i filmy w sieciach wymiany plików - często o treści tych filmów nawet nie muszę mówić. To już nie są błędy. To już często czyste niechlujstwo.
Innym przykładem błędów są choćby niezmieniane hasła administracyjne. Pozostawia się domyślne - niby każda firma przy instalacji je zmienia, ale jej hasła też są proste, bo tylko tymczasowe i zresztą budowane według pewnego klucza, żeby instalator nie miał problemów. W efekcie zostają nie hasła, tylko takie karykatury, łatwe do złamania. Uważam zresztą, że wprowadzanie długich i trudnych haseł mija się z celem, bo ludzie żeby nie zapomnieć, będą je zapisywać gdzie można i nie można, między innymi na komputerze i poufność takiego hasła pryska. Powinniśmy zrobić tak, jak się to robi w rozwiniętych systemach administracji publicznej na Zachodzie - wprowadzić uwierzytelnienie i autoryzację na zasadzie "coś wiem, coś mam”. To autoryzacja na karcie chipowej. Można zabezpieczyć dostęp do takiej karty PIN-em i nawet ten czterocyfrowy PIN w trzech próbach jest trudny do rozłamania. Hasło na takiej karcie może być już długie, bo w systemie na stałe przecież go nie ma, karta jest wkładana tylko w czasie pracy.
PAP: Jakich zmian trzeba dokonać, aby zapewnić bezpieczeństwo systemów informatycznych dla administracji publicznej?
W.P.: Najpierw trzeba zmienić kult niekompetencji na kompetencje. Trzeba prowadzić inwentaryzacje i analizy ryzyka. Kupować kompetentne i kompetentnie usługi na zewnątrz; niekoniecznie od wielkich firm. Jest wielu małych dostawców, kompetentnych w swojej dziedzinie, w tym w zakresie bezpieczeństwa.
Nad procesem tworzenia systemów informatycznych trzeba panować. A to jest możliwe wtedy, jeśli nie tylko będziemy wiedzieli, dlaczego akurat w taki sposób prowadzimy wdrożenie, co chcemy osiągnąć i z czego system ma się składać. Odstępstwo od ustalonej specyfikacji systemu musi być też poprzedzone analizą ryzyka - wszystko to jest konieczne, aby po prostu nad tym wdrożeniem panować.
I nie należy zapomnieć, że systemem po uruchomieniu trzeba kompetentnie administrować. A to administrowanie kosztuje i samo się nie zrobi. To dotyczy zresztą nie tylko bezpieczeństwa wdrożenia informatycznego. To dotyczy też bezpieczeństwa na kolei czy w elektrowni atomowej. Musi ktoś monitorować, ktoś analizować, inny - zarządzać, i wreszcie ktoś musi wdrażać postępowanie naprawcze. Nie ma rozwiązania technicznego, które jest w 10. procentach bezpieczne i nie ma sensu zabezpieczać wszystkiego na jednym, wysokim poziomie. Trzeba po prostu mieć porządek, bo bałagan zawsze kończy się tragicznie.
Wiesław Paluszyński - elektronik, informatyk, członek m.in. władz Polskiego Towarzystwa Informatycznego, Rady Dyrektorów AFCEA, Rady Teleinformatyki przy Prezesie Rady Ministrów i Rady Polskiej Izby Informatyki i Telekomunikacji. Współtwórca Inspekcji Ochrony Środowiska i Systemu Informatycznego dla potrzeb Ochrony Środowiska w Polsce. Dyrektor Pionu Technologii i Bezpieczeństwa w TP Internet Sp. z o.o. , a w 200. roku zastępca prezesa ARiMR odpowiedzialny za uruchomienie systemu dopłat bezpośrednich dla rolnictwa. Obecnie, od 2003 roku prezes Trusted Information Consulting Sp. z o.o. Laureat nagrody Polskiej Izby Informatyki i Telekomunikacji za 2010 rok.
Marek Mejssner (PAP)
