Hakerzy, awarie i dziurawa infrastruktura. Witamy w świecie rządowej informatyki

Hakerzy, awarie i dziurawa infrastruktura. Witamy w świecie rządowej informatyki07.08.2018 12:00
Źródło zdjęć: © PAP | Jakub Kamiński

System nie działa, padł ofiarą hakerów albo włamanie się do niego jest wręcz prymitywnie proste. Doniesienia o wadliwości rządowych systemów czasem bawią, częściej jednak niepokoją lub po prostu irytują. Czy polska administracja IT jest w ogóle sprawna?

To pytanie jest tak ważne, jak złożone. Ważne, bo do wiadomości publicznej docierają często naprawdę niepokojące wieści. Skupmy się na ostatnich doniesieniach. Na stronie Ministerstwa Sprawiedliwości znaleziono dokumentację techniczną e-sądów (hasła administratorów, adresacja serwerów, architektura sieci i pliki konfiguracyjne), w których poufne dane zakryto czarnymi prostokątami w PDF-ach. To metoda banalnie prosta do obejścia, choć samo Ministerstwo zaprzeczyło, by brak skutecznego usunięcia poufnych informacji wpłynął na bezpieczeństwo systemu.

Kolejna sytuacja, tym razem z czerwca. Padają systemy obywatel.gov.pl, epuap.gov.pl czy cepik.gov.pl. Powód? Masowa awaria Systemu Rejestrów Państwowych (SRP) połączona z atakami hakerskimi typu DDoS na dużą skalę. W 2016 roku również CEPiK, BIP, ePUAP i obywatel.gov.pl uległy awarii. To tylko trzy wymienione przypadki, ale problemy zdarzają się regularnie. Nie mówiąc o przeciążaniu serwerów z powodu rejestracji, na przykład podczas rejestrowania Inspektora Danych Osobowych.

Co może stać za takimi problemami systemów IT polskiego państwa? Zapytałem o to Marcina Maja, redaktora serwisu Niebezpiecznik, zajmującego się monitorowaniem i opisywaniem sytuacji tego typu.

- W Polsce od wielu lat mamy problem z "silosowością" rozwiązań informatycznych. Bo co to niby znaczy "systemy rządowe"? – pyta. - Pod tym pojęciem mamy między innymi ePUAP czy Profil Zaufany albo CEPIK, czyli systemy nadzorowane przez Ministerstwo Cyfryzacji. Ale przecież "rządowe" są także systemy utrzymywane przez Ministerstwo Sprawiedliwości (np. eKRS, księgi wieczyste), Ministerstwo Finansów (tutaj np. systemy do rozliczeń podatkowych), Ministerstwo Rodziny Pracy i Polityki Społecznej (Emp@tia), ZUS (PUE ZUS), Ministerstwo Zdrowia (Projekt P1) i wiele wiele innych – wylicza.

Każdy z tych systemów może mieć różny poziom zabezpieczeń i może być w większym lub mniejszym stopniu zintegrowany z innymi, kontynuuje Maj. Natomiast w oczy rzuca się to, że nie ma realnie skoordynowanego nadzoru nad tym wszystkim. Swojego czasu bardzo rzucało się w oczy, że każde ministerstwo chciało mieć swój własny "cyfrowy sukces", wspomina ekspert. To się zaczęło dawno temu, a utworzenie kolejnych ministerstw cyfryzacji (począwszy od resortu Michała Boniego) wcale tego nie zmieniło. Jest to problem także z punktu widzenia bezpieczeństwa i stabilności, zaznacza.

- Nie potrafię się wypowiedzieć na temat wszystkich systemów bo jest ich zbyt wiele. Mogę natomiast powiedzieć, że pewne problemy obserwujemy niemal cały czas. Niedawno mieliśmy poważną awarię systemów rządowych, która objęła m.in. SRP, CEPiK oraz ePuap – wspomina Maj. - Przyczyn tej awarii w ogóle obywatelom nie wyjaśniono, co było bardzo niepokojące. Centralny Ośrodek Informatyki tłumaczył, że była to awaria tylko jednego komponentu systemu. Nie brzmi to groźnie, ale pomyślmy... wystarczyło położyć jakiś jeden komponent, żeby padło wszystko? To oznacza, że problem może leżeć już w projekcie tej infrastruktury – podkreśla.

Dla pełniejszego obrazu, mój rozmówca odsyła mnie do odpowiedzi ministra cyfryzacji, Marka Zagórskiego, na interpelację posła Andrzeja Halickiego w sprawie awarii systemów rządowych. Szczególnie interesującym jest poniższy fragment:

"(…) obecna architektura ośrodków przetwarzania danych, od momentu zaprojektowania poprzez rozwój w kolejnych latach, była budowana w oparciu o priorytet wydajności i efektywności kosztowej, dlatego obydwa ośrodki, w których działają systemy są jednocześnie ośrodkami tzw. produkcyjnymi. Nie mamy tu więc do czynienia z klasycznym podziałem na ośrodek podstawowy i ośrodek zapasowy, w którym w normalnym trybie pracy funkcjonuje tylko jeden, a drugi oczekuje na intencjonalne przełączenie w przypadku wystąpienia awarii". Brak rozróżnienia na ośrodek podstawowy oraz zapasowy jest jedną przyczyn skutków, które później obserwujemy, zauważa Maj.

- Mimo wszystko chcę powiedzieć jedno. Ludzie pracujący po stronie rządowej nie są niekompetentni. To są specjaliści, którzy niestety muszą się zmieścić w pewnych kosztach, wymaganiach i realiach politycznych, a one nie zawsze sprzyjają – podkreśla. - Tam gdzie inżynier zrobiłby jeden system, tam ministrowie będą chcieli czterech, żeby każdy mógł "przeciąć wstęgę". W Polsce bardzo przydałby się jakiś kompetentny przywódca cyfryzacji z realnym doświadczeniem we wdrażaniu projektów informatycznych. Jednego takiego ministra mieliśmy, ale niestety polityka przeważyła nad rozsądkiem – konkluduje.

Z kolei Joanna Lesiak z NASK zaznacza, że wprowadzony niedawno w życie system cyberbezpieczeństwa ma przysłużyć się uszczelnieniu systemów informatycznych w kraju.

- System cyberbezpieczeństwa w Polsce został formalnie utworzony na mocy ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku. Na pełną ocenę sprawności działania systemu jeszcze za wcześnie, ponieważ zadania i obowiązki wynikające z ustawy są nowe - tłumaczy. - Na uznanie zasługuje jednak fakt, że ustawodawca wykorzystał już istniejące w Polsce kompetencje w zakresie cyberbezpieczeństwa. Przyjęta ustawa o krajowym systemie cyberbezpieczeństwa wykorzystuje kompetencje już istniejących CSIRT – CERT Polska, znajdującego się w strukturze NASK PIB, CERT GOV w strukturze Agencji Bezpieczeństwa Wewnętrznego oraz MilCERT w strukturze Resortu Obrony Narodowej. Jasno uregulowano zakres działania wszystkich zespołów i zapewniono prawne podstawy do współpracy. Wcześniej ta współpraca i tak już istniała. Ustawa niejako sankcjonuje więc model który w nieformalny sposób funkcjonował od dawna - zaznacza.

Dodatkowo ustawa przypisuje nowe zdanie do już istniejących instytucji – Pojedynczy Punkt Kontaktowy do Ministra właściwego ds. informatyzacji czy organy właściwe, których role pełnią właściwi ministrowie działowi. Są to zadania wynikające bezpośrednio z prawa europejskiego, dodaje ekspertka. Nowością natomiast jest obowiązkowe raportowanie incydentów, co z pewnością zwiększy poziom cyberbezpieczeństwa. Podobnie jak obowiązki nałożone na operatorów usług kluczowych i dostawców usług cyfrowych, do których należy między innymi szacowanie ryzyka, wyjaśnia Lesiak.

O komentarz poprosiliśmy również CERT Polska, Centralny Ośrodek Informatyki oraz Ministerstwo Cyfryzacji. Odpowiedzi opublikujemy po ich otrzymaniu.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA