- Najważniejsze, aby samorząd świadomie wymagał bezpieczeństwa. Trzeba jednak pamiętać o jednym – nie ma pewności, że nie dojdzie do włamania na stronę – mówi Piotr Durbajło, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego ABW.

Katarzyna Kubicka-Żach: Czy trzeba było ataku hakerów, żeby ABW zajęło się stronami samorządowymi?

Piotr Durbajło, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego ABW:
- Należy pamiętać, że Agencja Bezpieczeństwa Wewnętrznego działa wyłącznie zgodnie i w ramach określonych delegacją ustawową. Zgodnie z prawem przestępstwa, takie jak podmiana treści na stronie internetowej, co było właśnie incydentem związanym ze stronami samorządowymi, nie są ścigane z urzędu, ale na wniosek pokrzywdzonego.

Dopóki podmiot zdarzenia nie złoży stosownego zawiadomienia i wniosku o ściganie nie mam możliwości prawnych na ściganie sprawcy.

Jednakże ABW prowadzi działania prewencyjne. W ramach Departamentu Bezpieczeństwa Teleinformatycznego działa Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL. Jego zadaniem, między innymi jest podnoszenie świadomości wśród użytkowników, jak również analiza ogólnego poziomu zagrożenia występującego w Internecie.

Na podstawie analizy ruchu sieciowego jesteśmy w stanie określić źródła i cele ataków oraz przekazać w ten sposób stosowne informacje do właściwych instytucji lub do innych zespołów bezpieczeństwa, także z innych krajów. Współpraca międzynarodowa jest rozwinięta, i również dzięki niej, informowani jesteśmy o zaobserwowanych nieprawidłowościach w sieci.

Co dzieje się w przypadku wykrycia zagrożenia?

- W przypadku wykrycia nieznanego zagrożenia dotyczącego sfery administracji publicznej, rozsyłamy niezwłocznie informację o fakcie pojawiania się zagrożenia wraz z zaleceniami dotyczącymi określonego sposobu zabezpieczenia się. Dodatkowo raz na kwartał CERT.GOV.PL wydaje raport bezpieczeństwa, gdzie wymieniane są m.in. aktualizacje oprogramowania, jakie należy zainstalować, aby oprogramowanie spełniało zalecany poziom bezpieczeństwa.

Koncentrujemy się na „łatach” do oprogramowania najbardziej popularnego, które jest najczęściej używane w urzędach jak również na popularne serwery usług np. Apache oraz oprogramowanie zarządzania treścią (CMS) wykorzystywane przez urzędy do prowadzenia portali internetowych.

Informacje te są również na bieżąco publikowane na internetowej stronie zespołu (http://www.cert.gov.pl). Wiadomości zawarte na stronie CERT.GOV.PL są powszechnie dostępne.

Czy można się do państwa zgłaszać z prośbą o kontrolę i czy samorządy muszą za to zapłacić?

- Oczywiście oferujemy audyty bezpieczeństwa i dla administracji publicznej są one wykonywane za darmo. Jeżeli więc samorząd chce, żebyśmy przetestowali zaawansowany duży system, to taki audyt wykonujemy. To jeden obszar, w jakim działamy nie czekając na incydent. Należy pamiętać, że nie badamy podatności stron internetowych bez zgody właściciela portalu.

Drugim obszarem działania jest prowadzenie warsztatów szkoleniowych dla informatyków z samorządów z dziedziny bezpieczeństwa teleinformatycznego prowadzony kilka razy w roku z naszymi partnerami, dostawcami technologii.

Czy wszystkie samorządy są zapraszane na warsztaty?

- Informujemy o organizowanych szkoleniach samorządy, które następnie mogą oddelegować właściwe osoby.

Jak postrzega Pan wiedzę samorządowców o bezpieczeństwie w Internecie?

- Poziom świadomości o bezpieczeństwie w Internecie jest w samorządach bardzo wysoki. Patrząc globalnie, samorządy dobrze zapewniają bezpieczeństwo dla swoich zasobów informatycznych. Można to też zobaczyć w rocznym raporcie CERT-u.

Skoro samorządy i ABW dbają o bezpieczeństwo, to dlaczego doszło do włamań na samorządowe strony BIP na początku września?

- Trzeba pamiętać, że atak nie dotyczył wielu serwerów samorządowych, ale serwera jednej firmy hostingowej. W tym przypadku dość duża liczba samorządów wykupiła usługę w tej samej firmie, której serwer zaatakowano. Żaden z tych samorządów nie prosił wcześniej o audyt.

ABW w pierwszej kolejności chroni systemy, z których można wykraść dane wrażliwe, na przykład dane osobowe. Takie działanie stanowi priorytet. Trzeba zwrócić uwagę, iż ktoś podmieni tylko samą stronę, wizerunkowo jest to duża strata, natomiast z punktu widzenia bezpieczeństwa państwa istnieje znacznie mniejsze ryzyko.

Jak zakwalifikuje Pan atak na portale samorządowe, jeśli chodzi o stopień zagrożenia?

- Atak na samorządy był typowym działaniem chuligańskim. Podmieniono treść w sposób widoczny, a celem sprawców było „bycie zauważonym”. Nie była to manipulacja treścią w ten sposób, że np. próbowano podmienić decyzję burmistrza, w rezultacie czego ktoś mógłby korzystać z dokumentów sfałszowanych.

Był to klasyczny wandalizm internetowy, który ma poziom szkodliwości bardziej medialny, niż faktyczny, jednakże wpływa na obniżenie wiarygodności zasobów.

Jakie działania podjęła ABW w przypadku ataku na BIP-y samorządów?

- Ponieważ ten incydent dotyczył dużej ilości samorządów, zdecydowaliśmy się na szybkie przebadanie zarówno samych witryn jak i systemu hostingowego, w celu określenia poziomu bezpieczeństwa. Pomimo ostrzeżeń o istniejących podatnościach, strony zostały bardzo szybko włączone z powrotem. Efektem tego był drugi atak kolejnego dnia, o czym ostrzegaliśmy firmę świadczącą usługi.

O co dokładnie chodziło?

- Ostrzegaliśmy, że jeśli strony zostaną włączone, a podatności nie zostaną „załatane”, to ponownie ktoś je wykorzysta. Dopiero po drugim incydencie firma faktycznie wyłączyła serwer i zastosowała się do zaleceń.

Czy firma zwróciła się do ABW ze skargą?

- Firma się nie do nas nie zgłaszała. Wiedzieliśmy o zdarzeniu z mediów i natychmiast poinformowaliśmy samorządy, że mogą otrzymać od nas wsparcie.

W jaki sposób samorządy zostały poinformowane? Z moich rozmów z samorządowcami wynika, że żadnej informacji nie dostały od ABW, przeczytały na stronie internetowej.

- Muszą zaglądać na naszą stronę. Jesteśmy administracją rządową, nasze informacje udostępnione zostały m.in. na stronach internetowych Agencji oraz CERT.GOV.PL.

Ile samorządów zwróciło się do ABW z informacją, że ich strona została zaatakowana?

- Kilka samorządów zwróciło się do nas z pytaniami. Natomiast nic mi nie wiadomo, żeby jakiś samorząd zgłosił do nas fakt popełnienia przestępstwa. Myślę, że nie zgłosiły się do nas, bo strony w krótkim czasie zaczęły działać normalnie. Ważne, że firma świadcząca usługi utrzymania stron zaimplementowała zmiany.

Jeżeli chodzi o zabezpieczenia – jeżeli samorządu nie stać na prowadzenie strony internetowej, wynajmuje firmę hostingową. Kto jest odpowiedzialny za zabezpieczenie?

- Z punktu widzenia samorządu najprostsze jest zakupienie usługi zaprojektowania i prowadzenia portalu – w zależności od kwoty za pomocą przetargu lub z pominięciem tej procedury. Jednak rolą zamawiającego jest to, aby zamówienie usług zostało odpowiednio skonstruowane i zawierało kryteria bezpieczeństwa, jakie ma strona spełniać.

Można przykładowo określić czas reakcji na awarię strony, wymóg wprowadzenia aktualizacji wydawanych przez producentów oprogramowania albo, że dostawca usługi ma dbać o określony poziom bezpieczeństwa strony czy jej dostępność.

ABW nie może tu ingerować w rynek, każdy ma prawo złożyć ofertę, a zamawiający ma prawo wybrać jak najlepszą. Kwestia, czy samorząd jako zamawiający, uwzględnia w pisaniu specyfikacji zapisy dotyczące bezpieczeństwa.

A skąd samorząd ma wiedzieć jakie są to zalecenia?

- Zalecenia to przed wszystkim wiedza merytoryczna ludzi oparta o doświadczenie, standardy i przepisy. Żaden akt prawny nie jest w stanie szczegółowo tych kwestii regulować. Samorządy mają informatyków, których trzeba po prostu szkolić.

Dodatkowo istniejące zapisy prawne dotyczące BIP-ów, zespół regulacji wynikających z ustawy o informatyzacji administracji publicznej, stanowią wyraźną pomoc określając ramy wymogów dla takich systemów teleinformatycznych.

Kolejnym ważnym źródłem wiedzy są dobre praktyki. Istnieje także strona CERT.GOV.PL, na której cały czas publikowane są zalecenia i biuletyny. Podobnie czyni zespół CERT POLSKA dla sfery ogólnopublicznej.

Zawsze samorząd ma też jeszcze jedno rozwiązanie – jeżeli uzna, że zasób BIP, bądź inne usługi są dla niego ważne, może to przenieść na poziom samorządu wyższego – wejść w wortal samorządowy, wtedy odpowiedzialność niejako cedując na inny podmiot.

Jeżeli jednak pozostają przy firmach hostingowych – czy cała odpowiedzialność spoczywa na tej firmie?

- Każdy przypadek należy rozpatrywać indywidualnie. Poziom odpowiedzialności może być bowiem inny w różnych sytuacjach. Zależy jaki model funkcjonowania przyjął samorząd.

Jeśli gmina jest właścicielem systemu i zatrudnia informatyka na etacie, to sama ponosi odpowiedzialność. Jeśli korzysta z outsourcingu – wtedy odpowiedzialność ponosi podmiot zewnętrzny. ABW zaleca jednak – mając świadomość wystąpienia ryzyka, żeby sieci wewnętrzne samorządów, gdzie przetwarzają one dane nie były połączone z Internetem.

Wspominał Pan o ustawie, o rozporządzeniach. Nie ma jednego miejsca, w którym samorząd mógłby wszystkie wytyczne, ważne dla bezpieczeństwa, znaleźć?

- Oczywiście, że jest. Polecam naszą stronę http://www.cert.gov.pl, gdzie istnieje lista dobrych praktyk. Poza tym w MSWiA jest pion bezpieczeństwa informacyjnego, który prowadzi duże programy rozbudowy dla samorządów.

Czy po atakach będą jakieś mocniejsze zabezpieczenia?

- Wysłaliśmy do zaatakowanych we wrześniu samorządów zalecenia. Poza tym przypomnimy zalecenia, które są dostępne na naszej stronie internetowej. Kto się do nas zgłosi, dodatkowo je otrzymuje. Dla zaatakowanych jednostek sporządziliśmy też zalecenia dotyczące konfiguracji serwera.

W ramach podnoszenia ogólnej wiedzy o zagrożeniach uruchomiliśmy stronę www.surfujbezpiecznie.pl, tam zamieszczone są zalecenia, można powiedzieć 10 przykazań – napisane bardzo przystępnie – dla zwykłego użytkownika (w tym samorządowego czy rządowego) Internetu, nie będącego informatykiem.
Są tam też filmiki, komiksy, w łatwy sposób przekazujące wiedzę o zabezpieczeniach dla osób nie będących specjalistami.

Co Pan radzi samorządom, które obawiają się kolejnych włamań?

- Samorządy nie podejmują lekkomyślnie decyzji i ważnych informacji nie udostępniają na zewnątrz bez dodatkowych zabezpieczeń i warto, aby dalej tak postępowały. Na pewno nie powinny rezygnować z usług firm hostingowych, gdyż specjalistyczne firmy są często w stanie zagwarantować wyższy poziom bezpieczeństwa, niż pracownik urzędu. Takie firmy pracują 24 godziny na dobę, czego w samorządzie informatyk nie będzie w stanie robić.

Najważniejsze jest, aby samorząd świadomie wymagał bezpieczeństwa. To samorząd, jako zamawiający, musi czuwać, żeby w umowie znalazły się odpowiednie gwarancje bezpieczeństwa portali. Samorządy powinny się też zastanowić, jak zweryfikować czy firma, która im usługi prowadzi jest bezpieczna.

Trzeba jednak pamiętać o jednym – nie ma pewności, że nie dojdzie do włamania na stronę, bo nikt tego nie jest w stanie zagwarantować. Jednakże całokształt działań samorządów powinien uwzględniać bezpieczeństwo informatyczne, jako przejaw profesjonalnego podejścia do usług świadczonym obywatelom.

Dziękuję za rozmowę.

Katarzyna Kubicka-Żach

kkż/