Cyberbezpieczeństwo

Cyberbezpieczeństwo aplikacji w lokalnych władzach

Bezpieczeństwo aplikacji
Bezpieczeństwo aplikacji
Fot. Azamat E/ Unsplash/ Domena publiczna

Władze lokalne mają coraz większe problemy z zabezpieczeniem swoich systemów przed cybaratakami. Niestety liczba incydentów bezpieczeństwa z ich udziałem stale rośnie i problem, z którym muszą się mierzyć wydaje się być coraz potężniejszy. Jednak istnieje dość proste rozwiązanie.

Dlaczego bezpieczeństwo aplikacji jest tak istotne?

Raport dotyczący bezpieczeństwa aplikacji webowych, udostępniony przez firmę Acunetix stwierdza, że prawie 50 proc. stron internetowych dostępnych w internecie zawiera poważne podatności. Wśród nich znajdują się również strony internetowe władz lokalnych. Ich obecność stanowi zagrożenie dla użytkowników aplikacji, ale tez rodzi poważne obawy odnośnie strat finansowych. Często te podatności, czyli słabe punkty w aplikacjach, jak np. formularze mogą zawierać błędy, które nie są trudne do wykrycia i wykorzystania. Niestety ich obecność powoduje, że rozszerza się wektor ataku, czyli czynnik, która pozwala na zaatakowanie aplikacji. Każda z luk, na które można natknąć się w aplikacji może zostać sklasyfikowana, jako naruszenie jednej z trzech podstawowych cech charakteryzujących bezpieczeństwo i tworzących tzw. trójkąt CIA:

  • Poufność (Confidentiality), czyli kwestia dostępu odpowiednich osób do informacji; czy mogą je uzyskać tylko te osoby, która zostały do tego autoryzowane.
  • Integralność (Integrity), dotyczy kwestii spójności danych i tego czy są one godne zaufania oraz czy nie zostały edytowane przez użytkowników bez odpowiednich uprawnień.
  • Dostępność (Availability), która mówi o tym czy aplikacja zapewnia satysfakcjonujący poziom dostępności, czy nie jest awaryjna oraz to czy nie można jej w prosty sposób przeciążyć. Jest to najczęściej spotykane w trakcie ataków DDoS. Aplikacje są wszędzie, jak również zagrożenie dla nich, ale coraz bardziej narażone są na to jednostki lokalnych władz.

Czytaj też

Zagrożony samorząd

Samorządy lokalne w Unii Europejskiej coraz częściej padają ofiarą cyberataków. Trend ten nie ominął również Polski. W przeciągu ostatnich lat zaobserwowano kilkanaście ataków wymierzonych w lokalne władze. 14 proc. samorządów zostało zaatakowanych przez hakerów. Musieli oni sobie radzić z atakami ransomare, phisingiem czy DDoS. Takie problemy napotkał Urząd Miejski w Kościerzynie, którego dane zostały zaszyfrowane po cyberataku. Przestępcy zażądali okupu. Gmina nie uległa jednak presji i podjęła decyzję, aby nie przelewać żądanej kwoty, a urząd zwrócił się bezpośrednio do ekspertów firmy komercyjnej.

Celem hakerów była również gmina w województwie łódzkim – Lututów. Hakerzy zażądali 600 tys. dolarów za odszyfrowanie danych obywateli. Po raz kolejny poszkodowanym i ofiarą byli obywatele, którzy nie mogli uzyskać informacji o zobowiązaniach wobec gminy z tytułu mediów czy innych opłat. Zaatakowany został również Urząd Miasta Otwocka, Małopolski Urząd Marszałkowski czy Starostwo Powiatowe w Oświęcimiu, a ofiarą przestępców miały paść dane osobowe mieszkańców. W wyniku ataku dane takie jak imię, nazwisko, PESEL, adres zamieszkania czy numer konta bankowego mogły trafić w ręce hakerów. Niestety z tego powodu cierpią głównie mieszkańcy, którzy zmuszeni są podjąć działania minimalizujące ewentualne szkody. Oczywiście wyżej wymienione incydenty bezpieczeństwa to nie wszystkie, których ofiarą padły lokalne instytucje.

Przykłady tych ataków nie powinny nikogo dziwić. Już w 2019 roku Najwyższa Izba Kontroli ostrzegała, że dane gromadzone i przetwarzane w bazach i systemach komputerów urzędów gmin i miast, a także w starostwach są słabo chronione. Urzędnicy nie przywiązywali dostatecznej wagi do tego, aby zapewnić ich bezpieczeństwo. Braki były również widoczne w systemowym podejściu kierowników urzędów do zarządzania bezpieczeństwem informacji oraz właściwego zabezpieczenia danych będących w posiadaniu urzędów. Brakowało systemowego podejścia do zapewnienia bezpieczeństwa informacji oraz nie ustanowiono polityki bezpieczeństwa informacji. Nie było też aktualnej informacji o posiadanych zasobach informatycznych służących do przetwarzania danych, co oznaczało, że w przypadku wystąpienia poważnej awarii utrudnione byłoby szybkie otworzenie infrastruktury. W dominującej części skontrolowanych urzędów wystąpiły również nieprawidłowości w zarzadzaniu uprawnieniami użytkowników w systemach informatycznych. Problemem było również wykorzystanie oprogramowania nieposiadającego wsparcia producenta, co znacząco obniżało poziom bezpieczeństwa.

Raport NIK-u oraz liczne incydenty bezpieczeństwa w jednostkach samorządu lokalnego pokazują, że problem bezpieczeństwa aplikacji istnieje i należy koniecznie coś z nim zrobić.

Czytaj też

Centrum certyfikacji pomoże samorządom

Rozwiązaniem, które mogłoby pomóc władzom lokalnym w odpowiednim zabezpieczaniu byłoby jedno centrum certyfikujące aplikacje, które są dopuszczane do użytkowania. Pozwoliłoby to zwiększyć bezpieczeństwo oraz ograniczyć koszty, ponieważ wysoki poziom bezpieczeństwa nie byłby opłacany z budżetów pojedynczych jednostek.

Krokiem naprzód jest z pewnością wprowadzenie przez Unię Europejską „Aktu o Cyberbezpieczeństwie”, który tworzy europejskie ramy certyfikacji cyberbezpieczeństwa produktów i usług ICT. Zmieni to znacznie funkcjonujący obecnie model certyfikacji oraz zagwarantuje, że dane produkty będą spełniały określone wymogi bezpieczeństwa. Konsument będzie mógł wybierać takie aplikacje, które są przetestowane i spełniają odpowiednie normy bezpieczeństwa. Państwa zobowiązane są do stworzenia lub wskazania już istniejących krajowych organów ds. certyfikacji cyberbezpieczeństwa. Certyfikacja poza najbardziej wrażliwymi sektorami jest dobrowolna, ale wdrożone europejskie prawo może być ważnym krokiem naprzód, aby również krajowe centrum certyfikacji cyberbezpieczeństwa objęło swym zasięgiem aplikacje przeznaczone do użytkowania w sektorze publicznym.

Rozwiązanie, które może przynieść ulgę administracji lokalnej

Rozwiązaniem, które mogłoby pomóc w certyfikacji i tym samym odpowiednim zabezpieczeniu aplikacji jest oprogramowanie Red Hat OpenShift, zbudowane w ramach technologii open source. Większość komercyjnego oprogramowania jest oferowane w ramach tzw. zamkniętego oprogramowania, przez co użytkownik nie ma wglądu w kod i nie może go sprawdzić pod kątem bezpieczeństwa. Open Source to umożliwia, przez co buduje większe zaufanie użytkownika do oferowanego oprogramowania. Red Hat jest największym na świecie dostarczycielem takich usług. OpenShift zapewnia niezawodną pracę w trudnych warunkach oraz stanowi stabilną podstawę do wykonywania wszystkich prac z zakresu serwisowania. Pozwala również zależnie od potrzeb na skorzystanie z różnorodnych komponentów. Aplikacje stosowane przez jednostki lokalnych władz muszą być przebadane pod kątem bezpieczeństwa, ale musi się to odbywać automatycznie, co umożliwia właśnie produkt Red Hat’a. OpenShift to platforma oparta na kontenerach w technologii Kubernetes i wyposażona w kompleksowy mechanizm automatyzacji, który daje możliwość badania aplikacji i utrzymywania ich w należytym stanie. Zapewnia też zaawansowany mechanizm upraszający proces dostarczania usług na dużą skalę.

Bardzo ważnym elementem jest otwarta hybrydowa platforma chmurowa, która umożliwia integrację różnych systemów i tworzy warunki do systematycznego stosowania platform chmurowych. Pozwala również na obniżenie kosztów, co jest bardzo istotne dla administracji i uniezależnienie się od ograniczeń infrastruktury. Red Hat Open Shift ma zapewnione również wsparcie działu Red Hat Consulting przy opracowywaniu poszczególnych etapów projektów – od wdrożenia po eksploatację i utrzymanie. Wszystko to odbywa się przy zapewnieniu wysokiej dostępności i niskich kosztów posiadania.

Właściwe zaprojektowane środowisko, dzięki wykorzystaniu doświadczenia i wiedzy ekspertów z Red Hat’a oparte na mikrousługach i konteneryzacji jest prawie całkowicie odporne na błędy. W razie wykrycia awarii, ponowne uruchomienie systemu trwa zaledwie kilka sekund, co nie wpłynie negatywnie na czas niedostępności usług dla klienta. Technologia Red Hat zapewnia również dużą odporność na uszkodzenia, więc jeżeli dojdzie do jakiejkolwiek awarii, można praktycznie automatycznie usunąć skutki problemu.

Technologia Red Hat OpenShfit zapewnia tez odpowiednią dbałość o aplikacje przez cały jej cykl użytkowania. Dzięki czemu są one odpowiednio serwisowane i szybko aktualizowane, co jest kluczowe, aby w odpowiedni sposób chronić się przed zagrożeniami. Jest to możliwe dzięki mechanizmowi wdrażania aktualizacji na platformie. Biorąc jednak pod uwagę, że czasem aktualizacje powodują problemy w działaniu aplikacji, można wrócić do jej poprzedniej wersji oprogramowania.

Używane w lokalnych rządach aplikacje potrzebują platformy, które pozwoli nimi skutecznie zarządzać dbając tym samym o bezpieczeństwo. W szczególności, że administracja publiczna już korzysta z rozwiązania firmy Red Hat, dokładnie chodzi tutaj o Zakład Ubezpieczeń Społecznych. Brak odpowiedniego podejścia i polityki wykazany w raporcie NIK wykazuje znaczne osłabienie ochrony przed cyberatakami. Wdrożenie rozwiązania takiego jak Red Hat OpenShift zdecydowanie poprawiłoby funkcjonalność działania lokalnych administracji, ale przede wszystkim bezpieczeństwo. Oba czynniki są kluczowe, ze względu na to, że coraz więcej urzędowych spraw można załatwiać przez Internet, a Polacy chętnie z tej możliwości korzystają. Konieczne jest jednak odpowiednie zabezpieczenie tych usług tak, aby, nie dochodziło do żadnych nadużyć, wycieków danych czy przestojów w działaniu.

Biorąc pod uwagę obecną sytuację, związaną z wojną w Ukrainie, zagrożenie jest nawet większe. Dlatego też rozwiązanie, które zapewni odpowiedni poziom bezpieczeństwa jest tak istotne.

/Artykuł Promocyjny

Fot. fot. materiały prasowe
Fot. materiały prasowe

Komentarze

    Czytaj także