Veracomp.pl  »  O Firmie  »  Centrum Prasowe    Veracomp w mediach

O FIRMIE

Computerworld: "Bezpieczeństwo IT. Wyzwania dla samorządów"

Wzrost znaczenia internetu jako głównego medium komunikacji samorządów z obywatelami oraz rozwój usług publicznych świadczonych przez nie w modelu e-government powodują zmianę perspektywy zagrożeń atakami cyberprzestępców. Samorządy są zmuszone rozważać różne scenariusze zdarzeń, które kilka lat temu były domeną tylko sektora finansowego, telekomunikacyjnego czy służb mundurowych.

Warto zwrócić uwagę, że zwłaszcza wśród młodego pokolenia urodzonego po roku 1990 r., mobilność staje się oczywistym elementem korzystania z usług publicznych, ale także interakcji z władzą lokalną. Potencjał tego elektoratu dostrzegają również sami politycy kierując do nich, zwłaszcza w dużych miastach, osobny przekaz. Ewentualny atak może obecnie spowodować nie tylko „twarde straty”, jak brak dostępności dla aplikacji świadczących różne usługi publiczne czy wyciek wrażliwych danych obywateli, ale też utratę dobrej reputacji niezbędnej każdej władzy do utrzymania zaufania wyborców.

Transparentność społeczności internetowych wyrażających swoje opinie na forach,  pojawienie się nowej klasy młodych wyborców – haktywistów mających często cele rozbieżne z tradycyjnie pojmowaną klasą polityczną, zainteresowanie mediów  - wszystko to powoduje, że wyzwania w zakresie bezpieczeństwa są w gminach znacznie trudniejsze niż kilka lat temu. Nawet niewielkie niedociągnięcie w konfiguracji systemów, w dobie Facebooka może stać się przyczyną szczegółowej analizy mediów lokalnych oraz komentarzy na forach i spowodować negatywną reklamę polityczną. Mobilność i sieci społecznościowe, zmuszając polityków do otwarcia się na internet, kreują jednocześnie poważne zagrożenia wizerunkowe.

Przed jakimi wyzwaniami stoją zatem samorządy?

Kadry. Bolączką bezpieczeństwa IT na świecie jest niedobór kadr. W czasach, gdy nawet administracji centralnej trudno jest znaleźć i utrzymać kadrę dysponującą w tym obszarze niezbędną wiedzą i doświadczeniem, tym trudniej jest zrobić to samo samorządowcom - mnogość rozwiązań i scenariuszy wobec szczupłości budżetów, nie tylko inwestycyjnych, ale także przeznaczonych na utrzymanie oraz szkolenia, nie ułatwia zadania.

Szybkość zagrożeń a skalowalność. Czas mijający od odkrycia czy upublicznienia na świecie konkretnej podatności na świecie do zastosowania jej w ataku w Polsce może być liczony w dobach, podczas gdy wymogi prawne regulujące samorządy wymagają najczęściej przeprowadzania pełnego postępowania liczonego - zgodnie z UZP - w miesiącach. Gminni informatycy muszą zatem planować z dużym zapasem inwestycje w bezpieczeństwo albo liczyć się z tym, że system może pozostać wrażliwy przez niebezpiecznie długi okres. Powszechność 3G powoduje masowe zapotrzebowanie na usługi publiczne, co oznacza dla popularnych serwisów miejskich liczbę użytkowników liczoną w dziesiątkach tysięcy. Jeśli dojdzie do podobnej jak w biznesie ewolucji struktury ruchu użytkowników w kierunku zwiększenia udziału wideo, co zważywszy na medialność polityki jako takiej, jest chyba nieuniknione - to samorządowi informatycy będą musieli nie tylko analizować czy rozważane rozwiązania zabezpieczeń są skuteczne i kompleksowe, ale także czy sprostają temu trendowi wzrostu przepływności.

Złożoność problemu. Tradycyjne ataki związane ze skanowaniem portów czy przekazaniem wirusa są stosunkowo dobrze rozpoznane, większość polskich samorządów jest na nie przygotowana, posiadając systemy klasy UTM czy Next Generation Firewall. Obecnie obserwujemy zwiększone zainteresowanie rozwiązaniami, także wśród decydentów politycznych, w obszarze ochrony infrastruktury krytycznej, takiej jak serwer pocztowy urzędu, serwery aplikacyjne, serwis DNS. Szczególnie groźne wydają się być ataki typu APT, dla których tradycyjna ochrona perymetryczna nie jest skuteczna, a które w dobie popularyzacji smarfonów dotykać będą również sektora samorządowego. Historia ataków DDoS przeprowadzonych w ciągu ostatniego roku pokazuje, że również ta klasa zagrożeń nie może być lekceważona, szczególnie dla aplikacji wrażliwych politycznie, jak np. system elektronicznej rekrutacji do przedszkoli i szkół czy oficjalny blog rzecznika prasowego.

Wierzymy, że  dynamika wszystkich wspomnianych trzech obszarów spowoduje jeszcze szersze otwarcie się sektora samorządowego na dialog z dostawcami, także w modelu OPEX - zarządzanych zewnętrznie systemów bezpieczeństwa. Przewidujemy, że najbliższy rok będzie generował zwiększone zainteresowanie u naszych partnerów technologiami zaawansowanych systemów antyspamowych, kontrolerów ADC, firewalli aplikacyjnych, dedykowanych systemów zarządzania usługą DNS, czy zabezpieczeń chroniących przed atakami APT oraz DDoS.

Mariusz Kochański, członek zarządu, dyrektor Działu Systemów Sieciowych, Veracomp SA

Komentarz ukazał się w magazynie Computerworld, nr 7/2015.

Opublikowano