Audyty informatyczne. Tajemnicze zaklęcie. Co się za nim kryje?
Jest takie rozporządzenie o krajowych ramach interoperacyjności, które nakłada na samorządy obowiązek przeprowadzania audytu bezpieczeństwa informatycznego. Od 2012 r. każda jednostka realizująca zadania publiczne raz do roku musi przeprowadzić taki audyt. Dotychczas zgodnie z ustawą o ochronie danych osobowych samorządy miały obowiązek zapewnić bezpieczeństwo. Ale nie da się tego zrobić bez narzędzi do weryfikacji. Wyglądało to tak, że samorządy przez naście lat mówiły: my jesteśmy bezpieczni. Skąd o tym wiecie? Bo wiemy.
Bo informatyk zainstalował program MksVir.
Na przykład. Albo nic się nie wydarzyło, bo nikt się do nas nie włamał, bo mamy najnowszy sprzęt, najlepsze oprogramowanie itd. Ustawodawcy poszli po rozum do głowy i uznali, że bezpieczeństwo informatyczne trzeba kontrolować. Osoby decyzyjne są ignorantami w tej materii, często nie potrafią używać komputerów, więc państwo doszło do wniosku, że samorządy powinny zarządzać bezpieczeństwem informacji. To fajny pomysł, bo dzięki temu dowiadują się, jak naprawdę dziurawe mają systemy. Niestety, 80 proc. i tak tego nie robi.
Może z serwerów samorządowych nie ma czego kraść?
To nieprawda! Można z nich ukraść dane osobowe, dane dotyczące mieszkańców, podatków, ewidencję ludności, całą bazę danych dotyczących mieszkańców.
Kogo interesują takie dane?
Myślę, że wiele osób. Przede wszystkim firmy, które zajmują się telemarketingiem. Firmy zajmujące się analizą danych np. pod kątem wchodzenia na jakieś rynki, firmy medyczne, agencje bankowe, szereg podmiotów, które chcą uzyskać dane osobowe. Ale jest również sporo hakerów, którzy chcą dane zmienić albo zniszczyć. Wtedy samorządy są atakowane dla idei. Zmieniane są strony urzędów, dochodzi do włamań na serwery, giną pieniądze urzędu, bo instalują się keyloggery…
Czyli programy wysyłające hakerom wszystko, co wpiszemy za pomocą klawiatury.
Dokładnie tak. Hakerzy zbierają hasła, potem zmieniają numer konta bankowego i pieniądze przez trzy miesiące przemieszczają się na inne konto bankowe. Potem właściwy podmiot mówi, że nie ma pieniędzy. Okazuje się, że poszły gdzie indziej.
Często się to zdarza?
Nagminne są włamania na serwery telefonii internetowej. Na przykład samorządy na Lubelszczyźnie straciły 60 tys. zł na skutek dzwonienia do Austrii i innych krajów. Podobnie było na Politechnice Lubelskiej, która straciła bodaj 35 tys. zł.
Sprawców oczywiście ujęto i osądzono…
(śmiech) Namierzenie takich ludzi jest bardzo skomplikowane, bo najczęściej nie atakują z Polski. Są to logowania przez serwery, które ten ruch anonimizują.
Coś jak przesiadanie się z samochodu do samochodu w celu zmylenia pościgu?
Tak. I naprawdę jest to bardzo trudne do ustalenia.
Skoro to takie nagminne, to gdzie leży przyczyna łatwości popełniania tego typu przestępstw?
Przyczyną są nieprawidłowe konfiguracje serwerów. Na przykład jakaś firma informatyczna dostarcza rozwiązanie albo konfigurują je informatycy, zostawiając standardowe, bardzo proste hasła. Za wieloma atakami nie stoją żadni specjaliści tylko ludzie, którzy z nudów siedzą w internecie i testują popularne hasła.
Ile na tym traci państwo?
Straty idą w miliony złotych, ale trudno to określić dokładnie, bo żaden samorząd, żadna firma nie przyzna się sama, że doszło do przejęcia jakichś informacji albo włamania. Media dowiadują się o tym dopiero wtedy, kiedy ktoś celowo taką sprawę nagłośni. Te sprawy są tuszowane i nikt się tym nie chwali.
Istnieje mit, który sam długo rozpowszechniałem, że wirusy to wynalazek firm antywirusowych.
Wirusy nie są już tak wielkim zagrożeniem jak kiedyś. Dziś największym problemem jest niewiedza informatyków, która polega na tym, że mając dostępne dość zaawansowane rozwiązania, kupują z projektów unijnych dość zaawansowane bramki internetowe, a okazuje się, że tak naprawdę ich konfiguracja jest żadna i zamiast urządzenia za 15 tys. zł równie dobrze można by kupić router za 500 zł i pełniłby taką samą funkcję.
Zawsze najbardziej newralgicznym elementem jest człowiek. Edukacja w zakresie bezpieczeństwa informacji u nas leży. Niby w nowych rozporządzeniach mówi się, że pracowników należy szkolić w zakresie bezpieczeństwa informatycznego, ale ludzie nadal o tym zapominają. A więc słabe punkty to człowiek i pewna niefrasobliwość czy niechlujność informatyków.
Mam firmę. W jaki sposób mam się zabezpieczyć przed kradzieżą danych, włamaniem czy zniszczeniem dokumentów?
Bezpieczeństwo informacji nie jest stanem, tylko procesem. Można stwierdzić, że system informatyczny jest bezpieczny w danej chwili, ale dzień czy dwa później informatyk może popełnić jakiś błąd, użytkownicy mogą zainstalować jakieś oprogramowanie i od tego momentu system nie jest już bezpieczny. O bezpieczeństwo trzeba dbać w sposób ciągły. Pierwszym testem powinno być wykonanie audytu bezpieczeństwa informacji. I to audytu zewnętrznego, ponieważ nie należy być audytorem obszaru, którym się zarządza. Audyt ujawnia konkretne zagrożenia.
Najczęstsze zaniedbania?
Pominę te oczywiste związane ze sprzętem i oprogramowaniem.
Znów czynnik ludzki?
No właśnie. Często zdarza się, że w firmach zatrudniane są osoby celowo przysłane przez konkurencję, żeby grzebać w danych i wykraść istotne informacje. Ba, zdarza się, że komputery firmowe są dostępne dla ludzi z zewnątrz. Przyjeżdżamy na szkolenie, konferencję, podłączamy komputer i okazuje się, że mamy dostęp do systemów finansowo-księgowych i możemy je bez problemu skopiować, a nawet usunąć.
Często są to serwery firmowe, na których znajdują się kontrakty, szczegóły negocjacji, oferty, kosztorysy, istotne dane finansowo-księgowe, a więc informacje strategiczne z punktu widzenia bezpieczeństwa. Skopiowanie tych danych to jedno, ale dużo bardziej niebezpieczna dla organizacji jest zmiana danych, bo często zamienienie paru cyferek w zaakceptowanym raporcie czy kosztorysie może skutkować tym, że oferta firmy zostanie odrzucona w ważnym dla niej przetargu z powodu wadliwej dokumentacji. Mając dostęp do danych konkurencji, można w ten sposób łatwo manipulować przetargami.
To się zdarza czy to teoretyczne rozważanie?
Zdarza się. My mieliśmy parę przypadków, w których dochodziło do ingerencji osób trzecich w systemy informatyczne. Może nawet kilkanaście. Większym zagrożeniem są jednak zmiany kadrowe.
Kilku lat temu w jednym z amerykańskich miast zwolniono pracownika zawiadującego miejską kanalizacja i wywozem śmieci, a ten nie oddał haseł dostępu do systemu. Przez kilka tygodni miasto cuchnęło.
Otóż to. Odchodzą pracownicy, np. informatycy, którzy często sabotują systemy informatyczne. Często jednak sabotaż nie jest potrzebny. W każdej większej organizacji są urządzenia, do których nie ma haseł dostępu. Zmienił się informatyk, po nim przychodzili kolejni i haseł nie ma. Często w trakcie audytów stwierdzamy, że do niektórych serwerów nikt nie ma dostępu.
Nie wierzę…
Śmieje się pan, ale tak dzieje się w dużych urzędach. Swego czasu natknęliśmy się na serwer z projektu unijnego, do którego nikt nie znał hasła. Wszyscy byli przekonani, że główne bazy są na tym serwerze. Zaryzykowaliśmy z panią burmistrz i wyłączyliśmy serwer. Nic się nie zmieniło. Okazało się, że zainstalowano na nim oprogramowanie, ale żadna funkcjonalność nie była uruchomiona. Stał, pobierał prąd, był bezużyteczny i kosztował 38 tys. zł.
Ktoś za to odpowiedział?
Nie sądzę, bo obecnie kontrole projektów unijnych odbywają się w ten sposób, że przyjeżdża ktoś z urzędu marszałkowskiego i sprawdza, czy zgadzają się sztuki, ale rzadko analizuje, czy założone w projekcie funkcjonalności zostały wdrożone. Z audytu bezpieczeństwa wynika, że większość serwerów w samorządach jest użyteczna w 10-15 proc., a funkcjonalność, dla której się je kupuje, najczęściej w ogóle nie jest uruchomiona.
To znaczy, że można złożyć wniosek o dotacje unijne, kupić 50 serwerów po 50 tys zł, podłączyć je do prądu i pozostawić bezużyteczne, a specjalna komisja sprawdza tylko, czy są włączone do prądu? Przecież to absurd.
Był taki moment, że cała Polska wdrażała elektroniczny obieg dokumentów. Te wszystkie projekty informatyzacji urzędów, kupowania serwerów i komputerów miały na celu wdrożenie elektronicznego obiegu dokumentów. Wystarczy sprawdzić, ile urzędów w ogóle go nie wprowadziło.
Dlaczego?
Dla małych samorządów celem informatyzacji nie zawsze jest wdrażanie rozwiązań. Często chodzi o nowy sprzęt. Skoro jest unijny projekt na elektroniczny obieg dokumentów, to go zróbmy. Będziemy mieli nowe komputery i okablowanie. I to wszystko faktycznie jest, służy urzędnikom, ale elektronicznego obiegu dokumentów nie ma. W wypadku projektów unijnych, które mają na celu wdrożenie usług elektronicznych dla mieszkańców, czasem okazuje się, że w skali roku wpływają dwa, trzy wnioski w postaci elektronicznej. A więc pieniądze wyrzucono w błoto. To są miliony, a nawet miliardy złotych, jeśli dodać do tego czas, jaki urzędnicy marnotrawią w internecie.
A właśnie. Ile czasu pracownicy spędzają na Facebooku lub Twitterze w godzinach pracy?
Statystycznie pracownik korzystający z komputera spędza w internecie godzinę dziennie na zadaniach niezwiązanych z pracą. Godzina dziennie to jedna ósma etatu. Przy najniższej krajowej pensji jest to 300 zł miesięcznie. Jeśli firma zatrudnia 50 pracowników, to rocznie traci 180 tys. zł przez to, że nie zarządza dostępem do internetu. U nas się przyjęło, że jeśli ktoś siedzi przy komputerze, to pracuje. Czyżby? Swego czasu podczas audytu w jednym z urzędów okazało się, że przeciętnie każdy z urzędników spędzał w internecie 4,5 godziny dziennie.
Szukając danych potrzebnych do pracy?
Oczywiście! Zabawne, że niektórzy pracownicy podczas naszych audytów nie rozumieją do końca, co oznacza analiza dostępu do internetu. Ograniczają wtedy surfowanie po internecie i żeby przeczekać kontrolę, przerzucają się na windowsowego pasjansa. Rekordzista spędził przy nim w ciągu tygodnia 30 godzin.
Radosław Szymaszek. Szefem Centrum Bezpieczeństwa Informatycznego.