Państwowe strony nie są dostatecznie zabezpieczone

Mimo, że ochrona przed atakami typu DDoS jest bardzo trudna, eksperci Ernst & Young zwracają uwagę, że istnieją rozwiązania inne niż wyłączanie serwerów: - Obecnie na rynku dostępne są rozwiązania sprzętowe i usługi zwiększające ochronę przed DDoS. Mogą one ograniczyć możliwości przeprowadzenia ataku poprzez zwiększanie ilości zasobów lub wykrywać i reagować na prowadzone ataki. System analizuje ruch sieciowy i może odpowiadać tylko na zapytania z komputerów nieuczestniczących w ataku – mówi Kazimierz Klonecki, Partner i szef Działu Zarządzania Ryzykiem Informatycznym Ernst & Young.

– Ataki DDoS jak widzieliśmy na przykładzie polskich serwisów, stwarzają ogromne ryzyko wizerunkowe. Mogą być też stosowane jako odwrócenie uwagi od włamań, które mają na celu wykradzenie danych. Dlatego administracja publiczna musi przemyśleć swoją strategię obrony przed hakerami uwzględniającą również konieczność cyklicznej weryfikacji aktualnego poziomu zabezpieczenia – dodaje Klonecki.

Winne zamówienia

Zdaniem doradców Ernst & Young za niską jakość zabezpieczeń stron i aplikacji sektora publicznego w dużej mierze odpowiada ustawa o zamówieniach publicznych, w myśl której najważniejszym kryterium wyboru oferenta jest cena:

- Usługi i zabezpieczenia IT nie są tanie. Dlatego trudno się dziwić niskiemu poziomowi zabezpieczeń serwisów administracji publicznej. Ostatnie doświadczenia ze sporem wokół ACTA pokazują jednak, że ryzyk związanych z niskim poziomem zabezpieczeń jest naprawdę wiele, a tym najpoważniejszym jest chyba utrata zaufania przez obywateli – komentuje Aleksander Poniewierski, Partner i szef działu Doradztwa IT w Ernst & Young.

– Nikt nie ma o nas tylu informacji co instytucje państwowe. Jeżeli hakerzy są w stanie bez problemu włamać się na stronę Premiera prawie 40milionowego kraju to znaczy, że może istnieć zagrożenie dla danych obywateli  bo istnieje prawdopodobieństwo, że inne aplikacje należące do sektora publicznego wcale nie są lepiej chronione niż za pomocą hasła „admin1” – dodaje Poniewierski.

Bezpieczeństwo informacji dla nikogo nie jest priorytetem

Światowe Badanie Bezpieczeństwa Informacji, które firma doradcza Ernst & Young przeprowadziła wśród menadżerów wyższego i średniego szczebla z 1700 firm w 52 krajach świata, potwierdza, że bezpieczeństwo informatyczne znajduje się nisko na liście priorytetów firm i instytucji. Badanie wykazało, że 72% respondentów zauważa wzrastający poziom ryzyka spowodowany zewnętrznymi zagrożeniami.

Jednocześnie, tylko co trzeci ankietowany dostosował strategię bezpieczeństwa informacji swojej firmy do nowych technologii wdrażanych w ciągu ostatnich 12 miesięcy. Zaledwie 12% ankietowanych zgłasza tematy o bezpieczeństwie informacji na spotkaniach zarządu i mniej niż połowa (49%) badanych oświadczyła, że ich funkcja bezpieczeństwa informacji jest w stanie sprostać potrzebom organizacji.