Парадът на държавната администрация в областта на (не)сигурността на нейните интернет-сайтове продължава с гръмки примери.
Преди само малко повече от месец посочих сериозни дупки в министерството, което … отговаря за информационната сигурност.
Ето че сега дори и институцията с най-много и важни държавни тайни – Министерството на отбраната – тотално е неглижирала елементарната компютърна сигурност на интернет-сайта си.
Оценката на цифровия сертификат, който трябва да защитава – чрез криптиране – връзката между потребителя и сайта е “СЛАБ (2)” (“F” – по американската система).
Нещо повече – посещаващият този сайт ще получи изрично предупреждение да не му се доверява, и дори че може би някой прихваща връзката:
Но това не е всичко. Дори елементарен анализ показва други сериозни пробойни в сайта. Като една от най-прословутите в историята на интернет пробойна, а именно heartbleed (“сърцекървене”). Открита преди цели 6 месеца (април 2014), тя е премахната отдавна практически навсякъде в стотиците милиони сайтове по интернет – само не и в нашето министерство …
С този конкретен бъг може да се подслушва не само конкретна, но тотално цялата криптирана комуникация на един сървър. При това, практически е почти невъзможно да бъде засечено това подслушване.
Нужен ни е явно “Държавен системен администратор по информационна сигурност”, който да мисли и да действа бързо и категорично, според реалностите в днешния преобразяващ се за часове свят на мощни кибер-атаки.
Някой ще каже: “какво толкова – някакъв си уебсайт на МО, не е нещо важно”.
Може ли този някой също да отговори дали компютъра, на който е сайта на институцията, не е в мрежа с други, непублични компютри с много по-важна за националната ни сигурност информация? Не след няколко месеца, не след година – а веднага да отговори?
И колко защитени са те, при положение че крайно вероятно някой там си мисли “те не са публично изложени за достъп – няма нужда да ги пазим кой знае колко”?
В областта на сигурността основна парадигма е, че една сложна система е точно толкова сигурна, колкото най-слабото й звено.
Ако това, което демонстрира Министерството на отбраната, е нивото на “грижа” за елементарните защити в най-слабото звено на НАТО и ЕС, то каква ли е степента при важните отбранителни активи?
За съжаление държавната администрация явно не счита информационната сигурност за приоритет. Сайтовете на МВР и ДАНС наскоро ги бяха хакнали, като в случая с ДАНС хакерите си бяха направили тяхна си папка на сървъра. Пак наскоро реших да пусна един скан за сървъри с името МВР и ми излезе един. Та примери бол, въпроса е какво трябв ада се случи, за да се поправят тези грешки.
Pingback: Онлайн сигурност на държавните институции:има какво да се желае - Questona.com