Data: 2013-03-16 11:55:57 | |
Autor: mkarwan | |
List rządowego administratora do Niebezpiecznika | |
Wiadomo już, kto stoi za włamaniem do sieci Kancelarii Prezesa Rady
Ministrów. W pismach rozsyłanych do instytucji państwowych Kancelaria Premiera potwierdza informacje o włamaniu i ostrzega przed otwieraniem maili wysyłanych z konta b. szefa kancelarii Tomasza Arabskiego oraz sekretarza stanu ds. europejskich w MSZ Piotra Serafina. Serwis Niebezpiecznik.pl dotarł do hakera, który włamał się do sieci KPRM. więcej w http://niezalezna.pl/39397-haker-przejal-konto-tomasza-arabskiego-wyciekly-tajne-dane http://niebezpiecznik.pl/post/kancelaria-premiera-msz-mon-i-kancelaria-prezydenta-zhackowane-wiemy-kto-stoi-za-tymi-wlamaniami/ List rządowego administratora do Niebezpiecznika http://niebezpiecznik.pl/post/list-rzadowego-administratora-do-niebezpiecznika/ Po naszym wczorajszym artykule dotyczącycm włamania do sieci KPRM, KPRP, MON i MSZ otrzymaliśmy ciekawy list od pewnego rządowego informatyka, który chciał pozostać anonimowy. Wyjaśnia on w nim dlaczego ataki Alladyna2 się udały i jak wygląda zarządzanie bezpieczeństwem w niektórych restortach. List w całości publikujemy poniżej Witam jestem adminem jednego z resortów. Nie dziwie się, że włamano się do siatki w tak łatwy sposób. Problem leży nie w wiedzy administratorów - bo ta często jest, ale osób, które nimi kierują (naczelnicy, dyrektorzy). Problem nr1. Admin ma zwykłe stanowisko np. specjalista, główny specjalista - i tak zarabia, max 3500 zł na rękę (na prawdę w porywach). W Warszawie za tą pracę to śmieszne pieniądze. Przeciętnie dwa razy w miesiącu mam propozycje pracy gdzie indziej. Dlaczego nie zmienie pracy? Bo ta praca jest gwarantem stabilności zatrudnienia, a mając kredyt na karku jest to argument wystarczający. Problem nr2. Przełożony to albo naczelnik lub dyrektor i torpeduje decyzje admina. Nie rozumie systemów bezpieczeństwa, nie wie co się do niego mówi. Każda prośba np. próba wdrożenia ISO kończy się odmową bo to "dużo pracy i w ogóle". Problem nr3. Zwyczaje użytkowników - to straszny problem. Zapisywanie haseł pod klawiaturami, na karteczkach przy minitorze czy w końcu ustawianie hasłem wg zasady "miesiącROK" - są nie do przeskoczenia. Dyrektor na pomysł aby zwiększyć ilość znaków haśle z 8 do 12 z uwzględnieniem znaków specjalnych tylko się wzdrygnął i powiedział "NIe". Każde zwiększenie poziomu bezpieczeństwa odbywa się kosztem przyzwyczajeń pracownika. Bez zgody kogoś z kierownictwa - nie ma takiej szansy. A kierownictwo to nie interesuje. Problem nr4. Polecenie służbowe - odwieczny problem, czyli polecenie wyłączenia zmiany hasła co 30 dni u kierownictwa, ustawienie hasła na stałe w VPN-ie dyrektora generalnego w urządzeniu przenośnym. Wyłączenie,a w moim przypadku - brak zgody na wdrożenie dwustopniowego uwierzytelnienia. Bo to utrudnienie, a to w konsekwencji nadwyręży idealną opinię dyrektora w oczach kierownictwa. W większości resortów, po każdych wyborach zmieniają się wszyscy dyrektorzy, zastępcy dyrektorów i do naczelnika włącznie - dlatego dyrektor zajmuje się własnym PR, a nie bezpieczeństwem. Problem nr5. Niechęć do zmian. Informatyka to rozwój, a 99% ludzi w budżetówce zatrzymała się w rozwoju. Tym razem włamania omięły mój resort, ale nie zdziwie się jeśli taki się odbędzie. I wiecie co? Jest duża szansa, że go nie wykryję, bo będę pisał przetarg na sprzęt, albo przenosił dane pomiędzy telefonami ministra, bo nikt nie wie jak to zrobić. Wiecie. nie brak mi wiedzy, ale pod tym względem jestem na tym polu sam, tak jak w większości ministerstw. Dlatego wdrażam gotowe rozwiązania, które mnie informują o wielu anomaliach. Tylko jak to zwykle bywa, nie mam czasu ich czytać. |
|