Wiadomo już, kto stoi za włamaniem do sieci Kancelarii Prezesa Rady
Ministrów.
W pismach rozsyłanych do instytucji państwowych Kancelaria Premiera
potwierdza informacje o włamaniu i ostrzega przed otwieraniem maili
wysyłanych z konta b. szefa kancelarii Tomasza Arabskiego oraz sekretarza
stanu ds. europejskich w MSZ Piotra Serafina.

Serwis Niebezpiecznik.pl dotarł do hakera, który włamał się do sieci KPRM.
więcej w
http://niezalezna.pl/39397-haker-przejal-konto-tomasza-arabskiego-wyciekly-tajne-dane
http://niebezpiecznik.pl/post/kancelaria-premiera-msz-mon-i-kancelaria-prezydenta-zhackowane-wiemy-kto-stoi-za-tymi-wlamaniami/

List rządowego administratora do Niebezpiecznika
http://niebezpiecznik.pl/post/list-rzadowego-administratora-do-niebezpiecznika/
Po naszym wczorajszym artykule dotyczącycm włamania do sieci KPRM, KPRP, MON
i MSZ otrzymaliśmy ciekawy list od pewnego rządowego informatyka, który
chciał pozostać anonimowy.
Wyjaśnia on w nim dlaczego ataki Alladyna2 się udały i jak wygląda
zarządzanie bezpieczeństwem w niektórych restortach.
List w całości publikujemy poniżej

Witam
jestem adminem jednego z resortów. Nie dziwie się, że włamano się do siatki
w tak łatwy sposób.
Problem leży nie w wiedzy administratorów - bo ta często jest, ale osób,
które nimi kierują (naczelnicy, dyrektorzy).

Problem nr1.
Admin ma zwykłe stanowisko np. specjalista, główny specjalista - i tak
zarabia, max 3500 zł na rękę (na prawdę w porywach).
W Warszawie za tą pracę to śmieszne pieniądze.
Przeciętnie dwa razy w miesiącu mam propozycje pracy gdzie indziej.
Dlaczego nie zmienie pracy?
Bo ta praca jest gwarantem stabilności zatrudnienia, a mając kredyt na karku
jest to argument wystarczający.

Problem nr2.
Przełożony to albo naczelnik lub dyrektor i torpeduje decyzje admina.
Nie rozumie systemów bezpieczeństwa, nie wie co się do niego mówi.
Każda prośba np. próba wdrożenia ISO kończy się odmową bo to "dużo pracy i w
ogóle".

Problem nr3.
Zwyczaje użytkowników - to straszny problem.
Zapisywanie haseł pod klawiaturami, na karteczkach przy minitorze czy w
końcu ustawianie hasłem wg zasady "miesiącROK" - są nie do przeskoczenia.
Dyrektor na pomysł aby zwiększyć ilość znaków haśle z 8 do 12 z
uwzględnieniem znaków specjalnych tylko się wzdrygnął i powiedział "NIe".
Każde zwiększenie poziomu bezpieczeństwa odbywa się kosztem przyzwyczajeń
pracownika.
Bez zgody kogoś z kierownictwa - nie ma takiej szansy.
A kierownictwo to nie interesuje.

Problem nr4.
Polecenie służbowe - odwieczny problem, czyli polecenie wyłączenia zmiany
hasła co 30 dni u kierownictwa, ustawienie hasła na stałe w VPN-ie dyrektora
generalnego w urządzeniu przenośnym.
Wyłączenie,a w moim przypadku - brak zgody na wdrożenie dwustopniowego
uwierzytelnienia.
Bo to utrudnienie, a to w konsekwencji nadwyręży idealną opinię dyrektora w
oczach kierownictwa.

W większości resortów, po każdych wyborach zmieniają się wszyscy dyrektorzy,
zastępcy dyrektorów i do naczelnika włącznie - dlatego dyrektor zajmuje się
własnym PR, a nie bezpieczeństwem.

Problem nr5.
Niechęć do zmian. Informatyka to rozwój, a 99% ludzi w budżetówce zatrzymała
się w rozwoju.

Tym razem włamania omięły mój resort, ale nie zdziwie się jeśli taki się
odbędzie.
I wiecie co?
Jest duża szansa, że go nie wykryję, bo będę pisał przetarg na sprzęt, albo
przenosił dane pomiędzy telefonami ministra, bo nikt nie wie jak to zrobić.

Wiecie. nie brak mi wiedzy, ale pod tym względem jestem na tym polu sam, tak
jak w większości ministerstw.
Dlatego wdrażam gotowe rozwiązania, które mnie informują o wielu anomaliach.
Tylko jak to zwykle bywa, nie mam czasu ich czytać.