KOMENTAR: Fondovi su pali - nema sustavne informacijske sigurnosti

U subotu u prijepodnevnim satima napadnuta je internetska stranica  http://www.strukturnifondovi.hr zbog čega je korisnicima privremeno onemogućen pristup, navodi se na stranicama Ministarstva regionalnoga razvoja i fondova Europske unije. Hacker koji stoji iza ove redirekcije, jer se umjesto weba Strukturnih fondova moglo pretraživati Bibliju, napravio je očito mnogo problema jer sustav je i dalje nefunkcionalan.

Što to znači najskorije vrijeme?

Uz to u ministarstvu tvrde kako se incident dogodio u izdvojenoj zoni iz koje nema pristupa mreži Ministarstva regionalnoga razvoja i fondova Europske unije i dodaju kako je stranica je trenutačno u rekonstrukciji, te će u najskorije vrijeme biti osposobljena.

„Integritet mreže je zaštićen, te nijedan korisnik portala ne treba strahovati za sigurnost podataka. Napad na portal prijavljen je nadležnim službama, te se provodi digitalna forenzika“, zaključuju u ministarstvu.

Zanimljivo, ministarstvo je u petak još bilo dužno odgovoriti na pitanja konzultanata i poduzetnika o natječaju za dodjelu sredstava, no kako niti u nedjelju, dan nakon „proboja“ sustava još uvijek stranica nije vraćena pitanje je kako će oni koji to žele i trebaju doći do svojih odgovora vezanih za natječaj "Povećanje gospodarske aktivnosti malih i srednjih poduzetnika".

Dakle iz ovog kratko stvarnog događaja proizlaze najmanje dvije stvari - prvo da netko u ministarstvu ne zna i ne radi svoj posao kako treba, da je stvar očito postavljena naopako jer nekoliko ključnih činjenica upućuje na to.

Gdje je backup?

Prvo pitanje koje si je lako postaviti gdje je backup cijelog sustava, da li se on uopće radi i kada i koliko puta i kojom dinamikom. Kako je riječ o prilično statičnim stranicama, bez obnova svakih nekoliko minuta jasno je da backup star i više od jednog dana može pokrpati „štetu“.

Ali gdje je on, zašto sustav nije preseljen na drugi server, unutar ministarstva ili državnog aparata i jednostavno prebačena posljednja verzija backupa, redirektani DNS-ovi, sve ostalo što treba i operativnim se može biti u samo nekoliko sati.

Drugi način je jednostavno „zgaziti“ sve sa servera, prije toga radi već spomenute forenzike prebaciti na drugi stroj i jednostavno dići sustav brzo i efikasno.

A sigurnosna politika?

Sljedeće pitanje koje se postavlja je sigurnosna politika u sustavima, način pristupa, firewall, mrežna oprema, nadzor, update, upravljanje sustavom pristupa, PKI infrastruktura, sustav jednokratnih lozinki, mnoštvo drugih stvari koje će možda, a možda i neće isplivati na površinu.

Trenutni izgled stranice www.strukturnifondovi.hr (nedjelja, 16.2.2014. 16 59)

Sigurnosne politike rijetko su postavljene kako treba i kakva je to praksa u IT svijetu. Isprika da nema novaca jednostavno je nedopustiva.

Evo još jednog sličnog primjera, ali iz raznih razloga nećemo navoditi tko, kada, gdje i zašto. Kako je moguće da jedna velika državna institucija preselila svoje servere kod privatnog davatelja hosting usluga, a kod sebe su imali iznimno brze linkove CARNet-a, vlastite jake servere tako da su i DDoS napadi (distributed denial of service) koji su bili vrlo česti, ponekad i kontinuirani „padali“ jer su serveri sve izdržavali, a onda su uveli novi CMS sustav ranjiv poput švicarskog sira sve kako bi se uštedjela koja kuna. A oprema je već postojala.

Problem je što se svi žele baviti IT-em, a malo o tome znaju i petljaju se gdje ne treba.

Upravljanje webom i sadržajem

Ponekad nije dovoljno samo upravljati proizvodnjom sadržaja, kvaliteta je naravno na prvom mjestu, već je potrebno kontinuirano održavati, nadograđivati i kontrolirati serversku infrastrukturu, pratiti novitete. Očito u ovom slučaju za preseljenje servera s backupom koji se kontinuirano radi nije potrebno više od nekoliko sati, svakako ne više od 24 sata. Ali moja isprika unaprijed, možda je nedjelja, ali koji je onda meni vrag da ovo pišem. Ali dobro, server je mora biti gore, odavno.

Ipak ostaje otvorenim da je napravljen redirekt, server maknut s mreže moglo se dići na njegovom mjestu priručni server i gotovo pa nitko ne bi niti shvatio što se događa.