Testy penetracyjne w Jednostkach Samorządu Terytorialnego – wymagania i potrzeby a rzeczywistość

Istotność zagadnień dotyczących bezpieczeństwa informacji i szeroko-pojętej technologii informacyjnej nie budzi wątpliwości. Potwierdza to zarówno wzrost znaczenia technologii informacyjnej dla działalności przedsiębiorstw i instytucji, jak również duża liczba przykładów spektakularnych porażek w dziedzinie bezpieczeństwa systemów informatycznych.

W procesie budowania i utrzymywania infrastruktury informatycznej kluczową kwestią jest właściwa oceny stanu bezpieczeństwa informacji w danej organizacji. Oceny tej zwyczajowo dokonuje się przeprowadzając audyt bezpieczeństwa. Jedną z najistotniejszych czynności w ramach audytu jest ocena lub wykonanie analizy ryzyka w odniesieniu do poszczególnych aktywów informacyjnych, a także zagrożeń i podatności z nimi związanych oraz na tej podstawie określenie i ocena adekwatności stosowanych zabezpieczeń. W ten sposób rozumiany audyt bezpieczeństwa jest jednak niewystarczający ze względu na jego teoretyczny charakter. W celu bardziej praktycznej oceny bezpieczeństwa posiadanych i przetwarzanych informacji w systemach informatycznych warto przeprowadzić testy penetracyjne, które zakładają niejako wcielenie się w potencjalnego atakującego.

Mimo, że obowiązujące przepisy (Ustawy o Ochronie Danych Osobowych, a także Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych) wprost nie nakładają obowiązku przeprowadzania testów penetracyjnych, to ich wykonywanie powinno być stałą praktyką. Rozporządzenie KRI wymaga, aby były przeprowadzane okresowe audyty bezpieczeństwa (nie rzadziej niż raz na rok), stąd można domniemywać konieczności wykonywania testów penetracyjnych.

Szczególnie istotnym typem testów w kontekście działania JST, pozwalającym na ocenę bezpieczeństwa systemów teleinformatycznych są testy socjotechniczne. Pozwalają one z jednej strony na ocenę stosowania się pracowników do obowiązujących procedur, a z drugiej identyfikują braki w funkcjonujących procesach, których istnienie może przyczynić się do naruszenia bezpieczeństwa.

Potrzeba wykonywania testów penetracyjnych i socjotechnicznych, we wszystkich instytucjach przetwarzających dane obywateli, jest bezdyskusyjna. Słabości techniczne wykorzystywanych systemów, które nie moą być dostrzeżone podczas audytu bezpieczeństwa, mogą zostać zidentyfikowane w czasie testów penetracyjnych. Dlatego testy stanowią niejako naturalne uzupełnienie audytu.

Z obserwacji Audytela wynika, że poziom świadomości w Jednostkach Samorządu Terytorialnego jest różny, jeżeli chodzi o praktyczne wykorzystanie testów penetracyjnych i socjotechnicznych to. Pewna, niewielka część JST przeprowadza cyklicznie kompleksowe testy penetracyjne traktując je jako nieodzowną część audytu bezpieczeństwa. Część przeprowadza testy penetracyjne w zakresie wybiórczym, obejmującym tylko pewny niewielki wycinek użytkowanej infrastruktury teleinformatycznej (np. jedynie skanowanie portów stacji roboczych i serwerów). Zdecydowana większość pomija ten aspekt, co może dość istotnie przyczynić się do zagrożenia wyciekiem informacji czy danych osobowych.

Autor: Marek Janiszewski