Rodzina 500 plus: Połączenie systemów rządowych z bankowymi niebezpieczne dla obywateli?

Według raportu CERT Polska za rok 2015, najczęstszym zagrożeniem dla użytkowników Internetu jest phishing. Zdaniem ekspertów, cyberprzestępcy mogą stosować tę metodę oszustwa wobec osób, które korzystają z rządowych platform internetowych powiązanych z systemami bankowymi.

Cyberprzestępczość jest dziś problemem, który dotyka wszystkich internautów. Jesteśmy narażeni na zagrożenia związane z wyłudzeniami danych osobowych, numerów kont bankowych czy szczegółów dotyczących kart kredytowych. Działający w sieci przestępcy podszywają się pod inne osoby lub instytucje w celu kradzieży określonych informacji, nakłaniając nas do wykonania określonych działań. W konsekwencji możemy stracić nie tylko bieżące środki finansowe, ale i oszczędności całego życia.

- Osoby, które realizują jakiekolwiek transakcje w Internecie, np. bankowe lub urzędowe, są narażone na wiele zagrożeń. Większość z nich związana jest z cyberatakami. Sieciowi przestępcy namawiają nas do wykonywania operacji, na które nie zdecydowalibyśmy się w realnym świecie, mówi Michał Jarski, dyrektor regionalny ds. sprzedaży w Trend Micro.

Reklama

Zdaniem eksperta, narażone na tego typu niebezpieczeństwo są również osoby korzystające z programu Rodzina 500 plus z uwagi na jego popularność i fakt, że duża liczba rodzin ubiega się o świadczenie, składając stosowny wniosek drogą online. Możliwości manipulacji, którymi dotychczas dysponowali przestępcy, uzyskały dodatkowy kontekst wynikający z połączenia systemów bankowych z systemem rządowym.

- Wszyscy, którzy korzystają z programu Rodzina 500 plus, są potencjalnymi celami ataków cyberprzestępców. Oszuści najczęściej stosują tzw. phishing, czyli technikę manipulacji polegającą na wysyłaniu e-maili z załącznikami lub odnośnikami, które zawierają złośliwy kod. Takie wiadomości mogą zawierać fałszywe informacje na przykład o konieczności złożenia dodatkowych wniosków, przestrzega Jarski.

Minister cyfryzacji, Anna Streżyńska, rozpoczęła swoją pracę od ewidencji wszystkich systemów informatycznych, jakimi dysponuje administracja publiczna w Polsce. Okazało się, że przeważnie nie współpracują one ze sobą i nie pozwalają na korelację informacji. Jak podaje Michał Jarski, obecnie podejmowane są działania mające na celu zapewnienie bezpieczeństwa m.in. osobom korzystającym z programu Rodzina 500 plus. Ministerstwo cyfryzacji prowadzi na swoich stronach kampanię informacyjną dotyczącą oszustw związanych z dodatkowymi SMS-ami wysyłanymi przez cyberprzestępców. Jednak, zdaniem specjalisty z Trend Micro, te działania nie są wystarczające.

- W aktualnej kampanii wspomina się tylko o prostych oszustwach, z jakich większość użytkowników zdaje sobie sprawę. A ważne jest przecież informowanie o zagrożeniach, które są mało znane, skomplikowane i przed którymi trudno się bronić. Jednym z nich jest właśnie phishing. Nie mówi się również o niebezpieczeństwach wynikających z połączenia systemu rządowego z systemem bankowym. Myślę, że oprócz akcji informacyjnej, należy rozpatrzyć możliwość stworzenia miejsca, w którym transakcje z załączonymi wnioskami obywateli byłyby realizowane w absolutnie bezpieczny sposób. Co więcej, banki również powinny ostrzegać swoich klientów o niebezpieczeństwach związanych z cyberprzestępczością, dodaje Michał Jarski.

W ocenie specjalisty z Trend Micro, większość systemów informatycznych w Polsce funkcjonuje niezależnie od siebie, np. system ZUS czy podatkowy. To sprawia, że obywatele, którzy załatwiają swoje sprawy urzędowe, są zmuszani do podawania za każdym razem tych samych informacji. Taka sytuacja jest skrzętnie wykorzystywana przez cyberprzestępców.

- - - - -

NIK: Państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa

Państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa, a działania, które mają je zapewnić, są prowadzone opieszale, bez przygotowanego planu - wynika z raportu Najwyższej Izby Kontroli.

W poniedziałek NIK opublikował raport "Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych". Jego celem było sprawdzenie, czy w kontrolowanych jednostkach zapewnione jest bezpieczeństwo danych gromadzonych w systemach przeznaczonych do realizacji istotnych zadań publicznych

Kontrolą objęto sześć wybranych instytucji: Ministerstwo Skarbu Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Komendę Główną Straży Granicznej, Narodowy Fundusz Zdrowia oraz Kasę Rolniczego Ubezpieczenia Rolniczego. Kontrolą objęto okres od 1 stycznia 2014 r. do 1 października 2015 r.

Izba wskazuje, że KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. Jednak również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK niektóre z nich były poważne i mogły mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS.

Izba stwierdziła nieprawidłowości dotyczące m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami - np. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.

NIK wskazuje, że w pozostałych skontrolowanych jednostkach sytuacja była "niestety nieporównywalnie gorsza". Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT.

Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in. brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

W ocenie NIK kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

Izba wskazała, że istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek.

"W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa, istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie" - wskazała NIK.

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostek zagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczne.

"Skutkowało to ograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych" - wskazała izba.

NIK wskazała, że we wszystkich kontrolowanych jednostkach prowadzone były audyty bezpieczeństwa. Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia.

"Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań" - podkreśliła Izba.

Dostrzegając działania podjęte przez resort cyfryzacji w zakresie budowy systemu ochrony polskiej cyberprzestrzeni, będące odpowiedzią m.in. na wnioski sformułowane przez NIK po kontroli dotyczącej realizacji zadań w zakresie ochrony polskiej cyberprzestrzeni przez podmioty państwowe, Izba postuluje rozszerzenie tych działań o zalecenia dla podmiotów publicznych w zakresie ochrony systemów przetwarzających dane istotne dla funkcjonowania państwa.

Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane. (PAP)

MondayNews
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »