Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej

Rzeczpospolita Polska
MINISTER ADMINISTRACJI I CYFRYZACJI
Michał Boni
MAC-534/2012

Warszawa, dnia 26 stycznia 2012 r.

PILNE

Adresaci wg załącznika

Szanowni Państwo,

po konsultacjach w Zespole zadaniowym do spraw ochrony
portali przekazuję wytyczne Ministra Administracji
i Cyfryzacji w zakresie ochrony informacyjnych administracji
publicznej.

Z poważaniem,

(podpis)

Załączniki:

1. Rozdzielnik
2. Wytyczne w zakresie ochrony portali informacyjnych
administracji publicznej.

Rozdzielnik:

1. WALDEMAR PAWLAK Wiceprezes Rady Ministrów, Minister Gospodarki
2. TOMASZ ARABSKI Minister - członek Rady Ministrów,
Szef Kancelarii Prezesa Rady Ministrów
3. BARTOSZ ARŁUKOWICZ Minister Zdrowia
4. ELŻBIETA BIEŃKOWSKA Minister Rozwoju Regionalnego
5. MIKOŁAJ BUDZANOWSKI Minister Skarbu Państwa
6. JACEK CICHOCKI Minister Spraw Wewnętrznych
7. JAROSŁAW GOWIN Minister Sprawiedliwości
8. MARCIN KOROLEC Minister Środowiska
9. WŁADYSŁAW KOSINIAK-KAMYSZ Minister Pracy i Polityki Społecznej
10. BARBARA KUDRYCKA Minister Nauki i Szkolnictwa Wyższego
11. JOANNA MUCHA Minister Sportu i Turystyki
12. SŁAWOMIR NOWAK Minister Transportu, Budownictwa i Gospodarki Wodnej
13. JAN VINCENT-ROSTOWSKI Minister Finansów
14. MAREK SAWICKI Minister Rolnictwa i Rozwoju Wsi
15. TOMASZ SIEMONIAK Minister Obrony Narodowej
16. RADOSŁAW SIKORSKI Minister Spraw Zagranicznych
17. KRYSTYNA SZUMILAS Minister Edukacji Narodowej
18. BODGDAN ZDROJEWSKI Minister Kultury i Dziedzictwa Narodowego
19. KRZYSZTOF BONDARYK Szef Agencji Bezpieczeństwa Wewnętrznego
20. TOMASZ BORKOWSKI Sekretarz Kolegium do Spraw Służb Specjalnych

WYTYCZNE

w zakresie ochrony portali informacyjnych administracji publicznej

Jednym z wniosków wyciągniętych z ataków przeciwko systemom leżącym w domenie gov.pl jest brak zapewnienia monitorowania w czasie rzeczywistym obciążenia witryn, a co za tym idzie - szybkiego reagowania na incydent.

Niezbędne jest ustanowienie stałych kontaktów z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL oraz obowiązek wdrażania zaleceń CERT.GOV.PL.

Doraźnie należy obligatoryjnie zastosować, w zakresie zawieranych umów na prowadzenie portali, zapisy umożliwiające:

  • wdrożenie systemów eliminacji ruchu anonimizowanego (tj. TOR, znane jako Anon- oraz Open-Proxy, znane Anon-VPN, itp.) oraz wymuszenie ciągłej aktualizacji tych mechanizmów;
  • możliwość całkowitego filtrowania ruchu dotyczącego określonych typów pakietów lub całych protokołów (np. UDP lub ICMP);
  • wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości powierzonego serwisu ( w przypadku operatora zapewniającego jedynie połączenie - minimalną gwarantowaną przepustowość łącza);
  • użycie mechanizmów automatycznego (oraz na żądanie) przełączania wersji witryn (strona dynamiczna - strona statyczna - informacja o przerwie techniczne) w zależności od poziomu wysycenia łącza oraz obciążenia serwera świadczącego usługi publiczne;
  • dla serwisów o wskazanej wyżej dostępności usług wprowadzenie mechanizmów rozkładających ruch w przypadku dużego natężenia pomiędzy grupę serwerów;
  • wdrożenie rozwiązań kontrolujących zawartość strony (od strony serwera) i raportujących o możliwości nieuprawnionej modyfikacji treści serwisu wraz z możliwością automatycznego zablokowania wyświetlenia zmienionej strony.

Mając na względzie konieczności utrzymania kontaktów urzędników administracji rządowej z podmiotami zewnętrznymi za pomocą internetowej poczty elektronicznej należy wdrożyć niezbędne procedury bezpieczeństwa nie tylko po stronie systemowej ale także użytkownika, W tym celu należy:

  • w związku z powtarzającymi się atakami słownikowymi na konta pocztowej jednostek administracji państwowej, zaleca się zablokowanie dostępu do tych kont z sieci Internet a pozostawianie jedynie możliwości logowań sieci wewnętrznej;
  • w przypadku, gdy dostęp do poczty elektronicznej jest niezbędny z sieci Internet, należy go zrealizować poprzez szyfrowane tunele VPN;
  • niezbędna jest zmiana haseł użytkowników na mało podatne na tego ataki zawierające duże, małe litery, znaki specjalne oraz cyfry;
  • z uwagi na próby ataku na systemy i użytkowników po stronie administracji rządowej poprzez zainfekowanie poczty elektronicznej zaleca się zachowanie szczególnej ostrożności przy otwieraniu otrzymanych załączników. W przypadku otrzymania nieoczekiwanej przesyłki pocztowej, która zawiera załącznik lub odsyła do treści bezpośrednio do strony WWW, zaleca się aby nie otwierać załącznika ani korzystać bezpośrednio z przesłanych odnośników;
  • w okresie średnioterminowym administratorzy systemów pocztowych powinni wdrożyć rozwiązania zabezpieczające oparte o kaskady oprogramowania antywirusowego, silne mechanizmy antyspamowe, filtrowanie i blokowanie wysyłanej i odbieranej poczty wg zdefiniowanych warunków (ochrona przed wysyłką dokumentów, informacji wewnętrznych);
  • wszelkie podejrzenie wiadomości w całości (wraz z nagłówkami i załącznikiem) należy przesłać do weryfikacji do zespołu CERT.GOV.PL na adres mailto:incydent@cert.gov.pl;

Dodatkowo należy bezwzględnie wdrażać w życie zalecenia i wytyczne publikowane okresowo przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, a także przesyłane bezpośrednio do administratorów systemów. W przypadku jakichkolwiek podejrzeń wystąpienia incydentu użytkownik powinien niezwłocznie skontaktować się z lokalnym administratorem, natomiast administratorzy z zespołem CERT.GOV.PL.