Awaria Systemów Rejestrów Państwowych. Lekcja na przyszłość [KOMENTARZ]

12 czerwca 2018, 14:49
System_REJESTROW_PANSTWOWYCH
Fot. MSWIA

Ministerstwo Cyfryzacji poinformowało o awarii systemów informatycznych w urzędach w Polsce. Problemy dotyczyły działania między innymi Systemu Rejestrów Państwowych. Awarię udało się usunąć, ale warto przy tej okazji zadać kilka ważnych pytań.

System Rejestrów Państwowych (SRP) to wdrożony za ponad 100 mln PLN, opracowany przez Ministerstwo Spraw Wewnętrznych i Centralny Ośrodek Informatyki „system systemów” integrujący dane o obywatelach, rozproszone wcześniej w innych systemach.  Lokalne systemy urzędów miast i gmin zastąpiono ogólnokrajowym systemem elektronicznym. Najważniejsze ewidencje państwa jak rejestr PESEL, Rejestr Dowodów Osobistych, baza CEPIK czy ePUAP zintegrowane są aplikacją ŹRÓDŁO - dedykowanym programem do przetwarzania danych w Systemie Rejestrów Państwowych. 

Sprawność systemu była wielokrotnie podważana przez różne instytucje państwa. Najwyższa Izba Kontroli (NIK) wskazywała w marcu 2017 roku na szereg nieprawidłowości w funkcjonowaniu programu ŻRÓDŁO. Jedną z kluczowych uwag było niewłaściwe zorganizowanie zarządzania bezpieczeństwem systemu. Także Generalny Inspektor Ochrony Danych Osobowych (GIODO) wydał decyzję nakazującą Ministerstwu Cyfryzacji poprawę bezpieczeństwa danych zawartych w rejestrze PESEL, będącym jednym ze składowych SRP. 

 

W dniu 12 czerwca br. Ministerstwo Cyfryzacji poinformowało o wystąpieniu dużej awarii Systemu Rejestrów Państwowych, a co za tym idzie wstrzymaniu działania podstawowych serwisów obsługujących dane obywateli: OBYWATEL, CEPIK, ePUAP, SRP. Większość urzędów opustoszała, a funkcjonalności systemów informatycznych zostały zawieszone. 

 

Były Szef Agencji Wywiadu, Grzegorz Małecki w rozmowie z CyberDefence24.pl zauważa, ze można wskazać kilka powodów awarii, przy czym najbardziej prawdopodobnym wydaje się być błąd techniczny. Nie można także wykluczyć błędu ludzkiego spowodowanego niewłaściwą obsługą.

G. Małecki nie wyklucza także działania celowego, czyli operacji grup hakerskich, których celem mogło być testowanie i sparaliżowanie systemu, oraz sprawdzenie mechanizmów reagowania w celu udoskonalania oprogramowań typu malware. Możliwe jest także, ale bardzo mało prawdopodobne, działanie celowe podmiotów zewnętrznych. Niemniej jednak służby specjalne, odpowiedzialne za bezpieczeństwo cyberprzestrzeni, w ocenie G. Małeckiego, powinny zająć się szczegółową analizą tego przypadku. 

Potrzebna jest ocena sytuacji i wyciągnięcie wniosków. Kolejny etap to poprawa systemu. Nawet jeśli jest to kosztowne, to dane osobowe obywateli powinny być chronione pod każdym względem. Dane osobowe obywateli to zasób strategiczny. Państwo ma obowiązek ochrony danych. Przykład niewłaściwego użycia mieliśmy za pośrednictwem np. Cambridge Analitics

Grzegorz Małecki - były szef Agencji Wywiadu

 

Sama reakcja Ministerstwa Cyfryzacji, które za pośrednictwem mediów podało, że naprawa będzie długotrwała wskazywać może, że w sprawie jest znacznie więcej znaków zapytania niż odpowiedzi. Wydaje się także, że SRP nie posiada odpowiedniej architektury zapewniając redundancje, wysoką dostępność (high availability) i skalowalność, a także że w systemie występują tzw. single point of failure (SPOF). Pojawia się także pytanie, czy tak kluczowe systemy informatyczne państwa nie powinny mieć architektury rozproszonej w oparciu o łatwo skalowalne, bezstanowe kontenery aplikacyjne lub niezależne środowiska uruchomieniowe. Być może przyszłością są systemy oparte na nowoczesnych technologiach jak blockchain, przy jednoczesnym unikaniu SPOF. 

Grzegorz Małecki podkreśla, że niezależnie od powodów awarii należy dokonać starannej i sumiennej analizy tego co się wydarzyło. Następnie warto wyciągnąć wnioski i zaimplementować rozwiązania, służące poprawie bezpieczeństwa. To czego nie wolno zrobić, to zbagatelizować takie wydarzenie i nic się z niego nie nauczyć. 

 

KomentarzeLiczba komentarzy: 7
dostawca
sobota, 16 czerwca 2018, 03:15

Głównym problemem państwowych systemów IT, jest brak kasy dla administratorów. Z tego powodu administratorów jest za mało, są za słabi i jest za duża rotacja kadrowa. Administrator poważnego systemu powinien poważnie zarabiać. 10kpln miesięcznie to jest absolutnie minimum. Teraz jest często tak, że państwowe systemy praktycznie nie mają administratorów, wszystko robią zewnętrzne firmy bo tam nie ma widełek płacowych. Ale zewnętrzne firmy nie trzymają pracownika 24/7 w urzędzie, tylko wysyłają po zgłoszeniu awarii. Słabe kompetencje i brak administratorów powodują też ich wpływ na tworzenie systemów jest nikły. A to właśnie ludzie którzy siedzą najbliżej takiego systemu najwięcej wiedzą co trzeba w nich poprawiać.

MarekB
piątek, 15 czerwca 2018, 11:30

@maxio: A co Strezyńska miala zrobic jak zastała to co zastała? Widac ze nie pracujesz w IT ;) wiesz ike czasu buduje sie takue systemy? I ile czasu trwają poprawki w tak duzych systemach? I tak malo w mefiach wystepowala...próbowała tlumaczyc ci robi MC bo niestety ale zaplecze polityczne caliowicie sie na nią wypielo! Z Gowinem na czele :(

Patcolo
piątek, 15 czerwca 2018, 09:00

Polska informatyzacja i komputeryzacja to pic na wodę fotomontaż. Wprowadza się do życia systemy, których autorzy powinni mieć ustawowy zakaz zbliżania się do klawiatury np ESKS. Polskie systemy informatyczne nic nie upraszczają a jak już upraszczają to te się ogranicza lub zawiesza jak KCIK w MF i jednostkach podległych. Systemy informatyczne się wprowadza tylko po to żeby rozliczyć dotacje z UE a nie patrzy się na to czy one już są gotowe patrz Gentax SSP czy SZD, a jak już się dotacje rozliczy to czeka się aż upłynie pewien okres i powraca się do starego programu i go modernizuje bo okazuje się lepszy od następcy patrz Poltax i nikt nic z tym nie robi

Czytelnik
środa, 13 czerwca 2018, 15:21

Funkcjonowanie CEPIKU - dawniej dla otrzymania dowodu rejestracyjnego 2 wizyty w urzędzie miasta po 10 minut. Obecnie: 3 wizyty w tym 2 razy długie oczekiwanie aż będzie się mógł urzędnik zalogować, potem wolno działa a 1 wizyta zmarnowana bo w ogóle się zawiesił na 2 godziny według późniejszej informacji. Teraz cyfrowa telewizja naziemna: dawniej analogowa czasem lepiej czasem gorzej rzadko krótka awaria. Teraz cyfrowa : w czasie złej pogody, w czasie każdych opadów deszczu czy śniegu na większości kanałów nie ma obrazu. ( mieszkam na pogórzu). W pracy : mam czwarty komputer bo poprzednie nie wytrzymały aktualizacji dodatków, komplikowania różnych systemów, mimo że już pierwszy komputer miał dużą moc obliczeniową i duże pamięci Problem w tym że zmusza się mnie do kupowania mi niepotrzebnych systemów i ja za to bezpośrednio czy pośrednio płacę.

osa
środa, 13 czerwca 2018, 14:12

Ostatnio w wydziale komunikacji (St.Pow. centr. Polska) zauważyłem przy okienkach operacyjnych karteczki z taka mniej-więcej treścią: \"Z powodu wdrożenia nowej wersji systemy informatycznego Cepik, czas obsługi klientów może się wydłużyć. Przepraszamy\". Bareja czystej wody. I było by śmiesznie, gdyby nie było to za nasze pieniądze i za nasz zmarnowany czas i nerwy. Oczywiście nie miało to nic z opisywaną awarią (karteczki były stare ... pożółkłe). Te drogie badziewne systemy tak działają nawt jeśli ich nikt nie hakuje.