Awaria Systemów Rejestrów Państwowych. Lekcja na przyszłość [KOMENTARZ]

12 czerwca 2018, 14:49
System_REJESTROW_PANSTWOWYCH
Fot. MSWIA

Ministerstwo Cyfryzacji poinformowało o awarii systemów informatycznych w urzędach w Polsce. Problemy dotyczyły działania między innymi Systemu Rejestrów Państwowych. Awarię udało się usunąć, ale warto przy tej okazji zadać kilka ważnych pytań.

System Rejestrów Państwowych (SRP) to wdrożony za ponad 100 mln PLN, opracowany przez Ministerstwo Spraw Wewnętrznych i Centralny Ośrodek Informatyki „system systemów” integrujący dane o obywatelach, rozproszone wcześniej w innych systemach.  Lokalne systemy urzędów miast i gmin zastąpiono ogólnokrajowym systemem elektronicznym. Najważniejsze ewidencje państwa jak rejestr PESEL, Rejestr Dowodów Osobistych, baza CEPIK czy ePUAP zintegrowane są aplikacją ŹRÓDŁO - dedykowanym programem do przetwarzania danych w Systemie Rejestrów Państwowych. 

Sprawność systemu była wielokrotnie podważana przez różne instytucje państwa. Najwyższa Izba Kontroli (NIK) wskazywała w marcu 2017 roku na szereg nieprawidłowości w funkcjonowaniu programu ŻRÓDŁO. Jedną z kluczowych uwag było niewłaściwe zorganizowanie zarządzania bezpieczeństwem systemu. Także Generalny Inspektor Ochrony Danych Osobowych (GIODO) wydał decyzję nakazującą Ministerstwu Cyfryzacji poprawę bezpieczeństwa danych zawartych w rejestrze PESEL, będącym jednym ze składowych SRP. 

 

W dniu 12 czerwca br. Ministerstwo Cyfryzacji poinformowało o wystąpieniu dużej awarii Systemu Rejestrów Państwowych, a co za tym idzie wstrzymaniu działania podstawowych serwisów obsługujących dane obywateli: OBYWATEL, CEPIK, ePUAP, SRP. Większość urzędów opustoszała, a funkcjonalności systemów informatycznych zostały zawieszone. 

 

Były Szef Agencji Wywiadu, Grzegorz Małecki w rozmowie z CyberDefence24.pl zauważa, ze można wskazać kilka powodów awarii, przy czym najbardziej prawdopodobnym wydaje się być błąd techniczny. Nie można także wykluczyć błędu ludzkiego spowodowanego niewłaściwą obsługą.

G. Małecki nie wyklucza także działania celowego, czyli operacji grup hakerskich, których celem mogło być testowanie i sparaliżowanie systemu, oraz sprawdzenie mechanizmów reagowania w celu udoskonalania oprogramowań typu malware. Możliwe jest także, ale bardzo mało prawdopodobne, działanie celowe podmiotów zewnętrznych. Niemniej jednak służby specjalne, odpowiedzialne za bezpieczeństwo cyberprzestrzeni, w ocenie G. Małeckiego, powinny zająć się szczegółową analizą tego przypadku. 

Potrzebna jest ocena sytuacji i wyciągnięcie wniosków. Kolejny etap to poprawa systemu. Nawet jeśli jest to kosztowne, to dane osobowe obywateli powinny być chronione pod każdym względem. Dane osobowe obywateli to zasób strategiczny. Państwo ma obowiązek ochrony danych. Przykład niewłaściwego użycia mieliśmy za pośrednictwem np. Cambridge Analitics

Grzegorz Małecki - były szef Agencji Wywiadu

 

Sama reakcja Ministerstwa Cyfryzacji, które za pośrednictwem mediów podało, że naprawa będzie długotrwała wskazywać może, że w sprawie jest znacznie więcej znaków zapytania niż odpowiedzi. Wydaje się także, że SRP nie posiada odpowiedniej architektury zapewniając redundancje, wysoką dostępność (high availability) i skalowalność, a także że w systemie występują tzw. single point of failure (SPOF). Pojawia się także pytanie, czy tak kluczowe systemy informatyczne państwa nie powinny mieć architektury rozproszonej w oparciu o łatwo skalowalne, bezstanowe kontenery aplikacyjne lub niezależne środowiska uruchomieniowe. Być może przyszłością są systemy oparte na nowoczesnych technologiach jak blockchain, przy jednoczesnym unikaniu SPOF. 

Grzegorz Małecki podkreśla, że niezależnie od powodów awarii należy dokonać starannej i sumiennej analizy tego co się wydarzyło. Następnie warto wyciągnąć wnioski i zaimplementować rozwiązania, służące poprawie bezpieczeństwa. To czego nie wolno zrobić, to zbagatelizować takie wydarzenie i nic się z niego nie nauczyć. 

 

KomentarzeLiczba komentarzy: 7
maxio
środa, 13 czerwca 2018, 12:29

Ciekawe co mają do powiedzenia ministrowie, którzy pozwolili na wdrożenie tego bubla, jakim jest System Rejestrów Państwowych, czyli głównie Halicki, ale też jego poprzednicy: Trzaskowski i Boni. No ale teraz jako tzw. \"opozycjoniści\" mają ciekawsze zajęcia. Minister Streżyńska jakoś też niewiele zrobiła w tej materii, oprócz promowania w mediach własnej osoby. Jak zwykle odpowiedzialnych brak, a obywatele poniosą skutki tego bałaganu. Ciekawe tylko kto zgarnął te 100 mln za bubla.

NAVY
środa, 13 czerwca 2018, 08:53

...a kto teraz zapłaci tym ,którzy wzięli wolne z pracy i poszli do urzędów ,by dowiedzieć się, że są komputery i bajery ,ale nie załatwia nic, gdyż systematycznie trafił ******,i trzeba kolejny raz udać do urzędu się! Dziś bez komputerów nic się zrobić nie da ,to jak do tej pory to wszystko funkcjonowało?

Tweets CyberDefence24