Голландское правительство не готово к атакам SSL

По данным Совета безопасности, государственные органы слишком зависят от IT подразделений в рамках работы SSL сертификатов.

Голландское правительство не подготовлено к защите SSL от возможных атак. В течение нескольких месяцев их инфраструктура связи была очень уязвима – сообщает Совет безопасности в своем отчете. Сообщается, что поскольку Совет не способен заменить все сертификаты сразу, данные многих компаний остались незащищенными.

Репутация голландского правительства сильно пострадала в 2011 году после взлома хакерами DigiNotar, голландского поставщика сертификатов Secure Socket Layer (SSL) – которые используются для защиты цифровых коммуникаций. Поврежденными оказались все сертификаты компании DigiNotar и это повлияло на цифровую безопасность голландского правительства и налоговой системы.

Тем не менее, после обнаружения атак, правительство не смогло сразу отменить сертификаты DigiNotar, так как это могло повредить или даже заблокировать систему коммуникаций Machine-to-Machine (M2M) – очень важных систем правительства, отметил министр внутренних дел, Пит Хейн.

Полная замена всех сертификатов DigiNotar заняла несколько месяцев. Если бы отзыв сертификатов произошел сразу после взлома, это бы привлекло внимание налоговых и судебных органов, что также бы вызвало серьезные социальные потрясения и принесло экономические убытки, утверждает совет безопасности в своем отчете. Ни один из заинтересованных органов, в том числе и телекоммуникационный регулятор OPTA и Logius – организации, которые ответственны за IT инфраструктуру голландского правительства, не были готовы к повреждениям DigiNotar. Никто не предвидел возможные риски сертификационного центра (СЦ).

Государственные органы слишком зависят от IT подразделений, особенно, когда речь идет о приобретении сертификатов – таким образом, подвергая риску способ надежной защиты цифровой связи. Голландский совет по безопасности пришел к выводу, что в частности Logius, и в меньшей степени OPTA приложили недостаточно усилий к организации надежного функционирования сертификации или через чур полагались на решения аудиторских организаций.

Для предотвращения похожих инцидентов в будущем, министром внутренних дел Лисбетом Спайсом был дан совет о необходимости разработки программы повышения осведомленности государственных организаций и их администрации. Так же, государственные органы, по рекомендациям совета директоров, должны взять на себя ответственность за обеспечение цифровой безопасности.

Кроме того, правительственные организации должны систематически придерживаться NEN-ISO/IEC 27001 и 27002 стандартов информационной безопасности. Так же, национальные и местные органы власти должны быть подготовленны к инцидентам, которые связанны с цифровой безопасностью и должны иметь ресурсы для восстановления нанесенного им ущерба. И последний, но очень важный совет министру – реализация безопасных систем выдачи и использования SSL сертификатов.

Следующий доклад опубликован Министерством по вопросам безопасности и юстиции предоставил другие выводы, утверждая, что повреждения DigiNotar произошли из-за кризиса работы государственных организаций. Когда был обнаружен взлом, в сентябре 2011 года, реакция правительства была очень быстрой. Так же они признали возможные негативные последствия, утверждается на сайте инспекции.

Оперативная группа, которая была создана для борьбы с произошедшим кризисом работала очень эффективно. Так же инспекторы подтвердили, что Национальный центр ликвидации кризиса был в состоянии оказывать содействие и поддержку антикризисного управления. Инспекция посоветовала Министерству безопасности и правосудия продолжать вкладывать средства в компетентность и постоянство персонала государственных организаций, который будет следить за безопасностью их функционирования.

Комментарии запрещены.