O tym, że Sąd Okręgowy w Częstochowie chce umyć ręce po ataku na swój BIP

"Serwer, na którym znajduje się strona biuletynu należy do zewnętrznej firmy. Dlatego my nie będziemy składać żadnego zawiadomienia o ataku hakerów"

- Bogusław Zając, rzecznik Sądu Okręgowego w Częstochowie w tekście Atak na częstochowski sąd. Tam też informacja o tym, że po ataku na serwery na kilka godzin podmieniono zasoby Biuletynu Informacji Publicznej SO w Częstochowie. Jak słusznie zauważa xpert17 - jest to komentarz dopisany przez życie do dyskusji w wątku Sprawdźmy, gdzie "fizycznie" leżą pliki polskiego rządu...

Urzędnicy Sądu Okręgowego w Częstochowie nie będą - jak wynika z przywołanej wypowiedzi - składać doniesienia o możliwości popełnienia przestępstwa. Mogliby oczywiście, a może nawet są zobowiązani, aby złożyć takie doniesienie, a to np. na podstawie art. 304 § 1. KPK (por. Donos jako forma hackingu systemu (prawnego)). Zgodnie z art. 269 Kodeksu karnego:

§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych,

podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Treści publikowane w BIP sądu uznałbym za dane informatyczne o szczególnym znaczeniu do funkcjonowania instytucji państwowej. Doszło też do zakłócenia, a nawet uniemożliwienia automatycznego przetwarzania takich danych.

Przestępstwo z art 269 KK ma charakter powszechny i jest ścigane z urzędu.

Zgodnie z art 304 KPK:

§ 2. Instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.

BIP prowadzony przez Sąd Okręgowy w Częstochowie wykorzystuje narzędzia dostarczane przez Arisco Sp. z o.o. Pod adresem http://czestochowa.so.gov.pl/bip/ nie ma już obrazka, który był tam widoczny jeszcze nie dawno:

Obrazek, który pojawił sie na stronach Biuletynu Informacji Publicznej Sądu Okręgowego w Częstochowie

Obrazek, który pojawił sie na stronach Biuletynu Informacji Publicznej Sądu Okręgowego w Częstochowie.

Mamy zatem dalszy ciąg dyskusji o zasadach tworzenia internetowych publikacji szeroko pojętej administracji publicznej oraz o zasadach odpowiedzialności za treści dostępne w ramach "oficjalnych" ośrodków takich informacji.

Wyobrażam sobie, że teraz opinia publiczna mogłaby chcieć poznać treść umowy pomiędzy sądem a spółką, w szczególności chcieć dowiedzieć się kto ją podpisał i w jakim trybie doszło do ustalenia zasad obsługiwania sądu przez spółkę. Czy było tam jakieś zamówienie publiczne i jak wyglądała specyfikacja istotnych warunków zamówienia z nim związanego, a także jak kształtują się zasady odpowiedzialności za dane publikowane w BIP w kontekście postanowień Rozporządzenia w sprawie Biuletynu Informacji Publicznej oraz innych rozporządzeń, w szczególności do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

znów serwer "zewnętrznej firmy"

xpert17's picture

Atak hakerów na stronę Urzędu Wojewódzkiego w Łodzi - ale tym razem Urząd powiadomi prokuraturę - być może dlatego, że bardziej niż samym faktem "włamania" jest "oburzony treściami" jakie umieszczono na stronie (zdjęcie poprzedniego papieża z wulgarnym napisem).

Nasuwa się pytanie o zakres

kravietz's picture

Nasuwa się pytanie o zakres odpowiedzialności, jaki zamawiający (urząd) zawarł w umowie z firmą. Jeśli umowa obejmowała wyłacznie hosting stron (np. VPS) i do włamania doszło z winy urzędnika odpowiedzialnego za utrzymanie serwisu to sprawa jest jasna. Jeśli urząd zlecił firmie kompleksową obsługę, to powinien mieć w umowie zawarte określone gwarancje integralności i dostępności materiałów powierzanych wykonawcy.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

chyba że

chyba, że Zdzisiek z Piotrkowskiej nie ma w ofercie gwarancji integralności i dostępności, a ma np. gadającą przeglądarkę ;)

a czy firma np. MS ta od

a czy firma np. MS ta od windows daje jakieś gwarancje? Kto daje gwarancje na takie sytuacje?

Danie gwarancji na brak

kravietz's picture

Danie gwarancji na brak dziur w systemie operacyjnym jest przy dzisiejszym stanie inżynierii oprogramowania niewykonalne. Jak najbardziej realistyczna jest gwarancja, że aktualizacje do oprogramowania X będą instalowane w ciągu maksymalnie 7 dni po
opublikowaniu przez producenta (przykład). Jest to klasyczna klauzula service level agreement. Realizacja klauzuli jest weryfikowana np. comiesięcznym raportem zainstalowanych aktualizacji i np. corocznym audytem prowadzoną przez zaufaną trzecią stronę.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

Mówimy tu o systemie,

Mówimy tu o systemie, który może być aktualizowany ale nie wiemy o nim nic tylko tyle, że się skompromitował - przy założeniu, że jest to aplikacja tworzona pod konkretne zastosowanie/cel to można mówić o aktualizacji (gwarancji) jeżeli wystąpią błędy.

Można robić audyty itd. ale to też tylko można wtedy coś aktualizować jeżeli wiemy co działa wadliwie (audyt tego może nie stwierdzić).

Gwarancji dotyczy szybkości reakcji na ujawniane błędy a nie na coś czego nie potrafimy stwierdzić od razu czyli potencjalne błędy w przyszłości.

przykład:
Co z tego, że będę miał gwarancję na aktualizację w 1 dzień (i szybciej), jeżeli ta aktualizacja pojawi się (wydana zostanie przez producenta) po 6/12 miesiącach od ujawnienia błędu, którego ta aktualizacja dotyczy?

Włamanie oportunistyczne

kravietz's picture

Włamanie do tego sądu wygląda na typowe włamanie oportunistyczne - włamali się nie dlatego, że bardzo chcieli, tylko dlatego, że się dało. Takie włamanie są robione masowo i zaczyna się je od wyszukania w Google stron zawierających specyficzną podatność. Ich ofiarami padają przede wszystkim serwisy, których właściciele miesiącami zaniedbywali elementarne aktualizacje w oprogramowaniu i serwerze.

Innymi słowy, kilkudniowe SLA powinno w zupełności wystarczyć by uniknąć losu stron-sierotek, które miesiącami dają się indeksować i rozgłaszają tym samym swoją dziurawość.

Od blokowania nowych ataków są firewalle webowe (WAF) i systemy wykrywania włamań (IDS/IPS). Od szybkiego wykrywania udanych włamań - systemy kontrolujące integralność systemu (np. OSSEC). Ich obecność, częstotliwość aktualizacji oraz konfiguracja również może być przedmiotem SLA.

Jak się chce to się da. Ktoś z administracji mi kiedyś tłumaczył, że on w swoim powiatowym urzędzie nie ma budżetu na systemy IDS, IPF czy WAF, i dlatego właśnie musi kupować najtańszy hosting u lokalnego providera - "wicie, rozumicie, taka specyfika i realia".

Teraz bym go spytał spytał, jakim cudem rozproszone organizacje na całym świecie od lat tworzą w takich przypadkach współdzielone centra danych, kolokację itd, a jedynie dla polskiej administracji wydaje się to być problem absolutnie nie do przezwyciężenia (podobnie jak udostępnianie plików?

-
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

>(...)Danie gwarancji na

>(...)Danie gwarancji na brak dziur w systemie operacyjnym jest przy dzisiejszym stanie inżynierii oprogramowania niewykonalne. (...)

JEST wykonalne. Tylko bardzo, ale to bardzo kosztowne. Oznacza zazwyczaj konieczność zastosowania dedykowanego sprzętu oraz, przy obecnej polityce jakości narzędzi programistycznych, praktycznie powrót do poziomu assemblera i rezygnację z systemu operacyjnego. Umieszczenie oprogramowania wyłącznie w pamięci ROM, fizyczny podział dysków na dyski do zapisu/odczytu i tylko do odczytu oraz temu podobne działania w sposób skuteczny uniemożliwiają przejęcie kontroli nad maszyną przez kogokolwiek. Niestety, cena takiego rozwiązania jest odrobinę kosmiczna stąd brak zarówno odbiorców jak i oferentów.

Sprawa bezpieczeństwa to nie tyle kwestia poziomu inżynierii a rachunku kosztów i potencjalnych strat. Otwartym pozostaje pytanie, jak określić poziom strat związany z podmianą danych w systemach informacji rządowej. W tym wypadku mieliśmy do czynienia z jawną i widoczną na pierwszy rzut oka podmianą. Co natomiast, gdyby haker zdecydował się podmienić jeden starannie wybrany dokument? Co z decyzjami podjętymi przez obywateli na podstawie tak zmienionego dokumentu? Co, gdyby celem ataku stała się przyszła infrastruktura mająca zastąpić papierowy Dziennik Ustaw?

Pozdrawiam,
Tomasz Sztejka

własnie, co natomiast

xpert17's picture

Co natomiast, gdyby haker zdecydował się podmienić jeden starannie wybrany dokument? Co z decyzjami podjętymi przez obywateli na podstawie tak zmienionego dokumentu?

No właśnie, i jeszcze dodatkowo co natomiast, gdyby ten serwer stał sobie w Indiach albo na Wyspie Jersey, więc nie można by z niego wyjąć dysku twardego i dać biegłemu do analizy (ani nie można by poprosić o to służb tego kraju, gdzie on stoi), ani w żaden inny sposób ustalić kto, kiedy i z jakiego adresu IP dokonywał ingerencji w treści na nim zamieszczone.

Serwer w Indiach albo na Wyspie Jersey

kravietz's picture

Po pierwsze, gwarancja udostępnienia sprzętu do analizy powłamaniowej również może być przedmiotem SLA i wtedy jest to problem dostawcy usługi, żeby postawić serwer w takim miejscu, by było to możliwe.

Po drugie, od co najmniej 30 lat znane są techniki takie jak zdalne logowanie zdarzeń systemowych.

Naprawdę, wszystko się da zrobić, jeśli się wie czego się chce i umie to poprawnie sformułować. Skoro autorzy SIWZów nie mają problemu z zażądaniem do serwera pięcioprzyciskowej myszki do gier produkowanej przez tę jedną konkretną firmę, to powinni sobie też i z takimi zamówieniami poradzić.

@Tomasz Sztejka - w pełni zgoda co do gwarancji bezpieczeństwa, temat był tu wałkowany więc nie rozwijam.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

To ciekawe pytanie i

kravietz's picture

To ciekawe pytanie i pokazuje realny problem, z którym nasz ustawodawca nie potrafi sobie poradzić od przynajmniej 15 lat bo nadal mentalnie siedzi w świecie niebieskiego długopisu i pieczątki.

W chwili obecnej zaufanie obywateli do jakiegokolwiek dokumentu wystawionego na stronie BIP opiera się tylko i wyłącznie na tym, że leży on zwykle w domenie gov.pl i jest na nim napisane "Urząd Jakiśtam". Nawet SSL nie stosują, więc użytkownicy tych stron sa podatni na ataki na DNS czy MITM.

W tej sytuacji tylko liczeniu na łut szczęścia i nieświadomości można przypisać zaufanie obywateli korzystających z informacji publikowanych na stronach urzędów.

Gwoli ścisłości, w Dziennikach Ustaw dokonał się ostatnio postęp i 10 lat po wprowadzeniu ustawy o podpisie elektronicznym są one w końcu publikowane w postaci podpisanej.

I to jest właściwa forma zapewniania autentyczności dokumentów publikowanych w postaci pliku PDF, bo w przeciwnym razie urząd może wystawić wersję poprawną, a podmiana dokona się na lokalnym komputerze ofiary i nikt tego nie zauważy.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

Ja wiem, że dla niektórych

Ja wiem, że dla niektórych osób użycie magicznego słowa audyt jest lekarstwem na wszystko ale to w żaden sposób nie chroni przed włamem na stronę WWW.

Nie istnieją skuteczne środki ochrony przez hackerami, crackerami, itp. a odwoływanie się do audytów, zamówień publicznych, zawartych umów jest tylko zwykłym populizmem.

Po prostu ktoś miał pecha i jedyne co można w takich sytuacjach zrobić to szybko odtworzyć zawartość serwisu.

Treść umowy pomiędzy urzędem a podmiotem - jakakolwiek ona by nie była - nie miała wpływu na to co się stało...

Nie jest prawdą, że nie

Nie jest prawdą, że nie istnieją skuteczne metody ochrony przed hakerami, crakerami itd. Takie metody istnieją i są przeważnie dość kosztowne. Audyt przeprowadza się po to, aby zbadać czy ustalony wcześniej poziom bezpieczeństwa jest dotrzymany czy nie, ale również żeby wskazać inne ryzyka dla powodzenia zadania i ocenić jego wielkość. Jeżeli poziom bezpieczeństwa jest dotrzymany, to ktoś rzeczywiście miał pecha. Umowa jest m.in. po to aby regulować, kto ponosi koszty przywrócenia do stanu pierwotnego i w jakim czasie ma to wykonać. Ale jeżeli umowne obietnice nie zostały zrealizowane, np. nie są wgrane patche, domyślna konfiguracja, itd. to wykonawca nadstawia tylnią część ciała aż miło.

audyt=badanie zgodności

Maciej_Szmit's picture

od wskazywania ryzyk to jest przegląd ryzyka, jeśli się trzymać cywilizowanej terminologii

Może troszkę poza tematem,

Może troszkę poza tematem, ale mam pytanie. Czy można zamieszczać na swojej prywatnej stronie www zdjęcia Radnych, które znajdują się w BIPie?

Teoretycznie takie zdjęcie można traktować jako informację publiczną (jak wszystko co jest w BIPie), ale jeśli dostarczył je Radny to może np. potem sie domagać ode mnie zapłaty za wykorzystanie zdjęcia które zrobił (w sumie to raczej fotograf)?

Zdjęcie w BIP

Jesli zdjęcie nie zostało opatrzone żadną licencją, nalezy je traktować jako przekazane do domeny publicznej. Jesli natomiast pojawi sie tam np. nazwisko (psudonim) autora, nalezy to uszanować i podac te dane przy kopiowaniu celem respoektowania praw osobistych twórcy. Jesli pojawi sie licencja sprawa sie komoplikuje, ale przyznam, że nie znam wówczas pewnej odpowiedzi dla każdego przypadku.

Secco

Zdjęcia nie sa opatrzone

Zdjęcia nie sa opatrzone żadną adnotacją, ale zastanawiam sie czy jak zamieszczę zdjęcie radnego, które będzie obrazowało art. dla niego niekorzystny to czy nie spróbuje sie "przyczepić" na zasadzie "a gdzie czapeczka" do wykorzystania jego zdjęcia.
Z drugiej strony te fotki są takie ładne.. wiadomo, że radni dostarczają ślicznie wyretuszowne zdjęcia, na których są o kilkanaście lat młodsi i szczuplejsi, a moje zdjęcie, które im zrobię może też im nie odpowiadać :>
pamietam jakie forki Leppera zamieszała pewna duża gazeta :)
On zawsze na nich miał albo nieciekawą minę, albo jakiś taki czerwonawy na twarzy był :D

Jesli natomiast pojawi sie

Jesli natomiast pojawi sie tam np. nazwisko (psudonim) autora, nalezy to uszanować i podac te dane przy kopiowaniu celem respoektowania praw osobistych twórcy.

Art. 4 ustawy o ochronie praw autorskich nie rozróżnia praw majątkowych i osobistych. Skoro prawa osobiste nie istnieją, to trudno je respektować.

Wydaje mi się, że prawa

Wydaje mi się, że prawa autorskie nie zależą od tego gdzie zamieszczono zdjęcie. Prawa autorskie ze wszystkimi tego konsekwencjami istnieją zawsze niezależnie od miejsca zamieszczenia zdjęcia. Tak więc nawet jeśli zdjęcie będzie zamieszczone na stronie urzędu to nie można go sobie ot tak zamieszczać na swojej stronie.

Polecam kwestię

Polecam kwestię "wywłaszczenia" z praw autorskich:
http://prawo.vagla.pl/node/7980

Ja nie widzę problemu, dla którego to samo zdjęcie nie może być na kilku "licencjach". Tak jak np. MySQL może być na GPL, ale można go też kupić na licencji komercyjnej.

A prawa autorskie bardzo zależą od tego, gdzie zdjęcie zamieszczono - bo jeśli umieszczone jest w dokumencie, który prawu autorskiemu nie podlega - to i ono mu nie podlega.

To już problem urzędu, który takie zdjęcie w BIPie umieścił - czy miał prawo, aby posiadacza praw autorskich do tego zdjęcia "wywłaszczyć" z jego praw? Zwykle miał, bo autorem materiałów są jego pracownicy.

Nie jestem przekonany czy

Nie jestem przekonany czy faktycznie wystarczy zamieścić coś na stronie www Urzędu Miasta, żeby przeszło to "do domeny publicznej". Coraz więcej stron www UM robi prywatne firmy i szczerze wątpię żeby taka firma zgadzała się na wykorzystanie ich jako "oddanego do domeny publicznej" layoutu strony, grafiki, zdjęć itp.

Nie jestem przekonany czy

Nie jestem przekonany czy faktycznie wystarczy zamieścić coś na stronie www Urzędu Miasta, żeby przeszło to "do domeny publicznej".

O tym też nie jestem przekonany, ale tutaj było jasno sprecyzowane - chodzi o zawartość BIP.

Zakładając zaś, że w BIP znajdzie się coś od firmy zewnętrznej - wciąż nie widzę jakiegoś problemu. Są dwie opcje:

1. Umowa urzędu z firmą zewnętrzną przewidziała przekształcenie otrzymanego utworu w "materiał urzędowy", i firma dostarczająca nie zgłosiła sprzeciwu (bo otrzymała stosowną zapłatę).

2. Umowa urzędu z firmą zawierała ograniczenia i przekształcenie w "materiał urzędowy" złamało ją. Czyli urząd spiracił utwór i okradł firmę. Wszelkie pretensje do urzędu.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>