Virkne pašvaldību nav pietiekami parūpējušās par savu mājaslapu drošību

© F64

Informācijas tehnoloģiju (IT) drošības incidentu novēršanas institūcija "Cert.lv" oktobrī veikusi ielaušanās testus 119 Latvijas pašvaldību mājaslapās, no tām 18% jeb 21 atrasta kritiska ievainojamība, aģentūru LETA informē "Cert.lv" pārstāvji.

"Cert.lv" eksperti norāda, ka populārākās no ievainojamībām bija SQL injekcijas un starpvietņu skriptēšana (XSS). SQL injekcijas tiek lietotas, lai uzbruktu tīmekļa vietnes datubāzei, tīmekļa vietnē ievietotu ļaundabīgus skriptus vai pilnībā pārņemtu kontroli pār serveri. Starpvietņu skriptēšana tiek lietota, uzbrucējam ievietojot lapā programmu vai kodu, kas tiek izpildīti lapas apmeklētāju pārlūkprogrammās, tādējādi iegūstot informāciju par apmeklētāja datiem, piemēram, viņa lietotāja vārdu un paroli, lai pilnībā pārņemtu kontroli pār tīmekļa vietnes apmeklētāja datoru.

Drošības eksperti secina, ka virkne pašvaldību neseko tīmekļa vietnes un satura vadības sistēmas atjauninājumiem, kas pakļauj vietnes augstam ielaušanās un izķēmošanas riskam.

Vairākas problēmas atklātas vietnēs, kur izstrādātāji, pielāgojot kādu no plašāk zināmajām un nosacīti drošajām satura vadības sistēmām ("Joomla", "Drupal", "Wordpress"), pielāgošanas rezultātā tajās radīja ievainojamības.

Sadarbojoties ar pašvaldību pārstāvjiem un lapu izstrādātājiem, visas "Cert.lv" atklātās nepilnības novērstas.

Nepilnību novēršanas procesā tika konstatēts, ka vairākiem izstrādātājiem ir zema izpratne par IT drošību, tomēr lielākā daļa izstrādātāju bija atsaucīgi un kļūdas novērsa operatīvi.

Pēc ielaušanās testiem "Cert.lv" eksperti individuāli strādāja ar katru pašvaldību, izvirzot par mērķi pēc iespējas ātrāk novērst atklātās ievainojamības un drošības nepilnības. Ievainojamību novēršanas termiņi bija noteikti no vienas dienas līdz atsevišķos gadījumos vienam mēnesim, kas kopumā ir labs rezultāts.

Salīdzinot ar iepriekšējiem gadiem, pašvaldību mājaslapu drošības situācija uzlabojas. Pašvaldības ir arvien aktīvākas rīcībā, definējot drošības prasības jau programmatūras izstrādes vai iepirkuma fāzē, atzīmēja "Cert.lv".

Vienlaikus "Cert.lv" pārstāvji atzina, ka satraucošs rādītājs ir tas, ka mājaslapu izstrādātāji nereti attiecas pavirši pret drošības prasību ieviešanu. "Cert.lv" atgādina, ka mājaslapu pasūtītājam nav jāpieņem, ka izstrādātājs izpildīs drošības prasības, bet jāpārliecinās par to ieviešanu, veicot neatkarīgus drošības testus un auditu, kuru rezultātā atklātie trūkumi izstrādātājam jānovērš līguma ietvaros.

"Cert.lv" ir Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienība, kuras uzdevumi ir uzturēt vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu, sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā vai koordinēt to novēršanu Latvijas IP adrešu apgabalos un ".lv" domēna vārdu zonā.

Latvijā

Patlaban Latvijas pārstāvja starptautiskajās cilvēktiesību institūcijās birojam aktīvā lietvedībā ir 74 Eiropas Cilvēktiesību tiesas (ECT) lietas, otrdien Saeimas Cilvēktiesību un sabiedrisko lietu komisijas sēdē deputātus informēja Latvijas pārstāve starptautiskajās cilvēktiesību institūcijās Elīna Luīze Vītola.

Svarīgākais