www.ceris.ro, site-ul departamentului creat special de Ministerul Comunicatiilor si Tehnologiei Informatiilor (MCTI) pentru a oferi institutiilor de stat consultanta privind securitatea informatiilor pe Internet, a fost umplut cu filme si fisiere de muzica piratate.
Oricine intra pe www.ceris.ro afla ca acesta este site-ul oficial al unui centru de expertiza si raspuns pentru incidente de securitate, aflat in directa coordonare a MCTI, iar toate institutiile de stat care au probleme cu securitatea informatiilor pe Internet pot apela cu incredere la specialistii acestui centru pentru a primi ajutor gratuit. Administratorii site-ului se lauda ca serviciile lor beneficiaza de inalte standarde ISO 17799, iar propriul site este foarte bine securizat.
Pana in urma cu cateva zile (inainte de sesizarea oficiala facuta de Cotidianul), site-ul supersecurizat al MCTI putea fi spart de catre orice internaut care poseda cunostinte minime despre cum functioneaza Internetul, fara ca acesta sa aiba abilitatile unui hacker/cracker.
Tastand pur si simplu www.ceris.ro/down, oricine putea sa intre in bucataria interna a acestui site, avand acces direct la informatii strict confidentiale privind modul in care este administrat site-ul si la informatii cu caracter personal ale celor care administreaza acest site.
Dupa tastarea adresei de mai sus, pe display-ul oricarui internaut aparea tot continutul site-ului, modul de conectare la bazele de date ale site-ului si de unde isi lua acesta continutul; apareau date despre angajatii MCTI, CV-uri ale acestora si chiar poze personale; se puteau downloada (descarca – n.r.) de pe acest site muzica si filme piratate, iar cel mai grav lucru e ca oricine putea uploada (a copia de pe calculatorul personal fisiere direct pe serverul lor- n.r.) diverse lucruri, de la mesaje obscene pana la poze, muzica, filme etc.
La teorie, administratorii site-ului sunt foarte buni. Ei ne explica pe site ca „securitatea in tehnologia informatiei inseamna protectia sistemelor, informatiei (datelor) si serviciilor de amenintari accidentale sau deliberate ale confidentialitatii, integritatii si disponibilitatii”. In opinia specialistilor MCTI, securitatea IT presupune sapte componente: securitatea administrativa si organizationala, securitatea personalului, securitatea fizica, hardware, software, a comunicatiilor si a operatiunilor. Adica exact ceea ce le-a scapat lor. Intr-un CV postat pe acest site, unul dintre administratori se lauda ca a absolvit scoli importante de profil si ca s-a specializat in domeniul securitatii informatice la scoli celebre din strainatate.
De cateva saptamani, pe forumurile cu pasionati de Internet si securitatea retelelor discutiile despre acest site erau in toi, acestia ajungand chiar sa trimita mesaje pe serverul site-ului in care il atentionau pe administrator ca site-ul lui are scapari grave de securitate. Intr-un cuvant, supersecurizatul site al MCTI nu avea nici minimele precautii de securitate.
Cotidianul a trimis cum trei saptamani o sesizare la MCTI in urma careia administratorii site-ului si-au remediat scaparile grave de securitate. Anticipand reactia reprezentantilor MCTI, Cotidianul a salvat toate probele. Intrebati cum explica aceste scapari, reprezentantii MCTI ne-au detaliat: „Va multumim pentru interesul dumneavoastra manifestat cu privire la securitatea informatiei, un subiect prioritar si pentru MCTI. ?inem sa punctam faptul ca, din pacate, nici un sistem informatic conectat nu poate fi sigur in procent de suta la suta.
O dovada graitoare in acest sens sunt incidentele de securitate la nivelul sistemelor informatice complexe din intreaga lume. Tocmai de aceea tinem sa multumim inca o data Cotidianului pentru interesul manifestat”. Specialistii MCTI in securizarea informatiilor ne-au declarat ca unul dintre motivele principale ale numeroaselor scapari ale site-ului www.ceris.ro este cauzat de „migrarea solutiei CERIS pe o alta platforma hardware, realizata in vederea integrarii ei la nivelul CERT.ro”. Ei recunosc toate aspectele semnalate de Cotidianul, inclusiv „posibilitatea uploadarii unor fisiere”.
De ce a fost creat CERIS.ro
Reprezentantii MCTI ne-au declarat ca au creat www.ceris.ro pentru „a pune la dispozitia utilizatorilor o varietate de servicii in domeniul tehnologiei informatiei, cum ar fi auditul online al securitatii informatiei, servicii suport pentru solutiile de e-guvernare, alaturi de informatii relevante (statistici, sondaje, recomandari).
Astfel, s-a implementat cu succes o practica internationala care faciliteaza colaborarea intre actorii implicati in domeniu in vederea cristalizarii unor linii de actiune concrete in domeniul securitatii IT. In ceea ce priveste serviciul de auditare online, solutia tehnica este aliniata standardului ISO 17799 asigurandu-se astfel un nivel uniform, actual si competitiv de evaluare a tuturor solicitantilor”.
Conceptul CERIS a cunoscut o faza pilot in 2001, a fost extins in 2003, iar MCTI a asigurat buna functionare si actualizarea periodica a acestuia.
