Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Сигурност
28 юни
2012
 
 

Холандското правителство е било неподготвено за SSL хакването

Правителствените служби зависят твърде много от ИТ отделите, когато става дума за придобиване на SSL сертификати

4695 прочитания

Холандското правителство е било неподготвено да се справи с SSL хакването, което доведе до уязвимост на комуникационната инфраструктура на правителството в продължение на много месеци, заяви холандският Комитет по сигурността в свой доклад. Тъй като правителството е било неспособно да замени сертификатите веднага, данните на граждани и фирми за били незащитени, допълват от организацията.

Комуникационната безопасност на холандското правителство бе сериозно компрометирана през 2011 г. след като хакер проби DigiNotar, холандски доставчик на SSL сертификати, които се ползват за защита на цифрови комуникации. Хакването на DigiNotar направи всички сертификати, издадени от компанията, недоверени, като това засегна цифровата сигурност на холандското правителствени и данъчни системи, наред с други пострадали.

Правителството обаче не е успяло да анулира веднага сертификатите на DigiNotar след откриване на хакването, тъй като това щяло да разстрои и дори да блокира M2M комуникациите на основни правителствени системи, каза тогава вътрешният министър Пит Ейн Донър.

Заменята на всички сертификати на DigiNotar евентуално е отнело месеци. Анулирането на сертификатите незабавно след засичане на хакването е щяло да блокира работата на данъчните системи и на правосъдната система, което е щяло да причини социални проблеми и икономически щети, пише в доклада на холандския Safety Board.

Нито една от отговорните организации, включително телеком регулаторът OPTA и Logius, организация, отговаряща за ИТ инфраструктурата на холандското правителство, не е била подготвена за кризата с DigiNotar. Никой не е и предвидил рисковете, свързани с компрометиране на доставчик на удостоверителни услуги (Certificate Authority - CA) като DigiNotar, а и никой не е разбирал, че всички сертификати не могат да бъдат незабавно анулирани, добавят авторите на доклада.

Правителствените служби зависят твърде много от ИТ отделите, когато става дума за придобиване на сертификати, като по този начин рискуват адекватната защита на цифровите комуникации. Заключението на авторите е, че че Logius в частност, и регулаторът OPTA в по-малка степен, са положили недостатъчно усилия за осъзнаване на реалната надеждност на CA организациите, като са разчитали твърде много на оценката на одитиращите организации.

За да има превенция от подобни „случки" в бъдеще, авторите препоръчват на вътрешния министър Елизабет Шпис да разработи програма за „образоване" на правителствените организации и техните администратори. Освен това от държавните служби трябва да носят отговорност за начина, по който гарантират цифровата сигурност, съветват авторите.

Освен това централните и местни власти трябва да са подготвени да се справят с цифрови инциденти и да са способни да поправят щетите, причинени от тях. Не на последно място, докладът препоръчва да бъде въведена по-безопасна система за издаване на SSL сертификати.

IDG News Service, Амстердам 

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Мартин Райхле: R&M развива бизнеса си с иновативни и качествени решенияМартин Райхле: R&M развива бизнеса си с иновативни и качествени решения

2018 г. е най-добрата година за бизнеса на компанията, разработваща и произвеждаща системи с швейцарско качество вече 55 години, заяви Мартин Райхле, един от съсобствениците на Reichle& De-Massari (R&M)

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас