Ministerul pentru Societatea Informationala a publicat, miercuri, pe site-ul propriu un Ghid orientativ cu recomandari de securitate la nivelul institutiilor publice pentru protectia informatiilor, in situatia utilizarii terminalelor care folosesc Microsoft Windows XP SP3, sistem de operare pentru care Microsoft a retras asistenta tehnica in data de 8 aprilie. Instalarea si actualizarea periodica de solutii antivirus eficiente, dezactivarea serviciilor Windows ce nu sunt folosite si utilizarea, in situatiile care permit, a unor distributii Linux cu interfata 'prietenoasa' sunt cateva dintre recomandari.
Redam in continuare recomandarile de securitate publicate pe site-ul Ministerului pentru Societatea Informationala (MSI):
"Producatorul de software Microsoft a anuntat ca incepand cu data de 8 aprilie 2014, asistenta tehnica pentru Windows XP nu va mai fi disponibila, inclusiv actualizarile automate care ajuta la protejarea PC-ului. Utilizatorii existenti de Microsoft Security Essentials vor primi in continuare actualizari de semnaturi anti-malware pe o perioada limitata.
Suportul tehnic oferit de Microsoft pentru sistemul de operare Windows XP a constat in principal in actualizarea acestuia prin oferirea via Internet a unor programe (patch-uri) care corecteaza anumite probleme de securitate semnalate sau depistate.
Ministerul pentru Societatea Informationala face urmatoarele recomandari de securitate (fara a fi exhaustive si nici limitative), adresate institutiilor publice , pentru protectia informatiilor, in situatia utilizarii terminalelor care folosesc Microsoft Windows XP SP3, cu rugamintea de a fi implementate in cadrul retelelor informatice proprii:
1. Fiecare institutie publica trebuie sa realizeze:
- Evaluarea tipului de informatie prelucrata/stocata pe statiile de lucru ale institutiei. Se vor implementa proceduri/masuri de partitionare a unor informatii/date;
- Auditul de securitate informatica care sa examineze starea actuala a infrastructurilor din punct de vedere a indeplinirii recomandarilor de la punctul 2 la punctul 9. Acesta se poate executa de catre structurile specializate ale statului in stransa colaborare cu responsabilii din domeniu.
2. Actualizarea permanenta si in mod automat a aplicatiilor instalate;
3. Instalarea de solutii antivirus eficiente si actualizarea periodica (up-date) a acestora de fiecare data cand producatorul solutiei antivirus vine cu versiuni noi;
4. Implementarea unor politici de firewall care sa permita doar traficul specific aplicatiilor utilizate. Nu se vor conecta la internet statiile de lucru care nu sunt protejate de firewall;
5. implementarea unor politici de securitate cat mai stricte, care sa reglementeze accesul la resursele interne si din Internet in baza atributiilor utilizatorilor;
6. utilizarea unor tehnologii de tipul Host based Intrusion Prevention Systems (HIPS);
7. utilizarea unor tehnologii de tip whitelisting;
8. implementarea unor sisteme de tip web/email gateway care sa permita verificarea continutului de aplicatii malware si resurse Web ce distribuie continut malitios;
9. utilizarea unor tehnologii care permit restaurarea sistemului de operare Windows catre o stare predefinita, necompromisa;
10. dezactivarea serviciilor Windows ce nu sunt folosite;
11. utilizarea, in situatiile care permit, a unor distributii Linux cu interfata 'prietenoasa';
12. includerea in cultura de securitate a institutiilor a unor cursuri de educare a utilizatorilor, in scop preventiv, cu privire la observarea si raportarea unor posibili vectori de infectie.
Ministerul pentru Societatea Informationala reaminteste institutiilor publice necesitatea elaborarii unor politici interne de securitate cibernetica care sa aiba la baza si recomandarea Microsoft - pentru a face fata amenintarilor cibernetice moderne trebuie creat un cadru de lucru organizat pe 'protectie - izolare - detectie - raspuns - recuperare'. Cadrul de lucru propus se bazeaza pe concluzia ca, impotriva atacatorilor moderni nu este suficient sa aplicam masuri de protectie, ci ca trebuie sa fim pregatiti sa izolam intrusii cu potential de succes, sa ii detectam, sa reactionam la incident si sa avem capacitatea de recuperare.
Cu privire la presupusele riscuri si vulnerabilitati cauzate de incetarea suportului Microsoft, trebuie precizat faptul ca la nivel national atacuri sau incidente cibernetice au loc zilnic asupra infrastructurilor IT din sectorul public si privat, indiferent daca acestea beneficiaza de suport sau nu. Serviciile de suport asigurate in general de producatorii de programe informatice sunt necesare dar nu suficiente pentru asigurarea securitatii cibernetice a acestor infrastructuri. Pentru a raspunde acestor tipuri de incidente, exista institutii specializate precum: CERT-RO, RoCSIRT, CORIS-STS, centre de raspuns la incidente de securitate cibernetica, entitati specializate care dispun de capacitatea necesara pentru prevenirea, analiza, identificarea si reactia la astfel de incidente.
In acest moment nu exista niciun fel de problema deosebita la nivel national. Politicile de securitate sunt implementate si actualizate periodic de catre toate institutiile publice, motiv pentru care, odata cu incetarea suportului Microsoft pentru sistemul de operare Windows XP, nu exista niciun pericol real suplimentar si imediat pentru securitatea informatiilor aflate in gestiunea institutiilor publice. Amenintarile si riscurile asociate acestora sunt nesemnificative prin prisma magnitudinii si a probabilitatilor scazute".
HotNews.ro a solicitat MSI sa precizeze daca a facut si alte demersuri pentru informarea institutiilor publice cu privire la aceste recomandari in afara de publicarea pe site-ul propriu a acestui Ghid. Vom reveni cu raspunsuri imediat ce le vom primi.
Amintim ca in data de 10 aprilie 2014, Razvan Cotovelea, ministrul pentru Societatea Informationala, a declarat ca autoritatile au inceput negocierile financiare cu Microsoft pe tema unei posibile extinderi a suportului tehnic pentru Windows XP in institutiile publice.
- "Avem o comunicare si cu siguranta saptamana viitoare venim cu informatii publice, adica chiar ma voi intalni cu media sa dam primele informatii. Evident ca luam in calcul extinderea pentru o perioada de timp a suportului tehnic pentru Windows XP (n.a asa cum s-a intamplat in Marea Britanie si Olanda). Tocmai de aceea vom discuta la nivelul Guvernului si vom intra intr-o negociere formala oficiala pe pachetul de servicii pe care doresc sa ni-l furnizeze, pe preturi. Daca preturile vor fi bune si se vor baza pe ce am stabilit cu Microsoft adica tinand cont de parteneriatul strategic - pentru ca avem un acord semnat cu ei - sigur ca vom gasi mijloacele cele mai eficiente sa continuam", a spus atunci Cotovelea.
Ministerul nu a oferit insa pana acum alte informatii pe tema negocierii financiare cu Microsoft. HotNews.ro a solicitat Ministerului sa precizeze daca au fost finalizate aceste negocieri, si, daca da, care a fost rezultatul acestora. Vom reveni cu raspunsuri imediat ce le vom primi.
0
3
