Audyt i bezpieczeństwo IT

Artykuły prasowe
Strona internetowa CBA wśród najlepiej dostosowanych dla potrzeb osób z niepełnosprawnościami, starszych i narażonych na zjawisko wykluczenia cyfrowego. Jesteśmy wśród laureatów konkursu “Strona Internetowa bez Barier”.

Konkurs organizowany jest po raz siódmy przez Fundację Widzialni oraz Szerokie Porozumienie na Rzecz Umiejętności Cyfrowych w Polsce. Zwycięzcy zostali wyłonieni  wśród stron podmiotów publicznych i niepublicznych, którzy najlepiej dostosowali swoje serwisy do standardu WCAG 2.0.

Wyróżnienie dla Centralnego Biura Antykorupcyjnego jako administratora strony – jednej z najlepiej dostosowanej dla potrzeb osób niepełnosprawnych,  odebrał Zastępca Szefa CBA Bogdan Sakowicz. Specjalna konferencja „CYFROWO WYKLUCZENI” odbyła się  w Sali Kolumnowej Sejmu RP.

Serwisy oceniane były przez zespół składający się z ekspertów ds. dostępności stron www oraz osoby niewidome, niedowidzące i głuche. Eksperci sprawdzali zgodność serwisu ze standardem WCAG,  a osoby niepełnosprawne sprawdzą m.in. dostępność formularzy, wyszukiwarek, menu i elementów multimedialnych. Oceniano łatwość poruszania się po serwisie, odnalezienia informacji,  nawigacji i ogólnego wrażenia.

Źródło >> CBA <<

 

Artykuły prasowe

Gorąco komentowana ustawa inwigilacyjna stała się pretekstem do dyskusji o poziomie bezpieczeństwa danych w polskim biznesie. – Pracowaliśmy dla korporacji z miliardowymi obrotami, która skrzynkę z kablami dostawcy internetu zamocowała na zewnętrznej części ogrodzenia. Ujawniliśmy też kiedyś przypadek zainstalowania podsłuchu przez ochroniarza, który otrzymał za to litr wódki – mówi money.pl Bartłomiej Guguła, właściciel Biura Detektywistycznego Grupa Hedron.

 

Krzysztof Janoś: Nowa ustawa zwróciła nam wszystkim uwagę na zagrożenie związane z inwigilacją. Biznesmeni, a nawet celebryci rzeczywiście zaczynają szyfrować rozmowy? 

Bartłomiej Guguła, właściciel Biura Detektywistycznego Grupa Hedron: Tak. Sprawy, szczególnie w biznesie, nie poprawiają informacje o zaangażowaniu nieuczciwych policjantów w sprzedawanie informacji z podsłuchów. CBŚ ostro się za to wzięło, ale ostatnio w Lublinie ponownie ujawniono policjanta, który wykradał informacje.

Jeszcze jeden powód, żeby próbować się chronić na wszelki wypadek? 

Nie chcę mówić oczywiście o całym państwowym aparacie, ale jeżeli policja będzie teraz miała łatwiejszy dostęp do takich informacji, to może być naprawdę różnie. Policjant też człowiek, ma swoich znajomych, przyjaciół. Wystarczy, że ktoś go o coś poprosi, a dane mogą trafić w niepowołane ręce. Może też zacząć się podsłuchiwanie na życzenie.

Taka samonakręcająca się spirala podsłuchowych lęków może jednak dobrze zrobi firmom, które dziś bagatelizują bezpieczeństwo danych? 

Wątpię. W Polsce funkcjonuje to zawsze według powtarzalnego scenariusza. Jeżeli jest o czymś głośno w gazetach, to robi się szum wokół tematu. Ale za kilka tygodni, kiedy publikacji będzie mniej, wszystko się uspokoi i przedsiębiorcy ponownie przestaną doceniać, jak istotne jest bezpieczeństwo informacji.

Może nie bagatelizują tematu, ale szkoda im pieniędzy. Profesjonalne zabezpieczenia potrafią kosztować kilkaset tysięcy złotych. Usługi profesjonalistów też nie są tanie.

Tylko w nielicznych przypadkach to prawda. Bardziej wynika to jednak z niewiedzy. Tak naprawdę to polscy przedsiębiorcy generalnie dopiero dojrzewają do tego, żeby należycie zabezpieczać informacje. Nie chodzi tylko o ewentualne działanie służb, ale również i konkurencję.

Trochę trudno mi w to uwierzyć. Chyba jednak wiedza o tym, jak cenne dla konkurencji mogą być informacje, jest powszechna? 

Tak, ale niewiele z tego wynika. Od lat robimy audyty bezpieczeństwa i mogę powiedzieć z pełną odpowiedzialnością, że 90 procent firm w Polsce w ogóle nie jest w żaden sposób zabezpieczona przed jakąkolwiek inwigilacją.

Tymczasem podsłuchy to już codzienność. Nie powinno to dziwić, kiedy podstawowy sprzęt do nagrywania kosztuje 100 złotych. Nie jest to profesjonalne urządzenie, ale jeżeli nie ulegnie awarii, a bateria wytrzyma odpowiednio długo, to można tym zrobić naprawdę dużo krzywdy. Wprawdzie w firmach jest monitoring, pracownicy mają karty dostępu, ale nie ma żadnego zabezpieczenia teleinformatycznego.

To znaczy? 

Bardzo często nawet w dużych, poważnych firmach za łączność z internetem odpowiada prosty router za 100 złotych, bez żadnego zabezpieczenia. Wszystkie komputery w firmie łączą się za jego pośrednictwem i nie ma nawet zewnętrznej bazy danych, która miałaby szansę być lepiej chroniona. Konkurencja, nie mówiąc już o służbach, nie musi nawet wynajmować żadnego utalentowanego hakera. Informatyk z przeciętną wiedzą potrzebuje 3 minut i uzyskuje dostęp do praktycznie wszystkiego. Zrobi to siedząc w samochodzie zaparkowanym tuż pod siedzibą, nawet nie musi się włamywać.

Skoro skala zaniedbań jest tak duża, to jak to się dzieje, że tych firm nikt codziennie nie okrada z informacji, pieniędzy?

Nikt nie chwali się tym w gazetach, ale to się dzieje. Znam przypadek firmy z Dolnego Śląska, w której

ktoś włamał się do księgowości i próbował ukraść 160 milionów euro

. Kradzież nie powiodła się tylko dlatego, że bank zablokował przelew. To dowód na to, że jak już dochodzi do ataku, to straty naprawdę mogą być duże, ale o nich się nie myśli, dopóki do tego nie dojdzie.

Spółki giełdowe i dobrze znane marki, operujące miliardami, są lepiej zabezpieczone niż małe firmy?

Po latach w branży naprawdę nic mnie już nie zdziwi. Zdarzyło nam się odwiedzać duże firmy z sektora finansowego, gdzie dokumenty były wszędzie. Zupełnie nie chronione i nie zabezpieczone leżały sobie umowy, skany dowodów osobistych i inne ważne dokumenty.

Pracowaliśmy też dla korporacji z miliardowymi obrotami i okazało się, że nie mają praktycznie żadnych zabezpieczeń, oprócz kontroli dostępu przez system kart elektronicznych dla swoich pracowników. Wystarczyło podjechać pod firmę, złapać ich sygnał Wi-Fi i po trzech minutach miało się nieograniczony dostęp do wszystkiego. A skrzynka (…)

Dalsza część artykułu w >>money.pl<<

 

Firmy nie dbają o właściwe użytkowanie programów księgowych. Korzystają z tego nieuczciwi pracownicy.

Biegli rewidenci ostrzegają: zła administracja i brak właściwych zabezpieczeń w programach komputerowych ułatwiają przestępstwa księgowe i defraudację pieniędzy. Oceniają, że przedsiębiorcy mają z tym duży problem. Dlatego nie dziwią ich doniesienia jak to, że

księgowa z bursy szkolnej w Lublinie przywłaszczyła sobie 1 mln zł.

Księgowanie w buforach

Zagrożenia powstają m.in., gdy programy wykorzystywane są w niewłaściwy sposób.

Przykładowo niektóre z nich umożliwiają dokonanie próbnego księgowania (w buforach), zanim zapisy znajdą się w księgach rachunkowych. W praktyce zdarza się, że w ten sposób dokumenty są księgowane przez cały rok. W efekcie – mimo że przepisy tego zabraniają – już po zamknięciu miesiąca dokonywane są zmiany dotyczące tego okresu rozliczeniowego. Wykorzystują to nieuczciwi pracownicy.

Potwierdza to dr Jolanta Wiśniewska, biegły rewident, która opiniuje niektóre tego typu sprawy trafiające do sądu. Twierdzi, że jest ich dość dużo. Opowiada, że w jednej z nich salda kont się zgadzały, a księgowa była wzorowym pracownikiem, ale i tak

pod okiem kierownictwa zdefraudowała ponad 200 tys. zł. Rozliczenia z dostawcami modyfikowała, wykorzystując właśnie księgowanie w buforach

.

– Tak manipulowała zapisami między kontrahentami, że główna księgowa analizująca salda nawet się nie zorientowała – twierdzi Jolanta Wiśniewska.

I tylko przypadek sprawił, że sprawa ujrzała światło dzienne. Stało się to, gdy podczas nieobecności księgowej zadzwonił dostawca i prosił o dokonanie zapłaty, która zdaniem głównej księgowej była już uregulowana. Proceder trwał 5 lat.

Z nieprawidłowościami zetknęła się również Barbara Kapicka z kancelarii biegłego rewidenta w Cieszynie. Podkreśla, że jeśli program jest źle administrowany, to nawet po ostatecznym zamknięciu ksiąg (które polega na wyłączeniu możliwości dokonywania zmian) można je jeszcze otworzyć i wprowadzić poprawki.

– Swego czasu badałam bilans firmy, dlatego miałam wydruk z jego danymi. Kiedy przystąpiłam do rewizji sprawozdania za kolejny okres, stwierdziłam, że bilans otwarcia nie zgadza się z bilansem zamknięcia z wcześniejszego okresu – opowiada Barbara Kapicka.

Po sprawdzeniu okazało się, że po zamknięciu ksiąg za poprzedni rok dokonano ich otwarcia i poprawiono zapisy.

Zmiany niedozwolone

Jolanta Wiśniewska podkreśla, że istnieje powszechny problem z nieprzywiązywaniem wagi do tego, czy zapisy księgowe są trwałe.

– Większość naszych klientów nie zamyka okresów obrachunkowych. Wszystkie księgowania są przetrzymywane w buforach – potwierdza Alina Hławiczka, ekspert administrujący zintegrowanymi systemami informatycznymi z firmy System-Cieszyn. – Oczywiście znam też wiele firm, które nie pozwalają sobie na to i postępują we właściwy sposób – przyznaje.

Podkreśla, że wszystkie systemy finansowo-księgowe funkcjonujące na rynku mają funkcję zamknięcia miesiąca czy roku obrachunkowego, tak jak tego wymagają przepisy.

Jak się okazuje, kierownicy firm (zarządy, właściciele) nie dbają często też o inne sprawy. Według Barbary Kapickiej w przypadku programów księgowych współpracujących z innymi funkcjonującymi w firmach często nie są wprowadzone zabezpieczenia pozwalające na identyfikację osoby, która dokonuje zapisów w księgach rachunkowych. Nie jest też wyłączana możliwość wprowadzania zmian danych księgowych przez pracowników innych działów. Ponadto zdarza się, że pracownicy znają hasła dostępu swoich kolegów. W takiej sytuacji trudno ustalić, kto i kiedy dokonał zmian w ewidencji.

– To i jeszcze bardzo dużo innych zagadnień związanych z korzystaniem z nowoczesnych technik księgowości ma wpływ na ryzyko powstawania różnych nieprawidłowości.

Dalsza część artykułu na stronach >>Gazety Prawnej<<

Gazeta Prawna, 2013-11-12

 

Coraz więcej dyspozycji klientów banków dokonywanych jest za pomocą nowych technologii, takich jak SMS-y czy internet. Obowiązek należytego zabezpieczenia tych transakcji ma bank, ale ogromną czujność muszą wykazywać też osoby korzystające z nowych form komunikacji. Nasuwa się więc pytanie, czy jesteśmy przygotowani do e-bankowości? Czy klienci zdają sobie sprawę z zagrożeń? Wydaje się, że nie. Natomiast cyberprzestępcy, mając świadomość ogromu pieniędzy przepływających w wirtualnej bankowości oraz nieznajomości zagrożeń ze strony klientów, coraz częściej atakują systemy bankowości elektronicznej. Komputery czy telefony korzystających z nich osób prywatnych także są w niebezpieczeństwie.


(…)


Polska bankowość pod względem bezpieczeństwa należy do najlepszych. Wynika to m.in. z tego, że nie przesyłamy już danych między bankami na papierze.


Dzieje się tak dlatego, że bankowcy traktują w taki sam sposób ochronę danych osobowych jak zachowanie tajemnicy bankowej.


Wiele podmiotów ma dostęp do informacji bankowej, ale jest sukcesem, że urzędy skarbowe mają dostęp do danych w sposób ustawowo zdefiniowany. Policja w sprawach ważnych też kieruje się przepisami ustawy. Wprowadziliśmy dwa standardy – dostęp do danych klientów banków odbywa się na podstawie ich zgody lub z ich inicjatywy. Ponadto dostęp do danych prokuratury, policji i urzędów odbywa się pod nadzorem sądów.


Prawie 85 proc. dużych firm korzysta z usług bankowych przez internet, ale tylko 65 proc. małych przedsiębiorstw. Jesteśmy dziwnym krajem, gdzie elektroniczna bankowość rozwija się szybciej niż gospodarka.


Polska bankowość pod względem bezpieczeństwa należy do najlepszych. Wynika to m.in. z tego, że nie przesyłamy już danych między bankami na papierze.


Dzieje się tak dlatego, że bankowcy traktują w taki sam sposób ochronę danych osobowych jak zachowanie tajemnicy bankowej.


Wiele podmiotów ma dostęp do informacji bankowej, ale jest sukcesem, że urzędy skarbowe mają dostęp do danych w sposób ustawowo zdefiniowany. Policja w sprawach ważnych też kieruje się przepisami ustawy. Wprowadziliśmy dwa standardy – dostęp do danych klientów banków odbywa się na podstawie ich zgody lub z ich inicjatywy. Ponadto dostęp do danych prokuratury, policji i urzędów odbywa się pod nadzorem sądów.


Prawie 85 proc. dużych firm korzysta z usług bankowych przez internet, ale tylko 65 proc. małych przedsiębiorstw. Jesteśmy dziwnym krajem, gdzie elektroniczna bankowość rozwija się szybciej niż gospodarka.


Dalszy ciąg artykułu na stronach dzisiejszej [ Gazety Prawnej ]

 

Admin:admin1 – hasło do strony powiatu brzeskiego


Urzędnicy brzeskiego starostwa zmienili już hasło umożliwiające zarządzanie stroną internetową powiatu. Stało się to – jak pisze „Nowa Trybuna Opolska” dopiero po interwencji dziennikarzy. Dotychczasowe hasło było bowiem dziecinnie proste. Po wpisaniu nazwy użytkownika „admin” i hasła „admin 1” można było wpisywać dowolne treści na stronę starostwa. (…)


Dalsza część artykułu na stronach >> wp.pl << 


Prokurator: Nie zgubiłem akt Pruszkowa. Ukradli mi 


Pendrive z prokuratorskimi dokumentami został skradziony, a nie zgubiony. Jak nieoficjalnie dowiedziało się radio TOK FM, tak przynajmniej twierdzi prokurator, do którego należał nośnik danych. Prokuratura zajmie się sprawą.


„Gazeta Wyborcza” napisała, że nośnik danych z ponad czteroma tysiącami dokumentów z trzech prokuratur – został znaleziony na chodniku w podwarszawskim Komorowie.


Nieoficjalnie radio TOK FM dowiedziało się, że właścicielem urządzenia był prokurator Rz. z prokuratury rejonowej w Pruszkowie (…)


Dalsza część artykułu na stronach >> gazeta.pl <<

 

Od 21 lipca będą równolegle działać dwa rodzaje e-podpisów. Pierwszy z nich to podpis niekwalifikowany, wydawany przez ZUS wszystkim płatnikom składek zatrudniającym co najmniej pięciu pracowników. Firmy takie mają obowiązek przekazywania do ZUS wszelkiej dokumentacji drogą elektroniczną korzystając z bezpłatnego programu Płatnik. Podpis ten może być wykorzystywany wyłącznie w kontaktach z ZUS, bowiem tylko ta instytucja identyfikuje osobę podpisującą się przy wykorzystaniu Płatnika. Drugim sposobem potwierdzania tożsamości jest bezpieczny e-podpis. Może on służyć nie tylko do komunikowania się z Zakładem Ubezpieczeń Społecznych, ale także do przekazywania dokumentów drogą elektroniczną do wszystkich urzędów wyposażonych w e-skrzynki. Bezpieczny podpis elektroniczny posiada bowiem wszystkie przymioty, którymi charakteryzuje się podpis własnoręczny, a zatem jest: indywidualny (możliwy do przypisania wyłącznie jednej osobie), wiarygodny (niemożliwy do podrobienia, nadający się do zweryfikowania). Dzięki bezpiecznemu e-podpisowi wiemy, kto jest autorem złożonego oświadczenia woli i możemy w ogólnie dostępny sposób sprawdzić, kto jest nadawcą dokumentu.


dalsza część artykułu na stronach [ Gazety Prawnej ]

 

Zdaniem specjalistów z Deloitte, najczęstszymi przyczynami włamań do systemów informatycznych są niewyszkoleni pracownicy i złe procedury bezpieczeństwa, a nie luki techniczne w systemach informatycznych. Niewiele firm przyznaje się do takich włamań, bo cierpi na tym ich prestiż.


„Do każdego systemu informatycznego można się włamać”


„Do każdego systemu informatycznego można się włamać, jednak wymaga to czasu, przygotowania i pieniędzy. Nasze badania pokazują, że do takich „prawdziwych” włamań dochodzi rzadko” – powiedział analityk z działu zarządzania ryzykiem Deloitte Jakub Bojanowski.


Jego zdaniem, dużo większym problemem jest niewystarczająca ochrona informacji.


Lechosław Nowak z Deloitte uważa, iż zarządzanie bezpieczeństwem informacji sprowadza się do umiejętnego zarządzania ludźmi. „Technologia może jedynie wspierać ten proces” – wyjaśnił.


dalsza część artykułu na stronach [ Gazety Prawnej ]

 

Brak opublikowanych wzorów dokumentów elektronicznych uniemożliwia systemowi ePUAP spełnienie swojego celu – przyjmowania przez samorządy i urzędy centralne podań oraz wniosków od obywateli w formie elektronicznej. Na kilka tysięcy wzorów w Centralnym Repozytorium Dokumentów (CRD) zostało opublikowanych na razie pięć. Urzędy centralne bardzo powoli pracują nad formularzami, samorządy natomiast często nawet nie mają świadomości o tym obowiązku. Elektroniczne wzory dokumentów posłużą do składania pism drogą elektroniczną.


dalsza część artykułu dla zalogowanych użytkowników [ samorząd.infor.pl ]

 

Sejmowa Komisja Sprawiedliwości przygotowała już sprawozdanie do rządowego projektu ustawy nowelizującej kodeks karny. Najważniejsze poprawki dotyczą przede wszystkim zwalczania działalności hakerów w systemach informatycznych oraz zaostrzenia karania korupcji w sektorze prywatnym.

Korupcja bierna

Rozszerzono zakres stosowania art. 296a k.k. na osoby niepełniące funkcji kierowniczej w przedsiębiorstwie, takie jak zleceniobiorcy i współpracownicy wykonujący umowy o dzieło, które żądają lub przyjmują korzyść majątkową albo osobistą w zamian za zachowania wyrządzające szkodę jednostce.


– Korupcją będzie także czyn nieuczciwej konkurencji lub niedopuszczalna czynność preferencyjna na rzecz nabywcy lub odbiorcy towaru lub usługi. Działania takie mogą oznaczać naruszenie reguł swobodnej gry rynkowej – tłumaczy poseł sprawozdawca Grzegorz Karpiński.


– Regulacja ta jest konsekwencją obowiązku wdrożenia do prawa polskiego decyzji ramowej Rady UE z 24 lutego 2005 r. w sprawie zwalczania korupcji w sektorze prywatnym – dodaje poseł.


Nowy przepis o biernej korupcji dotyczy wszystkich osób mających wpływ na podejmowanie decyzji w firmach.


Profesor Marian Filar jest zdecydowanie przeciwny rozszerzaniu odpowiedzialności karnej na osoby zatrudnione na umowie cywilnoprawnej. Nie są to bowiem pracownicy kluczowi przedsiębiorstw.


dalszy ciąg artykułu na stronach [ Gazety Prawnej ]

 

Odnotowano kolejny przypadek ataku phisherów wymierzony bezpośrednio w polskich internautów – klientów bankowości elektronicznej. Tym razem phisherzy posługują się nazwą i wizerunkiem Banku Zachodniego WBK S.A., zachęcając w rozsyłanych przez siebie mailach do aktywacji konta w tym banku.


Wielu użytkowników otrzymało na swoje skrzynki pocztowe wiadomości, których nadawcą jest rzekomo Bank Zachodni WBK S.A. E-maile zatytułowane są „Uaktywnij konto BZ WBK 24”. W chwili pisania tego artykułu w skrzynce pocztowej autora znajdowały się już trzy takie wiadomości. Otrzymanie podobnego e-maila może wzbudzić podejrzenia po pierwsze jeśli nie korzystamy z usług BZ WBK, po drugie – żaden bank nie wysyła w ten sposób informacji do klientów.


dalszy ciąg artykułu na stronach [ PC World Computer ]