JEDNA SLABA I DVE JOŠ SLABIJE OCENE

/ 28.12.2016. u 15:12

Komentari: 3
Čitanost: 11565
/
Preporuke: 1020
/

Piše: Rodoljub Šabić

Početkom novembra sam u pismima upućenim ministrima nadležnim za telekomunikacije I državnu upravu upozorio na, sa stanovišta bezbednosti, zabrinjavajuće stanje naših državnih elektronskih portala. Pisao sam o tome i post ovde na blogu.

Pitanje bezbednosti ima mnoge aspekte. Meni, kao Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti je, razumljivo, bila pre svega zanimljiva bezbednost ličnih podataka građana koji se radi ostvarivanja prava ili izvršavanja obaveza, u komunikaciji preko e-portala koriste. S tog stanovišta, delovalo mi je zabrinjavajuće i gotovo bizarno da država poziva građane na portale koji imaju najlošiju moguću ocenu poznatog provajdera informacione bezbednosti "Qualys SSL Labs" - "F".

Izgledalo je da je moje upozorenje relativno brzo dalo efekte. Neke 3 sedmice kasnije, saopšteno je da je za potrebe portala eUprava nabavljen novi SSL sertifikat svetski priznate kompanije KOMODO.

Istini za volju, to nije promenilo koja je i dalje ostala kakva je i bila pre nabavke sertifikata, ocena "Qualys SSL Labs" i dalje je bila najlošija - "F". Objašnjeno je da je to rezultat "neokončanog procesa podešavanja" (protokol uopšte nije bio podešen). Ipak, negde 3. ili 4. decembra, javlja se da su podešavanja izvršena, da je SSL sertifikat u punom dejstvu i na onlajn testu portal eUprave konačno dobija željenu ocenu - "A".

Nažalost, to nije potrajalo dugo. Samo nekoliko dana kasnije, usled izmene konfigurisanja na serveru koji je prestao da podržava sigurni kriptografski protokol TLS 1.2, ocena pada na "C".

Što je, razume se, otvorilo raspravu povodom niza pitanja koja su provocirana. Ne potcenjujući ih, naprotiv, ipak ne bih, zbog prostora i vremena, o njima ovom prilikom. Kao ni o tome da li smo zaista "ipak nešto učinili", samim tim što veliki pretraživači prepoznaju SSL sertifikat pa više ne upozoravaju posetioce portala - bežite odavde.

Činjenica je da na današnji dan, sa stanovišta bezbednosti, pored navedene ocene za portal www.eUprava.gov.rs, ocene za još 2 naša važna, velika e-portala - poreskauprava.gov.rs i portal.croso.gov.rs izgledaju ovako:

Jedna slaba i dve očajno loše ocene! To svakako jeste razlog za zabrinutost. I nešto što je nužno popravljati, mnogo brže, bez ikakvog odlaganja.

Atačmenti

A.jpg / 87.2 / KB image/jpeg
C.jpg / 59.15 / KB image/jpeg
CROSO.jpg / 91.17 / KB image/jpeg
PORESKA.jpg / 90.8 / KB image/jpeg

postavite na |

Komentari (3)

Sakrij replike | Pošaljite komentar

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

a_jovicic 15:46 28.12.2016

http -> https

... a inače portal e-Uprave još uvek ne radi automatsku redirekciju sa http na https (drugim rečima džabe im kvalitetan sertifikat kad nije obavezan)

muaddib92 18:15 28.12.2016

Тролић

а можда и није, додирна тачка је безбедност.
Малопре у сандучету покупим писмо банке Синтеза, којим ме позива да их у року од 15 дана посетим ради ажурирања својих адресних и других података, све сходно Закону о спречавању прања новца и финансирања тероризма (иду бројеви Сл.гласника). А уколико то не учиним, вели писмо, раскинуће пословни однос са моном!
Писмо су иначе доставили на тачне 'адресне' податке. Пословни однос иначе немамо, пошто сам га ја летос раскинуо тако што сам превремено отплатио кредит и нисам хтео нови.
А претећи тон писма је ваљда у складу са неким новим, иновативним маркетиншким трендом, пошто у наставку дописа нуде нове кредите али да им прво пребацим зараду.
Који бре новац има народ за прање у овој ојађеној држави, сучим да финансира нечији тероризам?
Куд се деде срећнипразницикомшија, хваланаотплати идоџитенам опет?