Ośrodek Przetwarzania Informacji Państwowy Instytut Badawczy to instytucja gromadząca i udostępniająca aktualne, kompleksowe informacje o polskiej nauce oraz tworząca systemy informatyczne wspierające rozwój nauki i szkolnictwa wyższego.
3 tys.przetestowanych podstron, 5 mln linii kodu źródłowego
150 tys. zł wartość projektu
Wyzwanie:
Instytucje publiczne, do których zalicza się Ośrodek Przetwarzania Informacji Państwowy Instytut Badawczy, nie mogą pozwolić sobie na wycieki danych. Z tego powodu Ośrodek powierzył nam przeprowadzenie audytu cyberbezpieczeństwa pięciu swoich systemów, m.in. bazy obronionych prac dyplomowych, katalogu polskich pracowników naukowych i platformy bezpłatnych kursów online. Systemy te współgrają ze sobą, przechowując istotne dane polskiej nauki oraz dane osobowe – organizacja musiała mieć pewność, że są one właściwie zabezpieczone.
Proces:
Dla każdego z systemów wykonaliśmy osobne testy penetracyjne wraz z symulacją włamań do systemów oraz sieci metodą black box (bez znajomości kodów źródłowych ani konfiguracji aplikacji) i zidentyfikowali słabe punkty systemu zabezpieczeń. Wykorzystaliśmy automatyczne i manualne metody prowadzenia audytu aby zbadać systemy pod kątem różnych klas podatności, takich jak SQL Injection, XML Injection, XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), Code Execution, Insecure Communications, Source Disclosure, Path Traversal, DoS (Denial of Service), File Inclusion, bezpieczeństwo mechanizmu SSL serwera web, Broken Authentication and Session Management, Authorization Bypass, Information Leakage, Deserialization of untrusted data. Oprócz tego przeprowadziliśmy analizę metod uwierzytelniania i analizę urządzeń zewnętrznych. Do określenia typów ataków posłużyliśmy się najnowszą listą podatności OWASP.
Rozwiązanie:
W wyniku audytu odkryliśmy podatności audytowanych systemów teleinformatycznych, sieci i środowiska informatycznego, w którym funkcjonują. Dokonaliśmy oceny bezpieczeństwa zasobów systemów teleinformatycznych. Dostarczyliśmy klientowi obszerny raport podsumowujący audyt i sugerujący rozwiązania pozwalające podnieść poziom bezpieczeństwa systemów, na którego podstawie wciąż rozwijana jest kultura bezpieczeństwa w organizacji.
Wypowiedź eksperta:
Projekt publiczny o wartości 150 000 złotych to niewątpliwie duża odpowiedzialność. Na szczęście dobrze rozumiemy specyfikę instytucji publicznych, a nasi pentesterzy szczycą się posiadanymi poświadczeniami bezpieczeństwa – dokumentami wydawanymi przez ABW lub SKW umożliwiającymi wgląd do informacji objętych klauzulą tajności. To wszystko sprawia, że instytucje publiczne,takie jak Ośrodek Przetwarzania Informacji, chętnie nawiązują z nami współpracę, a po jej zakończeniu nie kryją zadowolenia z efektów
