Informatyczna prowizorka ministra finansów
Kilka dni temu doszło do poważnej awarii systemów informatycznych Ministerstwa Finansów. Bezpośrednią przyczyną była awaria zasilania energetycznego w serwerowni. W konsekwencji przestały działać wszystkie serwery pracujące w ośrodku przetwarzania Ministerstwa. Przez kilka godzin nie były dostępne usługi elektroniczne, w tym portal i system e-Deklaracje (służący do elektronicznego składania zeznań oraz uzyskiwania zaświadczeń dotyczących należności podatkowych). Pozostałe systemy zostały przywrócone po ponad 24 godzinach niedostępności.
Przy tej okazji Ministerstwo pochwaliło się, że w 2013 r. systemy informatyczne zostaną przeniesione do nowo wybudowanego Centrum Przetwarzania Danych w Radomiu, co wpłynie na poprawę działania. Czy w związku z tym nie ma powodów do obaw i pozostaje poczekać na przeprowadzkę? Obawiam się, że „nic się nie stało” to nie najlepsze hasło w tym przypadku i należy Ministrowi należy zadać kilka pytań:
Co się stanie w przypadku ponownej awarii zasilania? Perspektywa przeprowadzki do Centrum Przetwarzania Danych w Radomiu jest bardzo obiecująca, ale jak będą działać państwowe systemy finansowe przez najbliższe kilkanaście miesięcy? Czy w serwerowni istnieje system podtrzymania zasilania? Jeśli tak – jaki jest czas podtrzymania zasilania przy maksymalnym obciążeniu i dlaczego nie zadziałał podczas ostatniej awarii? Czy został przygotowany plan naprawczy w celu uniknięcia podobnych awarii w przyszłości? Czy przeprowadzono kiedykolwiek audyt bezpieczeństwa teleinformatycznego? Jakie były wyniki audytu i zalecenia poaudytowe?
Zakładając, że w serwerowni został wdrożony jakiś system rezerwowego zasilania (UPS lub generator prądotwórczy) należy spojrzeć na problem szerzej i zadać pytanie o to, czy kiedykolwiek rozważano wdrożenie systemu zarządzania ciągłością działania. Zarządzanie ciągłością działania (ang. Business Continuity Management) to zbiór działań, jakie podejmuje instytucja w celu zapewnienia dostępności jej krytycznych zasobów w przypadku wystąpienia sytuacji kryzysowej. W przypadku Ministerstwa obsługującego systemy kluczowe dla działania państwa oraz gospodarki wdrożenie takich procedur wydaje się bardzo pożądane.
Awaria w Ministerstwie Finansów skłania do szerszej dyskusji na temat bezpieczeństwa infrastruktury krytycznej państwa, m.in.: zaopatrzenia w energię i paliwa, łączności i sieci teleinformatycznych, systemów finansowych, transportu itd.
Przykładowo, niebawem minie rok od głośnych ataków DDoS skierowanych na rządowe strony. To chyba dobry moment, żeby zadać sobie pytanie czy poprawiło się bezpieczeństwo rządowych serwisów. Ciekaw jestem, które zalecenia w zakresie ochrony portali informacyjnych administracji publicznej[1] zostały wdrożone przez administrację rządową.
