Joomla 3 oficjalnie straciła wsparcie w sierpniu 2023 roku. Od tego momentu system nie otrzymuje żadnych aktualizacji bezpieczeństwa, co oznacza, że każda nowo odkryta luka może zostać wykorzystana przez cyberprzestępców. W przypadku serwisu urzędu, który publikuje istotne dokumenty i decyzje administracyjne, ryzyko jest szczególnie duże.
Eksperci od cyberbezpieczeństwa od lat alarmują: brak aktualizacji systemów CMS to jedna z najczęstszych przyczyn włamań na strony internetowe instytucji publicznych. Utrzymywanie nieaktualnego oprogramowania na stronach urzędowych może znacząco ułatwiać nieautoryzowany dostęp do systemu.
Tymczasem BIP Starostwa Powiatowego w Garwolinie nadal opiera się na starej wersji Joomla 3, mimo że od dawna dostępna jest Joomla 5 (w ostatnich tygodniach nawet Joomla 6). To wersje nowoczesne, bezpieczniejsze i nadal wspierane przez producenta. Co gorsza, w sieci nietrudno znaleźć informacje o znanych lukach bezpieczeństwa w Joomla 3, które mogą być wykorzystane do przejęcia kontroli nad stroną lub kradzieży danych.
Niepokój budzi również fakt, że na podstawie publicznie dostępnej strony logowania nie widać zastosowania dodatkowych zabezpieczeń. Nie włączono ani uwierzytelniania dwuetapowego, ani mechanizmu blokującego próby logowania po błędnym haśle. Taka konfiguracja sprawia, że system jest narażony na ataki typu „brute force”, polegające na automatycznym odgadywaniu hasła przez specjalne programy. Wystarczy jedno słabe hasło, by niepowołane osoby mogły uzyskać dostęp do całego serwisu.
W dobie coraz częstszych ataków ransomware, phishingu i złośliwego oprogramowania, taka sytuacja budzi uzasadniony niepokój. Czy powiat podejmie działania, by dostosować BIP do aktualnych standardów bezpieczeństwa cyfrowego? Warto przypomnieć, że administracja publiczna zobowiązana jest do przestrzegania zasad wynikających m.in. z ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jednym z podstawowych obowiązków jest utrzymanie systemów teleinformatycznych w stanie zapewniającym bezpieczeństwo informacji.
Starostwo miało możliwość przedstawienia swojego stanowiska – pytania zostały wysłane 22 października, jednak do momentu publikacji nie otrzymaliśmy odpowiedzi.
Czy urząd podejmie kroki, by zmodernizować swój BIP i zabezpieczyć dane mieszkańców przed potencjalnym atakiem? Odpowiedź na to pytanie pozostaje otwarta – ale czas na działanie ucieka.
Według naszych ustaleń, koszt aktualizacji strony to kwota rzędu 2,5-5 tys. zł.
Analiza dotyczy aspektów technicznych funkcjonowania strony i nie przesądza o rzeczywistym poziomie bezpieczeństwa wewnętrznych systemów informatycznych starostwa.
Łukasz Korycki
Napisz komentarz
Komentarze