Ochrona przed zagrożeniami cyberbezpieczeństwa jest jednym z głównych priorytetów polityki UE, niezbędnym do utrzymania odpornych cyfrowych łańcuchów dostaw i infrastruktury. Przekłada się to m.in. na tworzenie regulacji prawnych, które bezpośrednio dotyczą cyberbezpieczeństwa, jak np. NIS2 czy DORA, czy ustaw o szerszym zastosowaniu takich jak AI Act.
Raport Capgemini eGovernment Benchmark wskazuje, że mniej niż 1% wszystkich stron z usługami publicznymi dla obywateli w UE spełnia wszystkie 13 kryteriów bezpieczeństwa. Jedynym krajem, którego strony internetowe spełniają wszystkie wymagania, jest Holandia.
Komentuje Filip Brzóska, Chief Information Security Officer w Capgemini Polska:
Badania Capgemini pokazały, że w testach bezpieczeństwa 50% stron internetowych z usługami publicznymi dla obywateli uzyskało pozytywny wynik. Niepokoi fakt, że spośród wszystkich ocenianych portali rządowych w krajach UE27, mniej niż 1% otrzymało wynik pozytywny dla wszystkich 13 kryteriów bezpieczeństwa. Tylko 3% stron internetowych zapobiega szerokiemu zakresowi ataków typu cross-site scripting i clickjacking (polityka bezpieczeństwa treści), a jedynie 10% zapewnia bezpieczne połączenie HTTPS, które uniemożliwia osobom trzecim odczytywanie lub zmienianie treści przesyłanych między użytkownikiem a stroną internetową.
Na szczęście prawie wszystkie strony internetowe zapobiegają czytaniu treści witryny i dostępowi do prywatnych informacji użytkowników przez obce strony (cross-origin resource sharing na poziomie 95%) oraz szyfrują dane przesyłane między przeglądarką użytkownika a stroną internetową (94%).
Ocena Capgemini opiera się na dwóch publicznie dostępnych narzędziach: Internet.nl oraz Mozilla Observatory. Narzędzia te służą do przeprowadzenia podstawowego testu, który dostarcza wstępnych wskazówek dotyczących bezpieczeństwa stron internetowych. Należy zauważyć, że testy te oferują jedynie orientacyjne zrozumienie bezpieczeństwa, nie jest to pełna, kompleksowa ocena cyberbezpieczeństwa.
Pozytywne wyniki nie gwarantują całkowicie bezpiecznej strony, tak samo, jak negatywne wyniki niekoniecznie oznaczają, że strona jest niebezpieczna. Może się okazać np., że na danej stronie istnieją niewykryte alternatywne rozwiązania cyberbezpieczeństwa.
Wyniki badania powinny zostać potratowane jak sygnał ostrzegawczy, ale zdecydowanie nie są wezwaniem do paniki. Dbałość o cyberbezpieczeństwo to ciągła praca, w której konieczny jest spryt i innowacyjność. W końcu cyberprzestępcy też stale zastanawiają się jakie nowe metody mogą obrać. Oczywiście w UE jest nad czym pracować i wszystkie kraje, poza Holandią, która zdała test na szóstkę, powinny pilnie zając się poprawą cyberbezpieczeństwa swoich usług publicznych. Oczywiście nawet najlepiej oceniane kraje nie powinny osiadać na laurach. Cyberbezpieczeństwo obywateli wymaga nieustannym rozwoju i uważności.
