Urząd Miasta w Gdańsku jest jednostką organizacyjną, przy pomocy której Prezydent Miasta wykonuje gminne i powiatowe zadania publiczne, w tym zadania z zakresu administracji rządowej wynikającej z ustawy. Struktura organizacyjna urzędu złożona jest z 28 wydziałów, którymi kierują dyrektorzy. Urząd w trosce o wygodę obywateli, aktywnie wykorzystuje nowoczesne technologie. Dzięki temu wiele spraw mieszkańcy mogą załatwić przez Internet.

Fakty i dane

Pełna nazwa

Pełna nazwa

Urząd Miejski w Gdańsku

WWW

WWW

https://www.gdansk.pl/urzad-miejski

Branża

Branża

Administracja Państwowa

Czego oczekiwał klient?

Urząd Miejski w Gdańsku korzysta z nowoczesnych technologii w codziennej pracy, co naraża jednostkę na ryzyko cyberataków. Dlatego też poszukiwał doradcy i konsultanta, który przeprowadzi testy penetracyjne, sprawdzające, czy stosowane zabezpieczenia sieci LAN są oporne na ataki z zewnątrz. Wybór padł na PBSG, ponieważ jesteśmy wyspecjalizowani w audytach IT oraz testach systemów teleinformatycznych. Ponadto posiadamy własne narzędzia oraz metodykę działań, które pozwalają w sposób bezpieczny i kontrolowany przeprowadzić symulacje ataków. Zadaniem PBSG było przeprowadzenie testów styku sieci LAN z internetem metodami Black-Box i White-Box.

Co zrobiliśmy?

PRZYGOTOWALIŚMY ŚRODOWISKO TESTOWE
 

Po zdefiniowaniu celów testów przystąpiliśmy do przygotowania środowiska testowego. W tym celu zidentyfikowaliśmy działające usługi, port, typy i wersje oprogramowania oraz ustaliliśmy harmonogram prac.

PRZEPROWADZILIŚMY TESTY

Testy wykonaliśmy metodami Black-Box i White-Box, dzięki czemu uzyskaliśmy obiektywne spojrzenie na infrastrukturę sieciową z punktu widzenia potencjalnego intruza. Zweryfikowaliśmy m. in. działające i dostępne od strony sieciowej usługi oraz otwarte porty TCP i UDP.

ZEBRALIŚMY I PRZEANALIZOWALIŚMY WYNIKI

Zadaniem testów było zebranie informacji o badanych systemach, analiza działających usług i otwartych portów, analiza znanych podatności i penetracji słabości. Pozwoliło to wytypować podatności o największym znaczeniu.

RAPORT Z REKOMENDACJAMI

Rezultatem naszych prac był raport zawierający kompleksową ocenę ryzyka wraz z rekomendacjami dla budowy obszaru bezpieczeństwa. Dzięki naszym wskazówkom klient mógł wdrożyć kolejne kroki, które pozwalają ograniczyć lub całkowicie wyeliminować zagrożenia.

Jakie były rezultaty?

Jednostka publiczna, jaką jest Urząd Miejski w Gdańsku, jest narażona na cyberataki i próby nieautoryzowanego dostępu, które w konsekwencji mogą przerwać ciągłość działania organizacji i/lub ujawnić dane o obywatelach gromadzone w publicznych rejestracjach. Dlatego też regularne audyty IT oraz testy penetracyjne są niezbędne, aby zapewnić bezpieczeństwo, jakiego oczekuje się od takich organizacji.
Projekt obejmował:

  • ogólne sprawdzenie firewalli, IPS, AV
  • szczegółowe sprawdzenie: aktywnych usług i ich podatności, otwartych portów, systemów operacyjnych, możliwości niezależnego poznania topologii sieci z perspektywy agresora, możliwości podsłuchiwania sieci, przechwytywania sesji, ustawienia protokołu SNMP, usług DNS, SMTP, SMB, działania protokołów routingu, certyfikatów SSL i ich zastosowania
  • sprawdzenie wybranych zagadnień na urządzeniu brzegowym: usługi, statystyka ruchu, symulacja ataku, podatności konfiguracji protokołu SNMP
  • wskazanie, czy występuje nietypowy ruch na urządzeniu brzegowym poprzez skanowanie oraz ataki penetracyjne zewnętrzne, wykrycie i testowanie aplikacji www, zewnętrzne badanie infrastruktury, badanie na poziomie sieci, próby detekcji wykorzystanego oprogramowania, badanie obecności i konfiguracji protokołu szyfrującego HTTPS
    Realizacja projektu ujawniła elementy wymagające doskonalenia. Dzięki temu klient mógł ukierunkować działania naprawcze w kierunku podatności o największym znaczeniu. Opracowane rekomendacje przyczyniły się do poprawy bezpieczeństwa działalności Urzędu Miejskiego w Gdańsku oraz usystematyzowały procedury zarządzania bezpieczeństwem teleinformatycznym.

Co zyskał klient?

Niezależną i ogólną ocenę poziomu bezpieczeństwa styku sieci.

Wskazanie rekomendacji i środków zaradczych pozwalających wyeliminować zagrożenia.

Wyznaczenie podatności o znacznym ryzyku, co pozwoliło efektywnie zaplanować działania naprawcze.

Zwiększoną świadomość na temat najnowszych podatności i metod ich usuwania.

Profesjonalizm firmy PBSG, reprezentuje najwyższy międzynarodowy poziom. Doceniamy ogromne zaangażowanie konsultantów, którzy wykazali się bogatym doświadczeniem oraz umiejętnościami w zakresie wykonywania testów penetracyjnych. Decydując się na firmę PBSG dokonaliśmy trafnego wyboru.
Cezary Małkowski
Referat Infrastruktury Teleinformatycznej i Wsparcia Użytkowników Urząd Miejski w Gdańsku
Pobierz list referencyjny

Zrealizowane usługi

Bezpieczeństwo IT

Dowiedz się więcej

Sprawdź pozostałe Case Studies

Wszystkie Case Studies

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie