Robisz sobie bazę danych na geoportal.gov.pl? Natychmiast przestań!

Jako społeczeństwo uczymy się jeszcze bezpieczeństwa IT. Jest coraz lepiej, ale są dziury. Nie będę pisał truizmów o tym, że najsłabszym ogniwem jest człowiek.

👉 Ale co to ma do GIS?

Geoportal ma dwie świetne funkcje: „Szkicownik”, dzięki któremu można sobie „porysować po mapie” oraz „Link do kompozycji mapowej”, dzięki któremu można stworzyć link do mapy i wysłać go e-mailem.

👉 Super, gdzie problem?

To działa tak, że dane nt. kompozycji (zasięg mapy, włączone warstwy, narysowane obiekty) są zapisywane (pewnie jako XML/JSON) i wrzucane do bazy Geoportalu pod konkretnym ID. Ten ID to po prostu kolejny numer wpisu do bazy. Ten ID jest też oczywiście częścią składową „Linku do kompozycji mapowej”.

👉 OK, ale gdzie problem?

Problemem jest to, że są to kolejne numery (każdy kolejny link to po prostu kolejny numer ID). To jeszcze nie jest zbrodnia z zakresu security. Zbrodnią jest to, że są firmy, które w oparciu o te dwa narzędzia tworzą swój „wewnętrzny system GIS” (np. bazy danych analizowanych pod OZE)😳
Serio.

Wystarczy wpisać ID np. o 100 mniejsze niż numer wygenerowany przed chwilą, żeby przejrzeć czyjeś szkice (np. listę kilkuset działek z kontaktami do właścicieli – true story). Dodatkowo okazuje się, że wiedza o tym, że ten „Link do kompozycji mapowej” jest de facto publiczny nie jest oczywista. Nie wszyscy zdają sobie z tego sprawę 😳

👉Jakie jest zagrożenie?

GISowcu! Menadżerze! Jeżeli wiesz, że w Twojej firmie pracownicy wymieniają się linkami do geoportalu i tam tworzą sobie „bazy danych”, to wiedz również, że z pewnością istnieją scrapery, które te dane zbierają i analizują. Równie dobrze możecie opublikować swój CRM na Instagramie.

Bez jaj. Na pewno żadna firma tak nie robi…

Otóż robi.

👉 Co robić? Jak żyć?

Napiszę do GUGiK, żeby rozważyli przejście z numerycznych ID na np 40 znakowe ciągi alfanumeryczne, co utrudni bezkarne scrapowanie. Ale to półśrodek. Dane już wprowadzone tam zostaną.

No i dodam oczywiście, że najlepszym rozwiązaniem będzie wdrożenie sensownego systemu GIS. Na przykład GIS.Box, który możesz zainstalować w swojej infrastrukturze i prowadzić firmową bazę danych prosto, bezpiecznie i przyjemnie.