Robisz sobie bazę danych na geoportal.gov.pl? Natychmiast przestań!

Jako społeczeństwo uczymy się jeszcze bezpieczeństwa IT. Jest coraz lepiej, ale są dziury. Nie będę pisał truizmów o tym, że najsłabszym ogniwem jest człowiek.

👉 Ale co to ma do GIS?

Geoportal ma dwie świetne funkcje: “Szkicownik”, dzięki któremu można sobie “porysować po mapie” oraz “Link do kompozycji mapowej”, dzięki któremu można stworzyć link do mapy i wysłać go e-mailem.

👉 Super, gdzie problem?

To działa tak, że dane nt. kompozycji (zasięg mapy, włączone warstwy, narysowane obiekty) są zapisywane (pewnie jako XML/JSON) i wrzucane do bazy Geoportalu pod konkretnym ID. Ten ID to po prostu kolejny numer wpisu do bazy. Ten ID jest też oczywiście częścią składową “Linku do kompozycji mapowej”.

👉 OK, ale gdzie problem?

Problemem jest to, że są to kolejne numery (każdy kolejny link to po prostu kolejny numer ID). To jeszcze nie jest zbrodnia z zakresu security. Zbrodnią jest to, że są firmy, które w oparciu o te dwa narzędzia tworzą swój “wewnętrzny system GIS” (np. bazy danych analizowanych pod OZE)😳
Serio.

Wystarczy wpisać ID np. o 100 mniejsze niż numer wygenerowany przed chwilą, żeby przejrzeć czyjeś szkice (np. listę kilkuset działek z kontaktami do właścicieli – true story). Dodatkowo okazuje się, że wiedza o tym, że ten “Link do kompozycji mapowej” jest de facto publiczny nie jest oczywista. Nie wszyscy zdają sobie z tego sprawę 😳

👉Jakie jest zagrożenie?

GISowcu! Menadżerze! Jeżeli wiesz, że w Twojej firmie pracownicy wymieniają się linkami do geoportalu i tam tworzą sobie “bazy danych”, to wiedz również, że z pewnością istnieją scrapery, które te dane zbierają i analizują. Równie dobrze możecie opublikować swój CRM na Instagramie.

Bez jaj. Na pewno żadna firma tak nie robi…

Otóż robi.

👉 Co robić? Jak żyć?

Napiszę do GUGiK, żeby rozważyli przejście z numerycznych ID na np 40 znakowe ciągi alfanumeryczne, co utrudni bezkarne scrapowanie. Ale to półśrodek. Dane już wprowadzone tam zostaną.

No i dodam oczywiście, że najlepszym rozwiązaniem będzie wdrożenie sensownego systemu GIS. Na przykład GIS.Box, który możesz zainstalować w swojej infrastrukturze i prowadzić firmową bazę danych prosto, bezpiecznie i przyjemnie.

Brak komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


Szkolenia GIS i QGIS

Szkolenia podstawowe i dedykowane w formie zdalnej oraz stacjjonarnej

Zobacz ofertę szkoleń