TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Czy potrafimy zapewnić cyberbezpieczeństwo administracji publicznej?

Doszło do cyberataku na system Śląskiej Karty Usług Publicznych. Spowodowało to awarię i brak możliwości zakupu biletów komunikacji miejskiej w całej Górnośląsko-Zagłębiowskiej metropolii.

Cyberatak na ŚKUP spowodował, że pasażerowie tramwajów, autobusów i trolejbusów Zarządu Transportu Metropolitalnego nie mieli dostępu do portalu pasażera, ale także nie mogli korzystać z aplikacji Mobilny ŚKUP. Na przystankach nie działały tablice Systemu Dynamicznej Informacji Pasażerskiej, a w pojazdach nieaktywne były czytniki kart.

To był atak

Łukasz Zych z biura prasowego GZM potwierdził, że przyczyną awarii była ingerencja w system z zewnątrz. O cyberataku powiadomiono policję oraz służby związane z bezpieczeństwem internetu oraz ochroną danych osobowych – NASK oraz Urząd Ochrony Danych Osobowych.

– Nic nie wskazuje na to, aby dane pasażerów zostały w jakikolwiek sposób naruszone lub zagrożone. System, który uległ atakowi hakerskiemu, nie przechowuje tego typu zasobów informacji. Bezpieczne są również pieniądze zgromadzone w elektronicznej portmonetce kart ŚKUP. Po przywróceniu systemu, będą one dostępne dla pasażerów – zapewnił Łukasz Zych.

System został odtworzony z tworzonych codziennie kopii zapasowych. Potrzebny był jednak czas na utworzenie nowej, bezpiecznej infrastruktury informatycznej. W pracach brała udział firma Asseco odpowiedzialna za stworzenie systemu oraz dodatkowa zewnętrzna firma wyspecjalizowana w zakresie bezpieczeństwa systemów informatycznych.

Na czas przywracania systemu zawieszono zakup biletów za pomocą kart ŚKUP i biletów kodowanych.

Administracja publiczna na celowniku

Atak na ŚKUP nie był jednak jedynym atakiem, którego doświadczyła administracja publiczna w ostatnim czasie. O innym opowiedział Zygmunt Litwińczuk, wójt gminy Tuczna w lubelskim. Kilka tygodni temu doszło tam do ataku ransomware. Zaszyfrowano pliki na serwerze urzędu gminy, a odszyfrowanie miało nastąpić po przekazaniu okupu w kryptowalucie.

Ten atak powiązany był z pracą zdaną. O wyzwaniach cyberbezpieczeństwa związanych z tą formą zatrudnienia pisaliśmy nieraz na naszym portalu. W Tucznie haker zainfekował serwery kryptowirusem Ransomware Makop. Gmina okupu nie zapłaciła. Dane takie z księgowości podatkowej, budżetowej czy te dotyczące akcyzy trzeba było odtworzyć.

Z kolei w Urzędzie Miasta w Otwocku przez kilka dni nie działały karty metropolitalne i karty dużej rodziny. Tu także miał miejsce cyberatak, który spowodował także problemy z załatwianiem niektórych spraw podatkowych oraz z wnoszeniem opłat za gospodarowanie odpadami.

Podobna blokada dotknęła serwera z bazami danych Powiatowego Ośrodka Dokumentacji Geodezyjnej i Kartograficznej w Oświęcimiu. W systemie nie dało się zgłaszać prac, udostępniać materiałów, przyjmować prac geodezyjnych do zasobu czy składać projekty do uzgodnień na naradach koordynacyjnych. Powiat nie zdecydował się na zapłacenie okupu, przeznaczył za to ponad 600 tys. zł na odszyfrowanie danych.

Mają rozmach…

Cyberataki pojawiają się również w systemach o szerszym zasięgu.

Sam minister Janusz Cieszyński na swoim profilu w serwisie LinkedIn odniósł się do ostatniego cyberataku na Profil Zaufany:

Prawdopodobnie wykorzystano do niego dane logowania z wycieku w innym systemie (poza administracją). Okazało się, że miał on porażająco wysoką skuteczność na poziomie 45 proc. Dzięki czujności zespołu utrzymania i bezpieczeństwa Centralnego Ośrodka Informatyki obyło się bez szkód, konta zostały zablokowane, a ich właściciele powiadomieni. Nie zawracam już głowy, instalujcie menedżery haseł.

W listopadzie 2022 r. przeprowadzono atak na system komputerowy Wydziału Spraw Obywatelskich i Cudzoziemców Lubelskiego Urzędu Wojewódzkiego. Zostały w nim zamieszczone linki do stron pornograficznych.

– Nie wygląda to najlepiej. Urzędy centralne nie są w stanie poradzić sobie z takimi problemami, więc śmiem twierdzić, że małe gminy są wręcz bezbronne. Brakuje im funduszy na odpowiednie zabezpieczenie, a także sił organizacyjnych. Cyberbezpieczeństwo nie jest też traktowane przez samorządy jako zadanie pierwszej potrzeby – stwierdza Tomasz Telesiński, dyrektor biura w Stowarzyszeniu Gmin i Powiatów Wielkopolski.

Jak chronić samorządy przed cyberatakami?

Niestety nie ma sposobu, by samorządy uniknęły problemów. Coraz więcej spraw załatwiamy online, a to naraża systemy na zagrożenia. Większa liczba dokumentów przenoszonych do sieci i większa liczba kanałów komunikacji między urzędami i obywatelami, to większa liczba dość do systemu, które mogą wykorzystywać hakerzy.

– Wiele urzędów z dnia na dzień musiało przestawić się na pracę zdalną. To także otwiera drogę do ataków, tym bardziej, że większość urzędników nie otrzymała służbowego sprzętu, nie przeszła przeszkolenia z zakresu bezpieczeństwa IT, nie aktualizuje na bieżąco oprogramowania, a zarządzający urzędami gmin nie dokonują gradacji uprawnień dostępu np. do serwera gminy. A przecież nie wszyscy do wszystkiego muszą i powinni mieć dostęp – mówi dr Damian Rusinek, ekspert z zakresu bezpieczeństwa IT z Lublina.

Patrycja Tatara, ekspertka ds. cyberbezpieczeństwa w Sprint S.A., ostrzega przed próbami bagatelizowania zagrożenia. Światowe trendy i badania pokazują, że ofiarami ponad 44 proc. ataków ransomware są władze lokalne (dane Barracuda Networks).

– Niestety administracja gminna, miejska czy powiatowa jest bardzo atrakcyjnym celem ataku dla hakerów. Z wielu powodów, ale przede wszystkim dlatego że może być furtką do zainfekowania złośliwym oprogramowaniem wielu innych instytucji, a także firm. Przykładowo, poprzez masową wysyłkę „złych” linków ze zhakowanej skrzynki urzędniczej. Poza tym w bazach samorządowych przechowywane są praktycznie wszystkie dane osobowe obywateli, które przestępcy mogą wykorzystać do kradzieży tożsamości – zauważa Patrycja Tatara.

Potrzeba inwestycji

Istotne są fundusze, jakie jednostki samorządu terytorialnego są w stanie przeznaczyć na prace działu IT, w tym na cyberbezpieczeństwo.

– Trzeba pamiętać, że wśród JST są zarówno miasta z dużymi budżetami na obsługę informatyczną jak i niewielkie gminy, w których za całą obsługę informatyczną odpowiada jedna lub dwie osoby. Trudno więc mówić o jednolitym poziomie bezpieczeństwa całej administracji lokalnej. Widzimy, że w ostatnich latach rośnie świadomość konieczności zwiększenia nacisku na poprawę zabezpieczeń, jednak nie zawsze za deklaracjami idą pieniądze na niezbędne działania. Nawet w tych większych gminach zdarza się, że niezależne testy bezpieczeństwa są zamawiane dopiero po tym, jak już padną ofiarą jakiegoś ataku – zauważa Łukasz Jachowicz, specjalista ds. bezpieczeństwa IT w firmie Mediarecovery.

Hakerzy łatwo uzyskują informacje o kontrahentach publicznych urzędów, a to ułatwia im ataki socjotechniczne. Natomiast osoby pracujące w JST niekoniecznie są wyspecjalizowane w cyberbezpieczeńtwie.

–  Liczba tych ataków może w najbliższym czasie wzrosnąć, zważywszy na wnioski z badania zabezpieczeń JST zrealizowane przez CERT NASK. Dostępność baz danych bezpośrednio z Internetu czy otwarte panele logowanie do CMS stron internetowych samorządów to furtki, które trzeba jak najszybciej zamknąć.  Liczę na to, że wydatnie przyczyni się do tego rządowy program Cyfrowa Gmina – dodaje Patrycja Tatara.

Wiadomo również, że niezależnie od doskonałości ochrony systemów informatycznych, warto zadbać o personel. W wielu firmach i organizacjach najsłabszym ogniwem jest człowiek. Szkolenia podnoszące świadomość urzędników w zakresie zagrożeń i sposobów ich identyfikacji są równie ważne, a może nawet ważniejsze, niż technologiczne ochrony systemów.

–  Konieczne jest potraktowanie budżetów na bezpieczeństwo IT jako inwestycję, a nie koszt. Wartościową inicjatywą wydaje się też tworzenie w mikroregionach tzw. SOC (Security Operations Center), które mogą monitorować bezpieczeństwo oraz sprawnie reagować na incydenty na przykład kilku gmin, co też pozwoli na współdzielenie kosztów funkcjonowania takich komórek. Tego typu rozwiązanie pozwala też sprawnie raportować incydenty zgodnie z wymogami ustawowymi np. raportowanie do CERT.GOV.PL czy NASK – wskazuje Łukasz Jachowicz.

Czytaj także:




Klaudia Wojciechowska
Klaudia Wojciechowska
Redaktorka ISPortal i ISProfessional. Dziennikarka telewizji lokalnego operatora telekomunikacyjnego Ret-Sat1. Absolwentka kulturoznawstwa na Uniwersytecie Łódzkim ze specjalizacją filmoznawstwo i nowe media.

przeczytaj najnowszy numer isporfessional

Najnowsze