Eksplozja cyberzagrożeń – zagrożone m.in. samorządy

urząd

Przestarzały sprzęt, mnogość wrażliwych i cennych z perspektywy cyberprzestępców danych, a także konieczność zapewnienia ciągłości świadczenia usług publicznych – to czynniki, które sprawiają, że jednostki samorządu terytorialnego (JST) stają się obiektem licznych cyberataków. Według badania z 2020 roku, 44 proc. ataków ransomware było wymierzonych w samorząd terytorialny*. Jak wskazują eksperci ds. bezpieczeństwa IT ze Stormshield, z rosnącym zagrożeniem muszą radzić sobie władze zarówno dużych miast i metropolii, jak i mniejszych ośrodków.

Antidotum na zagrożenia w cybersferze nie jest wyłączanie w godzinach wieczornych i w weekendy świadczonych cyfrowo usług – co ma miejsce w niektórych gminach. Zdaniem ekspertów Stormshield kluczowe z perspektywy JST są odpowiednie firewalle oraz nieustanne podnoszenie kompetencji pracowników.

Jak pokazują dane ryzyko ataków ransomware rośnie, a dodatkowo stają się one coraz bardziej złożone. Co więcej przestępcy stosują również nową formę presji mającą skłonić ofiary do zapłaty okupu tj. groźbę upublicznienia skradzionych danych. Taka sytuacja miała miejsce we francuskiej metropolii Aix-Provence-Marseilles. We wrześniu 2020 r. cyberprzestępcy opublikowali 20 gigabajtów skradzionych danych, obejmujących bazę 23 tys. adresów e-mail powiązanych z nazwiskami funkcjonariuszy publicznych. Innym przykładem, jednym z wielu w ostatnich miesiącach, było sparaliżowanie w sierpniu 2021 roku regionalnego centrum danych włoskiego Lacjum, co uniemożliwiło dostęp do platformy rezerwacji szczepień przeciwko Covid-19.

Liczba ataków ransomware gwałtownie rośnie, tak że można nazwać skalę tego zjawiska mianem swoistej „eksplozji”. Pamiętajmy, że władze lokalne obsługują zarówno tradycyjne systemy informatyczne, jak i bardziej wrażliwe pod względem bezpieczeństwa cyfrowego infrastruktury IoT. Jakie mogą być skutki wrogich działań pokazała sytuacja ze stycznia 2022 roku, kiedy to atak na więzienie w Nowym Meksyku spowodował wyłączenie kamer monitoringu i automatycznie sterowanych drzwi. Z kolei na początku maja zaszyfrowana została bułgarska poczta. Atak przeprowadzono przed prawosławnymi świętami Wielkanocymi co utrudniło obsługę świątecznych przesyłek, a także wypłatę emerytur. Podobne przypadki miały miejsce w Polsce, w Gminie Kościerzyna przed Bożym Narodzeniem w 2019 roku oraz w Gminie Aleksandrów przed Wielkanocą w 2021 roku – mówi Aleksander Kostuch, ekspert Stormshield, europejskiego lidera branży bezpieczeństwa IT.

Na wzrost zagrożenia w polskich realiach przekłada się także sytuacja związana z atakiem Rosji na Ukrainę.

Cyberprzestępcy w kampaniach będą z całą pewnością nawiązywać do tematu wojny i uchodźców. Praca pod presją nie sprzyja koncentracji uwagi, co powoduje, że łatwiej o omyłkowe kliknięcie w wiadomość lub załącznik, które pochodzą z niezaufanego źródła, a to może mieć poważne konsekwencje – dodaje Aleksander Kostuch.

Specjaliści Stormshield wskazują na kilka kluczowych efektów jakie mogą rodzić ataki przeciwko samorządom:

  • Zakłócenie ciągłości usług publicznych. Władze lokalne z wykorzystaniem systemów informatycznych administrują szeroką gamą usług dla społeczności lokalnych, np. wodociągowych. Bez dostępu do danych obsługa tych obszarów jest poważnie utrudniona, a niejednokrotnie niemożliwe.
  • Problemem jest groźba wycieku, kradzieży lub utraty danych: osobowych, finansowych czy podatkowych, jako że władze lokalne mają dostęp do wrażliwych danych swoich obywateli.
  • Należy także wziąć pod uwagę ryzyko prawne. W przypadku udowodnienia winy w zakresie ochrony danych osobowych, organ samorządu terytorialnego narażony jest nie tylko na sankcje ze strony organów państwowych, ale także na postępowanie sądowe podejmowane przez samych obywateli.
  • Istotną konsekwencją jest również obniżenie reputacji samorządu. Cyberatak może mieć negatywny wpływ na zaufanie do władz lokalnych, aspekt o niebagatelnym znaczeniu w kontekście wyborów samorządowych.

Niewystarczający budżet

Jedną z przyczyn słabości systemów zabezpieczeń stosowanych przez samorządy jest brak wystarczających środków. Większość francuskich władz lokalnych przeznacza na cyberbezpieczeństwo mniej niż 10% swojego budżetu, co jest wskaźnikiem zalecanym przez ANSSI (Agence nationale de la sécurité des systèmes d’information – Krajowa Agencja Bezpieczeństwa Systemów Informatycznych). W polskich warunkach ten wskaźnik oscyluje na poziomie około 3% wszystkich wydatków na informatykę, a powinien kształtować się na poziomie od 9 do 14%. W naszym kraju nie obowiązuje żadne rozporządzenie dotyczące rekomendowanej wielkości budżetu na IT.

W polskich gminach poziom wydatków najczęściej kształtowany jest doraźnie. W budżetach uwzględniane są koszty aktualizacji użytkowanych na bieżąco systemów antywirusowych i firewalli oraz audytu, który ostatnio został rekomendowany jako obowiązkowy. Nierzadko jednak samorządowcy szukają oszczędności poprzez zaniechanie wydatków w nowe rozwiązania podnoszące zabezpieczenia sieci i systemów czy zewnętrzne konsultacje z ekspertami – komentuje ekspert Stormshield.

Brak budżetu wpływa na pojawienie się kolejnego potencjalnego obszaru ataku dla cyberprzestępców – starzejących się stacji roboczych, które operują na przestarzałych i często nieaktualizowanych systemach. Inwentaryzację gminnych komputerów przeprowadzono w ubiegłym roku na wniosek Kancelarii Prezesa Rady Ministrów. Badanie było związane z planowanym wdrożeniem rozwiązań technicznych umożliwiających wydawanie dowodu osobistego zawierającego odciski palców. Jak wykazało, blisko 40% stacji roboczych, czyli cztery spośród 11 tysięcy komputerów wykorzystywanych przez gminy, jest poza okresem gwarancyjnym lub ich systemy operacyjne (Windows 7 i 8) utraciły wsparcie producenta. W związku z tym nie zapewniają one odpowiedniego poziomu bezpieczeństwa, aby przetwarzać na nich dane osobowe.

–  Praca na systemach operacyjnych, które utraciły wsparcie producenta, to igranie z ogniem. Pośrednio skala tego problemu jest potwierdzeniem wciąż niewystarczającej wiedzy co do potencjalnego zagrożenia. Zasadnym byłoby intensyfikować działania edukacyjne poprzez szkolenia z zakresu cyberbezpieczeństwa oraz zwiększać stan świadomości „higieny cyfrowej”, której poziom wciąż pozostaje niewystarczający – dodaje Aleksander Kostuch.

Gminy będą bardziej cyfrowe

Sytuacja w obszarze bezpieczeństwa cyfrowego JST powinna ulec zmianie. W ramach Krajowego Planu Odbudowy Polska do końca 2026 roku ma otrzymać z UE ponad 57 mld euro. 20% tej kwoty jest zarezerwowane na cyfryzację. Jednym z punktów planu jest zapewnienie cyberbezpieczeństwa systemów informacyjnych. Obejmie to budowę sieci siedmiu regionalnych centrów cyberbezpieczeństwa dla jednostek samorządu terytorialnego, budowę systemu sześciu sektorowych zespołów reagowania na incydenty komputerowe, wzmocnienie potencjału i modernizację infrastruktury podmiotów Krajowego Systemu Cyberbezpieczeństwa oraz innych podmiotów kluczowych, podłączenie 385 podmiotów Krajowego Systemu Cyberbezpieczeństwa do zintegrowanego – centralnego systemu zarządzania bezpieczeństwem cyberprzestrzeni, realizację projektów mających na celu zabezpieczenie ciągłości działania ośrodków obliczeniowych i systemu telekomunikacyjnego na potrzeby zabezpieczenia konkretnych e-usług i wsparcie cyfryzacji służb odpowiedzialnych za bezpieczeństwo.

Bieżącą odpowiedzią na problemy i potrzeby samorządów jest m.in. program „Cyfrowa gmina”. W ramach programu gminy mogą pozyskiwać systemy i sprzęt zwiększający ochronę IT.

Dzięki programowi można uzyskać środki na sprzęt z aktualnym systemem operacyjnym i pakietem biurowym, dzięki czemu możliwy będzie bezpieczny dostęp do zasobów lokalnych lub realizowanych poprzez pracę zdalną. Możliwa jest także wymiana lub uzupełnienie ochrony brzegu sieci poprzez zakup lub uzupełnienie firewalli nowszej generacji czy zakup systemów rejestrowania zdarzeń i wizualizacji oraz obsługi incydentów, tzw. systemy SIEM – mówi Aleksander Kostuch.

Zdaniem ekspertów Stormshield perspektywy JST szczególne znaczenie ma możliwość zakupu narzędzi Endpoint detection and response (EDR) służących wykrywaniu i reagowaniu na podejrzane aktywności w urządzeniach końcowych, czy tworzenie ochrony dedykowanej zapobieganiu atakom typu ransomware i wyciekom danych (tzw. Data Loss Prevention – DLP), jak również narzędziom do ich szyfrowania. Warunkiem obligatoryjnym otrzymania grantu jest audyt bezpieczeństwa IT wykonywany przez specjalistyczne podmioty i certyfikowanych fachowców od bezpieczeństwa.

Dofinansowanie przełoży się na zwiększoną ochronę przed podatnościami i skuteczniejszą konfigurację infrastruktury cyber zabepieczeń. W szczególności ważne są aspekty zabezpieczeń sieci wewnętrznej, w których należy wykonać separacje kluczowych elementów, oddzielając użytkowników od serwerów umieszczonych w dedykowanych „strefach zdemilitaryzowanych” (demilitarized zone – DMZ) bazując na wykrywaniu włamań (tzw. Intrusion Prevention System – IPS), który jest kluczową i zintegrowaną funkcjonalnością w firewall. Firewall aktywnie kontroluje ruch sieciowy w ramach podsieci blokując zagrożenia i ataki – wyjaśnia Aleksander Kostuch ze Stormshield.

Firewalle umożliwiają bezpieczne, zdalne połączenie się pracowników mobilnych z siecią, tak jakby pracowali w biurze. Obok pracy zdalnej, samorządy coraz częściej korzystają z aplikacji chmurowych.

Trudno sobie wyobrazić zastój spowodowany awarią głównego z elementów zabezpieczeń. A jako że nie zawsze pojedynczy firewall jest wystarczający, to praktykowanym rozwiązaniem jest instalacja drugiego urządzenia, co pozwala zapewnić wysoką dostępność do usług w przypadku potencjalnej awarii jednego z nich – komentuje specjalista w dziedzinie bezpieczeństwa IT.

Jak wskazuje tam, gdzie mamy do czynienia z protokołami przemysłowymi, np. w oczyszczalniach ścieków i wodociągach miejskich należy realizować ochronę poprzez instalacje firewalli najbliżej elementów krytycznych, takich jak stacje sterujące, czujniki, siłowniki i inne urządzenia autonomiczne jak zintegrowane systemy (tzw. Internet of Things – IOT). Rozproszone firewalle mają możliwość komunikacji z centralnym systemem nadzoru, gdzie się monitoruje i zarządza bezpieczeństwem. Tak powstają centralne, gminne lub miejskie ośrodki Centrum Operacji Bezpieczeństwa, (tzw. Security Operations Center – SOC).

Uzupełnieniem tych rozwiązań są szkolenia, nie tylko użytkowników, lecz również kadry technicznej, aby miała świadomość słabych punktów infrastruktury sieciowej i w oparciu o tę wiedzę wprowadzała i regularnie aktualizowała stosowne zabezpieczenia i procedury. Firewalle firmy Stormshield mają intuicyjny polski interfejs, Wsparciu polskiego dystrybutora rozwiązań Stormshield daje pełnię możliwości wykorzystania rozwiązania tego typu w JST. Oceniając to z perspektywy ograniczeń budżetowch, ale przede wszystkim strat wywołanych potencjalnym atakiem, koszt utrzymania takiego rozwiązania jest relatywnie najtańszy – podsumowuje Aleksander Kostuch.

* https://www.prawo.pl/samorzad/ataki-hakerskie-na-serwery-gmin-i-miast,513134.html