Samorządy na celowniku cyberprzestępców. Ataków będzie coraz więcej

Przedstawiciele CERT Polska podkreślają, że analizując zgłoszenie postępowali zgodnie z przyjętą metodą działania dla tego typu przypadków.

"W pierwszym kroku zawsze analizowane są znane źródła, a także możliwości odwrócenia złośliwego procesu za pomocą narzędzi zwanych dekryptorami. Jeżeli takie nie są znane, a skala zagrożenia jest znacząca, CERT Polska dokonuje wnikliwej analizy działania dostarczonej próbki - mówi Bartosz Loba, rzecznik prasowy NASK.

Czytaj też: RODO motywuje do większej ochrony przed cyberatakami

Jak zaznacza, w niektórych przypadkach, pomimo intensywnych działań analityków, odwrócenie procesu szyfrowania nie jest możliwe.

- Dlatego niezwykle ważna jest profilaktyka z zakresu przeciwdziałania infekcjom, a także właściwa konfiguracja środowiska w celu przywrócenia systemów po takim rodzaju ataku, co stanowi zadanie danego podmiotu - mówi Loba.

Na szczęście przypadek w Kościerzynie miał happy end. - Wczoraj (10 grudnia) udało nam się dostarczyć narzędzie do odszyfrowania danych. Niestety zdarza się tak, że tego narzędzia nie ma i to nie zawsze się udaje. W tym przypadku udało się znaleźć słabość, ale są też takie, które są bardzo dobrze napisane i można je porównać z chorobą, która bywa nieuleczalna i żaden lekarz nie jest w stanie pomóc - mówi Przemysław Jaroszewski, kierownik zespołu CERT Polska w NASK.

Obecnie w urzędzie trwają prace nad odszyfrowywaniem zhakowanych danych. Jak mówi wójt Kościerzyny, działania idą sprawnie. 

- Jakąś część danych już odzyskaliśmy i powoli będziemy wracać do normalności. Dzisiaj (11 grudnia) spotykamy się z ludźmi od bezpieczeństwa sieci, żeby taka sytuacja się nie powtórzyła, bo w tej chwili jeszcze nie wiadomo w jaki sposób, jaką drogą, ktoś nam takiego "psikusa" zrobił - mówi Piechowski. 

Samorządowy obowiązek

Od kilku miesięcy zgłaszanie prób ataków czy choćby wątpliwości, że taka próba mogła mieć miejsce, jest obligatoryjne. Obowiązująca od 28 sierpnia 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa nałożyła na samorządy obowiązek informowania CERT o każdorazowym incydencie. To pierwszy w Polsce akt prawny dotyczący bezpieczeństwa w sieci. Nowe prawo wdrożyło na gruncie krajowym wymogi unijnej dyrektywy NIS, przyjętej w 2016 r., której celem jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej.

W Polsce regulacja ma bardziej szczegółowy charakter - ustawą objęty został również m.in. sektor telekomunikacyjny, finansowy i administracja publiczna, na które przepisy nakładają nowe obowiązki.

- Jeżeli czytać literalnie ustawę, to incydentem może być każde zdarzenie, które może mieć wpływ na bezpieczeństwo, więc nawet jeżeli nie doszło do przełamania jakieś poufności, integralności czy dostępności, ale było to zdarzanie, które - gdybyśmy się nie obronili, nie byli czujni - mogłoby skutkować jakimiś przykrymi konsekwencjami, to jest to incydent, który należy zgłosić - mówi Przemysław Jaroszewski, kierownik zespołu CERT Polska w NASK. - Zależy nam na tym, aby takie zdarzenia były zgłaszane, bo pozwoli to innym uniknąć kłopotów. Jeżeli ktoś uniknie ataku, bo był na jego wypadek przygotowany, ale uda się przy tym ustalić w jaki sposób próbowano go zaatakować, to dzięki tej wiedzy, ktoś kto był gorzej przygotowany, może obronić przed atakiem - wyjaśnia.

PNASK opracował i udostępnił w ramach Regionalnego Systemu Ostrzegania poradnik „Cyberbezpieczeństwo”. Opracowanie jest dostępne w ramach systemu także w aplikacji mobilnej (fot. archiwum)

Ustawa nałożyła na samorządy obowiązek zgłoszenia osoby kontaktowej, która będzie obsługiwała sprawy związane ze zgłaszaniem incydentów, a także wyznaczenia koordynatora na poziomie różnych jednostek organizacyjnych. 

- Do tej pory poziom świadomości dotyczącej cyberzagrożeń na szczeblu administracji był bardzo zróżnicowany. Duże jednostki, jak np. duże miasta czy urzędy marszałkowskie, radziły sobie znacznie lepiej niż małe gminy, w których informatyk odpowiedzialny za ten obszar często jest zatrudniony na część etatu albo umowę-zlecenie. Dlatego z perspektywy małych jednostek przeciwdziałanie i radzenie sobie z zagrożeniami było bardzo trudne - przyznaje Agnieszka Aleksiejczuk, dyrektor departamentu społeczeństwa informacyjnego w Urzędzie Marszałkowskim Województwa Podlaskiego. 

Pozorna oszczędność

Zdaniem ekspertów podobnych sytuacji jak w Kościerzynie będzie więcej. Gotowe na stawienie czoła przestępcom muszą być nawet najmniejsze samorządy.

- W Stanach Zjednoczonych miasta już wielokrotnie padały ich ofiarami i to będzie działo się również u nas, to nieuniknione. Jeśli już mówimy o ransomware, czyli ataku tego typu, który miał miejsce w Kościerzynie, przestępcy widzą, że zamiast rozsyłać go po osobach prywatnych, które niekoniecznie będą gotowe zapłacić np. równowartość kilkuset euro, bardziej opłaca się wyszukiwać ofiary, dla których niedostępność usług będzie bardzo kosztowna lub posiadane przez nie dane będą cenne - czyli np. różnego rodzaje urzędy i instytucje publiczne. Szczególnie odkąd obowiązuje RODO. Przestępcy działają na zasadzie: wykradliśmy wasze dane, macie incydent, za który spotka was sroga kara, ale możemy to załatwić po cichu, zapłacisz nam i będzie po sprawie - mówi Przemysław Jaroszewski.

Czytaj też: HSBC: dla polskich firm cyberbezpieczeństwo jest na razie ważniejsze niż 5G

Samorządy są dla przestępców łakomym kąskiem, gdyż obracają wielomilionowymi budżetami, gromadzą szereg poufnych danych, których kradzież może być dla nich kłopotliwa. Ich szyfrowanie nie jest jedyną forma ataków. 

- Inną, dość powszechną formą ataku jest tzw. business email compromise, czyli podszycie się pod kontrahenta i podanie fałszywych danych do przelewu. Jeżeli już jesteśmy w sieci, to widzimy korespondencję, widzimy z kim urząd podpisuje umowę, płaci transzę za jakiś remont. Widzą to także przestępcy, którzy przesyłają urzędom fakturę wyglądającą identycznie jak ta, którą zwykle płacą, ale ze zmienionym numerem rachunku. Jaka jest szansa, że ktoś to wyłapie? Takie sytuacja, takie ataki też się niestety zdarzają - mówi kierownik zespołu CERT Polska w NASK.

Jak przyznaje -  nie ma stuprocentowej metody, która pozwoli uniknąć ataku. Ale można ograniczać jego ryzyko.

- To jest tak w życiu - możemy wiedzieć wszystko o ruchu drogowym, a i tak ktoś potrąci nas na ulicy lub zdarzy się coś, czego nie przewidzieliśmy. Przede wszystkim ważne jest budowanie świadomości, że takie ataki mają miejsce, kto może być na nie narażony, jak się rozpowszechniają itd. Niekiedy wystarczy chociażby wyczulenie na maile. Bardzo często jest tak, że one przychodzą z różnego rodzaju załącznikami, które żądają uruchomienia makra i jeżeli nie mamy czujności, otwieramy automatycznie wszystko, co przychodzi na naszą skrzynkę - nie mając świadomości, do czego może nas to doprowadzić - to jesteśmy narażeni na takie ataki - mówi ekspert CERT.

- Od strony technologicznej wszystko zależy od tego, jak dany program szyfrujący działa - czy on się rozpowszechnia pomiędzy komputerami, czy tylko na tym, na którym został uruchomiony itd. Bywa bardzo różnie, ale też wiemy, że - szczególnie w urzędach - różnie bywa z separacją sieci. To nie jest tak, że tam pracują dobrzy architekci od bezpieczeństwa. Często ten sam informatyk, który serwisuje drukarkę, postawi wifi i jednocześnie dba o bezpieczeństwo. To za mało - zaznacza.

Potrzeba zrozumienia

Zdaniem kierownika zespołu CERT samorządy muszą uważniej podejść do tematu cyberbezpieczeństwa. Nieliczne bowiem są świadome zagrożenia płynącego z sieci. 

- Jeżeli dochodzi do szyfrowania komputerów, to można to porównać do sytuacji, gdy jednocześnie awarii uległa grupa komputerów czy padła jakaś grupa dysków, bo były wadliwe. Pytanie, gdzie są kopie zapasowe, czy ktoś to serwisuje, czy potrafi odtworzyć stan chociażby sprzed kilku dni? Jeżeli nie ma takiej możliwości, a jest jedynie płacz i lament, to znaczy, że ktoś nie przygotował się na awarię. Bo ona wcale nie musi być efektem działania przestępcy czy hakera internetowego, równie dobrze może dojść do zalania serwerowni. Pytanie co dalej - mówi Jaroszewski. 

Czytaj też: Resort cyfryzacji wesprze samorządy w poprawie cyberbezpieczeństwa

I podkreśla, że samorządom potrzeba pewnej dojrzałości, zrozumienia, że są jakieś zagrożenia i przygotowania się na ewentualność ich wystąpienia.

- Samorządy stawiają niekiedy systemy, które są nie do końca przemyślane pod kątem tego, jak wygląda autoryzacja, kto ma dostęp do danych itd. Wszelakiego rodzaju usługi dla mieszkańców, dla obywateli, są pisane na zasadzie: to ma być tanie, bo to są pieniądze publiczne, i ma działać. Nie wystarcza pieniędzy, by robić testy bezpieczeństwa, nie ma czasu, by przemyśleć, jakie istnieją ryzyka. Niestety ci, którzy za to odpowiadają, często sobie tego ryzyka nie uświadamiają, a na tym nie da się oszczędzać i nie można oszczędzać. Tak jak instaluje się różnego rodzaju mechaniczne zabezpieczenia, bo nie chcemy żeby ktoś nam wyniósł różnego rodzaju dokumenty, sprzęt czy akta, tak samo te informacje czy usługi znajdujące się w przestrzeni cyfrowej, należy chronić. O tym trzeba myśleć, na tym nie można oszczędzać, bo to są pozorne oszczędności - mówi ekspert NASK. 

Polskie miasta na celowniku

Według danych F-Secure najczęściej atakowane miasta w Polsce to kolejno Warszawa, Poznań, Kraków, Gdańsk i Wrocław. Na dalszych miejscach znalazły się Szczecin, Lublin, Nowy Targ, Łódź i Katowice. Zgromadzone przez firmę dane nie wskazują, które konkretnie podmioty i instytucje są celem działań hakerów.

Czytaj też: Warszawa, Poznań i Kraków najczęściej atakowanymi przez hakerów miastami w Polsce

Próby cyberataków na nasz kraj najczęściej prowadzone są z USA, Francji, Rosji i Chin. Dane na temat zagrożeń zostały uzyskane dzięki autorskiej sieci serwerów, tzw. honeypots, które stanowią przynętę dla przestępców. Zaatakowane przez hakerów umożliwiają pozyskanie cennych danych oraz opracowywanie kolejnych metod walki z cyberzagrożeniami.