Od tego roku JST są oddzielną kategorią podmiotu zgłaszającego takie incydenty do CERT Polska. W samym tylko styczniu i lutym zgłosiły ich ponad 30. Wygląda jednak na to, że o ochronę muszą zadbać same, np. decydując się na usługi zewnętrznych dostawców przestrzeni dyskowej.

Hakerzy coraz częściej próbują łamać zabezpieczenia systemów JST, na długo paraliżując ich pracę. Przekonał się o tym niedawno Urząd Marszałkowski Województwa Małopolskiego – cyberprzestępcy zaszyfrowali jego pliki przy pomocy złośliwego oprogramowania typu ransomware [ramka] i zażądali okupu za przywrócenie funkcjonalności systemu. Samorządowcy nie podjęli negocjacji z włamywaczami, tylko zawiadomili odpowiednie służby oraz zgłosili incydent do prezesa Urzędu Ochrony Danych Osobowych. Niestety urząd marszałkowski wciąż podnosi się po ataku i zapowiada opóźnienia w rozpatrywaniu spraw. Tymczasem Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa, przyznaje, że taka sytuacja może się powtórzyć w innej JST, bo urzędy miast i gmin coraz częściej stają się celem ataków hakerskich. Potwierdzają to też dane przekazane nam przez NASK [informacja].
Ransomware – rodzaj oprogramowania zaprojektowanego w celu uniemożliwienia dostępu do danych i ich zaszyfrowania do momentu zapłacenia okupu. Najczęściej rozpowszechnia się je za pośrednictwem wiadomości e-mail typu phishing (wprowadzające adresata w błąd co do treści i sugerujące kliknięcie w dany link lub pobranie załącznika) albo podczas odwiedzania zainfekowanej witryny internetowej. Coraz częściej hakerzy używający ransomware grożą ujawnieniem wykradzionych danych w przypadku braku zapłacenia okupu.
Informacja CSIRT NASK
W latach 2019–2020 zespół CERT Polska, realizujący zadania CSIRT NASK, odnotował 336 incydentów w 2019 r. i 388 w 2020 r. zgłoszonych przez szeroko pojętą administrację publiczną. Od 2021 r. jednostki samorządu terytorialnego są oddzielną kategorią podmiotu zgłaszającego. Poprzez wydzielenie podkategorii JST zespół jest w stanie zbudować bardziej precyzyjny obraz bezpieczeństwa w sektorze, a tym samym przekazywać samorządom bardziej szczegółowe rekomendacje. Przez pierwsze dwa miesiące roku (do 24 lutego 2021 r.) JST zgłosiły do CERT Polska 31 incydentów. Najczęściej zgłaszały podejrzane wiadomości e-mail z prośbą o ich weryfikację. Często były to również wiadomości zawierające szkodliwy załącznik lub będące próbą wyłudzenia. Zdarzały się incydenty związane z infekcją systemów w JST czy też podszywanie się w korespondencji pod ważną osobę w strukturze podmiotu JST.
W 2020 r. zgłoszenia obsługiwane w ramach zadań ustawowych przez CSIRT NASK dotyczące administracji publicznej najczęściej związane były z:
• e-mailami ze szkodliwymi załącznikami;
• e-mailami próbującymi wyłudzić dane logowania do poczty czy innych serwisów;
• kampaniami spamowymi;
• podejrzeniami włamań;
• infekcjami systemów, w tym ransomware.
– Samorządom brakuje pieniędzy na odpowiednie zabezpieczenie systemów. Zawsze są bardziej palące problemy niż możliwe zagrożenie ze strony cyberprzestępców. Kłopot w tym, że taki rodzaj zagrożenia przestał być już tylko teoretyczny – mówi dr Mirosław Gumularz, radca prawny w kancelarii prawnej GKK. Wyjaśnia, że działania hakerów są w dużej mierze zautomatyzowane i JST mogą paść ofiarą włamania tylko dlatego, że korzystają z rozwiązań technologicznych, które stosowane przez cybezprzestępców oprogramowenie akurat jest w stanie złamać. Niestety wszystko wskazuje też to, że procedowany obecnie projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa raczej nie wpłynie na poprawę bezpieczeństwa urzędów. Zaproponowane przepisy niewiele wnoszą w zakresie przeciwdziałania atakom hakerskim. Wprowadzają jedynie dodatkowe obowiązki już po wykryciu incydentu.
Zgłoszenie incydentu
Zgodnie z art. 22 ust. 1 pkt 5 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2020 r. poz. 1369; dalej k.s.c. ) samorządy mają obowiązek raportować każdy incydent do zespołu CSIRT NASK. Jest on, obok ABW i MON, jednym z zespołów reagowania na cyberataki na poziomie krajowym. Projekt nowelizacji ustawy o k.s.c. rozszerza ten obowiązek – zakłada, że taka informacja ma też trafiać do wojewody. Zdaniem projektodawcy umożliwi to skuteczniejszą koordynację działania, a samorządom da większe wsparcie, szczególnie w procesie zapewnienia wymiany informacji między zespołami CSIRT poziomu krajowego i pełnomocnikiem a podmiotami publicznymi w województwie. Na razie nie wiadomo jednak, jak ta współpraca będzie wyglądać.
Jeżeli urząd stwierdzi, że w wyniku incydentu zostały naruszone dane osobowe, nie może zapomnieć o zgłoszeniu tego także do prezesa UODO. Zgodnie z art. 33 RODO administrator powinien to zrobić niezwłocznie, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (lub gdy dowie się o stwierdzeniu naruszenia przez procesora danych osobowych). Nie musi tego robić, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Szczegóły, jak powinno wyglądać zgłoszenie, można znaleźć w art. 33 ust. 3 RODO. Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o tym fakcie osobę, której dane dotyczą (art. 34 RODO).
Zapewnienie kontaktu
Zgodnie z projektem samorząd będzie miał także obowiązek wskazać dwie osoby – obecnie musi być tylko jedna – odpowiedzialne za kontakt z zespołami CSIRT. Dodatkowo personalia tych osób będą musiały trafić do służb wojewody. Pełnomocnik rządu ds. cyberbezpieczeństwa rekomenduje, aby osoby wyznaczone do kontaktu z CSIRT były dyspozycyjne, decyzyjne, miały podstawowe informacje o systemach i usługach cyfrowych w danej jednostce (nie muszą to być osoby dysponujące głęboką wiedzą techniczną) oraz rozwiniętą sieć kontaktów wewnętrznych. Aby zgłosić osoby do kontaktu, wystarczy wejść na stronę internetową CSIRT NASK, wybrać kategorię „podmiot publiczny” i wypełnić formularz. Następnie zapisać go w formacie pliku PDF, podpisać elektronicznie i również elektronicznie przekazać do CSIRT NASK. Alternatywnie wygenerowany dokument można wydrukować i po podpisaniu podpisem odręcznym, wysłać pocztą na adres korespondencyjny: CSIRT NASK.
Jak sobie radzić
W coraz popularniejszych atakach typu ransomware hakerzy blokują JST dostęp do plików. Dlatego kluczowe jest, aby na bieżąco tworzyć kopie zapasowe przetwarzanych danych na odciętych od głównej sieci serwerach bądź w chmurze obliczeniowej. Dzięki temu urząd może przywrócić normalne funkcjonowanie systemów, nawet jeśli nie uda mu się odszyfrować plików zaatakowanych przez hakerów. – Warto zawczasu przeprowadzić testy, czy infrastruktura sieciowa rzeczywiście poprawnie przywraca dane z kopii zapasowych. Często bowiem okazuje się, że istnieją jakieś błędy w konfiguracji, które to uniemożliwiają – radzi dr Gumularz. Prawnik przyznaje, że w chwili otrzymania żądania okupu od hakerów JST są w gorszej sytuacji niż podmioty prywatne. Bo o ile one mogą sobie pozwolić na ewentualne negocjacje z przestępcami co do wysokości okupu, tak zapłata jakiegokolwiek okupu z samorządowej kasy mogłaby być uznana za złamanie przepisów ustawy z 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (t.j. Dz.U. z 2021 r. poz. 289).
Małgorzata Kurowska, radca prawny w kancelarii Maruta Wachta, mówi, że JST nie są jednak do końca w patowej sytuacji. Zgodnie z art. 3 ustawy o k.s.c. odpowiedni CSIRT wspomaga samorządy przy obsłudze incydentu. Służy wsparciem i pomocą m.in. w odnalezieniu źródła ataku, skierowaniu informacji bezpośrednio do innych miejsc zaangażowanych w incydent, a także podpowiada, jak poprawić bezpieczeństwo systemu komputerowego. – Reakcja CSIRT bywa zaskakująco szybka. Zdarzają się, że działanie zespołu CSIRT doprowadzało do odszyfrowania zainfekowanych przez hakerów plików – przyznaje mec. Kurowska.
Serwer w piwnicy do lamusa
Eksperci nieustannie przekonują, że serwery schowane gdzieś w piwnicy urzędu nie zagwarantują bezpieczeństwa danych. – W tej chwili najkorzystniejszym rozwiązaniem dla samorządów jest skorzystanie z usług chmurowych – mówi Małgorzata Kurowska. Jej zdaniem jedną z wartych rozważenia możliwości jest Rządowa Chmura Obliczeniowa. A to dlatego, że nie tylko może się okazać tańsza od rozwiązań rynkowych i posiada usługi odtworzenia danych w przypadku poważnej awarii. W założeniach ma też zapewnić zgodność z wymaganiami prawnymi, organizacyjnymi i technicznymi, np. z rozporządzeniem o Krajowych Ramach Interoperacyjności czy ustawą z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2017 r. poz. 570; ost.zm. Dz.U. z 2019 r. poz. 534).
Mirosław Gumularz dodaje, że dostawca usług chmurowych specjalizuje się w utrzymywaniu bezpiecznej infrastruktury sieciowej. Stale dba o bezpieczeństwo, wychwytuje i naprawia ewentualne luki w systemie, reaguje na najnowsze zagrożenia pojawiające się w internecie itd. – Wybór odpowiedniego dostawcy może nawet uchronić samorząd przed ewentualną karą finansową od prezesa UODO za wyciek danych. Organ może bowiem ocenić, że wina za incydent leżała całkowicie po stronie dostawcy usług chmurowych – mówi prawnik.