CERT Polska odnotował w 2021 r. aż 525 incydentów w jednostkach samorządu terytorialnego (JST).
W styczniu i lutym zgłoszeń od nich było ponad 30 (pisaliśmy o tym w DGP nr 42/2021 „Procedury nie chronią samorządów przed cyberatakami”). Przypomnijmy, że JST są oddzielną kategorią podmiotów w zestawieniach CERT od tego roku.
Eksperci podkreślają, że na wzrost liczby ataków w sektorze administracji publicznej miał wpływ lockdown i zdalny tryb funkcjonowania urzędów. Wiele z nich nie było na to gotowych, a ich niedofinansowanie w zakresie cyberbezpieczeństwa spowodowało, że są łatwym celem.
Urząd Miasta w Białymstoku przyznaje, że każdego dnia rejestruje co najmniej kilka prób ataków hakerskich. Ich celem są przede wszystkim systemy poczty elektronicznej i witryny miasta Białystok. – Najgroźniejszymi zdarzeniami są próby zainfekowania oprogramowaniem szyfrującym dysków twardych stacji roboczych i serwerów oraz ataki typu phishing dokonujące prób wyłudzenia haseł użytkowników do systemów informatycznych – mówi Krzysztof Lachowski, dyrektor Centrum Usług Informatycznych w Białymstoku.
Grzegorz Hunicz, dyrektor wydziału informatyki i telekomunikacji Urzędu Miasta Lublin podkreśla, że wszystkie systemy urzędu dostępne z internetu podlegają niemal każdego dnia jakiejś formie ataku. – Począwszy od prostego skanowania usług, poprzez próby przejęcia kont czy próby wyłudzenia poufnych informacji przez działania socjotechniczne typu phishing, po bardziej zaawansowane – dodaje.
Z ostatnich danych przesłanych DGP przez NASK wynika, że najwięcej incydentów w JST dotyczyło właśnie phishingu (to podszywanie się pod osobę lub instytucję). W większości przypadków były ukierunkowane na pracowników i miały na celu wyłudzenie danych logowania do poczty elektronicznej. Innym przykładem tego typu ataku jest spear phishing. – Atakujący, podszywając się pod osoby pełniące stanowiska kierownicze, wysyłają wiadomości mające na celu wyłudzenie pieniędzy z konta urzędu – informuje NASK.
Maciej Cieśla z HackerU podkreśla, że pandemia, a teraz nakładający się na nią kryzys ekonomiczny, podnoszą poziom stresu. – Im większy stres, tym skuteczniej mogą działać atakujący. To dotyczy także administracji samorządowej. W dodatku im więcej incydentów, tym atakujący są bardziej kreatywni w wymyślaniu nowych metod – podkreśla.
Nie zawsze jednak człowiek, w tym wypadku urzędnik, jest słabym ogniwem. – Gminy, samorządy, administracja publiczna nie mają budżetów na cyberbezpieczeństwo, które pozwalałyby zastosować odpowiednie rozwiązania, chociażby oprogramowanie komercyjne, które jest monitorowane przez specjalistów – dodaje ekspert. A niedofinansowanie, przekładające się np. na brak możliwości zatrudnienia eksperta ds. cyberbezpieczeństwa, zwiększa ryzyko ataków.
Urzędy jednak robią, co mogą. Katowicki urząd w odpowiedzi na próby cyberataków m.in. kupił dodatkową ochronę sesji bankowych w ramach wykorzystywanego systemu antywirusowego. Dodatkowo zaplanowano szkolenia użytkowników z zakresu cyberbezpieczeństwa. W Lublinie wszelkie wdrażane w urzędzie aplikacje muszą spełniać wymogi bezpieczeństwa, pozytywnie przejść testy penetracyjne oraz dodatkowo zostać objęte ochroną i monitorowaniem przez zewnętrzne systemy zabezpieczeń wiodących firm. Ponadto dostęp do kluczowych baz danych ograniczony jest tylko do systemów aplikacyjnych działających w odseparowanej infrastrukturze.
Co jest celem przestępców? – Atakujący kierują się głównie motywami finansowymi, a potencjalne pozyskanie danych od atakowanego podmiotu ma zmusić go do opłacenia okupu – informuje NASK. Jeśli jednak z urzędu zostaną wykradzione dane osobowe, otwiera to drogę do kolejnych przestępczych działań nakierowanych na konkretne osoby.
Dlatego urząd musi zgłosić taki incydent do UODO, ma na to 72 godziny. Jeśli może mieć to poważne konsekwencje: kradzież tożsamości, strata finansowa czy naruszenie tajemnic prawnie chronionych, administrator danych (np. gmina) powinien poinformować osoby, których dane skradziono. – Bardzo ważne jest bowiem, by osoby, których dane zostały ujawnione czy skradzione albo w inny sposób naruszone, mogły jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami – podkreśla Adam Sanocki, rzecznik prasowy UODO.
UODO w zeszłym roku odnotował 382 zgłoszenia JST dotyczące naruszenia ochrony danych osobowych. ©℗