Czy warto inwestować w cyberbezpieczeństwo? Ile to kosztuje?

Czy warto inwestować w cyberbezpieczeństwo? Ile to kosztuje?

W dobie cyfryzacji oraz ataków skierowanych na instytucje, wartość bezpieczeństwa jest bezcenna. Problematyka wyceny bezpieczeństwa jest trudna do oszacowania. Powodem jest brak dowodów oraz liczb, które mogą zbudować takie modele kalkulacji. Dlatego właśnie zagrożenia oraz ataki w ostatnich latach coraz bardziej wyceniają koszty incydentu.

28 listopada 2019 roku jeden z Urzędów Gminy w Polsce został zaatakowany przez cyberprzestępców. Doszło do tzw. ataku cybernetycznego. Nastąpiło włamanie na serwery i zaszyfrowanie danych z wykorzystaniem złośliwego oprogramowania RANSOMWARE. Aby je odzyskać, samorządowcy musieliby zapłacić okup. Oprogramowanie to, jest “przynętą rozrzuconą na cały świat”. Żeby paść jego ofiarą, wystarczy kliknąć w link, bądź uruchomić zainfekowany plik. Program szyfruje dane wszystkich urządzeń dostępnych w sieci nawet w 15 sek. od zarażenia jednej z maszyn dostępnych w strukturze LAN.

Gdy 4 grudnia 2019 r. pojawiły się opóźnienia w wypłatach zasiłków i innych urzędowych sprawach, Wójt Gminy w województwie pomorskim, poinformował oficjalnie na stronie internetowej o przeprowadzonym ataku:

„W Urzędzie Gminy Kościerzyna oraz w jednostkach organizacyjnych doszło do masowej awarii technicznej, która uniemożliwia nam standardowe korzystanie z systemów komputerowych. Obecnie intensywnie pracujemy nad przywróceniem działania systemów komputerowych. Jednak w najbliższym czasie realizacja zadań własnych, w tym obsługa spraw mieszkańców Gminy Kościerzyna, może być utrudniona. Za wszelkie problemy z tym związane przepraszamy – napisał wójt Gminy Kościerzyna.”

Urząd został sparaliżowany, a pracownicy ręcznie musieli wpisywać potrzebne dane. Oprócz tego, że załatwianie wielu spraw w Urzędzie stało się trudniejsze, to pozostały jeszcze kwestie m.in. związane z wypłatą świadczeń, w tym zasiłków 500+, rodzinnego czy alimentacyjnego, które zostały bardzo utrudnione.

Hackerzy zażądali okupu w krypto walucie, ale Wójt Gminy zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego.

Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.

Do dnia dzisiejszego nie wiadomo, w jaki sposób hakerzy dostali się do sieci Urzędu Gminy. Po 2 tygodniach od rozpoczęcia prac naprawczych w Organizacji przywrócone zostały systemy niezbędne do bieżącego funkcjonowania Urzędu. Teoretycznie urzędnicy mogliby odzyskać utracone dane z kopii zapasowej, jednak serwery z backupami nie zostały odizolowane od reszty sieci, co spowodowało zainfekowanie także systemów kopii bezpieczeństwa.

Zarażeniem systemów przez atak Ransomware można dokonać m.in. przez otwarcie zainfekowanego załącznika, linka dostępnego w sieci WWW, bądź posiadając nie zaktualizowany system operacyjny, zawierający wiele luk bezpieczeństwa. Bezpieczeństwo mogło również nie zostać spełnione przez aspekty ekonomiczne. Proces bezpieczeństwa wiążę się z zapewnieniem szkoleń, ale również inwestowaniu w technologie bezpieczeństwa zapewniające m.in. poprawną izolację archiwizowanych danych, które wymagają większych nakładów finansowych niż zwykły serwer backupowy podpięty do sieci.

W każdym z tych przypadków pomóc mogą szkolenie ze świadomości o zagrożeniach przeprowadzone dla wszystkich pracowników urzędu oraz przeprowadzane audyty bezpieczeństwa obrazujące stan faktyczny bezpieczeństwa struktur IT w organizacji. Pamiętać należy również o opracowywaniu planów awaryjnych w przypadku incydentów/ataków, zawierających procedury przechowywania wraz z zabezpieczeniem kopii bezpieczeństwa.

CompNet Sp. z.o.o wykonuje wyżej wymienione usługi dbając o najwyższy standard oraz zapewnienie bezpieczeństwa Państwa systemów.

Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.

“Postawa Wójta Gminy zaatakowanej przez Hackerów jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.”

Ataki przeprowadzane przez Hakerów coraz częściej dotyczą uszkodzenia struktur (min. przez kampanie z wykorzystaniem oprogramowania szyfrującego Ransomware) ale również kradzieżą danych osobowych z organizacji oraz instytucji państwowych.

Należy zaznaczyć że zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski – maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową nałożono na gminę Aleksandrów Kujawski.

Ponadto w czasie postępowania Prezes UODO ustalił, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne na stronie BIP jedynie poprzez zamieszczenie linka do kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło tym samym do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Dodatkowymi kosztami mogą okazać się roszczenia cywilnych podmiotów którym cyberatak i trudności techniczne mogły uniemożliwić załatwienie sprawy w urzędzie, w związku z czym poniosły szkodę majątkową lub niemajątkową, np. w postaci stresu, że nie mogły uzyskać niezbędnych im w danym dniu dokumentów, zaświadczeń, informacji, odpisów, itp.

Podmioty cywilne na mocy rozporządzenia RODO mogą dochodzić roszczeń o charakterze cywilno-prawnym wobec administratora. Przyjmując, że jest nim wójt, burmistrz czy prezydent, to pozew byłby skierowany właśnie do niego – wynika to bezpośrednio z art. 79 lub z art. 81 RODO. Zgodnie z Kodeksem cywilnym „osoba prawna jest obowiązana do naprawienia szkody wyrządzonej z winy jej organu” (art. 416 Kc). Nie jest to odpowiedzialność konkretnego pracownika, tylko gminy, więc wiąże się z zabezpieczeniem środków w budżecie gminy.

Urzędy z całej Polski powinny zainwestować w szkolenia dotyczące obrony przed cyberatakami. W przeciwnym wypadku możemy w niedalekiej przyszłości mówić o większej liczbie przypadków podobnych ataków. Nieodpowiednio przeszkolony lub źle dobrany personel może okazać się kluczową podatnością środowiska wewnętrznego na atak. Pomyłki, niezadowolenie, nieuczciwość, to czynniki mogące przyczynić się do wystąpienia i realizacji działań niepożądanych. Hackerzy atakujący z zewnątrz, jak również sami pracownicy wewnątrz organizacji w sposób mniej lub bardziej świadomy są w stanie ułatwiać dostęp osobom nieuprawnionym lub sami czynić szkody. Sytuacje kryzysowe mają to do siebie, że pojawiają się nagle i nie przebiegają w sposób standardowy. Trudno znaleźć dwa jednakowe, nawet jeśli związane są z podobnym typem zagrożenia. Należy być świadomym, że komunikacja o wystąpieniu zdarzenia jest równie istotna. Tak samo, jak same działania operacyjne podjęte w celu minimalizacji skutków zagrożenia, które wystąpiło.

Co można zrobić, aby zminimalizować skutki ataku hackerskiego?

  • Opracować plan awaryjny na wypadek ataku.
  • Starać się przewidywać i zapobiegać temu, co jeszcze nie nastąpiło.
  • Zainwestować w człowieka – zadbać o przeszkolenie swoich pracowników.
  • Wykonywać cykliczne audyty bezpieczeństwa, obrazujące stan faktyczny zabezpieczeń w organizacji.
  • Korzystać z doświadczenia i wiedzy osób przeszkolonych w tym zakresie.

Autor: Michał Lubera, Koordynator Projektu, Specjalizacja: Ochrona Teleinformatyczna i Zarządzanie Oprogramowaniem

© Copyright by CompNet Sp. z o. o.