Gdy 4 grudnia 2019 r. pojawiły się opóźnienia w wypłatach zasiłków i innych urzędowych sprawach, Wójt Gminy w województwie pomorskim, poinformował oficjalnie na stronie internetowej o przeprowadzonym ataku:

„W Urzędzie Gminy Kościerzyna oraz w jednostkach organizacyjnych doszło do masowej awarii technicznej, która uniemożliwia nam standardowe korzystanie z systemów komputerowych. Obecnie intensywnie pracujemy nad przywróceniem działania systemów komputerowych. Jednak w najbliższym czasie realizacja zadań własnych, w tym obsługa spraw mieszkańców Gminy Kościerzyna, może być utrudniona. Za wszelkie problemy z tym związane przepraszamy – napisał wójt Gminy Kościerzyna.”

Urząd został sparaliżowany, a pracownicy ręcznie musieli wpisywać potrzebne dane. Oprócz tego, że załatwianie wielu spraw w Urzędzie stało się trudniejsze, to pozostały jeszcze kwestie m.in. związane z wypłatą świadczeń, w tym zasiłków 500+, rodzinnego czy alimentacyjnego, które zostały bardzo utrudnione.

Hackerzy zażądali okupu w krypto walucie, ale Wójt Gminy zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego.

Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.

Do dnia dzisiejszego nie wiadomo, w jaki sposób hakerzy dostali się do sieci Urzędu Gminy. Po 2 tygodniach od rozpoczęcia prac naprawczych w Organizacji przywrócone zostały systemy niezbędne do bieżącego funkcjonowania Urzędu. Teoretycznie urzędnicy mogliby odzyskać utracone dane z kopii zapasowej, jednak serwery z backupami nie zostały odizolowane od reszty sieci, co spowodowało zainfekowanie także systemów kopii bezpieczeństwa.

Zarażeniem systemów przez atak Ransomware można dokonać m.in. przez otwarcie zainfekowanego załącznika, linka dostępnego w sieci WWW, bądź posiadając nie zaktualizowany system operacyjny, zawierający wiele luk bezpieczeństwa. Bezpieczeństwo mogło również nie zostać spełnione przez aspekty ekonomiczne. Proces bezpieczeństwa wiążę się z zapewnieniem szkoleń, ale również inwestowaniu w technologie bezpieczeństwa zapewniające m.in. poprawną izolację archiwizowanych danych, które wymagają większych nakładów finansowych niż zwykły serwer backupowy podpięty do sieci.

W każdym z tych przypadków pomóc mogą szkolenie ze świadomości o zagrożeniach przeprowadzone dla wszystkich pracowników urzędu oraz przeprowadzane audyty bezpieczeństwa obrazujące stan faktyczny bezpieczeństwa struktur IT w organizacji. Pamiętać należy również o opracowywaniu planów awaryjnych w przypadku incydentów/ataków, zawierających procedury przechowywania wraz z zabezpieczeniem kopii bezpieczeństwa.

CompNet Sp. z.o.o wykonuje wyżej wymienione usługi dbając o najwyższy standard oraz zapewnienie bezpieczeństwa Państwa systemów.

Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.

“Postawa Wójta Gminy zaatakowanej przez Hackerów jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.”

Ataki przeprowadzane przez Hakerów coraz częściej dotyczą uszkodzenia struktur (min. przez kampanie z wykorzystaniem oprogramowania szyfrującego Ransomware) ale również kradzieżą danych osobowych z organizacji oraz instytucji państwowych.

Należy zaznaczyć że zgodnie z art. 102 ustawy o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski – maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową nałożono na gminę Aleksandrów Kujawski.

Ponadto w czasie postępowania Prezes UODO ustalił, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne na stronie BIP jedynie poprzez zamieszczenie linka do kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. W przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby więc nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło tym samym do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Dodatkowymi kosztami mogą okazać się roszczenia cywilnych podmiotów którym cyberatak i trudności techniczne mogły uniemożliwić załatwienie sprawy w urzędzie, w związku z czym poniosły szkodę majątkową lub niemajątkową, np. w postaci stresu, że nie mogły uzyskać niezbędnych im w danym dniu dokumentów, zaświadczeń, informacji, odpisów, itp.

Podmioty cywilne na mocy rozporządzenia RODO mogą dochodzić roszczeń o charakterze cywilno-prawnym wobec administratora. Przyjmując, że jest nim wójt, burmistrz czy prezydent, to pozew byłby skierowany właśnie do niego – wynika to bezpośrednio z art. 79 lub z art. 81 RODO. Zgodnie z Kodeksem cywilnym „osoba prawna jest obowiązana do naprawienia szkody wyrządzonej z winy jej organu” (art. 416 Kc). Nie jest to odpowiedzialność konkretnego pracownika, tylko gminy, więc wiąże się z zabezpieczeniem środków w budżecie gminy.

Urzędy z całej Polski powinny zainwestować w szkolenia dotyczące obrony przed cyberatakami. W przeciwnym wypadku możemy w niedalekiej przyszłości mówić o większej liczbie przypadków podobnych ataków. Nieodpowiednio przeszkolony lub źle dobrany personel może okazać się kluczową podatnością środowiska wewnętrznego na atak. Pomyłki, niezadowolenie, nieuczciwość, to czynniki mogące przyczynić się do wystąpienia i realizacji działań niepożądanych. Hackerzy atakujący z zewnątrz, jak również sami pracownicy wewnątrz organizacji w sposób mniej lub bardziej świadomy są w stanie ułatwiać dostęp osobom nieuprawnionym lub sami czynić szkody. Sytuacje kryzysowe mają to do siebie, że pojawiają się nagle i nie przebiegają w sposób standardowy. Trudno znaleźć dwa jednakowe, nawet jeśli związane są z podobnym typem zagrożenia. Należy być świadomym, że komunikacja o wystąpieniu zdarzenia jest równie istotna. Tak samo, jak same działania operacyjne podjęte w celu minimalizacji skutków zagrożenia, które wystąpiło.

Co można zrobić, aby zminimalizować skutki ataku hackerskiego?

• Opracować plan awaryjny na wypadek ataku.
• Starać się przewidywać i zapobiegać temu, co jeszcze nie nastąpiło.
• Zainwestować w człowieka – zadbać o przeszkolenie swoich pracowników.
• Wykonywać cykliczne audyty bezpieczeństwa, obrazujące stan faktyczny zabezpieczeń w organizacji.
• Korzystać z doświadczenia i wiedzy osób przeszkolonych w tym zakresie.

Autor: Michał Lubera, Kierownik Projektu, Specjalizacja: Ochrona Teleinformatyczna i Zarządzanie Oprogramowaniem

© Copyright by CompNet Sp. z o. o.