Sektor publiczny na celowniku cyberprzestępców

In the Office, On the Computer

Kradzież danych, zakłócanie działalności, a coraz częściej również dezinformacja – to główne cele cyberprzestępców atakujących instytucje publiczne. Sektor ten nadal w dużej mierze korzysta z przestarzałych i nieaktualnych systemów, nie jest też świadomy skali ryzyka.

Kontrola NIK wykazała, że aż 75% polskich szpitali nie przestrzega wymogów dotyczących ochrony przed złośliwym oprogramowaniem, odpowiednich procedur autoryzacji i nadawania uprawnień. [1] Jak zatem zwiększyć bezpieczeństwo instytucji publicznych?

Dane i tożsamości na sprzedaż

W Polsce z aplikacji mObywatel korzysta już prawie milion osób. [2] Od ubiegłego roku deklaracje podatkowe można składać przez internet, w życie weszła też e-recepta. Jednak za rozwojem cyfrowych usług nie zawsze nadąża infrastruktura. Instytucje publiczne borykają się z problemami związanymi z przestarzałym sprzętem, brakami w zabezpieczeniach oraz nieaktualnym oprogramowaniem, co zwiększa ich podatność na cyberataki.

Jednocześnie menedżerowie IT publicznych instytucji często przeceniają poziom posiadanej ochrony i nie są świadomi ryzyka. Nawet 55% z nich uważa dane przetwarzane przez publiczne instytucje za mniej wartościowe niż te posiadane przez sektor prywatny. [3]

Łukasz Formas, Team Lead System Engineering EE w firmie Sophos

Błędne postrzeganie przez publiczne instytucje własnej wartości dla cyberprzestępców powoduje, że mogą one nie być odpowiednio przygotowane na ataki. Przez to narażone są nie tylko tajne informacje związane z wywiadem i bezpieczeństwem kraju, ale też wrażliwe dane milionów obywateli. Nazwiska, adresy, numery PESEL, zeznania podatkowe, dane medyczne czy paszportowe mogą zostać przez przestępców wystawione na sprzedaż w tzw. Darknecie [4] i wykorzystane na przykład do wyłudzeń czy kradzieży tożsamości” – wskazuje Łukasz Formas, Team Lead System Engineering EE w firmie Sophos.

Nie tylko kradzież

Trzech na czterech meanedżerów IT w sektorze publicznym doświadczyło w ostatnim roku incydentu związanego ze złośliwym oprogramowaniem ransomware, a 45% zaobserwowało znaczny wzrost liczby podejrzanych zdarzeń. [5]

Na cyberzagrożenia podatne są wszystkie instytucje i systemy publiczne – także bazy danych, miejski monitoring czy systemy identyfikacji. Jesienią ub.r. odkryto lukę w oprogramowaniu europejskiego systemu eIDAS [6] , dzięki której cyberprzestępcy mogli podszywać się pod inne osoby. W tym miesiącu Departament Zdrowia Stanów Zjednoczonych odparł z kolei próbę ataku DDoS [7] na swoje serwery.

Atak zbiegł się w czasie z kampanią dezinformacyjną prowadzoną przez SMS-y, maile  media społecznościowe, która straszyła obywateli USA zbliżającą się narodową kwarantanną. Celem cyberprzestępców było utrudnienie działań podejmowanych w związku z koronawirusem oraz podważenie zaufania społecznego wobec rządzących. Nie są to działania typowe dla „zwykłych” hakerów – za atakiem prawdopodobnie stały podmioty związane z innym państwem. W ostatnich tygodniach byliśmy świadkami kilku dużych ataków na placówki zdrowia. Jest to niezwykle trudne szczególnie w obecnej sytuacji, ale też pokazuje, że każda instytucja może stać się celem cyberprzestępców – wskazuje
Łukasz Formas.

Wiedza najlepszą bronią

Aby chronić krytyczne informacje i systemy potrzebne są dokładne dane na temat liczby zagrożeń i prób ataków, dostępne w czasie rzeczywistym. Wykorzystujące je narzędzia pozwalają szybko wykrywać zainfekowany komputer czy system i automatycznie izolować go od sieci w ciągu kilku sekund.

Ale ważnym uzupełnieniem takich rozwiązań jest też edukacja pracowników. Powinni oni być świadomi zagrożeń oraz wiedzieć, na co zwracać uwagę i jak reagować w niebezpiecznej sytuacji. Wciąż popularne są bowiem socjotechniki takie jak phishing, czyli podszywanie się pod inne osoby lub instytucje w celu wyłudzenia haseł czy numerów kart kredytowych. Takie metody są szczególnie niebezpieczne zwłaszcza teraz, gdyż wykorzystują strach i niepewność użytkowników.

1 https://www.nik.gov.pl/plik/id,21467,vp,24109.pdf
2 https://twitter.com/jciesz/status/1211936339144462336

3 Dane z raportu zespołu badawczego ds. bezpieczeństwa danych w firmie Sophos: https://secure2.sophos.com/ja-
jp/medialibrary/PDFs/marketing-material/sophos-uk-public-sector-research-report.ashx
4 Sieć ukryta dla popularnych wyszukiwarek takich jak Google czy Yahoo, zapewniająca użytkownikom większą anonimowość.
5 Dane z raportu zespołu badawczego ds. bezpieczeństwa danych w firmie Sophos.
6 Electronic Identification and Trust Services – ustandaryzowane dla państw Unii Europejskiej zasady stosowania tożsamości i
podpisów elektronicznych. Źródło: https://nakedsecurity.sophos.com/2019/10/31/researchers-find-hole-in-eu-identity-system/
7 Ang. Distributed Denial of Service – zmasowane ataki polegające na generowaniu sztucznego ruchu internetowego i ciągłym
wysyłaniu zapytań do serwera w celu sparaliżowania jego pracy oraz uniemożliwienia korzystania przez zwykłych
użytkowników.

 

epoint