O tym, jakie mogą być konsekwencje zaatakowania serwerów gminy przez hakerów, przekonał się Zygmunt Litwińczuk, wójt gminy Tuczna w lubelskim. Incydent wyszedł na jaw kilka tygodni temu. Złośliwe oprogramowanie zaszyfrowało pliki na serwerze urzędu. Haker powiadomił gminę, że odszyfruje pliki w zamian za okup opłacony w kryptowalucie. Serwery zainfekował kryptowirusem Ransomware Makop, rok wcześniej, kiedy urząd gminy pracował zdalnie. Gmina okupu nie zapłaciła, a zaszyfrowanych danych nie udało się odzyskać. Urząd musiał odtwarzać m.in. dane z księgowości podatkowej, budżetowej czy te dotyczące akcyzy.

Czytaj: RODO w IT: atak hakerski i co dalej? >

Po ataku na serwer Urzędu Miasta w Otwocku przez kilka dni nie działały karty metropolitalne i karty dużej rodziny, nie można też było załatwić niektórych spraw podatkowych czy zapłacić za gospodarowanie odpadami. Zablokowanie zaś serwera z bazami danych Powiatowego Ośrodka Dokumentacji Geodezyjnej i Kartograficznej w Oświęcimiu doprowadziło do paraliżu funkcjonowania jednostki. Utracono możliwość zgłaszania prac, udostępniania materiałów, przyjmowania prac geodezyjnych do zasobu, a także składania projektów do uzgodnień na naradach koordynacyjnych. Powiat okupu nie zapłacił, ale musiał z budżetu wygospodarować ponad 600 tys. zł dla wynajętej firmy, aby odszyfrować dane i przenieść je do systemu geodezyjnego.

Ofiarą cyberprzestępców padają też urzędy administracji publicznej. W listopadzie ubiegłego roku hakerzy włamali się do systemu komputerowego Wydziału Spraw Obywatelskich i Cudzoziemców Lubelskiego Urzędu Wojewódzkiego, umieszczając linki do stron pornograficznych.

NAGRANIE SZKOLENIA: Cyberbezpieczeństwo a ochrona danych osobowych >

Zagrożenia nie można bagatelizować

- Nie wygląda to najlepiej. Skoro urzędy centralne nie są w stanie poradzić sobie z takimi problemami, to śmiem twierdzić, że małe gminy są wręcz bezbronne. Brakuje im funduszy na odpowiednie zabezpieczenie, a także sił organizacyjnych. A cyberbezpieczeństwo nie jest traktowane przez samorządy jako zdanie pierwszej potrzeby – uważa Tomasz Telesiński, dyrektor biura w Stowarzyszeniu Gmin i Powiatów Wielkopolski.

Jego zdaniem samorządy terytorialne nie uciekną od problemu. Przeciwnie, będzie on narastać, bo coraz więcej spraw można załatwić przez internet, coraz więcej dokumentów przenoszonych jest do sieci i coraz więcej kanałów komunikacji uruchamianych jest na linii obywatel - urząd.  

- Wiele urzędów z dnia na dzień musiało przestawić się na pracę zdalną. A to otwiera drogę do ataków, tym bardziej, że większość urzędników nie otrzymała służbowego sprzętu, nie przeszła przeszkolenia z zakresu bezpieczeństwa IT, nie aktualizuje na bieżąco oprogramowania, a zarządzający urzędami gmin nie dokonują gradacji uprawnień dostępu np. do serwera gminy. A przecież nie wszyscy do wszystkiego muszą i powinni mieć dostęp – dodaje dr Damian Rusinek, ekspert z zakresu bezpieczeństwa IT z Lublina.

Także Patrycja Tatara, ekspert ds. cyberbezpieczeństwa w Sprint S.A  twierdzi, że zagrożenie jest realne i nie można go bagatelizować. Zwłaszcza patrząc na trendy światowe, które powoli widać też w Polsce. Według Barracuda Networks (to światowy lider w zakresie IT) ofiarami ponad 44 proc. ataków ransomware są właśnie władze lokalne.

- Niestety administracja gminna, miejska czy powiatowa jest bardzo atrakcyjnym celem ataku dla hakerów. Z wielu powodów, ale przede wszystkim dlatego że może być furtką do zainfekowania złośliwym oprogramowaniem wielu innych instytucji, a także firm. Przykładowo, poprzez masową wysyłkę „złych” linków ze zhakowanej skrzynki urzędniczej. Poza tym, w bazach samorządowych przechowywane są praktycznie wszystkie dane osobowe obywateli, które przestępcy mogą wykorzystać do kradzieży tożsamości – zauważa Patrycja Tatara.

Łukasz Jachowicz, specjalista ds. bezpieczeństwa IT w firmie Mediarecovery dodaje, że  administracja lokalna może być łatwym celem dla cyberprzestępców bo włamywaczowi łatwo uzyskać informację o kontrahentach publicznych urzędów, co ułatwia ataki socjotechniczne. Po drugie, pracownicy urzędów niekoniecznie są specjalistami od bezpieczeństwa, więc stanowią stosunkowo łatwy cel. Po trzecie budżet mniejszych JST nie zawsze pozwala na stałe utrzymywanie osób odpowiedzialnych za monitorowanie i aktualizowanie systemów informatycznych, co też nie pozostaje bez znaczenia przy mniej wyrafinowanych atakach.

Czytaj także: Adwokat Zwara: Nie uciekniemy przed cyfryzacją, ale ważne też cyberbezpieczeństwo

W gminie informatyk od wszystkiego

- Trzeba pamiętać, że wśród JST są miasta z dużymi budżetami na obsługę informatyczną oraz niewielkie gminy, w których za całą obsługę informatyczną odpowiada jedna-dwie osoby. Trudno więc mówić o jednolitym poziomie bezpieczeństwa całej administracji lokalnej. Widzimy, że w ostatnich latach rośnie świadomość konieczności zwiększenia nacisku na poprawę zabezpieczeń, jednak nie zawsze za deklaracjami idą pieniądze na niezbędne działania. Nawet w tych większych gminach zdarza się, że niezależne testy bezpieczeństwa są zamawiane dopiero po tym, jak już padną ofiarą jakiegoś ataku – wskazuje Łukasz Jachowicz.

Czytaj: Czy skarbnik gminy może być informatykiem na wyborach? >

Dodaje, że poza częścią techniczną, silną składową bezpieczeństwa jest świadomość urzędników. A tu wciąż brakuje stałych szkoleń i testów podnoszących poziom bezpieczeństwa.

- Urzędnicy, szczególnie w małych ośrodkach, nie mają świadomości jakie zagrożenia dla funkcjonowania urzędu wynikają na przykład z dostępu do internetu czy komunikacji e-mailowej. Mało który urząd wykonuje regularne oceny ryzyka i wdraża ich wyniki. Sporo dobrego w tym zakresie robią media, nagłaśniając przypadki włamań i oszustw wykorzystujących nowoczesne technologie. Wydaje się, że to informacje medialne są ciągle głównym źródłem wiedzy dla wielu osób w administracji i świadomość, że w innym mieście za pomocą phishingu wyłudzono setki tysięcy złotych wciąż zastępuje systematyczne szkolenia – mówi Łukasz Jachowicz.

Cyberbezpieczeństwo w samorządzie terytorialnym. Praktyczny przewodnik

Wojciech Dziomdziora

Sprawdź  

Czytaj: Odpowiedzialność materialna pracowników jednostek sfery budżetowej za mienie powierzone >

Gminę można zaatakować na wiele sposobów

Najczęstszą formą ataku na zasoby JST są phishing i ransomware. Eksperci wskazują, że pamiętać też trzeba o innych zagrożeniach:

• malware – czyli różnej maści złośliwe oprogramowanie, które może powodować m.in. zaszyfrowanie danych, blokadę dostępu do systemów IT czy jego poszczególnych części, kradzieży danych i plików oraz wielu innych niepożądanych zdarzeń.
• ransomware – to podtyp malware, najpopularniejszy, którego zadaniem jest zaszyfrowanie kluczowych danych, co skutkuje zazwyczaj paraliżem całego systemu. Następnie przestępcy żądają okupu za odblokowanie, najczęściej w bitcoinach. Częstą formą rozprzestrzeniania tego oprogramowania jest phishing.
• phishing – masowa próba ataku, najczęściej w formie wysyłki wiadomości e-mail czy sms zawierających hiperłącze do złośliwego oprogramowania lub mających zachęcić do interakcji, której finałem będzie zachęcenie do kliknięcia w „zły” link lub wyłudzenie informacji wrażliwych.
• spear-phishing – to szczególnie groźna forma ataku, choć co do zasady podobna do powyższej. Podstawową różnicą jest fakt, że jak nazwa wskazuje, jest to atak wycelowany w konkretną osobę, instytucję, wykorzystujący np. informacje osobiste – przestępcy podszywają się pod znajomego/przełożonego. Może mu towarzyszyć też połączenie telefoniczne, zwiększające wiarygodność przestępców.
• DoS i DDoS – ataki generujące wzmożony ruch w stronę ofiary. Ich celem są serwery czy strony internetowe, a efektem ich „padnięcie”, ponieważ nie mogą obsłużyć dodatkowego ruchu.  Atakom tym może towarzyszyć żądanie okupu w zamian za zwolnienie łączy.

- Liczba tych ataków może w najbliższym czasie wzrosnąć, zważywszy na wnioski z badania zabezpieczeń JST zrealizowane przez CERT NASK. Dostępność baz danych bezpośrednio z Internetu czy otwarte panele logowanie do CMS stron internetowych samorządów to furtki, które trzeba jak najszybciej zamknąć.  Liczę na to, że wydatnie przyczyni się do tego rządowy program Cyfrowa Gmina  – mówi Patrycja Tatara.

Czas na nowe rozwiązania

Według Łukasza Jachowicza, wartościowe są wszystkie inicjatywy podnoszące świadomość urzędników w zakresie zagrożeń i sposobów ich identyfikacji.

- Konieczne jest potraktowanie budżetów na bezpieczeństwo IT jako inwestycję, a nie koszt. Wartościową inicjatywą wydaje się też tworzenie w mikroregionach tzw. SOC (Security Operations Center), które mogą monitorować bezpieczeństwo oraz sprawnie reagować na incydenty na przykład kilku gmin, co też pozwoli na współdzielenie kosztów funkcjonowania takich komórek. Tego typu rozwiązanie pozwala też sprawnie raportować incydenty zgodnie z wymogami ustawowymi np. raportowanie do CERT.GOV.PL czy NASK – wskazuje Łukasz Jachowicz.