Włamanie do Systemu Śląskiej Karty Usług Publicznych - projektu 21 gmin aglomeracji katowickiej oraz Górnośląsko-Zagłębiowskiej Metropolii - to ostatni najpoważniejszy cyberatak w samorządach. Przerwa w funkcjonowaniu systemu trwała od 8 lutego. Z powodu awarii nie działały czytniki biletów w pojazdach komunikacji miejskiej oraz tablice elektroniczne na przystankach. Funkcjonalność systemu udało się przewrócić dopiero po blisko dwóch tygodniach. Wiadomo, że do cyberataku wykorzystano oprogramowanie szyfrujące dla okupu ransomware.

Czytaj więcej w LEX: Poradnik ransomware >>>

Czytaj też: Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa >>>

- Ataki z użyciem oprogramowania szyfrującego dane, czyli tzw. ransomware, to jedno z najpopularniejszych współcześnie zagrożeń, jeśli chodzi o cyberataki na firmy i instytucje. Cyberprzestępcy z użyciem różnych technik uruchamiają złośliwy kod wewnątrz organizacji i szyfrują pliki niezbędne dla funkcjonowania organizacji, żeby następnie zażądać okupu za ich rozszyfrowanie. Najczęściej organizacje stają się ofiarami takich ataków na skutek masowych kampanii phishingowych – mówi Paweł Jurek, ekspert cybersecurity DAGMA Bezpieczeństwo IT.

W grudniu ubiegłego roku przy zastosowaniu ransomware włamano się do infrastruktury węzła regionalnego Urzędu Marszałkowskiego Województwa Mazowieckiego (węzeł regionalny wykorzystywany jest do obsługi projektów).

Czytaj też: Zgłaszanie incydentów przez samorządy >>>

Czytaj też: Poradnik dla samorządów - bezpieczny pracownik w sieci >>>

 

 

Ataków będzie więcej

Eksperci od cyberbezpieczeństwa nie mają dobrych informacji. Do takich zdarzeń może dochodzić częściej ze strony cyberprzestępców powiązanych z Rosją.

- Niestety musimy liczyć się z sytuacją, w której złośliwe oprogramowanie tworzone głównie w związku z wojną za naszą wschodnią granicą, ma znacznie szerszy zasięg oddziaływania niż infrastruktura Ukrainy czy Rosji. Pokazują to analizy słowackiej firmy ESET, która odnosi niekwestionowane sukcesy w wykrywaniu i powstrzymywaniu cyberataków na Ukrainie. ESET wielokrotnie alarmował opinię publiczną o sytuacjach, w której złośliwe oprogramowanie tworzone przez grupy hakerów powiązanych z Rosją był przyczyną incydentów w Polsce i innych krajach Unii Europejskiej. Spodziewam się, że wraz z rozwojem konfliktu ilość incydentów będzie rosła – niekoniecznie zakładając, że atakujący biorą sobie za cel konkretną gminę – mówi Paweł Jurek. Wskazuje, że jeśli atakujący organizują np. masowy atak na infrastrukturę, to mniejsze jednostki organizacyjne mogą „oberwać” niejako rykoszetem, kiedy malware powszechnie rozprzestrzenia się w Internecie.

W roku 2021, według statystyk CERT, jednostki administracji publicznej ogółem zgłosiły 429 incydentów. Już wiadomo, że za ubiegły rok liczby będą większe. Zdaniem Pawła Jurka, to m.in. konsekwencja swego rodzaju „długu technologicznego”.

- Kiedy specjaliści utrzymujący taką infrastrukturę zgłaszają przełożonym informację o ryzykach bezpieczeństwa, słyszą niejednokrotnie „po co się tym zajmować, skoro działa”. Tymczasem bezpieczeństwo to proces. Dbanie o taką infrastrukturę, to nie tylko bieżące utrzymanie, ale również cykliczne przeglądanie pojawiających się ryzyk i odpowiednie reagowanie – uważa ekspert.

Chaba Dawid: Warunki cyfryzacji samorządu terytorialnego w Polsce >>>

Czytaj też: Obowiązki jednostek samorządu terytorialnego w Krajowym Systemie Cyberbezpieczeństwa >>>

 

Cyberspecjalista woli pracować w komercyjnej firmie

Sylwester Szczepaniak, koordynator ds. społeczeństwa informacyjnego i smart city w Unii Metropolii Polskich uważa jednak, że cyberbezpieczeństwo staje się istotnym tematem dla włodarzy JST, z uwagi na konsekwencje cyberataków. Zwraca uwagę, że z drugiej strony wymaga nowego podejścia, aby cyberbezpieczeństwa przestało być uznawane tylko za domenę IT, a włączyła się w nie cała organizacja. Stopień przygotowania jednostek samorządu terytorialnego  do cyberataktów jest zróżnicowany. Nie jest to bezpośrednio powiązany z wielkością JST ale ze świadomością zagrożeń.

- W przypadku miast Unii Metropolii Polskich posiadają zabezpieczenia infrastruktury teleinformatycznej chroniące przez zewnętrznymi zagrożeniami. Zarządzanie cyberbezpieczeństwem jest jednak procesem bardzo kosztochłonnym z uwagi na wysokie koszty specjalistycznych narzędzi, ale także sytuację na rynku pracowników, w którym specjaliści cyberbezpieczeństwa należą do obecnie najlepiej opłacanych. Obecnie samorządy w przeciwieństwie do administracji rządowej, nie mają możliwości płacenia wynagrodzeń zbliżonych do stawek rynkowych – mówi Sylwester Szczepaniak.

Łukasz Jachowicz,  Specjalista ds. cyberbezpieczeństwa w Mediarecovery, wskazuje, że samorządy są w trudnej sytuacji. Z jednej strony, udany atak może sparaliżować instytucję i utrudnić wypłacanie chociażby dodatków socjalnych, z drugiej mają ograniczony budżet i muszą konkurować o pracowników z dużo bogatszymi firmami. - Jednak samorządy radzą sobie dobrze i coraz częściej szkolimy ich pracowników. To co może być dla nich interesującym trendem, to zwrócenie uwagi na konieczność budowania świadomości cyberbezpieczeństwa wszystkich zatrudnionych w urzędach osób, a nie wyłącznie pracowników działów IT. Na szczęście coraz więcej urzędów traktuje wydatki na szkolenia i systemy prewencyjne jako inwestycje, a nie jako koszty – mówi Łukasz Jachowicz.

 


Cyberbezpieczeństwo serwisowane

Ekspert UMP wskazuje, że zmienia się model zapewnienia cyberbezpieczeństwa, z modelu inwestycyjnego (zakup sprzętu, obsługa, utrzymanie) na model usługowy (cybesecurity as a service). To zmienia kwalifikacje środków, które są wydawane na cyberbezpieczeństwo oraz możliwości pozyskania środków zewnętrznych, które wydaje się dziś nie zauważają zmiany tego modelu i są przeznaczone głównie w obszar inwestycji.

- Stale rośnie poziomom skomplikowania zapewnienia cyberbezpieczeństwa. Rosną więc koszty zatrudnienia ekspertów. Dlatego coraz częściej instytucje nie tylko kupują rozwiązania ochronne, ale szukają wyspecjalizowanych partnerów, aby wspólnie opracować odpowiednie sposoby ochrony. Największym wyzwaniem jest teraz bowiem nie to, jakie zabezpieczenia stosować, ale jak zaprojektować całość procesów, żeby wszystko skutecznie razem funkcjonowało – mówi Paweł Jurek.

Ale Sylwester Szczepaniak zwraca uwagę na drugą stronę medalu. - Cyberbezpieczeństwo staje się wąską i specjalistyczną działką. Nawet jeśli mamy po drugiej stronie specjalistę, który daje zalecenia, to jednostce samorządu terytorialnego musi być jeszcze ktoś kto te zalecenia zrozumie i wdrożyć. Nawet jeśli to będzie informatyk lub sieciowiec urzędu to on musi się ciągle doszkalać, aby nawiązać równorzędną rozmowę z doradcą od cyberbezpieczeństwa - wskazuje Szczepaniak. 

Czytaj też: Cyberbezpieczeństwo jako element kontroli zarządczej >>>

 

Przed samorządami nowe wyzwania

Sylwester Szczepianiak wskazuje, że wyzwania w zakresie cyberbezpieczeństwa będą się zwiększały z uwagi m.in. na uchwaloną ostatnio dyrektywę NIS 2, która wprowadza nową kategorię podmiotów usług kluczowych tj. administrację publiczną. Krajowy ustawodawstwa ma dookreślić które konkretnie obszary administracji mają zostać zakwalifikowane do tej kategorii.

- W tym zakresie czekają nas ważne rozmowy na linii  rząd -samorząd – zwraca uwagę Szczepaniak.

Siwicki Maciej: Kilka uwag na temat ochrony infrastruktury krytycznej w internecie na tle dyrektywy NIS i jej transpozycji do polskiego porządku prawnego >>>

Trwają też prace nad projektem ustawy o zwalczaniu nadużyć w telekomunikacji, która z jednej strony wprowadza kary finansowe na kierowników jednostek administracji (w tym jst) za brak skonfigurowania odpowiedniego standardu poczty elektronicznej, jeżeli z tego powodu dojdzie do wyrządzenia szkód, z drugiej strony wprowadza wymagania w tym zakresie oraz obowiązki dla dostawców. Przepisy mają przyczynić się do zmniejszenia ryzyka w postaci ataków pishigowych. Przeczytaj też: Gdy urzędnik pracuje w domu, hakerowi łatwiej wejść do urzędu.

 

KPO miało dać środki na cyberbezpieczeństwo

Samorządowcy wskazują też na problem finansowania. Jest wprawdzie program "Cyfrowa gmina", z którego pieniądze można przeznaczyć na zakup sprzętu, oprogramowania i licencji, edukację cyfrową dla pracowników JST i jednostek podległych oraz apewnienie cyberbezpieczeństwa samorządowych systemów informatycznych.  O ile to wsparcie istotne z punktu widzenia mniejszych gmin, to w przypadku większych miast jest kroplą w morzu potrzeb.

Sytuację gmin i ogólnie administracji publicznej mają zmienić pieniądze z Krajowego Planu Odbudowy.

W ramach komponentu C „Transformacja cyfrowa”, zaplanowano szereg projektów, zmierzających m.in. do:

  • utworzenia sieci 7 regionalnych centrów cyberbezpieczeństwa (RegioSOC);
  • stworzenia sieci minimum 30 centrów monitorowania bezpieczeństwa (SOC) oraz modernizacji istniejących centrów;
  • udzielenia wsparcia 400 podmiotom w zakresie modernizacji i rozbudowy struktur cyberbezpieczeństwa z wykorzystaniem technologii informatycznych i operacyjnych, w tym zakupu zapór sieciowych i systemów cyberbezpieczeństwa;
  • przekwalifikowania 600 osób w zakresie cyberbezpieczeństwa, w tym między innymi obecnych pracowników,
  • realizacji 4 projektów mające na celu integrację różnych systemów ostrzegania i alarmowania oraz poprawę współpracy pomiędzy służbami państwowymi (policja, straż pożarna, władze lokalne).

Inwestycje te miały być zakończone do 30 czerwca 2026 r. KPO to jednak wciąż pieśń przyszłości.