Jak postępować w razie włamania do urzędu?

29 PAŹ

Jak postępować w razie włamania do urzędu?

Zemsta, kradzież lub kompromitacja danej instytucji, jak się okazuje, w praktyce mogą być całkiem niezłymi powodami do cyfrowego ataku na jednostki samorządowe.

Choć możemy powoli obserwować zmiany w polskich urzędach, choćby takie, jak przejście na e-PIT, cyfryzacja administracji jest jeszcze w Polsce na początku drogi. Co więcej urzędy mają jeszcze wiele do nadrobienia pod kątem cyfrowego bezpieczeństwa. Jak wykazała kontrola NIK aż 70% urzędów nie radzi sobie z zapewnieniem bezpieczeństwa przetwarzania danych. Co więcej taki sam procent urzędów nie przeprowadził obowiązkowego corocznego audytu z zakresu bezpieczeństwa informacji. 

Urzędy na celowniku

Polskie prawo zobowiązuje przedstawicieli administracji publicznej do wdrożenia procedur bezpieczeństwa i zabezpieczenia danych, ale to jakich środków mogą w tym celu użyć, pozostaje w gestii konkretnych jednostek. Urzędy są też odpowiedzialne za szkolenie pracowników i propagowanie wiedzy na temat cyfrowego bezpieczeństwa, ale co zrobić kiedy hakerem okazuje się były pracownik?

Znany jest incydent, w którym właśnie taka sytuacja miała miejsce – zwolniony pracownik dokonał ataku a jeden z urzędów, wcześniej wyłudzając hasło od innego pracownika. Ten, który hasłem się podzielił powinien oczywiście natychmiast je zmienić, ale niestety jesteśmy tylko ludźmi i zgubne okazują się dla nas najmniej spodziewane czynniki takie, jak zaufanie do kolegi z pracy.

Czasem taki atak wcale nie musi być motywowany chęcią odwetu – w Poznaniu wykryto ostatnio przypadek, w którym pracownik centrum 

świadczeń wprowadzał do systemu fikcyjne osoby, a publiczne świadczenia trafiały do współpracujących z informatykiem osób. W ten sposób udało mu się wyłudzić na co najmniej 500 000 zł. To i tak skromny wynik przy grupie studentów, która dokonała kradzież pieniędzy z kont kilku gmin na kwotę ok 2 mln zł. Pieniądze przechwytywali podmieniając numery rachunków – kiedy gmina robiła przelew dla firmy będącej wykonawcą konkretnych inwestycji, studenci za pomocą konia trojańskiego podmieniali numer konta, tak, aby niebagatelna kwota trafiła na ich konto.

Innym przykładem złośliwego ataku może być blokowanie stron rekrutacji do szkół, które miało miejsce w jednej z gmin w polsce. Sprawcy incydentu nie ukradli żadnych danych, ale skutecznie wywołali chaos wśród rodziców przyszłych uczniów, którzy nie mogli przesłać zgłoszeń swoich dzieci.

bezpieczenstwo-w-urzedach-icon-1a

Według obowiązujących w Polsce przepisów prawa, na zgłoszenie incydentu naruszenia bezpieczeństwa dana organizacja ma 24 lub 72 godziny. Nie wystarczy jednak tylko powiadomić odpowiednich organów o tym, że doszło do naruszenia bezpieczeństwa, ale trzeba także przedstawić dokumentację i ocenę skutków np. określić jakie dane wyciekły, czy były to dane osobowe, jakie mogą być konsekwencje takiego incydentu. 

bezpieczenstwo-w-urzedach-icon-2

Aby skutecznie zareagować na atak, należy przede wszystkim ustalić w danym momencie zakres incydentu czyli jakich danych dotyczy i w jakiej skali.  

bezpieczenstwo-w-urzedach-icon-1

Kolejnym krokiem jest formalne zgłoszenie zdarzenia. W pierwszej kolejności o incedencie należy powiadomić swoich przełożonych, następnie odpowiedni CSIRT oraz, jeżeli dotyczy to danych osobowych prezesa UODO. Warto także zawiadomić policję, choć nie jest to obowiązkowe, jeśli nie doszło do kradzieży. Dzięki takiemu zgłoszeniu policja będzie mogła podejmować działanie skierowane na ujęcie sprawcy (artykuły 267-269 oraz artykuł 287 Kodeksu Karnego).  

bezpieczenstwo-w-urzedach-icon-4

Już po samym incydencie warto podjąć konkretne działania. Najlepiej zacząć je od spotkania grupy roboczej złożonej z osoby odpowiedzialnej za strukturę IT, IODO oraz osoby-SCIRT. 

bezpieczenstwo-w-urzedach-icon-5

Bardzo ważne jest też, aby dotrzeć do informacji jaka była forma incydentu, ponieważ pozwala to na szybkie zidentyfikowanie luki w systemie i oszacowanie kosztów. 

Kolejnym krokiem są oczywiście działania naprawcze, a po nich warto zainwestować w doskonalenie systemu zabezpieczeń. Takie działania obejmują:

  • Przeprowadzenie analizy ryzyka uwzględniającej charakter incydentu.
  • Sformułowanie wniosków oraz zaleceń
  • Ustalenie planu/harmonogramu działań doskonalących
  • Uaktualnienie oprogramowania
  • Zmianę procedur/polityk
  • Plan zakupów specjalistycznego oprogramowania/sprzętu
  • Szkolenia

Działania pozwalające znacząco obniżyć ryzyko skutecznego ataku

  • Szkolenia pracowników (podstawowe i zaawansowane)
  • Uaktualnienia
  • Audyty
  • Wnioski i zalecenia (działania doskonalące procedury, sprzęt)
  • Plan działań / budżet

Warto jednak pamiętać, że troskę o cyfrowe bezpieczeństwo powinniśmy traktować nie jako jednorazowe działanie w odpowiedzi na incydent, a cykliczną procedurę – trochę analogicznie do przeglądu rejestracyjnego. Aby obniżyć ryzyko ataku musimy wypracować powtarzalny cykl działań, który będzie pozwalał nam ocenić nie tylko na ile jesteśmy bezpiecznie, ale też podatni na atak.

Leave Comment