Aktualności |

IV FORUM BEPIECZEŃSTWA IT W ADMINISTRACJI

Jak postępować w razie włamania do urzędu?

Zemsta, kradzież lub kompromitacja danej instytucji, jak się okazuje, w praktyce mogą być całkiem niezłymi powodami do cyfrowego ataku na jednostki samorządowe. Choć możemy powoli obserwować zmiany w polskich urzędach, choćby takie, jak przejście na e-PIT, cyfryzacja administracji jest jeszcze w Polsce na początku drogi.

Co więcej urzędy mają jeszcze wiele do nadrobienia pod kątem cyfrowego bezpieczeństwa. Jak wykazała kontrola NIK aż 70% urzędów nie radzi sobie z zapewnieniem bezpieczeństwa przetwarzania danych. Co więcej taki sam procent urzędów nie przeprowadził obowiązkowego corocznego audytu z zakresu bezpieczeństwa informacji.

Urzędy na celowniku

Polskie prawo zobowiązuje przedstawicieli administracji publicznej do wdrożenia procedur bezpieczeństwa i zabezpieczenia danych, ale to jakich środków mogą w tym celu użyć, pozostaje w gestii konkretnych jednostek. Urzędy są też odpowiedzialne za szkolenie pracowników i propagowanie wiedzy na temat cyfrowego bezpieczeństwa, ale co zrobić kiedy hakerem okazuje się były pracownik? Znany jest incydent, w którym właśnie taka sytuacja miała miejsce – zwolniony pracownik dokonał ataku a jeden z urzędów, wcześniej wyłudzając hasło od innego pracownika. Ten, który hasłem się podzielił powinien oczywiście natychmiast je zmienić, ale niestety jesteśmy tylko ludźmi i zgubne okazują się dla nas najmniej spodziewane czynniki takie, jak zaufanie do kolegi z pracy. Czasem taki atak wcale nie musi być motywowany chęcią odwetu – w Poznaniu wykryto ostatnio przypadek, w którym pracownik centrum

Według obowiązujących w Polsce przepisów prawa, na zgłoszenie incydentu naruszenia bezpieczeństwa dana organizacja ma 24 lub 72 godziny. Nie wystarczy jednak tylko powiadomić odpowiednich organów o tym, że doszło do naruszenia bezpieczeństwa, ale trzeba także przedstawić dokumentację i ocenę skutków np. określić jakie dane wyciekły, czy były to dane osobowe, jakie mogą być konsekwencje takiego incydentu.

Kolejnym krokiem jest formalne zgłoszenie zdarzenia. W pierwszej kolejności o incedencie należy powiadomić swoich przełożonych, następnie odpowiedni CSIRT oraz, jeżeli dotyczy to danych osobowych prezesa UODO. Warto także zawiadomić policję, choć nie jest to obowiązkowe, jeśli nie doszło do kradzieży. Dzięki takiemu zgłoszeniu policja będzie mogła podejmować działanie skierowane na ujęcie sprawcy (artykuły 267-269 oraz artykuł 287 Kodeksu Karnego).

Bardzo ważne jest też, aby dotrzeć do informacji jaka była forma incydentu, ponieważ pozwala to na szybkie zidentyfikowanie luki w systemie i oszacowanie kosztów.

Aby skutecznie zareagować na atak, należy przede wszystkim ustalić w danym momencie zakres incydentu czyli jakich danych dotyczy i w jakiej skali.

Już po samym incydencie warto podjąć konkretne działania. Najlepiej zacząć je od spotkania grupy roboczej złożonej z osoby odpowiedzialnej za strukturę IT, IODO oraz osoby-SCIRT.

Jak się ustrzec?

Kolejnym krokiem są oczywiście działania naprawcze, a po nich warto zainwestować w doskonalenie systemu zabezpieczeń. Takie działania obejmują:

Przeprowadzenie analizy ryzyka uwzględniającej charakter incydentu.
Sformułowanie wniosków oraz zaleceń
Ustalenie planu/harmonogramu działań doskonalących
Uaktualnienie oprogramowania
Zmianę procedur/polityk
Plan zakupów specjalistycznego oprogramowania/sprzętu
Szkolenia

Działania pozwalające znacząco obniżyć ryzyko skutecznego ataku

Szkolenia pracowników (podstawowe i zaawansowane)
Uaktualnienia
Audyty
Wnioski i zalecenia (działania doskonalące procedury, sprzęt)
Plan działań / budżet

Warto jednak pamiętać, że troskę o cyfrowe bezpieczeństwo powinniśmy traktować nie jako jednorazowe działanie w odpowiedzi na incydent, a cykliczną procedurę – trochę analogicznie do przeglądu rejestracyjnego. Aby obniżyć ryzyko ataku musimy wypracować powtarzalny cykl działań, który będzie pozwalał nam ocenić nie tylko na ile jesteśmy bezpiecznie, ale też podatni na atak.