Czas skończyć z cichym przyzwoleniem na cyberbylejakość

Wszystkie komputery Urzędu Gminy w Kościerzynie wyświetliły tą samą wiadomość – wpłać okup, aby uzyskać ponowny dostęp do systemów i danych mieszkańców. To nie początek małomiasteczkowego science fiction, a prawdziwe wydarzenia z 28 listopada 2019 r. Bezpieczeństwo naszych danych i systemów administracji jest w nie najlepszym stanie. Temat spotyka się z lekceważeniem, brakuje środków finansowych i trudno znaleźć wykwalifikowany personel. Najwyższy czas się tym zająć. To szczególnie ważne w sytuacji, w której urzędy przez długie tygodnie mogą być zmuszone do pracy zdalnej.

Urzędy słabym cyfrowym punktem

Atak hakerski z użyciem oprogramowania typu ransomware na Urząd Gminy w Kościerzynie (woj. pomorskim) początkowo wyglądał na zwykłą awarię, ale szybko okazało się, że problem jest o wiele bardziej złożony. Prawdopodobnie wirus zaszyfrował dane w znacznej części systemów komputerowych urzędu. Niestety, w związku z prowadzonym przez Prokuraturę Okręgową w Gdańsku śledztwem znane są tylko oficjalne oświadczenia oraz doniesienia medialne.

Wszystko wskazuje na to, że jedno z urządzeń zostało zainfekowane przez ransomware (kombinacja słów ang. ransom – okup oraz software – oprogramowanie), który automatycznie zaszyfrował dane na dysku i rozprzestrzenił się przez sieć lokalną na pozostałe stacje i serwery. Część z nich obsługiwała elektroniczny obieg dokumentów i e-usługi, w związku z czym korzystanie z nich stało się niemożliwe. Urząd był zmuszony przejść na w pełni papierowy obieg.

Według doniesień medialnych wójt gminy, Grzegorz Piechowski, zawiadomił organy ścigania i zgłosił incydent do UODO (Urzędu Ochrony Danych Osobowych) oraz do zespołu CSIRT GOV (Computer Security Incident Response Team), prowadzonego przez Agencję Bezpieczeństwa Wewnętrznego. Zgodnie z procedurą sprawę przekierowano do CSIRT NASK, czyli drugiego z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego.

Wójt otrzymał informację, że obecnie nie istnieje żadne narzędzie, które pozwalałoby odszyfrować dane. W oświadczeniu CERT Polska możemy przeczytać o współpracy kilku analityków, którzy doprowadzili do odzyskania wszystkich danych dzięki wygenerowaniu poprawnego klucza przez specjalnie przygotowany program.

Systemowe zaniedbania

To niestety nie był jedyny atak hakerski w ostatnich latach. Postępujące cyfrowe infekcje w urzędach publicznych wynikają m.in. z niedofinansowania, braku cyfrowej świadomości oraz naiwności decydentów. Ci z kolei liczą na łut szczęścia i na to, że żaden haker nie zainteresuje się zwykłym urzędem gminy, znajdującym się daleko od największych metropolii.

Rzeczywistość pokazuje, że ataki ransomware dystrybuowane są niemal do wszystkich – zarówno do organizacji publicznych, jak i do małych i dużych firm (rzadziej do osób indywidualnych). Najlepszymi ofiarami nie są wcale najwięksi czy najbogatsi, a raczej ci, którzy mają słabsze zabezpieczenia. Według doniesień medialnych do Wójta Gminy Kościerzyna zgłaszali się inni lokalni włodarze, a część z nich nieoficjalnie przyznała się do zapłacenia okupu.

Zgodnie z większością interpretacji takie działanie jest niezgodne z polskim prawem, a dodatkowo wątpliwe moralnie. Prowadzi do napędzania nielegalnego biznesu, który nie istniałby bez opłaconych okupów. Ponadto nie jest to dobra praktyka ze względu na brak gwarancji odzyskania danych. Nie wiemy, czy przestępca, który nas zaatakował, będzie „uczciwy” i podzieli się kluczem odszyfrowującym po otrzymaniu wpłaty.

Przedstawiciel zespołu CERT Polska na łamach portalu Zaufana Trzecia Strona w tekście – O ransomware w polskich gminach, czyli historie z happy endem i bez – zdradza kulisy swojej pracy, w której ma do czynienia z podobnymi zgłoszeniami ze strony szkół, szpitali i urzędów. W wielu wypadkach niestety nie jest w stanie skutecznie pomóc, szczególnie jeśli nie zadbano o kopie zapasowe albo niewłaściwie je zabezpieczono.

Krajowy System Cyberbezpieczeństwa lekiem na wszystkie bolączki?

Odpowiedzią na problemy związane z atakami hakerskimi w Polsce miała być Ustawa o krajowym systemie cyberbezpieczeństwa, która po wielu latach trudnych negocjacji i politycznych sporów rozpoczęła proces porządkowania polskiej cyberprzestrzeni.

Jednak pomimo obowiązywania ustawy od połowy 2018 r. sytuacja w mniejszych urzędach i instytucjach nie zmienia się na lepsze. Budżety samorządów kurczą się i niezwykle trudno jest zaspokoić podstawowe potrzeby zespołów informatycznych, w tym np. zakup wsparcia producenta dla już wdrożonych systemów czy też wymiany przestarzałego sprzętu IT dla pracowników, nie wspominając nawet o wyzwaniach związanych z zatrudnieniem odpowiednich osób na stanowiska informatyczne.

Problemem nie są tylko zasoby finansowe i ludzkie. Jest nim również lekceważące podejście do tematu cyberbezpieczeństwa. Jeśli nawet uda się zatrudnić profesjonalnego informatyka, to inni pracownicy urzędów zazwyczaj nie traktują go z odpowiednim szacunkiem. Od wielu lat to zjawisko piętnuje Sekcja Informatyków Administracji Publicznej Polskiego Towarzystwa Informatycznego, która próbuje nagłaśniać nagminne praktyki związane z niewłaściwym traktowaniem informatyków w urzędach. Wydawałoby się, że szczytem absurdu jest zlecanie informatykowi wysyłania pisma przez platformę ePUAP, ale jak w takim razie nazwać wykonywanie technicznych prac, jak np. naprawa drukarki, klimatyzacji czy… wymiana żarówki.

W teorii odpowiedzialność za właściwe zabezpieczenie systemów ponosi kierownik jednostki (wójt, burmistrz, prezydent), a system kar przewidzianych w RODO i Ustawie o krajowym systemie cyberbezpieczeństwa jest ściśle ustalony. Jednak w praktyce nie działa on skutecznie. Dodatkowo w ustawie nie zapewniono odpowiedniego finansowania, ograniczając się wyłącznie do wpisania do planów budżetowych obowiązku przeprowadzania audytów dla organów właściwych (ministerstw). Skąd zatem administracja ma znaleźć środki na poprawienie bezpieczeństwa informacji?

Niestety, obecna kryzysowa sytuacja uwypukliła całkowite lekceważenie cyberbezpieczeństwa nawet na najwyższych szczeblach państwowej administracji. Rozwiązania techniczne wprowadzane „na wczoraj” oraz brak doświadczenia i obycia z cyfrowymi narzędziami to idealny przykład tytułowej cyberbylejakości.

Przekonali się o tym szczególnie podczas pierwszego zdalnego posiedzenia Sejmu posłowie, którzy udostępniali swoje loginy w mediach społecznościowych i nagrywali proces odblokowywania swoich urządzeń. Za publiczne ujawnianie kodów dostępu zostali słusznie powszechnie skrytykowani przez internautów. Możemy zatem mówić o trzech filarach cyberbylejakości urzędów. Są nimi: brak świadomości (decydentów i szeregowych pracowników), trudność w zatrudnieniu specjalistów i odwieczny brak pieniędzy.

Czy naprawdę jest się czym przejmować?

Cenne i wrażliwe dane, dotyczące nas i naszych bliskich, są gromadzone w systemach wielu publicznych instytucji, m.in. urzędów, szpitali, służb mundurowych, sądów, uczelni i szkół publicznych czy nawet instytucji kultury. Każdy z nas zostawił swój cyfrowy ślad w którejś z powyższych instytucji. Osoby zajmujące się prywatnością danych często podkreślają, że raz udostępnione w systemach informacje powinno się traktować jako dane dostępne publicznie.

I tutaj zaczynają się schody… Znakomita większość instytucji jest niedofinansowana, co w konsekwencji znacząco zwiększa prawdopodobieństwo ujawnienia naszych wrażliwych danych. Stąd już tylko krok od kradzieży tożsamości lub pieniędzy z konta bankowego. Nie powinnyśmy dłużej pozwolić na lekceważenie tematu ochrony naszych danych.

Dzisiaj najpopularniejsze są ataki związane z szyfrowaniem danych dla okupu, ale coraz częściej pojawiają się doniesienia o nowym rodzaju ataku – wykradaniu danych i szantażu ich publikacją w sieci. Możemy sobie wyobrazić nagłówki portali internetowych w niedalekiej przyszłości: „Wyciekły dane byłych studentów uczelni X, ponieważ jej władze nie zapłaciły okupu. Sprawdź, czy jesteś na liście”.

Obowiązkowa cyberhigiena na zawsze

W całym gąszczu bylejakości mamy na szczęście jeden pozytywny przykład – projekt Ogólnopolskiej Sieci Edukacyjnej (OSE). W jego ramach każda ze szkół publicznych w Polsce będzie miała zapewniony bezpieczny dostęp do Internetu. Ruch nie tylko będzie zabezpieczony przed działalnością złośliwego oprogramowania, ale także monitorowany pod kątem incydentów przez wykwalifikowany zespół bezpieczeństwa SOC (Security Operations Center).

Projekt został sfinansowany z budżetu państwa przy zgodnej aprobacie wszystkich stron politycznych. W ostatnim czasie okazało się, że niektóre działania mają szansę powodzenia, tylko jeśli są centralnie skoordynowane. Szczególnie dotyczy to projektów wymagających kompetentnych specjalistów, którzy stanowią towar deficytowy na rynku pracy, zwłaszcza w tak istotnych obszarach, jak bezpieczeństwo państwa i jego obywateli.

Skoro już dzisiaj udało się wdrożyć bezpieczną sieć dla uczniów, pójdźmy o krok dalej. Zbudujmy na podstawie doświadczeń z realizacji projektu OSE podobną sieć dla szpitali, uczelni, sądów i samorządów. Wyciągnijmy wnioski z błędów i wykorzystajmy to, co działa bardzo dobrze.

Na bezpieczeństwie powinno zależeć każdemu, niezależnie od jego poglądów i przynależności partyjnej. Tylko wtedy mamy szansę zadbać o prawdziwe bezpieczeństwo naszych danych. Miejmy nadzieję, że ta ambitna strategia nie skończy się na typowo polskim „jakoś to będzie”.

Tymczasem, kiedy wielu z nas pracuje zdalnie, warto szczególnie zwrócić uwagę na własną cyberhigienę. Poza częstym myciem rąk pamiętajmy także o czujności w cyfrowym świecie.

W sieci aż roi się od oszustów, którzy żerują na ludzkim strachu w czasie epidemii. Nie brakuje wśród nas pracowników wspomnianych wcześniej kiepsko dofinansowanych instytucji państwowych, w których przetwarzane są dane obywateli. Nie można tłumaczyć wszystkich błędów niewydolnością systemu. Zacznijmy od siebie.

W pierwotnej wersji artykułu znalazły się zdania „Wójt otrzymał informację, że obecnie nie istnieje żadne narzędzie, które pozwalałoby odszyfrować dane. Zasugerowano jednak kontakt z podmiotem zewnętrznym – firmą Kaspersky, która rzekomo bezinteresownie pomogła w przygotowaniu deszyfratora”. Postanowiliśmy je usunąć, zgodnie z informacją otrzymaną od pana Bartosza Loby z NASK, którą załączamy poniżej: 

„Z tak ujętych słów wynika, że to NASK zasugerował kontakt z ww. firmą. Taka sytuacja nie miała miejsca. NASK nigdy nie sugeruje ani nie wskazuje innym podmiotom do współpracy konkretnych podmiotów prywatnych.

Zgodnie z tym, co podaliśmy w naszym komunikacie, CERT Polska analizując przedmiotowe zgłoszenie postępował zgodnie z przyjętą metodą działania dla tego typu przypadków. Na żadnym etapie zespół CERT Polska w NASK nie wskazywał i nie sugerował gminie żadnej konkretnej firmy do współpracy. Zgodnie z procedurami w pierwszym kroku zawsze analizowane są znane źródła, a także możliwości odwrócenia złośliwego procesu za pomocą narzędzi zwanych dekryptotami. Jeżeli takie nie są znane, a skala zagrożenia jest znacząca, CERT Polska dokonuje wnikliwej analizy działania dostarczonej próbki. W ocenie ekspertów NASK atak nie zagrażał innym gminom. Jak mówił przedstawiciel NASK, mimo, że skutki incydentu ograniczone były do jednego podmiotu i nie wymagały koordynacji w ramach Krajowego Systemu Cyberbezpieczeństwa, podjęliśmy działania wykraczające poza obowiązki ustawowe, polegające na próbie stworzenia narzędzia do odzyskania zaszyfrowanych danych. Gmina zaangażowała do pomocy także podmioty prywatne. – Utrzymywaliśmy stały kontrakt z osobami pracującymi przy incydencie i mimo pewnych utrudnień, udało się odzyskać dane i odblokować systemy – narzędzia stworzyli równolegle eksperci z CERT Polska oraz jednej z firm prywatnych – Przemysław Jaroszewski, kierownik zespołu CERT Polska w NASK).

Według ustawy o KSC, CSIRT (zadania takie realizuje NASK) może pomóc podmiotowi w obsłudze incydentu na wniosek tego podmiotu i w uzasadnionym przypadku. Takimi przypadkami mogą być na przykład incydenty zupełnie nowe, przed którymi podmiot ten nie miał szansy się obronić. Mogą to być też incydenty, które potencjalnie będą się dalej rozprzestrzeniać i wymagają koordynacji pomiędzy sektorami”.