NIK: administracja musi bardziej uważać na cyberzagrożenia

Jak wynika z raportu opracowanego przez Związek Cyfrowa Polska, zagrożenie ze strony cyberprzestępców jest ogromne. Z badań wynika, że tylko w 2017 roku doszło do 6 mln prób cyberataków, a w ciągu ostatnich sześciu lat liczba ataków na komputery stacjonarne i przenośne wzrosła aż o 232 proc.

O skali i niebezpieczeństwie, na jakie wystawione są urzędy, przekonali się niedawno urzędnicy Baltimore. Na początku maja 2019 roku cyberprzestępcy wykorzystali złośliwe oprogramowanie, aby wymusić od władz Baltimore wypłatę okupu. Kiedy przedstawiciele urzędu miejskiego nie zgodzili się na zapłatę, hakerzy zablokowali systemy administracyjne, płatnicze i komunikacyjne, paraliżując funkcjonowanie całego miasta na kilka dni.

Jeden z głośniejszych ataków, z którym mieliśmy do czynienia w ciągu ostatnich kilkunastu miesięcy, był wycelowany w System Rejestrów Państwowych. Hakerzy wykorzystali awarię SRP, aby przypuścić zmasowany atak DDoS, blokując tym samym dostęp m.in. do baz dowodów osobistych czy PESEL.

Z ostatniej kontroli przeprowadzonej przez Najwyższą Izbę Kontroli wynika, że polskie urzędy masowo nie przestrzegają podstawowych norm bezpieczeństwa komputerowego, przez co narażają się na wyciek wrażliwych danych. Przeszło 80 proc. placówek poddanych kontroli niewłaściwie zarządza uprawnieniami użytkowników, a w aż 57 proc. przypadków pracownicy nie przestrzegają narzuconych norm bezpieczeństwa. Wdrożenie ustawy o krajowym systemie cyberbezpieczeństwa ma zagwarantować, że ewentualne incydenty będą zgłaszane zaraz po ich wykryciu, umożliwiając tym samym błyskawiczne zniwelowanie zagrożenia.

– Poziom cyberbezpieczeństwa urzędu może stanowić o poziomie zaufania obywatela i o możliwości wykonywania swoich obowiązków. Cyberbezpieczeństwo jest w pewien sposób niedoinwestowane, nie jest postrzegane jako obszar, który jest równie ważny, jak wszystkie inne inwestycje w budżetach lokalnych. To jest nasza praca od jakiegoś czasu, żeby pokazywać, że w budżecie danej jednostki cyberbezpieczeństwo musi być traktowane na równi z pozostałymi obszarami, jak płace, wydatki na budynek, ogrzewanie i wszystkie inne – mówi agencji informacyjnej Newseria Innowacje Karol Okoński, podsekretarz stanu w Ministerstwie Cyfryzacji.

Cyberprzestępcy najchętniej obierają za cel smartfony, laptopy czy drukarki, które zwykle są słabiej zabezpieczone przez atakami hackerskimi, a w przetargach na systemy teleinformatyczne dla jednostek administracyjnych nie uwzględnia się wymagań związanych z dostarczaniem certyfikatów cyberbezpieczeństwa.

– Kompetencje osób i płace w urzędach są często niższe niż te, które oferują firmy komercyjne. Brak wystarczającej obsługi przez specjalistów IT też ewidentnie jest jedną z przyczyn. Staramy się trochę stymulować ten rynek poprzez fakt wpływania na to, że tych specjalistów IT po prostu będzie coraz więcej, bo widzimy, że wszystkie sektory gospodarki i administracji ich potrzebują – podkreśla Karol Okoński.

Aby odpowiedzieć na najpilniejsze wyzwania związane z zachowaniem bezpieczeństwa komputerowego, w ubiegłym roku przyjęto ustawę o krajowym systemie cyberbezpieczeństwa, która obliguje jednostki samorządowe do zgłaszania przypadków cyberataków w ciągu 24 godzin od ich wykrycia do odpowiedniego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego. Wejście ustawy w życie jest elementem wdrożenia wymogów unijnej dyrektywy NIS opisującej regulacje dotyczące zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w krajach Unii Europejskiej.

Skalę zagrożenia ze strony cyberprzestępców dobrze oddaje raport opracowany przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV przy Agencji Bezpieczeństwa Wewnętrznego. Urzędnicy ABW w ramach rocznego sprawozdania zbadali, jak często polskie urzędy mierzyły się z atakami hakerskimi. W 2018 roku doszło do 6 236 przypadków naruszenia bezpieczeństwa teleinformatycznego państwowych jednostek administracyjnych. Wszystkich prób ataków było blisko 32 tys., o 3,5 tys. więcej niż w 2017 roku.

W raporcie NIK wskazano najgroźniejsze zaniechania, przez które urzędy narażają się na ataki. W przeszło połowie urzędów nie przestrzega się norm bezpieczeństwa m.in. w zakresie stosowania haseł o odpowiedniej długości; większość urzędów korzysta także z komputerów pracujących na systemie operacyjnym, który nie jest już wspierany przez producenta. W co trzecim urzędzie nie ustalono zasad dotyczących korzystania ze służbowych urządzeń mobilnych, a 70 proc. jednostek nie przeprowadza obowiązkowych rocznych audytów bezpieczeństwa.

F5: nowa analiza cyberataków