Cyberatak na Urząd Miasta Otwocka - jak można go było uniknąć?

Nadal nie wiadomo na pewno czy w trakcie październikowego cyberataku na Urząd Miasta Otwocka doszło do utraty danych osobowych mieszkańców miasta. Teraz istotne jest, jak uniknąć ataku hakerskiego na przyszłość.

Z 15 na 16 października br. doszło do cyberataku na Urząd Urząd Miasta Otwocka. Hakerzy przy pomocy oprogramowania typu ransomware zaszyfrowali część danych na serwerach UM. Portal Antyweb, poświęcony nowy technologiom, podał, że najpewniej wykorzystano do ataku ransomware o nazwie LockBit 2.0, który nie tylko szyfruje dane, ale pozwala je przejąć, by w razie braku uiszczenia okupu je sprzedać w darknecie. Czy tak się stało?

Właściwie do tej pory – a minęło ponad półtora miesiąca - powinno być już wiadomo, czy dane osobowe wyciekły. Cyberprzestępcy żądali okupu, którego jednak nie dostali. Urzędnicy zajęli się przywracaniem funkcjonalności systemów (część danych odzyskano z backupów, część jest wprowadzana na nowo).

Na stronie otwock.pl wciąż widnieje informacja, że „atakujący mogli uzyskać nieuprawniony dostęp do danych osobowych przetwarzanych przez Urząd Miasta Otwocka takich jak: imię, nazwisko, adres zamieszkania, numer PESEL, NIP, seria i numer dowodu osobistego lub paszportu, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wysokość wynagrodzenia, wizerunek, stan cywilny, obywatelstwo, stan zdrowia, wykształcenie, karalność, adres e-mail, numer konta bankowego”.

W komunikacie rekomendowana jest m.in. wymiana dowodu osobistego, co też wielu mieszkańców Otwocka czyni. Tym niemniej kolejnych komunikatów wyjaśniających brak.

Jakkolwiek nie ma żadnego usprawiedliwienia dla takich działań przestępczych, to wiemy, że niestety wciąż się zdarzają, a różnej maści hakerzy wymyślają coraz to nowe sposoby, że dobrać się do naszych pieniędzy, albo danych (a w konsekwencji pieniędzy). Stąd niezwykle istotna jest kwestia solidności i poprawności zabezpieczeń informatycznych urzędu, czy innej jednostki związanej z finansami publicznymi. Czy w otwockim urzędzie były one prawidłowe, czy były przestrzegane wszystkie procedury bezpieczeństwa? Na to pytanie nie mamy odpowiedzi. Ratusz informował o zleceniu audytu przez zewnętrzną firmę, więc odpowiedzi powinny być gotowe już lub wkrótce, ale czy będą upublicznione?

Jak można uniknąć ataku hakerskiego?

Nie ma natomiast co do tego wątpliwości, iż instytucja, lub firma która dba o uaktualnianie zabezpieczeń, monitorowanie systemów pod kątem ataków cybernetycznych oraz o kopie zapasowe minimalizuje ryzyko zagrożenia typu ransomware i tym samym chroni wrażliwe dane.

Jak prawidłowo powinien być zabezpieczony urząd/instytucja przed cyberatakami wyjaśnia Piotr Kukla, inżynier z ponad 21-letnim doświadczeniem w branży IT, prezes PM Digital, firmy z Wawra zajmującej się bezpieczeństwem w sieci.

Otóż powinny być wdrożone kilkupoziomowe zabezpieczenia:

1. Po pierwsze powinny być zainstalowane urządzenia UTM, które pilnują bezpieczeństwa na styku wewnętrznej sieci urzędu z siecią zewnętrzną, czyli Internetem. 

2. Na wszystkich urządzeniach – komputerach, serwerach w urzędzie - powinno być zainstalowane oprogramowanie antywirusowe - aktualne i proaktywne, czyli wykrywające podejrzane  działania. Nie zda tu egzaminu  jakieś najtańsze oprogramowanie antywirusowe, założone by odhaczyć obowiązek.

3. Konieczne jest zbieranie i monitorowanie wszystkich logów z działań w każdym systemie informatycznym (urząd ma tych systemów kilka – np. oddzielny system do obsługi podatków, do śmieci, do USC…). Z każdego systemu powinny być zapisywane zupełnie niezależnie logi, żeby można było przeanalizować co się zadziało i np. jakie dane mogły zostać wykradzione. Systematyczne sprawdzanie logów pozwala także zauważyć, gdy jakiś użytkownik interesuje się czymś, do czego nie powinien mieć dostępu.

4. Dostęp z zewnątrz do serwerów musi być zamknięty. 

To tylko skrótowo opisana część działań dla ochrony bezpieczeństwa firmy, czy instytucji.

- zaznaczył Piotr Kukla. Jak dodał wszystkie urzędy i instytucje finansów publicznych mają nałożony prawny obowiązek przeprowadzenia raz do roku sprawdzenia poziomu bezpieczeństwa informatycznego (rozporządzenie KRI), więc nasuwa się kolejne pytanie czy takie sprawdzenie w UM Otwock było zrobione, i jakie były wnioski? 

W każdym razie miejmy nadzieję, że zostaną zrobione teraz…

Kazimiera Zalewska