Przestępcy równie często jak komercyjne firmy biorą na cel urzędy – wynika z najnowszego raportu Agencji Bezpieczeństwa Wewnętrznego
9 stycznia 2013 r. podmieniono witrynę internetową, która należała do departamentu analiz ekonomicznych i prognoz Ministerstwa Pracy i Polityki Społecznej. Ledwie pięć dni później zrobiono to samo z witryną „otwarta szkoła” Ministerstwa Edukacji Narodowej. W połowie lutego ktoś włamał się do portalu eWUŚ (czyli informatycznego systemu zarządzania danymi pacjentów) i grzebał w ustawieniach użytkowników. W marcu doszło do głośnego włamu do serwisów Kancelarii Prezesa Rady Ministrów i Ministerstwa Spraw Zagranicznych. We wrześniu podszywano się pod Ministerstwo Finansów i próbowano wyłudzić informacje od przedsiębiorców. To tylko niektóre przykłady cyberataków, które wymierzone były w zeszłym roku w polską administrację.
Jak wynika z najnowszego raportu ABW o cyberbezpieczeństwie Polski, do tego typu zagrożeń dochodzi niemal codziennie. W 2013 r. 5670 zgłoszeń, jakie trafiły do specjalnego zespołu CERT działającego przy ABW, zostało zakwalifikowanych jako konkretne incydenty. Najwięcej z nich, bo ponad 4,2 tys., to były działania botnetów (czyli sieci zainfekowanych komputerów) atakujących złośliwym oprogramowaniem. Część z nich to dosyć łatwe do odparcia ataki na ślepo. Wiele stanowiło jednak poważne zagrożenie.
Dodatkowo system ARAKIS-Gov (reagujący na cyberzagrożenia w administracji publicznej) zanotował ponad 18 tys. alarmów, z czego blisko 650 oceniono jako te o bardzo wysokim priorytecie. – Instytucje publiczne są narażone na takie ataki. W ogromnej części to tylko próby podmienienia strony, czyli zagrania urzędnikom na nosie. Ale coraz więcej tych zdarzeń to próby zdobycia informacji, także tych niejawnych – wyjaśnia Borys Łącki, specjalista zajmujący się bezpieczeństwem informacji, i dodaje, że właśnie przed takimi zagrożeniami urzędy powinny szczególnie mocno się chronić. – Sytuacja, gdy nieuprawnione osoby i do tego jeszcze w złych celach wejdą w posiadanie takich informacji, może pociągnąć za sobą naprawdę poważne skutki – dodaje ekspert.
Mimo to nasze urzędy nie są dobrze zabezpieczone. ABW od połowy 2008 r. prowadzi specjalne badania zabezpieczenia witryn urzędów. Te przeprowadzone w 2013 r. nie napawają optymizmem. Przebadano 45 stron internetowych, należących do 15 instytucji państwowych (m.in. Ministerstwa Środowiska; Ministerstwa Transportu, Budownictwa i Gospodarki Morskiej; Narodowego Funduszu Zdrowia; Urzędu Komunikacji Elektronicznej czy strony należące do Ministerstwa Finansów, a konkretnie izby celnych). Łącznie stwierdzono na nich aż 755 błędów, w tym 244 błędy o bardzo wysokim poziomie zagrożenia i 33 błędy o wysokim poziomie zagrożenia, czyli takie, które aż proszą się o wykorzystanie przez przestępców. – Po części to oczywiście nie jest wina samych urzędów. Na tym rynku trwa ciągły wyścig zbrojeń. Tak jak przedsiębiorstwa i urzędy łatają dziury, zakładają kolejne zabezpieczenia, tak przestępcy dopracowują nowe metody łamania tych zabezpieczeń i wyszukują kolejne luki – tłumaczy Joanna Świątkowska, ekspert Instytutu Kościuszki, lider projektu „Cel: Cyberbezpieczeństwo”. Łącki porównuje ten proces do zakładania kolejnych zamków w drzwiach, w sytuacji gdy przestępcy znajdują wejście do mieszkania przez okno lub piwnicę. – Z drugiej strony jednak nie oszukujmy się, cyberbezpieczeństwo wciąż nie jest priorytetową inwestycją w urzędach, szczególnie tych samorządowych. Dominuje raczej myślenie, że jakoś tam będzie – dodaje Świątkowska.
Zasadę „jakoś tam będzie” niestety widać w coraz to nowych incydentach. Ostatnio najgłośniejszym było podszywanie się pod wykonawcę systemu Besti@ należącego do resortu finansów. Przed fałszywymi e-mailami, jakie zaczęły masowo trafiać do urzędów samorządowych w połowie marca, ostrzegła Krajowa Rada Regionalnych Izb Obrachunkowych. Łudząco podobne do oryginalnej korespondencji e-maile z informacją o dostępnej aktualizacji systemu Besti@ były rozsyłane celem wyłudzenia od samorządów danych. Przestępcy nakłaniali do zainstalowania fałszywej aktualizacji, zainfekowanej złośliwym oprogramowaniem. Program po zainstalowaniu go w urzędowych komputerach był w stanie wyciągnąć z nich wiele cennych informacji.
18 tys. tyle cyberalarmów zanotowano w 2013 roku
755 błędów ABW wykryła na urzędowych witrynach
5670 tyle ataków na rządową infrastrukturę stwierdzono w 2013 roku
Dominuje zasada, że jakoś to będzie. E-bezpieczeństwo nie jest priorytetem
