10 tys. urzędników dostanie od NASK urządzenia zabezpieczające ich e-maile i konta w portalach społecznościowych. Ma to pomóc w obronie m.in. przed rosyjskimi atakami.
Urzędnicy na wysokich stanowiskach państwowych, samorządowcy i pracownicy służby zdrowia - przedstawicieli tych grup w tym roku zamierza przeszkolić NASK. Cel? Poprawa cyberbezpieczeństwa w kluczowych obszarach działania państwa. Uczestnicy spotkań dostaną też specjalne urządzenia zabezpieczające przed wyłudzaniem haseł. - Największym zagrożeniem dla administracji publicznej jest ryzyko wycieku danych - uważa Maciej Góra, analityk Instytutu Kościuszki. Wpływ na to ma między innymi rosnąca liczba usług świadczonych online, przetwarzanych w związku z tym danych i wniosków o ich obsługę. - To z kolei stwarza możliwość wystąpienia błędów ludzkich. Warto zauważyć, że administracja publiczna jest wielopoziomowa i wielosektorowa, a wiele z tych instytucji musi samodzielnie radzić sobie z wyzwaniami cyberbezpieczeństwa w warunkach niskich budżetów i jednoczesnej zażartej walki o specjalistów w tej dziedzinie na całym świecie - dodaje.
A to nie koniec listy problemów, bo Polska jest szczególnie narażona na cyberataki. - W skali roku to liczby idące w miliony - poinformował w czwartek Stanisław Żaryn, pełnomocnik rządu ds. bezpieczeństwa przestrzeni informacyjnej. Dodał też, że od pewnego czasu trwa w polskiej cyberprzestrzeni operacja, która ma na celu wyłudzenie danych mieszkających w Polsce Ukraińców. W tym celu hakerzy podszywają się m.in. pod MSWiA czy Urząd ds. Cudzoziemców.
- Najgroźniejsze są ataki typu ransomware, których liczba wyraźnie wzrosła - mówi Joanna Lesiak z NASK. To operacje z wykorzystaniem specjalnego programu, który blokuje dostęp do zainfekowanego urządzenia. Aby odszyfrować pliki, hakerzy żądają zwykle odszkodowania. To incydent tego typu sparaliżował w ubiegłym roku Instytut Centrum Zdrowia Matki Polki w Łodzi.
- Groźne są też ataki DDoS. Część z nich, szczególnie te wymierzone w instytucje publiczne, łączymy z wojną w Ukrainie. Najszerszy zasięg mają wciąż ataki wymierzone w osoby indywidualne, takie jak np. kampanie phishingowe, z których nasileniem także mamy do czynienia - dodaje Lesiak. Ofiarą phishingu, czyli wyłudzenia haseł dostępu, prawdopodobnie padł były szef KPRM, Michał Dworczyk. Jak wynika z e-maili, które od dwóch lat publikuje jeden z kanałów na Telegramie, urzędnik prowadził służbową korespondencję z prywatnej skrzynki. Rząd do dziś nie potwierdził, czy korespondencja jest oryginalna.
Między innymi zapobieganiu takim incydentom mają służyć szkolenia NASK. Już w ubiegłym roku instytucja przeszkoliła pilotażowo kilkaset osób. Tym razem ma ich być 10 tys. Wszyscy uczestnicy szkoleń mają podczas nich dostać klucze uwierzytelniające. To niewielkie, przypominające pen drive urządzenia, które niemal zupełnie wykluczają ataki phishingowe.
Mechanizm tego jednego z najpopularniejszych cyber przestępstw jest prosty: przestępca wysyła do ofiary e-mail lub SMS z linkiem do strony internetowej. Łudząco przypomina ona oryginał i prosi o podanie loginu i hasła. Jeśli ofiara je wpisze, zamiast do poczty czy portalu społecznościowego trafia na błąd. Przestępcy uzyskują za to jego wrażliwe informacje. Złodzieje stosują coraz bardziej zaawansowane socjotechniki - ostatnio rozsyłają wiadomości o możliwości odebrania zwrotu podatku lub o wystawieniu e-recepty. Fałszywy załącznik informacji prowadzi do strony, na której przestępcy chcą wyłudzić dane logowania poczty elektronicznej.
Jednym ze sposobów na zminimalizowanie ryzyka jest używanie uwierzytelniania dwuetapowego. Dzięki niemu samo wpisanie hasła nie wystarczy - trzeba jeszcze podać kod wysłany przez stronę na numer telefonu połączony z kontem lub wyświetlony w aplikacji w telefonie. Przestępcy jednak nadal mogą wyłudzić ten kod - dokładnie w ten sam sposób jak za pierwszym razem, tylko wyświetlając kolejną witrynę, tym razem proszącą o kod. Jeśli jednak drugim krokiem uwierzytelnienia jest klucz, nie podaje on złodziejom żadnych informacji, ponieważ rozpoznaje, że strona, która ich wymaga, jest fałszywa. Aby takie zabezpieczenie zadziałało, trzeba najpierw skonfigurować je na stronie, na której chcemy go używać. Dla każdego serwisu trzeba oddzielnie wykonać ten krok.
Na takie klucze NASK właśnie rozpisał przetarg. Czas na składanie ofert mija 21 lutego. Klucze muszą mieć możliwość potwierdzenia logowania dotknięciem przycisku, obsługiwać łączność bezprzewodową NFC. Nie mogą za to łączyć się z internetem, Bluetooth ani używać do logowania biometrii (np. odcisków palca). Można za ich pomocą zabezpieczyć konta w usługach Google i Microsoftu, skrzynkę pocztową czy profile w popularnych serwisach społecznościowych, m.in. na Facebooku i Twitterze.
Komercyjnie klucz spełniający takie wymagania kosztuje ok. 300 zł. A ponieważ każdy użytkownik będzie miał dla bezpieczeństwa dwa, urządzenia dla administracji będą kosztować mniej więcej 6 mln zł. ©℗
