Wzrost cyberprzestępczej aktywności nierozerwalnie wiąże się z upowszechnianiem Internetu. Istotą tej powszechności jest łatwość dostępu do sieci oraz szerokie możliwości jej zastosowania. Poza niekwestionowanymi walorami tych wartości, jednocześnie niosą one ze sobą najpoważniejsze zagrożenia, także dla jednostek samorządu terytorialnego.
Gmina Rząśnia – 500 tys zł, gmina Gidle – 300 tys. zł, Podlaski Zarząd Dróg Wojewódzkich ok. 3,7 mln zł. To najgłośniejsze w ostatnich latach przypadki hakerskich ataków, których ofiarami padały polskie samorządy. Codziennie stają się one celem ataków z wykorzystaniem środków cyberprzestępczości, które wyrastają na największe, bo nieprzewidywalne zagrożenie dla bezpieczeństwa funkcjonowania jednostek samorządu terytorialnego.
Łatwość pokonania zabezpieczeń samorządowych serwerów w połączeniu z informacjami, które się na nich znajdują (bazy danych kierowców, informacje o przetargach itp.) powoduje, że samorządy stają się częstym celem hakerów. Zagrożenie to potęgowane jest także przez ilość dokonywanych przez samorządy operacji finansowych, które znajdują się na pierwszym miejscu zainteresowania cyberprzestępców. Właśnie ze względu na powyższe, cyberataki stanowią dla samorządów tak duże zagrożenie.
Analiza niektórych przeprowadzanych cyberataków na jednostki samorządu terytorialnego wskazuje na ich różnorakie motywy. Przywołane na wstępie ataki na gminy Rząśnia, Gidle czy Podlaski Zarząd Dróg Wojewódzkich miały stricte finansowe podłoże. We wszystkich wskazanych przypadkach charakter działania cyberterroryzmu był tożsamy i polegał na zmianach numerów kont w systemach informatycznych gmin, na które dokonywane były płatności, czy też na przysłaniu fałszywych wiadomości mailowych od rzekomych kontrahentów lub jednostek podległych informujących o zmianach numerów kont bankowych. Na przykładzie Podlaskiego Zarządu Dróg Wojewódzkich działanie takie polegało właśnie na mailowym poinformowaniu o zmianie numeru konta do bieżących rozliczeń wykonawcy inwestycji drogowej. W rezultacie, płatność wynosząca blisko 4 mln zł skierowała została na rachunek cyberprzestępców, o czym organ dowiedział się dopiero od inwestora po upływie terminu dokonania płatności.
Podobnymi, również kosztownymi atakami padły samorządy miast w Białej Podlaskiej i Kraśniku. W ich przypadku cyberprzestępcy dokonali ataku na serwer VoIP służący do nawiązywania połączeń telefonicznych z wykorzystaniem sieci internetowej. W przypadku Białej Podlaskiej hakerzy wykonali prawie 900 połączeń do Zimbabwe, „naciągając” miasto na rachunek w wysokości 49 tys. zł, a Kraśnik na 19,5 tys. zł poprzez telefony do sieci komórkowej w Austrii.
Duża część hakerskich ataków opiera się na paraliżowaniu prac organów czy też próbie dostępu do danych teleinformatycznych przez nie gromadzonych. Atakiem tego typu była m.in. wysyłana do wielu polskich gmin wiadomość e-mail z załączoną fałszywą oraz zawierającą złośliwe oprogramowanie aktualizację systemu BeSTi@ (system zarządzania budżetem jednostek Samorządu Terytorialnego) w wersji 3.02.012.0715. Wiadomości zawierające fałszywą aktualizację wysłano z adresu pomoc@budzetjsf.pl, podczas gdy właściwy adres wykonawcy systemu jest łudząco podobny - pomoc@budzetjst.pl.
W przeważającej części ataki hakerskie nie stwarzają bezpośredniego zagrożenia dla funkcjonowania samorządów, ich celem są bowiem treści stron internetowych urzędów czy źródła informacji wtórnych jak np. Biuletyny Informacji Publicznych. Ataki tego typu mają zazwyczaj charakter szkalujący, z czym spotkały się np. Wadowice, gdy na oficjalnej stronie internetowej miasta umieszczono obraźliwe zdjęcia z wizerunkiem papieża Jana Pawła II.
Pomimo świadomości zagrożenia umacnianej częstymi medialnymi doniesieniami o kolejnych zakończonych powodzeniem atakach wiele samorządów zdaje się nie nadawać cyberprzestępczości należnego jej miejsca na liście zagrożeń. Współczesny trend legislacyjny polegający na zapewnianiu możliwie najszerszego dostępu obywateli do gromadzonych przez organy administracji informacji stawia przed organami nowe obowiązki polegające na zapewnieniu bezpieczeństwa danych. Występujące codziennie przykłady udanych cyberprzestępczych ataków na jednostki samorządowe świadczą, że organy bezpieczeństwa tego często nie są w stanie skutecznie zagwarantować.
@page_break@
Skalę problemu zarysowuje m.in. Informacja Najwyższej Izby Kontroli z dnia 2 marca 2015 r. o wynikach kontroli – „Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych wymiany informacji w postaci elektronicznej oraz krajowych ram interoperacyjności na przykładzie niektórych gmin miejskich i miast na prawach powiatu”.[1]
Krytycznie oceniono ogólny stan systemów zarządzania bezpieczeństwem informacji w kontrolowanych urzędach miast. Czytamy w nim, że nieprawidłowości w tym obszarze stwierdzono w 21 z 24 skontrolowanych urzędów. Dotyczyły one przede wszystkim: zarządzania uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych; uprawnienia administratora systemu posiadali pracownicy, którzy nie byli informatykami; aktywne konta w systemach informatycznych urzędów mieli byli pracownicy, ponieważ zapomniano je zablokować. W 15 z 24 kontrolowanych urzędów brakowało całościowej Polityki Bezpieczeństwa Informacji. Opracowane i wdrożone regulacje związane z zarządzeniem bezpieczeństwem informacji nie obejmowały wszystkich przetwarzanych w urzędach informacji, lecz dotyczyły głównie bezpieczeństwa danych osobowych;
Do najczęściej popełnianych przez samorządy błędów należy również korzystanie z nieaktualnego oprogramowania (jak np. system operacyjny Windows XP, który pozbawiony jest już wsparcia systemu i aktualizacji oprogramowania), czy też brak właściwie przeszkolonych kadr w zakresie cyberzagrożeń.
Jakie działania powinny podjąć samorządy żeby ograniczyć pole do popisu cyberprzestępcom? Na podanych przykładach gminy Rząśnia, czy Podlaskiego Zarządu Dróg Wojewódzkich truizmem będzie stwierdzenie, że podstawową odpowiedzią jest zwiększona ostrożność, zwłaszcza przy przeprowadzaniu dużych operacji finansowych. Sama gmina Rząśnia po przeprowadzonym ataku zmieniła sposób przeprowadzania płatności powracając do tradycyjnej bankowości. Innym ze skutecznych sposobów może być zastrzeżenie umowne dotyczące zmiany numerów kont bankowych, które odbywałyby się wyłącznie w drodze aneksu do umowy głównej. Nieodzowne wydaje się, w kontekście powyższego, również podnoszenie kwalifikacji kadry pracowniczej. Firmy zewnętrzne, czy też działający w Polsce Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL oferują bogatą ofertę szkoleń, które wydatnie zwiększyłyby poziom bezpieczeństwa systemów teleinformatycznych jednostek samorządowych. Zasadne wydaje się również ograniczenie dostępu do zasobów Internetu dla pracowników jednostek samorządowych poprzez stworzenie katalogu stron zaufanych. Częstym bowiem źródłem zagrożeń dla bezpieczeństwa danych są ściągane z sieci załączniki. Z tego też powodu uzasadnionym jest rozdzielenie na odrębne serwery danych o znaczeniu podstawowym oraz tych o znaczeniu zasługującym na podwyższoną ochronę, do której dostęp powinna mieć ograniczona ilość osób posiadających specjalne prawa dostępu, czy też – co prostsze, systematyczne tworzenie i sprawdzanie kopii zapasowych baz danych, na wypadek ich usunięcia.
Cały szereg działań jakie powinny podjąć podmioty realizujące zadania publiczne w calu zagwarantowania bezpieczeństwa danych zawarto w treści § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.[2] Jak wynika jednak z przedstawionych powyżej wyników kontroli NIK, wdrożenia przepisów rozporządzenia często nie następują, bądź też następują w sposób częściowy.
Skala zagrożenia cyberprzestępczością wymusiła podjęcie działań zmierzających do ochrony zagrożonych podmiotów administracji publicznej. Do takich zalicza się między innymi opracowany przez Ministerstwo Administracji i Cyfryzacji wraz z Agencją Bezpieczeństwa Wewnętrznego dokument pt. „Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” uchwalony w Warszawie 25 czerwca 2013 r., który w oparciu o: „Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011 – założenia”; okresowe raporty o stanie bezpieczeństwa obszaru gov.pl, publikowane przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL; decyzję Przewodniczącego Komitetu Rady Ministrów do spraw Cyfryzacji nr 1/2012 z dnia 24 stycznia 2012 r. w przedmiocie powołania Zespołu zadaniowego do spraw ochrony portali rządowych, w szerokim zakresie odnosi się do cyberbezpieczeństwa organów administracji rządowej. O ile idea stworzenia dokumentu jest oczywiście słuszna, o tyle nie objęcie jej obowiązywaniem jednostek samorządu terytorialnego budzi uzasadnione zastrzeżenia. Jak wskazano bowiem w treści dokumentu Polityka obowiązuje administrację rządową, a dla administracji samorządowej szczebla gminnego, powiatowego i wojewódzkiego oraz innych urzędów jest jedynie rekomendowana. W rezultacie, istniejący w Polsce system wczesnego ostrzegania o zagrożeniach w Internecie - ARAKIS-GOV, który powstał we współpracy ABW z zespołem CERT Polska nie obejmuje instytucji samorządowych, chyba że te same się o to zwrócą.
Czy istnieje skuteczna metoda walki samorządów z cyberprzestępcami? Oczywistym jest odpowiedz negatywna, gdyż sensem działania tych ostatnich jest ciągłe łamanie nowych, doskonalszych zabezpieczeń, wyprzedzanie o krok wprowadzanych rozwiązań, uporczywe pokonywanie „informatycznej poprzeczki”. Jak w takiej sytuacji powinny zachowywać się samorządy? Powinny tę „poprzeczkę” zawiesić jak najwyżej, a przede wszystkim możliwie utrudnić przeciwnikowi przeprowadzenie kolejnego „ataku”. Osoby odpowiedzialne w polskich samorządach za bezpieczeństwo gromadzonych danych, które jak już wspomniano często, są danymi o specjalnym charakterze oraz bezpieczeństwo dokonywanych operacji finansowych z wykorzystaniem publicznych środków muszą mieć świadomość znaczenia poziomu tworzonych zabezpieczeń. Jednocześnie, w interesie administracji rządowej leży to, aby osoby te posiadały możliwie wysokie kwalifikacje. Dostrzegam potrzebę udzielenia przez administrację rządową pomocy jednostkom samorządowym poprzez przeprowadzenie wyspecjalizowanych szkoleń dla pracowników zajmujących bezpośrednio zabezpieczeniami w tych jednostkach. Bez pomocy i nadzoru władzy centralnej samorządy nie mają szans na odparcie cyberataków, a skuteczność tych ostatnich uderza nie tylko w powagę samorządu, ale całej administracji publicznej w ogóle.
Przypisy:
[1] https://www.nik.gov.pl/plik/id,8126,vp,10155.pdf.
[2] Dz.U. z 2012 r. poz. 526