Celem był paraliż funkcjonowania komunikacji miejskiej
We wtorek 3 grudnia doszło do ataku hakerskiego na systemy MPK Kraków, powodując problemy z funkcjonowaniem sprzedaży biletów, strony internetowej oraz innych systemów IT. Spółka o ataku poinformowała w swoich mediach społecznościowych. Fakt ten w rozmowie z kraków.pl potwierdził także rzecznik spółki MPK Kraków, Marek Gancarczyk. - Mogę jednoznacznie potwierdzić, że te problemy, które dotyczą właśnie systemu informatycznego odpowiedzialnego za zakup biletów w aplikacjach, to jest efekt ataku hakerskiego. Ten atak został przeprowadzony we wtorek, 3 grudnia, w godzinach porannych – powiedział Gancarczyk.
Według rzecznika MPK Kraków, za atakiem stoi międzynarodowa grupa hakerów. — Celem był paraliż funkcjonowania komunikacji miejskiej. Bo tu zostają m.in. zaatakowane te systemy, które funkcjonują w MPK i które są wykorzystywane m.in. do planowania służb – wyjaśniał Marek Gancarczyk. — Natomiast to, co chcę podkreślić, niezależnie od tego typu ataków, MPK właśnie w takich sytuacjach wdraża procedury awaryjne. One właśnie w tej chwili działają. Dzięki temu wszystkie zajezdnie, wszystkie stacje obsługi funkcjonują bez zakłóceń – dodał.
W praktyce oznacza to, że kursują zarówno tramwaje, jak i autobusy zgodnie z rozkładem jazdy. Atak, do którego doszło 3 grudnia, uniemożliwia korzystanie z aplikacji służącej do zakupu biletów. - Jeżeli ktoś korzysta z aplikacji mKKM, jeżeli ktoś korzysta z Informatycznego Konta Pasażera, no to po prostu tam biletu nie kupi, nie może go okazać do kontroli. Tutaj podkreślam, że wszystkie bilety okresowe, które zostały kupione i nawet jeżeli nie są widoczne w tych aplikacjach, one jak najbardziej są respektowane. W tej chwili Zarząd Transportu Publicznego przekazał nam informację, że wystarczy jakiekolwiek potwierdzenie zakupu takiego biletu, czy to papierowe, czy mailowe. I oczywiście kontrolerzy będą tego typu potwierdzenie respektować – wyjaśniał Marek Gancarczyk.
Na ten moment nie wiadomo, kiedy systemy IT MPK Kraków wrócą do normalnego funkcjonowania. Zgodnie z procedurą, miejska spółka przekazała informacje o cyberataku do odpowiednich służb, w tym, m.in. policji, czy prezesowi Urzędu Ochrony Danych Osobowych. - Istnieje potencjalne ryzyko kradzieży danych osobowych, a więc tutaj też chcemy, żeby te osoby, które mają dane w naszych systemach, wiedziały, że jest takie ryzyko i były ostrożne w tej chwili – wyjaśniał Marek Gancarczyk.
- Tutaj też ostrzegamy przed jakimś dziwnym kontaktem telefonicznym, czy mailowym. Apelujemy też o to, o co apeluje wiele instytucji, czyli zastrzeżenie numeru PESEL. Natomiast te systemy oczywiście staramy się przywracać. Natomiast musimy to robić oczywiście etapowo, systematycznie, bo tu zależy nam na tym, żeby to, co będzie przywracane, było robione z uwzględnieniem najwyższego priorytetu bezpieczeństwa – dodał.
O ataku okiem ekspertów
Po cyberataku na infrastrukturę IT MPK Kraków poprosiliśmy o komentarz ekspertów.. Aleksander Kostuch, inżynier Stormshield, wytwórcy technologii bezpieczeństwa IT, uważa, że to, co wydarzyło się w stolicy małopolski, to kolejny, podobny przykład w ostatnich latach. — W lutym 2023 roku ofiarą przestępców padł system ŚKUP (Śląska Karta Usług Publicznych). Wykorzystali oni wówczas fakt, że system bazował na starych rozwiązaniach serwerowych. W efekcie ataku przestały działać portal, aplikacja Mobilny ŚKUP, System Dynamicznej Informacji Pasażerskiej oraz kasowniki biletów z czytnikami kart. Użytkownicy komunikacji publicznej uruchamianej przez GZM byli proszeni o samodzielne kasowanie papierowych biletów, poprzez wpisanie na nich długopisem daty i godziny przejazdu oraz kasowanie ich w kasownikach dziurkujących – przypomniał sytuację z 2023 roku Aleksander Kostuch.
- Te incydenty pokazują jak wielkie jest zagrożenie ze strony przestępców, chcących sparaliżować funkcjonowanie naszego społeczeństwa. Grupy atakujące elementy infrastruktury krytycznej często są motywowane politycznie. Administracja publiczna chętnie korzysta z dobrodziejstw cyfryzacji, jednak wiele instytucji wciąż pozostaje niedofinansowanych w obszarze IT – dodał.
Aleksander Kostuch przypomniał także, że w obu przypadkach, poza zakłóceniem ciągłości usług i możliwym wyciekiem wrażliwych danych, należy także brać pod uwagę ryzyko prawne oraz utratę reputacji. — Choć świadomość znaczenia skutecznego systemu bezpieczeństwa rośnie, to wciąż nie jest ona wystarczająca. Trzeba wierzyć, że pozytywnym efektem tego rodzaju sytuacji kryzysowych, o ile można w takiej sytuacji mówić o „pozytywnym efekcie”, będzie refleksja u innych operatorów komunikacji publicznej, przedsiębiorstw wodociągowych czy ciepłowniczych na temat stanu zabezpieczeń – uważa nasz ekspert.
- Presja na te systemy rośnie, ponieważ skuteczny atak na nie prowadzić może do chaosu, co jest oczekiwanym efektem. Dlatego trzeba zrobić wszystko by zabezpieczyć się w maksymalnym stopniu – dodał.
Aleksander Kostuch, chociaż przyznaje, na ten moment trudno ocenić co mogło być wektorem ataku w Krakowie, to z jego perspektywy, czyli osoby, która jest ekspertem cyberbezpieczeństwa, można powiedzieć, że do zabezpieczania tej sfery kluczowe jest nie tylko wdrożenie odpowiednich rozwiązań technicznych np. firewalli i segmentacji firmowych sieci, lecz także nieustanne podnoszenie kompetencji pracowników. — Brak właściwych zabezpieczeń i ludzkie błędy są jednymi z najczęstszych sposobów na skuteczny atak – uważa Aleksander Kostuch.
Polska na celowniku cyberarmii
Łukasz Taradejna, starszy specjalista ds. cyberbezpieczeństwa w COIG, zauważa, że co raz częściej do opinii publicznej trafiają informacje dotyczące incydentów bezpieczeństwa spowodowanych przez cyberprzestępców lub Grupy APT, które dość często są ukierunkowane na konkretne cele. — Incydenty te powodują lub mogą powodować zatrzymanie usług kluczowych polskich organizacji i firm. Jako kraj znajdujemy się na celowniku cyberarmii Federacji Rosyjskiej, Chińskiej Republiki Ludowej czy Korei Północnej. Natomiast prym w realizacji ataków ransomware wiodą grupy APT, dla których atak na organizacje to szansa na zarobek z zapłaconego okupu za przekazanie klucza deszyfrującego i obietnice nie publikowania informacji wykradzionym organizacją – powiedział Łukasz Taradejna
- Natomiast z tyłu głowy należy pamiętać, że zapłacenie okupu nie gwarantuje, że cyberprzestępcy postąpią honorowo. Pozostaje jeszcze problem związany z zapłatą okupu. Przecież od tak nie można wydać kilkudziesięciu milionów złotych z środków publicznych – dodał.
Zdaniem Taradejny, polskie organizacje są atakowane z prostego względu: większość grup APT szuka łatwego celu. — Często do ataków do których dochodzi wykorzystywane są znane techniki ataków, np. e-maile phishingowe ze złośliwą zawartością, wykorzystywanie znanych i nowych podatności lub błędów konfiguracyjnych w infrastrukturze ICT – powiedział ekspert z COIG.
- Ponadto analizując różne próbki złośliwego oprogramowania można wskazać, że np. w przypadku próbek trojana EMOTET czy Info Stealer pierwszym zadaniem złośliwego kodu było zweryfikowanie w jakim języku jest zainstalowany system operacyjny i jakie są wykorzystywane układy klawiatury. Wiąże się to z faktem, że cyberprzestępcom nie opłaca się atakować organizacji w krajach, w których okup nie zostanie zapłacony lub jest bardzo niska szansa na ich wzbogacenie – dodał.
Łukasz Taradejna wspomina także o drugiej stronie medalu, a mianowicie o fakcie, że w wielu polskich przedsiębiorstwach czy organizacjach brakuje specjalistów do spraw cyberbezpieczeństwa, pieniędzy na zakup technologii chroniącej systemy. Co więcej, Taradejna uważa, że obecny kształt Ustawy o krajowym systemie cyberbezpieczeństwa reguluje wymagania w zakresie obronnym tylko do Operatorów Usługi Kluczowej.
Dalej ekspert COIG twierdzi, że poziom cyberbezpieczeństwa w administracji publicznej wymaga wsparcia zarówno finansowego na zakup technologii, zwiększenia wakatów specjalistów oraz świadomości pracowników. - Mamy obecnie kolejny program po „Cyfrowym Powiecie”, „Cyfrowej Gminie” program „Cyberbezpieczny Samorząd” dla sektora. W przypadku dofinansowania służby zdrowia w 2022 i 2023 roku realizowany był program podniesienia poziomu bezpieczeństwa w szpitalach. Niestety zabezpieczenia, które były możliwe do wdrożenia opierały się na bardzo ograniczonym katalogu i zdarzały się sytuacje gdzie placówki zakupywały system klasy SIEM i nie potrafiły poprawnie z niego korzystać lub zadania monitorowania były realizowane po macoszemu – stwierdził Łukasz Taradejna.
Główne grzechy administracji publicznej
Ekspert COIG, pokusił się także na wskazanie największych grzechów polskiej administracji publicznej, zaznaczając jednocześnie, że „katalog” powstał na podstawie zebranej próbki i nie odwzorowuje on obszaru wszystkich organizacji administracji publicznej w Polsce. Niemiej jednak, wnioski są dość mocno niepokojące. Wśród największych grzechów administracji publicznej Taradejna wymienia na pierwszym miejscu brak szkoleń w zakresie cyberbezpieczeństwa.
- Mając kontakt z wieloma organizacjami publicznymi w bardzo nielicznych przypadkach spotkać można się było z realizowanym procesem przeprowadzania cyklicznych szkoleń w obszarze cyberbezpieczeństwa. Dość często te szkolenia opierały się głównie na obszarze GPDR. Nie realizowanie tego typu praktyk skazuje organizacje na sytuacje w których nieświadomy pracownik otwiera złośliwy załącznik np. Excel z makrem, który nawiązuje komunikacje do serwera cyberprzestępców C2. W przypadku gdy organizacja nie posiada adekwatnych zabezpieczeń lub są niepoprawnie skonfigurowane cyberprzestępcy mają swobodny punkt wejścia do infrastruktury IT takiej organizacji – powiedział Łukasz Taradejna.
- Natomiast ta świadomość jest niezbędna. Czytając decyzje Prezesa Urzędu Ochrony Danych Osobowych można łatwo wyciągnąć część wniosków, że ta świadomość jest niska. Jako przykłady można przytoczyć nałożenie kary administracyjnej na podmiot, w którym pracownik wyłączył oprogramowanie antywirusowe czy podmiot, którego pracownik zagubił niezaszyfrowywanego pendrive z danymi pracownika – dodał.
Jako drugi grzech polskiej administracji publicznej, Taradejna wymienia brak realnej i rzetelnej analizy szacowania ryzyka. Jego zdaniem, podmioty oceniające ryzyko z obszaru administracji publicznej, służby zdrowia, sektora wodno-kanalizacyjnego dość często opierają swoją analizę ryzyka o najprostszy dla nich do zrozumienia wzór prawdopodobieństwa mnożonego przez skutek. — Niestety taka metodyka nie jest skuteczna. Dość często pojawia się problem z identyfikacją ryzyk. Organizacje nie posiadają w wielu przypadkach katalogu ryzyk i wskazują cyklicznie te same ryzyka. Natomiast brak specjalistów w obszarze cyberbezpieczeństwa i ciągłości działania skutkuje tym, że analizy są wykonywane w pełni przez informatyka, który nie jest specjalistą w obszarze organizacyjnym – powiedział Łukasz Taradejna.
- Same wyniki też w wielu przypadkach są niedoszacowane. Rozmawiając często z osobami, które w organizacjach zajmują się analizą ryzyka, osoby te nie słyszały o międzynarodowych standardach takich jak m.in. ISO 31000, ISO 27005 czy NIST SP 800-30, a także o metodykach takich jak np. Hazop, FMEA czy Monte Carlo – dodał.
Niskiej jakości zabezpieczenia techniczne
Kolejny grzech, to zdaniem Taradejny brak lub niskiej jakości zabezpieczenia techniczne. Ekspert COIG twierdzi, że wiele podmiotów polega na dostawcy usługi poczty elektronicznej w ochronie przed złośliwym oprogramowaniem. — Niestety dość często te zabezpieczenia są niewystarczające. Pomimo zagwarantowania zabezpieczeń w postaci SPF, DKIM czy DMARC nie realizowana jest automatyczna analiza zawartości wiadomości poprzez wykorzystanie znanych wskaźników kompromitacji (IoC), behawiorystyke, heurystyke czy analizie w dedykowanej piaskownicy (tzw. sandboxie) – powiedział Łukasz Taradejna.
- Takie rozwiązania są drogie, a Sandboxy z górnej półki kosztują nawet kilkaset tysięcy złotych, co powoduje, że zabezpieczenie jest zbyt kosztowne, aby wdrożyć je w planie reakcji na ryzyko. Ponadto należy wspomnieć fakt, że pracownicy w systemach poczty elektronicznej stosują proste hasła, co niestety potwierdza wyciek danych polskich użytkowników internetu z 2023 roku. Niestety problem robi się, gdy logowanie do panelu poczty elektronicznej jest zintegrowane z domeną Active Directory organizacji – dodał.
Kolejnym problemem, na który wskazuje Łukasz Taradejna, jest fakt, że pracownicy w trakcie wykonywania obowiązków służbowych korzystają z prywatnych skrzynek pocztowych. — W przypadku wdrożenia zaawansowanego systemu ochrony poczty te zabezpieczenia nie mają prawa zadziałać. Wtedy ostatnią linią obrony jest oprogramowanie antywirusowe zainstalowane na stacji roboczej, które może nie rozpoznać zagrożenia lub nie posiadać aktualnych sygnatur w przypadku nowej rodziny złośliwego oprogramowania. Historycznie obserwując atak cyberprzestepców zaobserwowałem kampanie phishingową, gdzie pracownik organizacji (nazwijmy ją XYZ) korzystając z prywatnej poczty elektronicznej otworzył link do dysku sieciowego, na którym znajdował się plik z rozszerzeniem pdf.exe. Pracownik usilnie chciał zapłacić fakturę za telefon, natomiast w pośpiechu zapomniał, że abonament telefoniczny miał u innego operatora, niż tego za którego cyberprzestępcy się podszyli – powiedział Łukasz Taradejna.
Brak monitorowania cyberbezpieczeństwa w trybie ciągłym – to ostatni grzech, na który wskazuje ekspert COIG. — Niestety w wielu podmiotach nie wdrożono skutecznego systemu monitorowania zagrożeń dla bezpieczeństwa infrastruktury. Ponadto wdrożenie i utrzymywanie procesu dla wielu organizacji jest nie możliwe do zrealizowania ze względu na zdolności finansowe, brak odpowiedniej wielkości kompetentnego personelu – powiedział Łukasz Taradejna.
- Co gorsza w wielu postępowaniach zakupowych, które są publikowane na platformach zakupowych, stawiany jest wymóg posiadania kilku lub kilkunastu scenariuszy reakcji. Niestety patrząc na tabele Mitre można stwierdzić, że tych metod jest dużo więcej i kilka scenariuszy nie jest w stanie pokryć znanych technik ataków wykorzystywanych przez grupy APT – dodał.
Zdjęcie: MPK Kraków
