Zapaść cyberbezpieczeństwa w urzędach
Raport opublikowany przez Naczelną Izbę Kontroli na początku kwietnia pokazał, że w małych gminach (do 10 tys. mieszkańców) w zachodniopomorskim kwestie cyberbezpieczeństwa nie mają się najlepiej. Powód? Wieloletnie zaniedbania dotyczące infrastruktury informatycznej, braki w wiedzy oraz niewystarczające szkolenia pracowników, a także stosowanie nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania.
Wszystkie analizowane przypadki wykazały brak przestrzegania norm prawnych, zwłaszcza w kontekście normy PN-ISO/IEC 27001, dotyczącej zarządzania bezpieczeństwem informacji. Dodatkowo, w jednym z urzędów przez dwa lata, a w trzech pozostałych przez niemal cztery lata, nie wyznaczono odpowiedniej osoby do kontaktu z krajowym systemem cyberbezpieczeństwa.
Co więcej, okazało się, że w połowie urzędów, które przeszły kontrolę, nie opracowano procedur umożliwiających szybkie odtworzenie danych po ewentualnym cyberataku. Nawet tam, gdzie takie procedury zostały stworzone, nie przeprowadzono niezbędnych testów potwierdzających ich skuteczność.
NIK w swoim raporcie wskazał także na brak systematycznej weryfikacji kompletności i przydatności tworzonych kopii zapasowych danych. W jednym z urzędów zauważono nawet, że metoda tworzenia kopii zapasowych mogłaby prowadzić do zainfekowania kopii w przypadku infekcji serwera głównego. Ponadto mimo posiadania specjalistycznego oprogramowania zabezpieczającego, w jednym z badanych urzędów jego nieprawidłowa konfiguracja nie zapewniała oczekiwanej ochrony przed zagrożeniami.
Otwarte zaproszenie dla cyberprzestępców
Kontrole przeprowadzone przez NIK ujawniły również brak zinwentaryzowanego środowiska informatycznego w urzędach, przy czym w połowie z nich stwierdzono korzystanie z przestarzałego oprogramowania, co jest otwartym zaproszeniem dla cyberprzestępców.
W dwóch z badanych urzędów stwierdzono brak efektywnego systemu zarządzania incydentami bezpieczeństwa, co uniemożliwiało szybką identyfikację i reakcję na ewentualne cyberataki. Nawet tam, gdzie istniały procedury, w niektórych przypadkach nie rejestrowano incydentów ani nie zgłaszano ich do właściwych jednostek zajmujących się cyberbezpieczeństwem.
Ponadto kontrola ujawniła niedostateczne zabezpieczenie fizyczne serwerów w niektórych gminach, np. umieszczenie serwera w otwartej szafie biurowej, co narażało go na nieautoryzowany dostęp oraz przypadkowe uszkodzenia. To poważne naruszenie podstawowych zasad bezpieczeństwa informacji. Dodatkowo ustalono, że w żadnym z badanych urzędów pracownicy nie przeszli odpowiednich szkoleń z zakresu cyberbezpieczeństwa.
Koniec ery „pana informatyka”
Marcin Deręgowski, miejski radny z Rzeszowa, wskazuje, że brak odpowiedniej cyberochrony, to nie tylko problem urzędów, ale ogólnie instytucji publicznych, w tym również uczelni wyższych.
- Bardzo często dzieje się tak, że urzędy korzystają z dedykowanych systemów, które nie są aktualizowane, bo albo nie ma już „pana informatyka”, który dany system pisał, albo zewnętrzna firma, która była jego właścicielem, już nie istnieje, a wiadomo, że brak aktualizacji oprogramowania, to otwarte zaproszenie dla cyberprzestępców – powiedział nam w rozmowie Marcin Deręgowski.
Dlaczego tak się dzieje, skoro na rynku jest tylu specjalistów, którzy znają się na cyberbezpieczeństwie? Rzeszowski radny uważa, że to kwestia wynagrodzenia, które, aby było atrakcyjne dla pracownika sekcji IT w urzędzie, musiałoby się zrównać z wynagrodzeniem włodarzy miasta lub gminy.
- To jest największa bolączka. Dziś nie wystarczy kogoś przeszkolić. Dziś w administracji publicznej są potrzebni specjaliści, pasjonaci. Skończyła się era „pana informatyka”. Teraz są specjalizacje, po które prędzej czy później urzędy będą musiały sięgnąć, aby zapewnić mieszkańcom cyberochronę – stwierdził Marcin Deręgowski.
Rzeszów bezpiecznym miastem do życia?
A czy Rzeszów jest bezpiecznym miastem do życia, również pod kątem cybersecurity?
- Tak, o cyberbezpieczeństwo mieszkańców dbamy już od lat – zauważył Deręgowski. Potwierdził to Sławomir Świder, zastępca Dyrektora Biura Obsługi Informatycznej i Telekomunikacyjnej Urzędu Miasta Rzeszowa. Budowa szerokopasmowej sieci RESMAN, dostęp wszystkich jednostek miejskich, w tym szkół, do bezpiecznego internetu, regularne szkolenia pracowników oraz aktualizacja systemów to coś, co w Rzeszowie wykonywane jest od dekady.
- Mamy własne serwery pocztowe dla szkół i jednostek miejskich, korzystamy z Sun Box, czyli takiego miejsca, gdzie bezpiecznie można sprawdzić załączniki z wiadomości e-mail. Mamy również zaawansowane programy antywirusowe, które potrafią wykryć podejrzane zachowania na stacjach roboczych i serwerach - wyliczył wicedyrektor Świder.
Podstawą cyberbezpieczeństwa w Urzędzie Miasta Rzeszowa są także regularne szkolenia pracowników. – Odbywają się one co najmniej dwa razy w roku. Co więcej, od czasu do czasu atakujemy naszych pracowników, aby sprawdzić ich podatność na cyberzagrożenia. Jeśli ktoś dał się nabrać, wówczas wysyłamy go na dodatkowe szkolenia – wyjaśnił Sławomir Świder.
– Udało nam się także wypracować, aby pracownicy urzędu nie mieli jednego hasła do wszystkich systemów, co kiedyś było nagminne. Ponadto specjalny system sprawdza, czy utworzone przez pracownika hasło nie było już kiedyś wykorzystywane – dodał.
Centrum Operacji Cyberbezpieczeństwa (SOC)
To jednak nie wszystko, co robi Rzeszów w kontekście cybersecurity. Pod koniec 2023 roku miasto uruchomiło scentralizowane Centrum Operacji Cyberbezpieczeństwa (SOC) dla całej aglomeracji. Nad nowym systemem bezpieczeństwa pracowano pięć miesięcy. Inwestycję, wartą 10 mln zł (7 mln zł to dofinansowanie unijne), zrealizowało ComCERT S.A. z Grupy Asseco.
- SOC będzie chronił nasze systemy, ale i mieszkańców. Rzeszów jest strategicznym miastem w kraju. Tego typu inwestycje chroniące przed cyberzagrożeniami są dla nas nieodzowne – powiedział podczas oficjalnego otwarcia Centrum Konrad Fijołek, prezydent Rzeszowa.
- To ważna instytucja samorządowa, która daje poczucie wskazania kierunku dla innych. Na mapie Polski dzieje się coś wyjątkowego. To pierwszy taki ośrodek, gdzie otwieramy centrum operacji cyberbezpieczeństwa, które ma dawać poczucie bezpieczeństwa mieszkańcom regionu – powiedział obecny na otwarciu rzeszowskiego SOC Krzysztof Gawkowski, wicepremier i minister cyfryzacji.
- Cyber nie jest tylko domeną państwa, rządu, ale także samorządu. Muszą one zdawać sobie sprawę, że są równie narażone na ataki, jak rządy. To tam jest wiele punktów infrastruktury krytycznej, które są ważne. Budowanie takich miejsc, postawienie na cyberbezpieczeństwo w obszarze samorządowym – dodał.
Centrum Operacji Cyberbezpieczeństwa (SOC) powstało z uwagi na geopolityczne położenie Rzeszowa. Urzędnicy, odpowiedzialni za cyberbezpieczeństwo w Rzeszowie, już od pandemii zauważyli skokowy wzrost ataków na miejską infrastrukturę IT. Problem ten stał się jeszcze większy, gdy wybuchła wojna na Ukrainie.
- Codziennie, i to kilka razy na godzinę, doświadczamy ataku typu „password spray” za wschodniej granicy, a konkretnie z Rosji. Gdyby nie nasze zabezpieczenia i regularne szkolenia pracowników, niewykluczone, że skuteczność w odparciu cyberataków byłaby znacznie niższa – zauważył wicedyrektor Biura Obsługi Informatycznej i Telekomunikacyjnej Urzędu Miasta.
Dlatego powstało SOC, aby zapewnić miastu oraz jednostkom z nim powiązanym (Zarząd Transportu Miejskiego, Miejski Zarząd Dróg, Miejska Administracja Targowisk i Parkingów) zwiększenie poziomu bezpieczeństwa, stały monitoring, analizy i reagowanie w trybie 24/7 oraz integrację danych i systemów zgodność z regulacjami.
Obecnie w SOC pracuje 10 osób z Biura Obsługi Informatycznej i Telekomunikacyjnej Urzędu Miasta oraz po jednym specjaliście z ZTM, MZD i MATiP, którzy w przypadku zaawansowanych incydentów korzystają z pomocy zewnętrznych ekspertów np. z NASK.
Świadomość mieszkańców wciąż niewystarczająca
Mimo rosnącej liczby cyberataków i powszechnej dyskusji na temat potrzeby ochrony danych osobowych i firmowych, świadomość mieszkańców wciąż pozostaje niewystarczająca. Wielu z nich nie zdaje sobie sprawy, jak poważne mogą być konsekwencje zaniedbań w obszarze cyberbezpieczeństwa.
Na podstawie przeprowadzonej analizy przez redakcję “Security Magazine”, wynika, że mieszkańcy — zwłaszcza mniejszych gmin miejskich (poniżej 20 tys. mieszkańców) często oczekują, że ich lokalne władze skoncentrują się na bardziej widocznych i bezpośrednich potrzebach, takich jak infrastruktura, edukacja czy opieka zdrowotna. Cyberbezpieczeństwo jest postrzegane jako mniej istotne, często umieszczane na końcu listy priorytetów.
Z tego powodu, ważne jest, aby władze lokalne oraz media podjęły dodatkowe działania edukacyjne, pokazując, że cyberbezpieczeństwo ma bezpośredni wpływ na bezpieczeństwo wszystkich aspektów życia publicznego i prywatnego. Potrzeba zrozumienia, że hakerzy często wybierają swoje ofiary zupełnie przypadkowo — każdy jest potencjalnym celem.
Działania takie jak regularne szkolenia, warsztaty, kampanie informacyjne, czy nawet symulacje ataków mogą znacząco podnieść poziom wiedzy i świadomości mieszkańców mniejszych gmin. Ponadto, należy zaznaczyć, jak ważne jest stosowanie zaktualizowanego oprogramowania, korzystanie z silnych haseł i dwuskładnikowej autoryzacji. Nie można również zapominać o fizycznym zabezpieczeniu sprzętu – serwery i stacje robocze powinny być umieszczone w odpowiednio zabezpieczonych pomieszczeniach, aby uniknąć dostępu niepowołanych osób.
Podnoszenie świadomości nie jest jednak wyłącznie zadaniem urzędów czy specjalistów IT. Każdy użytkownik internetu powinien zrozumieć, że jest odpowiedzialny za swoje bezpieczeństwo online. Współpraca międzysektorowa, włączając w to partnerstwa publiczno-prywatne, może przyczynić się do budowania bardziej zintegrowanej i kompleksowej strategii cyberbezpieczeństwa. Inicjatywy te, choć wymagają czasu i zaangażowania, są fundamentem w kreowaniu trwałej zmiany w postrzeganiu i praktycznym podejściu do cyberbezpieczeństwa w społecznościach lokalnych.
