Ujawnione dane i konsekwencje
Atak hakerski dotknął serwerów EuroCert, szyfrując przechowywane na nich pliki. W wyniku incydentu naruszona została zarówno poufność, jak i dostępność danych osobowych. Informacje, takie jak imiona, nazwiska, numery PESEL, serie i numery dowodów osobistych, dane kontaktowe, hasła oraz wizerunki, mogły zostać narażone na ujawnienie. Chociaż dane te mogą być wykorzystane do różnych celów, takich jak phishing, nękanie czy próby wyłudzeń, EuroCert zapewnia, że certyfikaty elektroniczne nie zostały skompromitowane. Klucze kryptograficzne w przypadku certyfikatów chmurowych ECSigner pozostały bezpieczne, a użytkownicy zostali zobligowani do zmiany haseł oraz korzystania z dwuskładnikowego uwierzytelniania.
W ramach posiedzenia Połączonego Centrum Operacyjnego Cyberbezpieczeństwa ustalono, że wykradzione dane mogą obejmować dane osobowe, zawarte umowy, informacje o realizowanych przedsięwzięciach, dane dostępowe oraz inne wrażliwe informacje. Trwa analiza prowadzona przez CSIRT NASK przy współpracy z Centralnym Biurem Zwalczania Cyberprzestępczości, innymi krajowymi CSIRT-ami oraz Ministerstwem Cyfryzacji. Celem podsumowania wyników analizy oraz podjęcia dalszych działań naprawczych zwołano posiedzenie Zespołu do spraw Incydentów Krytycznych.
Firma natychmiast po wykryciu problemu podjęła kroki zmierzające do ochrony danych oraz powiadomiła organy ścigania, w tym Policję oraz CERT Polska. Zgłoszenie trafiło również do Prezesa Urzędu Ochrony Danych Osobowych, wskazując na wysokie ryzyko naruszenia praw osób fizycznych. EuroCert zapewnia, że dołoży wszelkich starań, aby minimalizować skutki ataku i przywrócić pełną funkcjonalność systemów informatycznych w jak najkrótszym czasie.
Zalecenia Pełnomocnika Rządu do spraw Cyberbezpieczeństwa
Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, informuje o utrzymującym się dużym poziomie ryzyka wystąpienia incydentów w polskiej cyberprzestrzeni. Do najbardziej destrukcyjnych ataków należą ataki ransomware prowadzące do wycieków danych. Jednym z najnowszych przypadków jest cyberatak dokonany wobec firmy EUROCERT Sp. z o.o., dostawcy kwalifikowanych i niekwalifikowanych usług zaufania. Aby zminimalizować skutki ataku i zapobiec dalszym zagrożeniom, rekomendowane są działania takie jak przegląd infrastruktury w celu analizy danych przetwarzanych oraz udostępnianych rozwiązań, co może pomóc w identyfikacji możliwych cyberataków na obecnych i byłych kontrahentów. Ważnym krokiem jest również zablokowanie zdalnego dostępu oraz powiązań infrastruktury IT z EUROCERT, aby uniemożliwić potencjalny nieuprawniony dostęp do własnych zasobów.
Analiza logów systemowych, szczególnie od 1 listopada 2024 roku, jest kluczowa w celu wykrycia możliwych przypadków nieuprawnionego użycia powiązań międzysystemowych czy kont serwisowych. Zaleca się także zmianę poświadczeń do wszystkich kont i systemów związanych z EUROCERT oraz wdrożenie dwuskładnikowego uwierzytelniania dla kont zewnętrznych. Niezbędne jest monitorowanie kampanii socjotechnicznych, które mogą wykorzystywać wizerunek EUROCERT w próbach wyłudzania informacji lub podszywania się pod firmę. Dodatkowo należy przeprowadzić analizę ryzyka korzystania z podpisów kwalifikowanych oraz pieczęci dostarczanych przez EUROCERT, szczególnie w kontekście możliwego nieuprawnionego ich użycia w podmiotach administracji publicznej. Każdy podejrzany incydent powinien być bezzwłocznie zgłoszony do odpowiednich zespołów CSIRT.
Pełnomocnik Rządu do spraw Cyberbezpieczeństwa zwraca również uwagę na kluczowe działania prewencyjne, które mogą zmniejszyć ryzyko przyszłych incydentów. Zaleca stosowanie dwuskładnikowego uwierzytelniania, szczególnie dla kont serwisowych, oraz regularne aktualizowanie oprogramowania, zwłaszcza w systemach związanych z dostępem do Internetu. Te zalecenia są również przydatne w przypadku podobnych incydentów w innych podmiotach, z którymi współpracujemy.
