Wrażliwe dane ujawnione
W pierwszej połowie maja doszło do poważnego ataku ransomware na starostwo powiatowe w Świebodzinie. Naruszenie poufności dotknęło informacji i danych osobowych przetwarzanych na wybranych stacjach roboczych, w systemie elektronicznego obiegu dokumentacji, połączonym z systemem ePUAP oraz w ewidencji gruntów i budynków.
W wyniku ataku doszło do wycieku danych mieszkańców powiatu, takich jak imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail oraz numer PESEL. Na ten moment nie wiadomo, jak duża jest skala naruszeń.
„Naruszenie ochrony danych zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych oraz wdrażane są działania mające na celu zapobieżenie wystąpienia incydentów bezpieczeństwa w przyszłości, poprzez wzmocnienie bezpieczeństwa w ramach infrastruktury informatycznej” – przekazał starosta świebodziński.
Cyberatak na samorząd dziwi?
Czy cyberatak na samorząd to zaskoczenie? Nie. Czytając artykuły zamieszczane na Security Magazine, można zauważyć, że ofiarami hakerów padają nawet potężne firmy technologiczne. Nie ma się zatem co dziwić, że tym razem celem stało się starostwo. Szczególnie że z raportu Naczelnej Izby Kontroli wynika jasno: samorządy, jeśli chodzi o cyberochronę, w wielu przypadkach zatrzymały się na erze „pana informatyka”.
- Bardzo często dzieje się tak, że urzędy korzystają z dedykowanych systemów, które nie są aktualizowane, bo albo nie ma już „pana informatyka”, który dany system pisał, albo zewnętrzna firma, która była jego właścicielem, już nie istnieje, a wiadomo, że brak aktualizacji oprogramowania, to otwarte zaproszenie dla cyberprzestępców – zauważył w rozmowie z Security Magazine Marcin Deręgowski, rzeszowski radny, który jakiś czas temu komentował dla nas wyniki raportu NIK.
Co ciekawe, Deręgowski uważa, że największą przyczyną tego, że wiele samorządów jest zacofanych w kwestiach cyberbezpieczeństwa, jest kwestia wynagrodzeń dla specjalistów. — Dziś nie wystarczy kogoś przeszkolić. Dziś w administracji publicznej są potrzebni specjaliści, pasjonaci. Skończyła się era „pana informatyka”. Teraz są specjalizacje, po które prędzej czy później urzędy będą musiały sięgnąć, aby zapewnić mieszkańcom cyberochronę – stwierdził Marcin Deręgowski.
Zajdel: To przede wszystkim stres
Do tematu cyberataków na samorządy nieco inaczej podchodzi Łukasz Zajdel, dyrektor sprzedaży w Perceptus. Zwraca on uwagę na to, że każdy przypadek skutecznego ataku na system jakiejś organizacji to poza wszystkimi problemami technicznymi przede wszystkim ogromny stres dla osób, które muszą się z tym wydarzeniem borykać i znaleźć najlepsze dostępne rozwiązanie, by przywrócić możliwość działania systemu.
- Zwykle najbardziej wystawione na krytykę są osoby niemające wpływu na decyzje o inwestycjach w cyberbezpieczeństwo, a problem braku zabezpieczeń to problem systemowy – zauważa Łukasz Zajdel. — Stan zabezpieczeń jednostek administracji publicznej jest niski – to nie przypuszczenie a jedynie stwierdzenie stanu faktycznego. Tematy cyberzabezpieczeń od lat spychane były na koniec kolejki, na które planowano wydatki – dodaje.
Zajdel, podobnie jak Deręgowski, wskazuje, że w samorządzie brakuje specjalistów odpowiedzialnych za kwestie cyberbezpieczeństwa, a konkretnie takiej osoby, jak administrator w JST, odpowiada zarówno za konfigurację skomplikowanego systemu cyberbezpieczeńśtwa jak i wymianę zepsutego kabla u pracownika. — Dawniej taka kumulacja obowiązków może wystarczała, dzisiaj technologia rozwija się w tempie wymagających ciągłego podnoszenia poziomu wiedzy i specjalizacji. Pytanie tylko, czy faktycznie problem braku zabezpieczeń dotyczy głównie jednostek publicznych, czy wynika z ogólnego braku znajomości zasad cyberbezpieczeństwa wśród pracowników – nie rozróżniając już czy mówimy o sektorze publicznym czy prywatnym? – zastanawia się Łukasz Zajdel.
- Z naszego doświadczenia wynika, że w wielu organizacjach problem braku wiedzy i odpowiednich zabezpieczeń jest aktualny. W przypadku podmiotów publicznych sytuację z pewnością poprawią rozwiązania wdrażane w ramach programu „Cyberbezpieczny samorząd”. Powstają dla nich też dedykowane udogodnienia, takie jak możliwość zakupu oprogramowania typu end-point protection w uproszczonej procedurze dzięki COAR. W przypadku sektora prywatnego w zabezpieczenia muszą zainwestować przedsiębiorcy. Na szczęście tu też widać już zmianę i cyberbezpieczeństwo coraz częściej staje się jednym ze strategicznych celów organizacji – powiedział Łukasz Zajdel.
Co po fakcie może zrobić poszkodowany?
A jeśli dojdzie już do cyberataku, to co w takim razie mogą zrobić poszkodowani? Przede wszystkim należy być bardzo ostrożnym względem wszelkich prób bezprawnego wykorzystania wykradzionych danych osobowych. Kluczowe jest uważne weryfikowanie korespondencji przychodzącej oraz niepodejmowanie żadnych działań bez uprzedniego sprawdzenia nadawcy przesyłki i podstawy wskazanych w tej korespondencji działań, zwłaszcza w zakresie działań finansowych oraz ochrony zdrowia.
Warto również zachować ostrożność przy kontaktach z obcymi osobami, szczególnie w zakresie informacji o sytuacji finansowej i stanie zdrowia, oraz unikać udzielania takich informacji osobom nieznanym. Dobrą opcją jest założenie konta w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem.
Warto również zweryfikować możliwość nieuprawnionego posłużenia się danymi osobowymi do zaciągnięcia innych zobowiązań. Zachęcamy do skorzystania z bezpłatnego raportu Krajowego Rejestru Długów, który zgodnie z ustawą z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych można pobrać bezpłatnie nie częściej niż raz na 6 miesięcy. Dodatkowo można zastrzec numer PESEL, co stanowi dodatkową ochronę przed nieuprawnionym wykorzystaniem danych.
