- Polski samorząd gminny, powiatowy i wojewódzki zarządza danymi wrażliwymi 24 milionów podatników, a ta skala jest zdecydowanie większa, uwzględniając dane osobowe w innych kwestiach niż podatkowa (np. w polityce śmieciowej, dowodach osobistych, dowodach rejestracyjnych, wnioskach o dotacje itd.). Można szacować, że np. dla Warszawy jest to baza danych przekraczająca liczbę 2 mln klientów – wylicza Janusz Kobeszko z Forum Od-nowa, think tanku zajmującego się projektowaniem i wdrażaniem zmian systemowych w sektorze publicznym.
Oprócz coraz większej ilości przechowywanych i przetwarzanych wrażliwych danych, samorządy obracają dużymi sumami publicznych pieniędzy – same wydatki jst w 2014 roku wyniosły łącznie niemal 200 miliardów złotych.
To pokazuje dlaczego, tak ważne jest, aby jst w sposób właściwy wdrażały system zarządzania bezpieczeństwem zasobów informatycznych.
Ofiary cyberataków
A głośnych przypadków cyberataków na samorządy w Polsce było już sporo. Dwa lata temu były np. do skrzynek e-mailowych jst trafi e-mail, podszywający się pod producenta oprogramowania (Sygnity) BeSTi@, tj. systemu zarządzania budżetami jst nakłaniający do zainstalowania fałszywej aktualizacji, zainfekowanej złośliwym oprogramowaniem. Mail z fałszywą aktualizacją został wysłany z adresu [email protected] łudząco podobnego do adresu wykonawcy systemu, czyli [email protected]. Celem atakujących było na przejęcie danych dostępowych do kont bankowych, jakimi zarządzają operatorzy oprogramowania BeSTi@. Z tego samego komputera najczęściej wykonywane są przelewy na miliony złotych dziennie. Tamten atak został dość szybko zidentyfikowany, co nie zniechęciło cyberprzestępców do dalszych prób.
Wielokrotnie były one skuteczne. I tak np. Urząd Miast Jaworzno przelał 940 tys. zł na podstawiony przez cyberprzestępców numer konta. Samorządowy komputer został zainfekowany koniem trojańskim, który w momencie wykonywania przelewu podmienił numer konta odbiorcy. W tym przypadku był to m.in.. efekt nie posiadania uaktualnionego oprogramowania oraz niedostateczna znajomość podstawowych zasad bezpiecznego korzystania z internetu przez niektórych urzędników. W podobny sposób prawie pół miliona złotych straciła gminy Rząśnik w powiecie pajęczańskim w woj. łódzkim.
Innego typy cyberataki zostały przeprowadzone na samorządy miast w Białej Podlaskiej i Kraśniku. W ich przypadku cyberprzestępcy dokonali ataku na serwer VoIP służący do nawiązywania połączeń telefonicznych z wykorzystaniem sieci internetowej. W przypadku Białej Podlaskiej hakerzy wykonali prawie 900 połączeń do Zimbabwe, co kosztowało miasto 49 tys. zł, a Kraśnik zaplacił 19,5 tys. zł za połączenia telefoniczne do sieci komórkowej w Austrii.
Czują się bezpiecznie?
Tymczasem z badania przeprowadzonego dla Fortinet przez firmę PBS, którego celem było uzyskanie obrazu stanu cyberbezpieczeństwa polskiej administracji lokalnej (objęto nim 200 urzędników odpowiedzialnych za IT w jst), wynika, że osoby odpowiedzialne za IT w samorządach w większości deklarują poziom bezpieczeństwa informatycznego swoich placówek jako wysoki lub bardzo wysoki (67 proc.). W urzędach zatrudniających więcej niż 100 pracowników 20,3 proc. respondentów wskazało na poziom bardzo wysoki, zaś w urzędach zatrudniających mniej niż 100 pracowników ten sam poziom wskazałojedynie 5,6 proc.. Pewność zabezpieczeń rośnie więc wraz z wielkością danej jednostki.
W większych jednostkach przykłada się też większą wagę do kwestii cyberbezpieczeństwa – 84 proc. badanych określiło ją jako raczej dużą lub bardzo dużą. W mniejszych placówkach na podobną wagę wskazało 59,8 proc. pytanych.
Z badania wynika, że 33 proc. urzędów nie ma na wyposażeniu urządzenia typu firewall, które stanowi podstawowy element infrastruktury bezpieczeństwa informatycznego. Jednocześnie jest to rozwiązanie, które najchętniej by wprowadzono lub ulepszono – tak zadeklarowało 63 proc. badanych.
Najbardziej popularnym w samorządach zabezpieczeniem okazał się antyspam obecny w 89 proc .jednostek.
Problemem brak funduszy
- Braki w systemie bezpieczeństwa lub niezachowywanie jego aktualności są skrzętnie wykorzystywane przez cyberprzestępców. W październiku ubiegłego roku media doniosły o zatrzymaniu grupy hakerów, która wyprowadziła z kont kilku urzędów gmin ponad 2 miliony złotych, wykorzystując do tego złośliwe oprogramowanie. Niemal milion złotych stracił wówczas Urząd Miejski w Jaworznie. Znane są też przypadki paraliżowania działania czy podmieniania treści samorządowych stron internetowych, co miało miejsce m. in. w Płocku oraz Toruniu – mówi Mariusz Rzepka, dyrektor na Polskę, Białoruś i Ukrainę w firmie Fortinet, dostawcy zaawansowanych cyberzabezpieczeń.
Według pracowników urzędów samorządowych poczta elektroniczna jest uważana za najbardziej narażony na niebezpieczeństwo element sieci. Na e-mail wskazało 68 proc. respondentów. Na kolejnych miejscach znalazła się sieć bezprzewodowa (56 proc.) oraz urządzenia w sieci, takie jak komputery, tablety czy smartfony (54 proc.).
Wyciek lub utrata poufnych i wrażliwych informacji – tego najbardziej się obawia 79 proc. badanych. Wedle urzędników najmniej w związku z cyberzagrożeniami mogą stracić reputacja i zaufanie do instytucji.
Na pytanie o wskazanie największych barier w podnoszeniu cyberbezpieczeństwa 62 proc. urzędników wskazało na brak wystarczających funduszy, a 17 proc. – na niską świadomość problemu na wyższych szczeblach administracyjnych. Ponadto niemal 13 proc. osób odpowiedzialnych za IT w większych jednostkach dostrzega problem braku centralnej strategii i standardów bezpieczeństwa informatycznego.
- Fakt, że blisko 40 proc. ankietowanych nie przykłada dużej wagi do spraw cyberbezpieczeństwa napawa niepokojem. Sądzę, że to wynik błędu w organizacji bezpieczeństwa, czyli braku wydzielonego, niezależnego od szefa IT stanowiska od tych spraw. W skali makro niepokoiłbym się tym, że ogółem tylko 6 proc. widzi szansę na poprawę w samorządach dzięki centralnej strategii i wprowadzeniu standardów. Moim zdaniem to podstawowe rozwiązanie, które pomogłoby całemu środowisku i zminimalizowało koszty osiągnięcia wysokiego poziomu cyberbezpieczeństwa. Technologicznie widać dużą wiarę w od dawna stosowane rozwiązania takie jak ochrona poczty elektronicznej. Mam wrażenie, że odpowiedzialni za IT nie dostrzegają zagrożeń związanych z atakami na bazy danych i aplikacje. To znak, że nie wszyscy zdają sobie sprawę z ograniczonych możliwości od lat stosowanych technologii i konieczności inwestycji w nowe rozwiązania – mówi Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń.
Przykład idzie z góry?
Jednak czy tak do końca można winić tylko samorządy, że często nie dostrzegają lub lekceważą cyberzagrożenia?
NIK w opublikowanego w zeszłym roku raporcie z kontroli realizacji zadań w zakresie ochrony cyberprzestrzeni przez państwo w konkluzji stwierdza, że działania dotyczące cyberbezpieczeństwa państwa prowadzone są bez przygotowania i braku spójnej wizji, bo politycy nie zdają sobie sprawy ze skali zagrożeń.
Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych.
„Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią” - stwierdza NIK.
A to niestety ma wpływ na samorządy, wedle porzekadła „ryba psuje się od głowy”.
Kontrola NIK wykazała m.in., że całkowicie martwe i niewykorzystywane w praktyce były przepisy art. 25 ust. 1 pkt 3 ustawy o informatyzacji, nakładające na ministrów i wojewodów obowiązki w zakresie przeprowadzania kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych, obejmujących m.in. weryfikację wymogów bezpieczeństwa tych systemów wynikających z § 20 rozporządzenia w sprawie Krajowych Ram Interoperacyjności.
I tak 14 z 16 wojewodów w ogóle nie realizowało obowiązków określonych w ustawie o informatyzacji, dotyczących kontroli systemów teleinformatycznych wykorzystywanych przez jednostki samorządu terytorialnego i ich związki oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych.
Także Minister Administracji i Cyfryzacji oraz Minister Spraw Wewnętrznych nie planowali oraz nie przeprowadzali, wymaganych w ustawie o informatyzacji, kontroli systemów teleinformatycznych wykorzystywanych przez podmioty podległe lub nadzorowane, a więc m.in. samorządy.
Wyjaśnienia wojewodów oraz ówczesnego kierownictwa MAiC i MSW tej sytuacji były dość typowe. Tłumaczyli m.in., że głównymi powodami odstąpienia od realizacji tych zadań był brak kadr posiadających certyfikaty uprawniające do prowadzenia kontroli systemów teleinformatycznych oraz ograniczenia budżetowe, nie pozwalające na zatrudnienie dodatkowych kontrolerów lub skierowanie pracowników na wymagane kursy i egzaminy.
Tymczasem pewne jest, że bez wsparcia i nadzoru władzy centralnej samorządy nie mają szans na odparcie cyberataków, a skuteczność tych ostatnich uderza nie tylko w powagę samorządu, ale zaufania do całego państwa.
Jest szansa na unijne pieniądze
Pocieszające, że na informatyzację w Polsce przewidziane są spore środki w Regionalnych Programach Operacyjnych i Programie Operacyjnego Polska Cyfrowa (POPC).
W przypadku tego drugiego na cyfryzację zostanie przeznaczonych ponad 9 miliardów złotych. Samorządy mają jednak utrudniony dostęp do tych funduszy, ponieważ program został zaprojektowany głównie z myślą o jednostkach administracji centralnej czy firmy (budowa sieci internetowych). Z badania Fortinet wynika, że spośród ankietowanych urzędów tylko 5 proc. zadeklarowało wykorzystanie środków z programu POPC, a 25 proc. nie zamierza w ogóle z nich skorzystać. Dziewięć na dziesięć osób z urzędów, w których chciano by uzyskać środki z Polski Cyfrowej, wyraziła wolę spożytkowania ich na zakup nowego sprzętu zwiększającego cyberbezpieczeństwo.
W 87 proc badanych urzędach zadeklarowano, że projekty związane z cyberbezpieczeństwem były do tej pory realizowane głównie ze środków własnych.
- Należy pamiętać, że wyniki badania zawierają subiektywne oceny ankietowanych urzędników. Niemniej zdaje się, że znękane wieloma trudnościami samorządy często traktują zagadnienia cyberprzestępczości jako tzw. „ostatnią kolejność odśnieżania”. Koncentrują się one na sprawach bardziej namacalnych, typu oświata, transport czy pomoc społeczna. W poszukiwaniu funduszy na cele związane z cyberbezpieczeństwem wspólnoty mogą się oprzeć na środkach unijnych czy partnerstwie publiczno-prywatnym – zauważa Janusz Kobeszko.
- Cyberbezpieczeństwo jest procesem, który wymaga stałego odpowiadania na nowo pojawiające się zagrożenia. Optymizmem napawa fakt, że urzędnicy wyrażają wolę coraz lepszego zabezpieczania swoich jednostek. Istniejące bariery można pokonać przy wsparciu ekspertów zewnętrznych, którzy z jednej strony mogą pomóc lepiej wykorzystywać fundusze unijne, a z drugiej doradzić w kwestii dobrych praktyk i doboru optymalnych rozwiązań w zakresie IT – podsumowuje Mariusz Rzepka.