Polityka i prawo
Zhakowano Urząd Marszałkowski w Krakowie
Systemy Urzędu Marszałkowskiego Województwa Małopolskiego w Krakowie zostały zaszyfrowane, a hakerzy zażądali okupu za ich odblokowanie. Doszło do naruszenia bezpieczeństwa danych osobowych m.in. klientów instytucji. Sprawa została zgłoszona do Agencji Bezpieczeństwa Wewnętrznego oraz Policji, zawiadomiono również Prezesa Urzędu Ochrony Danych Osobowych oraz NASK. „Nie negocjujemy z hakerami i to nie podlega żadnej dyskusji. Całkowicie odrzucamy taką opcję” – wskazuje Dawid Gleń, rzecznik Urzędu Marszałkowskiego Województwa Małopolskiego w Krakowie.
Urząd Marszałkowski Województwa Małopolskiego (UMWM) z siedzibą w Krakowie poinformował, że na skutek ataku hakerskiego doszło do naruszenia bezpieczeństwa danych osobowych. Incydent został wykryty w poniedziałek (tj. 8 lutego br.).
Systemy instytucji zostały zaszyfrowane za pomocą złośliwego oprogramowania, a hakerzy zażądali okupu za ich odblokowanie. Na skutek działania wirusa doszło do „utraty dostępności danych osobowych”, w tym m.in. klientów Urzędu. Władze jednak stanowczo odrzuciły warunki stawiane przez cyberprzestępców.
Atak, który został przeprowadzony polegał na zaszyfrowaniu naszych danych. (…) Nie negocjujemy z hakerami i to nie podlega żadnej dyskusji. Całkowicie odrzucamy taką opcję.
Jak udało nam się ustalić, prowadzone przez Urząd działania w reakcji na incydent są utrudnione, ponieważ część systemów instytucji zostało wyłączonych celowo ze względów bezpieczeństwa. Cały czas czynności prowadzi również zespół specjalistów UMWM.
„Bezzwłocznie podjęto wszelkie działania mające na celu powstrzymanie naruszenia oraz zminimalizowanie ewentualnych negatywnych skutków dla osób, których dane dotyczą” – wskazuje Urząd Marszałkowski, podkreślając, że o sprawie powiadomiono odpowiednie służby, w tym Prezesa Urzędu Ochrony Danych Osobowych (PUODO). „Zawiadomienie w sprawie incydentu trafiło na Policję oraz do ABW” – powiedział nam Dawid Gleń, rzecznik prasowy UMWM.
Na chwilę obecną nie udało się potwierdzić, czy hakerzy pozyskali dane osobowe z wewnętrznych baz instytucji. Zidentyfikowano jednak „możliwe konsekwencje naruszenia”, wśród których wskazano m.in. na nieterminowe załatwianie spraw przez Urząd, chwilowy brak dostępności niektórych usług oraz trudności w kontakcie z pracownikami UMWM, ograniczone jedynie do formy tradycyjnej (papierowej) lub telefonicznej.
Nie jesteśmy w stanie odpowiedzieć na pytanie, kiedy nasze systemy wrócą do pełnej sprawności. Nasi specjaliści starają się przywrócić wszelkie dane oraz systemy do stanu sprzed zdarzenia.
Czy klienci Urzędu mogą się czuć bezpiecznie? Zdaniem władz instytucji tak, ponieważ na tą chwilę nie ma żadnych podejrzeń, aby jakiekolwiek dane zostały utracone lub wyciekły do sieci na skutek incydentu.
Jak deklaruje Urząd, cały czas trwają działania, których celem jest poznanie pozostałych okoliczności zdarzenia. UMWM zapewnia, że zrobi wszystko, aby podobna sytuacja nie przydarzyła się już nigdy w przyszłości.
O postępach w śledztwie Urząd Marszałkowski będzie informował „w miarę możliwości” regularnie, przedstawiając dane, które mogą zostać opublikowane i nie naruszą bezpieczeństwa prowadzonego dochodzenia. Klienci, którzy chcą skontaktować się z UMWM powinni skorzystać z oficjalnej strony https://www.malopolska.pl/, gdzie znajduje się odnośnik do opisu całej sytuacji związanej z incydentem. „Są tam wszelkie szczegóły mówiące, w jaki sposób w indywidualnej sprawie można się z nami skontaktować” – wskazuje rzecznik Urzędu Dawid Gleń w rozmowie z naszym portalem.
To nie był celowy atak?
W sprawie incydentu skontaktowaliśmy się z Komendą Wojewódzką Policji (KWP) w Krakowie, która przekazała nam informacje, że incydent, jaki miał miejsce w Urzędzie Marszałkowskim nie musiał być ukierunkowanym cyberatakiem. Instytucja mogła stać się przypadkowym celem hakerów wraz z innymi użytkownikami internetu. „Urząd mógł otrzymać malware przypadkowo wraz z tysiącami innych osób i nie musiał być konkretnym obiektem ataku cyberprzestępców” – tłumaczy rzecznik prasowy KWP w Krakowie mł. insp. Sebastian Gleń, dodając, że obecnie okoliczności i motywy działania hakerów są sprawdzane.
Jak udało nam się ustalić, Policja w środę (10 lutego br.) zleciła zabezpieczenie baz danych UMWM a dzisiaj przyjęto oficjalne zawiadomienie. „Dane te dopiero teraz będziemy analizować, więc na razie nie będziemy informować o szczegółach ze względu na bezpieczeństwo dochodzenia” – wskazuje rzecznik Komendy, podkreślając, że równocześnie Urząd powiadomił o incydencie Prezesa Urzędu Ochrony Danych Osobowych oraz NASK. „My w toku dochodzenia też będziemy współpracować z ekspertami m.in. NASK-u” – dodał.
Według doniesień Urzędu jego bazy danych zostały zaszyfrowane a hakerzy zażądali okupu, co wskazuje na wykorzystanie oprogramowania ransomware. Policja jednak wstrzymuje się od jednoznacznych twierdzeń w tym zakresie, podkreślając, że funkcjonariusze prowadzą własne postępowanie w tej sprawie i nie opierają się na stanowisku UMWM. „Będziemy wszystko ustalać. Sprawdzimy czy był to ukierunkowany cyberatak w tym znaczeniu, że hakerzy postawili sobie za cel zainfekowanie infrastruktury Urzędu czy może instytucja była przypadkowym celem” – powtórzył raz jeszcze Sebastian Gleń w rozmowie z naszym portalem.
Wstępnie kwalifikujemy to jako przestępstwo z art. 286a paragraf 1 Kodeksu karnego.
W związku z zaistniałym incydentem postanowiliśmy również zapytać rzecznika KWP w Krakowie o postępowanie Policji w tego typu przypadkach oraz o opisanie całej procedury po zgłoszeniu incydentu przez osobę lub podmiot poszkodowany.
„Policja zajmuje się ściganiem przestępstw i wykroczeń. Jeśli dany atak lub działanie wirusa powoduje szkody bądź prowadzi do okoliczności uznawanych za przestępstwo, to wówczas my się zajmujemy tego typu sprawą” – podkreślił Sebastian Gleń, rzecznik prasowy KWP w Krakowie.
Przedstawiciel małopolskiej Policji zaznaczył, że musimy pamiętać, iż w Kodeksie karnym są wymienione rożnego rodzaju przestępstwa dotyczące ochrony informacji i jeśli dzięki złośliwemu oprogramowaniu ktoś przejmuje dane, do których nie jest uprawniony, to możemy mieć do czynienia z przestępstwem na podstawie obowiązującego prawa. „Wtedy istnieją przesłanki do tego, aby Policja zajęła się incydentem, a nie tylko na przykład informatycy czy specjaliści IT określonego podmiotu, którzy niwelują szkody lub naprawiają infrastrukturę. W sytuacjach, gdy ktoś ma przypuszczenia, że doszło do przestępstwa, można zawiadomić Policję” – wyjaśnił rzecznik małopolskiej Policji.
Jak wskazał Sebastian Gleń, następnie, po zgłoszeniu, funkcjonariusze zajmują się nie tyle naprawą infrastruktury – co jest już kwestią podmiotu prywatnego – ale ustalaniem sprawcy. „Naszym zadaniem jest zidentyfikowanie kto stoi za rozpowszechnianiem oprogramowania, za konkretnym cyberatakiem. Chcemy poznać personalia napastnika, żeby pociągnąć go do odpowiedzialności za złamanie prawa, ponieważ za każde przestępstwo grozi kara grzywny i/lub pozbawienia wolności w zależności od paragrafu” – dodał przedstawiciel Policji w rozmowie z naszym portalem.
Rzecznik KWP w Krakowie podkreślił, że chcąc ustalić sprawę, Policja prowadzi czynności związane z incydentem. Tym zajmują się funkcjonariusze ds. cyberprzestępczości. Są oni odpowiedzialni m.in. za sprawdzanie struktury złośliwego oprogramowania, sposobu jego rozprzestrzeniania czy źródła pochodzenia. „Ważne jest również odkrycie miejsca, skąd hakerzy mogli działać, gdzie się logowali, z jakich komputerów, sprawdzane są adresy IP oraz kierujemy się także do operatorów danych witryn lub domen, aby poznać szczegóły na przykład logowań na stronie czy przesyłu danych” – zaznaczył Sebastian Gleń.
Przedstawiciel małopolskiej Policji wskazał, że bazy danych oraz inne informacje na nośnikach są zabezpieczane i kopiowane na potrzeby prowadzenia postępowania, jako materiał dowodowy. „Tak też się stało w przypadku incydentu w Urzędzie Marszałkowskim – mieli cały dzień na to, aby przekopiować dany, żebyśmy mogli swobodnie na nich pracować, a sami mogli rozpocząć proces niwelowania uszkodzeń powstałych w wyniku działania złośliwego oprogramowania” – wyjaśnił rzecznik KWP w Krakowie.
W rozmowie z Sebastianem Gleniem zapytaliśmy również o to, kto – poza Policją – może jeszcze uczestniczyć w tego typu postępowaniu. W odpowiedzi przedstawiciel Policji wskazał przede wszystkim na prokuratora, dlatego że hakerzy mogą działać zza granicy i w związku z tym służby otrzymują zapytania o udostępnianie określonych danych podmiotom spoza Polski. „To działa także w drugą stronę – prokuratura na zasadzie współpracy międzynarodowej w ściganiu przestępstw w sprawach karnych, na mocy umów, może kierować takie pytania do organów za granicą. My, jako Policja, nie zawsze mamy prawo zadać zewnętrznym podmiotom pytania o określone ustalenia, z kolei prokuratura może to uczynić” – wyjaśnił Sebastian Gleń.
Co więcej, warto mieć na uwadze, że wszystkie postępowania policyjne są nadzorowane przez prokuraturę. „Oczywiście posiadamy swoich fachowców, ale czasami możemy również powołać jakiegoś biegłego, na przykład właśnie specjalistę ds. IT, żeby w ramach prowadzenia sprawy wydał opinię na określony temat. Taką osobę powołuje także sama prokuratura” – zaznaczył rzecznik KWP w Krakowie.
Oczywiście prokuratura nie jest jedyną instytucją, która jest angażowana w postępowanie prowadzone przez Policję. W przypadku incydentów komputerowych, które naruszają np. bezpieczeństwo danych osobowych, zawiadamiany jest Urząd Ochrony Danych Osobowych, na czele z Prezesem, w celu podjęcia współpracy. „Oczywiście, poza Policją i Prokuraturą, zawiadamiane są również inne instytucje, typu UODO czy NASK. Z naszej strony mogę zapewnić, że czuwamy nad tym, aby wszelkie możliwe informacje zostały im przekazane, ponieważ w interesie funkcjonariuszy jest dbanie o bezpieczeństwo obywateli. Chodzi o to, żeby zaalarmować użytkowników o pojawiającym się zagrożeniu, choć jest to powszechnie znane ryzyko” – zaznaczył przedstawiciel małopolskiej Policji. „Przykładowo, wiele osób wie, czym jest ransomware i jak działa – zawsze wiąże się z żądaniem okupu przez hakerów. My w takiej sytuacji odradzamy spełniania warunków cyberprzestępców i o to apelujemy do społeczeństwa. Dlaczego? Ponieważ pomimo zapłaty, atakujący w cale nie muszą iść nam na rękę i przywrócić danych lub dostępu do nich, a my jedynie stracimy pieniądze. W związku z tym starajmy się odzyskać informacje lub kontrolę nad infrastrukturą we własnym zakresie” – podkreślił rzecznik prasowy Komendy Wojewódzkiej Policji w Krakowie Sebastian Gleń w rozmowie z CyberDefence24.pl.