Atak hakerski w Jędrzejowie. Starostwo tłumaczy incydent

Twierdzenia grupy RansomHub były przerażające. Cyberprzestępcy ogłosili, że udało im się wykraść dane 80 tysięcy mieszkańców Powiatu Jędrzejowskiego. Wśród nich miały znajdować się: imię i nazwisko, imiona rodziców, płeć, adresy zameldowania i zamieszkania, numer PESEL, status osoby (nie wyjaśniono szczegółów) i adres e-mail. Wśród zaatakowanych domen wskazano powiatjedrzejow.pl, geo2602.pl i jedrzejow.pl.

21 października br. odbyła się VIII Nadzwyczajna Sesja Rady Powiatu w Jędrzejowie, która była w pełni poświęcona atakowi hakerskiemu. Padło na niej następujące stwierdzenie: „Kopia zapasowa wykonuje się codziennie w nocy, z tym, że kopia zapasowa również została zaszyfrowana i tutaj mamy problem.”

Wiadomo jednak, że istniała pełna kopia zapasowa z lipca, która najprawdopodobniej została przywrócona. W Biuletynie Informacji Publicznej możemy dowiedzieć się, że 24 października przywrócono funkcjonowanie wszystkich usług sieciowych geoportalu Jędrzejów, wraz z prośbą o weryfikację wniosków złożonych po 1 lipca.

Informacja o naruszeniu danych i brak publikacji

Warto podkreślić, że Starostwo Powiatowe w Jędrzejowie szybko poinformowało o zdarzeniu na swojej stronie internetowej. Twierdzenia cyberprzestępców o kradzieży wspomnianych informacji pokrywają się z tym, o czym informuje Starostwo. Naruszenie dotyczyło m.in. adresów zamieszkania i zameldowania, numerów PESEL czy adresów e-mail.

Analitycy danych nie mogli zapoznać się z tym, co udało się wykraść grupie RansomHub. W dniu planowej publikacji post o ataku na jędrzejowski urząd po prostu zniknął, zaś danych nie opublikowano. Nie oznacza to oczywiście, że są bezpieczne.

Starostwo o ataku

Skierowaliśmy pytania do Starostwa Powiatowego w Jędrzejowie odnośnie zaistniałego incydentu. Przekazano nam, że obecnie nieznana jest liczba osób, których dotyczy naruszenie. Nie można również stwierdzić tego, czy wyciekły dane 80 tysięcy osób. CERT Polska i CBZC prowadzą postępowanie wyjaśniające w tej sprawie.

Pewne jest jednak, że Starostwo nie kontaktowało się ani nie negocjowało okupu z cyberprzestępcami.

Udało nam się również dotrzeć do informacji, że systemy w Starostwie zaczęły ponownie działać oraz kopie zapasowe są wykonywane na zewnętrznych nośnikach. „Wdrażamy rozwiązanie chmurowe” – dodaje Starostwo Powiatowe.

Zaatakowane systemy oraz przełamane zabezpieczenia

Na Sesji Rady Powiatu przekazano, że głównym celem cyberprzestępców był jędrzejowski geoportal. Starostwo przekazało nam, że oprócz geoportalu zaatakowano również systemy: BESTiA (aplikacja do przekazywania sprawozdań budżetowych), FORIS oraz Płatnik (służy do rozliczeń z ZUS).

Wiadomo również jakie zabezpieczenia mogły zostać przełamane. „Najprawdopodobniej przełamano urządzenia zabezpieczające firewall na styku sieci wewnętrznej i zewnętrznej” – przekazało nam Starostwo. Urząd nie posiada informacji o tym, dlaczego powiatjedrzejow.pl zniknął z listy ofiar RansomHub.

Proponowane środki zaradcze dla mieszkańców powiatu są dostępne w BIP Starostwa.

Podsumowanie

Ataki na polskie samorządy to nic nowego. Minister cyfryzacji Krzysztof Gawkowski wielokrotnie powtarzał, że stanowią „miękkie podbrusze cyberbezpieczeństwa”. Informowaliśmy niedawno m.in. o ataku na Urząd Gminy w Sokołowie Podlaskim.

Skierowaliśmy pytania do CERT Polska i CBZC dotyczące powyższego incydentu. Odpowiedzi niezwłocznie opublikujemy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].